1前言

    金融、電信、證券、保險(xiǎn)、民航、鐵路、稅收和海關(guān)8個(gè)系統(tǒng)，以及電信網(wǎng)絡(luò)、廣電網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)3個(gè)基礎(chǔ)網(wǎng)絡(luò)是我國(guó)信息安全保障的重中之重。目前，中國(guó)信息化水平與國(guó)際先進(jìn)水平還有較大差距，信息安全保障尚存在很多問(wèn)題亟待解決。我國(guó)信息安全保障的發(fā)展經(jīng)歷了3個(gè)階段：第一階段為單機(jī)版的殺病毒和防病毒軟件；第二個(gè)階段為從單一的防火墻產(chǎn)品逐漸向信息安全系列產(chǎn)品發(fā)展；第三個(gè)階段為信息安全保障體系的建設(shè)。信息安全保障的內(nèi)容和深度不斷得到擴(kuò)展和加深．但依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒(méi)有從系統(tǒng)工程的角度來(lái)考慮和對(duì)待信息安全保障問(wèn)題。

    信息安全保障問(wèn)題的解決既不能只依靠純粹的技術(shù)，也不能靠簡(jiǎn)單的安全產(chǎn)品的堆砌。它要依賴于復(fù)雜的系統(tǒng)工程——信息安全工程SSE(System Security Engineering)。信息安全工程是采用工程的概念、原理、技術(shù)和方法，來(lái)研究、開(kāi)發(fā)、實(shí)施與維護(hù)信息系統(tǒng)安全的過(guò)程，是將經(jīng)過(guò)時(shí)間考驗(yàn)證明是正確的工程實(shí)施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過(guò)程。

    由于國(guó)家8個(gè)重點(diǎn)信息系統(tǒng)和3個(gè)重點(diǎn)基礎(chǔ)網(wǎng)絡(luò)本身均為復(fù)雜的大型信息系統(tǒng)，因此必須采用系統(tǒng)化方法對(duì)其信息安全保障的效果和長(zhǎng)效性進(jìn)行評(píng)估。

2相關(guān)工作

    目前，國(guó)際上系統(tǒng)的信息安全評(píng)價(jià)方法主要是美國(guó)國(guó)家安全局提出的系統(tǒng)安全工程能力成熟模型ssE-CMM(SystemSecurity Engineering-Capability Maturity Model)和《信息保障技術(shù)框架》LATF(Information Assurance TechnicalFramework)。

    系統(tǒng)安全工程能力成熟模型(SSE-CMM)的開(kāi)發(fā)源于1993年5月美國(guó)國(guó)家安全局發(fā)起的研究工作。SSE-CMM確定了一個(gè)評(píng)價(jià)安全工程實(shí)施的綜合框架，提供了度量與改善安全工程學(xué)科應(yīng)用情況的方法。也就是說(shuō)，對(duì)合格的安全工程實(shí)施者的可信性，是建立在對(duì)一個(gè)工程組的安全實(shí)施與過(guò)程的成熟性評(píng)估之上的。SSE-CMM項(xiàng)目的目標(biāo)是將安全工程發(fā)展為一整套有定義的、成熟的、可度量的學(xué)科。目前，SsE．CMM已經(jīng)成為西方發(fā)達(dá)國(guó)家政府、軍隊(duì)和要害部門(mén)組織和實(shí)施安全工程的通用方法，是系統(tǒng)安全工程領(lǐng)域里成熟的方法體系，在理論研究和實(shí)際應(yīng)用方面具有舉足輕重的作用。

    美國(guó)國(guó)家安全局LATF(《信息保障技術(shù)框架》)對(duì)信息安全工程進(jìn)行了深入研究，以為保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南。IATF從整體、過(guò)程的角度看待信息安全問(wèn)題，其代表理論為“深度防護(hù)戰(zhàn)略(Defensein-Depth)。IATF強(qiáng)調(diào)人、技術(shù)、操作這3個(gè)核心原則，關(guān)注4個(gè)信息安全保障領(lǐng)域：保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施。最終將信息安全工程的重點(diǎn)放在了發(fā)掘信息保護(hù)的需求上，即“保護(hù)需求的導(dǎo)出PNE”，詳細(xì)說(shuō)明了信息安全系統(tǒng)工程ISSE(Information Security Systern Engineering)中第一個(gè)、也是最重要的一個(gè)活動(dòng)。

    在國(guó)內(nèi)學(xué)術(shù)研究方面，北京郵電大學(xué)信息安全中心的楊義先教授及其課題組在采用模糊層次分析法Fuzzy-AHP進(jìn)行網(wǎng)絡(luò)攻擊效果評(píng)估方面取得了一定的成果；清華大學(xué)的段海新教授提出了一種實(shí)體安全體系結(jié)構(gòu)；國(guó)防科技大學(xué)的黃遵國(guó)研究員在網(wǎng)絡(luò)可生存技術(shù)及其實(shí)現(xiàn)框架方面取得了成果；國(guó)家信息中心的呂欣研究了網(wǎng)絡(luò)信息系統(tǒng)的信息安全保障；在信息安全評(píng)價(jià)框架、模型和算法研究方面，北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所信息安全實(shí)驗(yàn)室的徐輝等研究了基于動(dòng)態(tài)貝葉斯規(guī)劃圖的狀態(tài)安全報(bào)警關(guān)聯(lián)；海軍工程大學(xué)的吳曉平教授等提出了基于貝葉斯網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估方法；成都三零盛安信息技術(shù)有限公司的魏忠研究了從定性到定量的系統(tǒng)性信息安全綜合集成評(píng)估體系；山東大學(xué)的黃麗民和王華教授提出了網(wǎng)絡(luò)安全多級(jí)模糊綜合評(píng)價(jià)方法；華中科技大學(xué)的肖道舉和楊素娟教授進(jìn)行了網(wǎng)絡(luò)安全評(píng)估模型研究；還有很多其他研究人員在人為因素和管理等方面都做了大量的工作，提出了許多很好的安全評(píng)估方法。

    目前，有關(guān)信息系統(tǒng)的安全評(píng)價(jià)雖然存在著多種多樣的具體實(shí)踐方式，但在世界上還沒(méi)有形成系統(tǒng)化和形式化的評(píng)價(jià)理論和方法。評(píng)價(jià)模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué)，而評(píng)價(jià)方法基本上用層次分析法AHP(Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP將定性因素與定量參數(shù)結(jié)合，建立了安全評(píng)價(jià)體系，并運(yùn)用隸屬函數(shù)和隸屬度確定待評(píng)對(duì)象的安全狀況。上述各種安全評(píng)估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā)，如技術(shù)、管理、過(guò)程、人員等。著重于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范。在操作上主觀隨意性較強(qiáng)，其評(píng)估過(guò)程主要依靠測(cè)試者的技術(shù)水平和對(duì)網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評(píng)估框架，很多評(píng)估準(zhǔn)則和指標(biāo)沒(méi)有與被評(píng)價(jià)對(duì)象的實(shí)際運(yùn)行情況和信息安全保障的效果結(jié)合起來(lái)。

3系統(tǒng)化信息安全評(píng)估模型

    系統(tǒng)化信息安全評(píng)估是為確保實(shí)施長(zhǎng)效機(jī)制的信息安全保障工程，對(duì)信息安全保障建設(shè)過(guò)程進(jìn)行監(jiān)督和指導(dǎo)。其內(nèi)容包括：(1)涉及分布于整個(gè)信息安全保障工程生命周期中各個(gè)環(huán)節(jié)的工程活動(dòng)，包括概念定義、需求分析、設(shè)計(jì)、開(kāi)發(fā)、集成、安裝、運(yùn)行、維護(hù)及更新；(2)為信息安全產(chǎn)品開(kāi)發(fā)者、安全系統(tǒng)開(kāi)發(fā)者和集成者提供信息安全保障指導(dǎo)，以及提供信息安全服務(wù)和信息安全工程的組織；(3)適用于各種類(lèi)型和規(guī)模的信息安全保障工程組織，例如行業(yè)、商業(yè)、政府和研究機(jī)構(gòu)。

    3．1信息安全保障框架模型

    信息保障系統(tǒng)在結(jié)構(gòu)上具有分布式、層次化的特點(diǎn)，在功能上具有動(dòng)態(tài)、多樣化的特點(diǎn)�，F(xiàn)代信息保障體系包含戰(zhàn)略、管理、技術(shù)和工程體系3大要素；擁有預(yù)警、保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)和反擊6大能力。信息保障評(píng)價(jià)過(guò)程跨越了信息和信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄5個(gè)基本階段。因此，評(píng)價(jià)一個(gè)信息保障系統(tǒng)保障能力的大小，需要從不同的維度進(jìn)行度量，既要考慮現(xiàn)有的安全措施是否滿足抵御威脅的要求，又要考慮實(shí)際的運(yùn)行效果是否滿足設(shè)計(jì)要求。

    圖1信息保障框架模型

    依據(jù)上述對(duì)保障模型的分析，可以看出保障措施和保障效果的好壞存在因果關(guān)系，即保障措施是因，保障效果是果。保障措施越不力，保障效果就越差，發(fā)生安全事件的可能性就越大，反之也成立。但是安全事件的發(fā)生除了與保障措施設(shè)置不當(dāng)有關(guān)以外，在很大程度上受到偶然性的影響。因而，評(píng)價(jià)保障措施指標(biāo)從而預(yù)測(cè)保障效果和實(shí)際運(yùn)行效果之間存在一定程度的相關(guān)關(guān)系，它們從不同側(cè)面、不同階段反映了系統(tǒng)整體的安全保障水平，二者互為補(bǔ)充。這兩種指標(biāo)結(jié)合，既考查了系統(tǒng)在一定時(shí)期內(nèi)實(shí)際安全保障成績(jī)，又考查了系統(tǒng)要素及其組合中因措施不力而造成的安全隱患，避免了評(píng)價(jià)過(guò)程的片面性，能夠比較全面而客觀地反映信息保障的整體安全態(tài)勢(shì)。

    3．2基于狀態(tài)觀測(cè)器的信息安全綜合評(píng)價(jià)模型

    本文根據(jù)現(xiàn)代控制理論和狀態(tài)控制理論，在信息安全保障框架模型(見(jiàn)圖1)的基礎(chǔ)上，建立了一個(gè)基于狀態(tài)觀測(cè)器的信息保障綜合評(píng)價(jià)模型，如圖2所示。

    該模型具有2個(gè)反饋環(huán)路。通過(guò)狀態(tài)變量的計(jì)算。安全屬性值按照一定的反饋控制律反饋輸入端，也就是調(diào)整安全保障措施，使信息保障的保障能力動(dòng)態(tài)調(diào)整，不斷地適應(yīng)安全需求。具體到模型中，反饋控制的變量為保障措施，例如入侵檢測(cè)、傳輸加密和防火墻等。保障措施設(shè)置不當(dāng)，體現(xiàn)在某個(gè)保障措施的某個(gè)具體參數(shù)不適當(dāng)，例如加密算法的密鑰長(zhǎng)度、防火墻的過(guò)濾規(guī)則等。假如在整體保障能力中有某項(xiàng)安全屬性要求的情況下，依據(jù)子系統(tǒng)權(quán)重遞減的順序。先分析重要性最高的子系統(tǒng)。如果該子系統(tǒng)能滿足屬性需求，則考慮次重要子系統(tǒng)。否則，分析該子系統(tǒng)中的基礎(chǔ)指標(biāo)集合，同樣依據(jù)基礎(chǔ)指標(biāo)的權(quán)重，從最重要的基礎(chǔ)指標(biāo)的安全措施調(diào)整，調(diào)整力度為提高一個(gè)序化等級(jí)，然后再次進(jìn)行整體屬性計(jì)算，直到能夠滿足所有的安全屬性保障需求為止。

    圖2所示的信息保障評(píng)價(jià)模型，主要包含保障措施集合、保障效果集合、狀態(tài)觀測(cè)器、狀態(tài)反饋控制律、實(shí)際效果反饋等組成要素。

    圖2 基于狀態(tài)觀測(cè)器的信息保障綜合評(píng)價(jià)模型

    在控制理論中，狀態(tài)觀測(cè)又叫狀態(tài)重構(gòu)，其實(shí)質(zhì)就是對(duì)物理上無(wú)法直接觀測(cè)的狀態(tài)變量進(jìn)行估計(jì)的過(guò)程。在本文所設(shè)計(jì)的基于狀態(tài)觀測(cè)器的信息保障評(píng)價(jià)模型中，狀態(tài)變量選取的是信息安全屬性指標(biāo)，顯然這些指標(biāo)不具備物理可觀測(cè)性。因此必須構(gòu)造適當(dāng)?shù)臓顟B(tài)觀測(cè)器，對(duì)信息安全屬性進(jìn)行測(cè)算。

    在信息保障評(píng)價(jià)模型中，狀態(tài)觀測(cè)的過(guò)程就是通過(guò)對(duì)目標(biāo)保障系統(tǒng)建立適當(dāng)?shù)闹笜?biāo)體系，采集指標(biāo)，然后進(jìn)行信息安全屬性量化計(jì)算的過(guò)程。目前，對(duì)信息安全屬性的定義往往是敘述性的描述。若要對(duì)其進(jìn)行量化計(jì)算，就需要首先解決兩個(gè)問(wèn)題：一個(gè)是信息安全屬性的量化定義；一個(gè)是信息安全屬性的量化算法。在現(xiàn)代控制論中，狀態(tài)變量能夠完全反映系統(tǒng)的運(yùn)動(dòng)狀態(tài)。在信息保障評(píng)價(jià)模型中，狀態(tài)變量——信息安全屬性的計(jì)算結(jié)果，全面反映著信息保障體系的保障能力，是進(jìn)行信息保障評(píng)價(jià)的最終目標(biāo)之一。因此，狀態(tài)變量的計(jì)算或者說(shuō)狀態(tài)觀測(cè)器的設(shè)計(jì)就顯得尤為重要。

    如系統(tǒng)控制理論所說(shuō)，狀態(tài)反饋是將系統(tǒng)的每一個(gè)狀態(tài)變量乘以相應(yīng)的反饋系數(shù)，然后反饋到輸入端，參考輸入相加，形成控制律，作為受控系統(tǒng)的控制輸入。因此，反饋控制律的設(shè)計(jì)是反饋控制的核心。在本文設(shè)計(jì)的評(píng)價(jià)模型中，狀態(tài)反饋發(fā)生在信息安全按屬性計(jì)算之后，通過(guò)比較每一個(gè)信息安全屬性的計(jì)算結(jié)果和安全需求的差值來(lái)判斷反饋過(guò)程。如果發(fā)現(xiàn)某一個(gè)安全屬性的計(jì)算結(jié)果大于安全需求區(qū)間，則判定為該屬性過(guò)度保障，需要降低保障措施的保障級(jí)別。反之，如果小于安全需求區(qū)間，則判定為該屬性保障不足，需要提高保障措施的保障級(jí)別。

    信息安全是一個(gè)全面的概念，包含信息系統(tǒng)安全、信息安全和運(yùn)行安全3大層次的內(nèi)容。信息保障措施依據(jù)其保障對(duì)象也可以分為信息系統(tǒng)保障措施、信息安全保障措施和運(yùn)行安全保障措施3大類(lèi)。

    (1)信息系統(tǒng)保障措施保障的是信息系統(tǒng)的抗毀性、生存性和有效性，屬于物理安全。面臨的主要威脅是人為的或自然的物理破壞，例如地震、火災(zāi)、施工破壞、設(shè)備自然老化等。保障的目的是信息系統(tǒng)抵御物理破壞的能力或者物理破壞發(fā)生后的生存能力。主要的保障措施有重要設(shè)備訪問(wèn)控制、機(jī)房建筑防火抗震、通信線路合理布置和可靠供電系統(tǒng)等。

    (2)信息安全保障措施保障的是信息自身的機(jī)密性、完整性、真實(shí)性、可鑒別性和不可抵賴性。面臨的主要威脅是信息竊取、篡改、仿冒和抵賴等。威脅的表現(xiàn)形式有黑客攻擊、病毒、蠕蟲(chóng)和詐騙等。技術(shù)保障措施有身份認(rèn)證、防病毒體系、訪問(wèn)控制、加密技術(shù)、安全協(xié)議和安全操作系統(tǒng)等。

    (3)運(yùn)行保障措施保障的是系統(tǒng)運(yùn)行的可控性、可用性、可確認(rèn)性，保證系統(tǒng)在滿足服務(wù)需求的水平上穩(wěn)定運(yùn)行。主要面臨的威脅有非法控制系統(tǒng)、拒絕服務(wù)攻擊等。主要的技術(shù)保障措施有防火墻、入侵檢測(cè)系統(tǒng)、安全審計(jì)技術(shù)等。

    隨著信息保障技術(shù)的不斷發(fā)展，有一些保障技術(shù)設(shè)備擁有了多種保障能力。例如。有些防火墻設(shè)備集中了包過(guò)濾、防病毒、入侵檢測(cè)和加密傳輸?shù)榷喾N功能。因此，難以從物理形態(tài)上對(duì)這些保障措施進(jìn)行區(qū)分。所以，本文提出的信息保障評(píng)價(jià)模型輸入量的保障措施為邏輯上的概念，是一定的保障功能和技術(shù)參數(shù)的集合，并非指的是物理設(shè)備。例如，定義防火墻就是一種執(zhí)行網(wǎng)絡(luò)過(guò)濾功能的保障措施，其技術(shù)參數(shù)有并發(fā)連接數(shù)、網(wǎng)絡(luò)數(shù)據(jù)包處理速度、最大規(guī)則數(shù)、時(shí)延和包過(guò)濾算法等。

    為了實(shí)現(xiàn)對(duì)保障措施自適應(yīng)的反饋調(diào)整，需要對(duì)保障措施的保障能力進(jìn)行度量。度量參考的指標(biāo)就是每個(gè)保障措施自身的技術(shù)參數(shù)。度量方法可以采用序化度量的方式。

    序化度量的思想就是采用一系列值，這些值表明由大到小或由小到大的順序，并不是反映實(shí)際的大小或者實(shí)際的大小沒(méi)有意義。例如，加密技術(shù)中按照密鑰長(zhǎng)度進(jìn)行序化度量，可以分為128位、256位、1024位等幾個(gè)級(jí)別。這樣，當(dāng)保障措施需要調(diào)整時(shí)，可以按照需要按升序或降序調(diào)整保障措施的具體參數(shù)。

    就國(guó)家而言，保障的核心信息系統(tǒng)的重要性是有層次性和差異性的；就企事業(yè)單位而言，支撐其業(yè)務(wù)正常流轉(zhuǎn)的各類(lèi)信息、信息系統(tǒng)重要性也有差異。因此，構(gòu)建信息安全保障體系需要針對(duì)信息和信息系統(tǒng)面臨的威脅、信息的重要性、信息系統(tǒng)的重要性和系統(tǒng)遭到攻擊破壞后造成的危害程度等。依據(jù)國(guó)家制定的等級(jí)保護(hù)標(biāo)準(zhǔn)設(shè)定其保護(hù)等級(jí)，細(xì)化安全需求。只有通過(guò)科學(xué)分析，合理確定安全需求，才能真正實(shí)現(xiàn)科學(xué)合理的適度保障，既能避免保障不足造成的損失，又不會(huì)由于過(guò)度保障引起不必要的浪費(fèi)。安全需求的量化描述就是依據(jù)信息安全屬性的量化定義，各組織機(jī)構(gòu)依據(jù)實(shí)際需求，給出所有信息安全屬性的量化的需求底線。假設(shè)以概率方法定義信息安全屬性，以機(jī)密性為例是：信息在操作過(guò)程中不會(huì)被捕獲或捕獲不被解密的概率，此時(shí)某組織對(duì)信息保障機(jī)密性的要求為95％，其含義就是信息保障系統(tǒng)要保障重要信息不被捕獲或者捕獲之后不被破解的概率不能低于95％。

    在圖2所示的評(píng)價(jià)模型中，實(shí)際保障效果作為評(píng)價(jià)模型的輸出量而存在，說(shuō)明了保障措施和實(shí)際保障效果之間存在正相關(guān)性。簡(jiǎn)單來(lái)說(shuō)，就是保障措施設(shè)置越到位，在一定時(shí)期內(nèi)安全事件發(fā)生的次數(shù)就越少，安全事件造成的損失也越小。反之，如果實(shí)際保障效果不能滿足組織對(duì)信息保障的要求，也就說(shuō)明保障措施的設(shè)置存在缺陷，需要有針對(duì)性地調(diào)整。通過(guò)狀態(tài)觀測(cè)器測(cè)量的屬性結(jié)果是一種帶有預(yù)計(jì)性的保障能力評(píng)價(jià)，與實(shí)際的保障效果可能有偏差。因此，需要依據(jù)一定時(shí)期內(nèi)統(tǒng)計(jì)的實(shí)際保障效果，有針對(duì)性地調(diào)整保障措施。實(shí)際效果反饋的是一種“亡羊補(bǔ)牢”的思想，信息保障體系在實(shí)際運(yùn)行一定時(shí)期后，由于安全形勢(shì)發(fā)生了改變，或者出現(xiàn)新的安全威脅等原因，需要對(duì)保障體系進(jìn)行重新規(guī)劃和設(shè)計(jì)。

4系統(tǒng)化評(píng)估方法

    系統(tǒng)化的評(píng)估方法就是從戰(zhàn)略、管理、工程和技術(shù)4個(gè)方面對(duì)信息系統(tǒng)的信息安全進(jìn)行全面的評(píng)估。信息安全評(píng)價(jià)包括3個(gè)過(guò)程：靜態(tài)評(píng)估、動(dòng)態(tài)檢測(cè)和狀態(tài)監(jiān)控。本文提出的信息系統(tǒng)信息安全評(píng)價(jià)方法如圖3所示。

    圖3 信息系統(tǒng)信息安全評(píng)價(jià)方案

    為了解決模糊問(wèn)題，基于灰色理論中關(guān)聯(lián)空間和光滑離散函數(shù)等概念，定義灰導(dǎo)數(shù)和灰微分方程，用離散數(shù)據(jù)列建立微分方程型的動(dòng)態(tài)模型，即灰色模型GM(Grey Model)。它是本征系統(tǒng)的基本模型，而且模型非唯一。利用多級(jí)關(guān)聯(lián)度分析法GRA即可解決信息系統(tǒng)中多層次之間、同層次中各個(gè)因素之間的模糊關(guān)聯(lián)問(wèn)題。

    運(yùn)用圖3所示的評(píng)價(jià)方法進(jìn)行信息保障評(píng)價(jià)的具體流程如圖5所示。

    圖5信息保障評(píng)價(jià)模型工作流程

    信息保障評(píng)價(jià)模型工作流程需要經(jīng)過(guò)系統(tǒng)劃分、保障需求分析、保障措施識(shí)別、指標(biāo)體系建立、基礎(chǔ)指標(biāo)采集整理、信息安全屬性運(yùn)算和狀態(tài)反饋等幾個(gè)主要環(huán)節(jié)。其中，系統(tǒng)劃分、保障需求分析、保障措施識(shí)別是評(píng)價(jià)準(zhǔn)備階段，為信息安全屬性的計(jì)算提供基礎(chǔ)數(shù)據(jù)。

    結(jié)束語(yǔ)系統(tǒng)化信息安全評(píng)價(jià)的思想是為確定一個(gè)評(píng)價(jià)信息安全工程實(shí)施的綜合框架，提供評(píng)價(jià)度量與改善信息安全工程學(xué)科應(yīng)用情況的方法。系統(tǒng)化評(píng)價(jià)模型及其評(píng)價(jià)方法可達(dá)到的目的:(1)確定信息安全保障工程的保障能力和目標(biāo)，(2)完成信息安全保障工程的設(shè)計(jì)和建設(shè);(2)決定信息安全保障工程的投資決策;(3)建立信息安全保障工程的長(zhǎng)效機(jī)制。系統(tǒng)化信息安全評(píng)價(jià)的方法適用于所有形式的信息安全保障工程，涵蓋信息安全保障工程的3個(gè)方面:安全狀態(tài)改善、防護(hù)能力評(píng)估和保障效果評(píng)價(jià)。

    建立健全的信息系統(tǒng)的信息安全保障評(píng)估方法體系，是實(shí)施中國(guó)信息安全戰(zhàn)略的重要保證。借助信息安全保障評(píng)價(jià)體系對(duì)我國(guó)的重點(diǎn)信息系統(tǒng)和核心業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一分析和縱橫比較，將有助于對(duì)我國(guó)信息安全防御態(tài)勢(shì)做出量化的結(jié)論，為國(guó)家提供決策支持，對(duì)我國(guó)重點(diǎn)信息安全建設(shè)的規(guī)劃、信息安全建設(shè)的投人，乃至信息安全管理政策的制定、信息安全技術(shù)的研究與發(fā)展都具有重要意義。因此，建立健全的國(guó)家信息安全保障評(píng)價(jià)體系是一項(xiàng)帶有戰(zhàn)略意義的任務(wù)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：系統(tǒng)化的信息安全評(píng)估方法

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083952083.html