信息系統可控性評價探討

宋志悅 楊濤 吳宇

摘 要：在信息時代信息系統的安全性至關重要，而信息系統是否安全主要取決于系統可控性高低。信息系統的可控性是需要進行評價的，從而判斷系統安全性。本文針對評價指標進行了歸納，并建立了信息系統可控性評價體系，希望能夠為相關專業人士提供參考。

關鍵詞：信息系統;可控性;評價;指標

1 引言

對于當今的任何一個國家而言，信息安全保障能力是其國力中的一個重要組成部分，所以信息安全核心關鍵技術是否能夠實現自主可控會直接決定到國家信息產業的未來發展。因此信息系統的可控性對于信息系統而言極為重要。針對信息系統可控性評價指標進行研究，能夠使得系統安全可控程度得到大幅度提升，為此本文針對信息系統可控性評價進行了探討。

2 信息系統可控性概念

通常情況下信息系統可控性所指的是這個信息系統主體可以實現內部結構的維持或者是調整，可以顯性或者是隱性的對其運行狀態以及功能特性進行維持或者是調整，從而可以實現對這個系統所作用的其他系統狀態的維持或者是改變。對于一個信息系統而言，可控性要求這個信息系統主體可以對系統的整個狀態進行掌控，同時主體可以根據自己的意愿對運行狀態進行更改。目前信息系統的可控性主要分為三個部分，分別是安全性、自主性以及穩定性。

3 信息系統可控性評價指標

目前信息系統可控性評價指標主要分為四類，分別是軟件類、硬件類、管理類和其他類，評價指標一共有51個。

3.1硬件類可控性評價指標

對于硬件可控性而言，其一般是針對信息系統所對應的硬件部分進行評估，主要包括設備搭建指標、生產技術和專利指標、參數配置指標、設備搭建指標、硬件運行負荷指標、硬件數據監測指標、硬件閾值控制指標、硬件操作攔截指標、硬件干擾指標、誤差損耗累積指標以及連續穩定工作時間指標。

3.2軟件類可控性評價指標

對于軟件可控性而言，其一般是針對信息系統所對應的軟件部分進行評估，主要包括代碼變更控制指標、代碼編寫指標、軟件環境搭建指標、代碼審計指標、邏輯炸彈指標、參數配置指標、軟件操作攔截指標、遠程控制后門指標、數據傳輸安全指標、軟件數據監控指標、用戶輸入驗證指標、軟件數據保護指標、配置錯誤指標、誘導操作指標、內存崩潰指標、邏輯錯誤指標以及設計錯誤指標。

3.3管理類可控性評價指標

對于信息系統而言，一般還會有人來進行管控，包括管理工作、使用工作以及維護工作。所謂的管理可控性所指的就是針對于信息系統所對應的管理者進行的一個評估。主要包括人員離職指標、人員錄用指標、人員調動指標、人員培訓指標、責任規范指標、人員來訪指標、人員操作安全指標、工作時間指標、物理訪問控制指標、人員考核與審查指標、網絡控制指標、自然環境控制指標、設備更新指標、軟件變更控制指標、監督與檢查指標、定期維護指標、備份與恢復指標、身份認證權限控制指標以及系統暫停指標。

3.4其他類可控性評價指標

除了上述的可控性評價指標，剩下的都是其他類可控性評價指標，主要包括自然災害指標、入侵檢測病毒防治指標、通信鏈路抗干擾指標以及安全審計指標。

4 信息系統可控性評價體系

在本文中為了能夠針對信息系統實施可控性評價，根據評價指標進行了評價體系的建立。下面開始對上述51個評價指標進行分類。

4.1軟硬件可控性指標的劃分

其中硬件可控性指標以及軟件可控性指標都是按照自主性以及脆弱性來實施類別劃分的。

所謂的自主性所指的是信息系統里面所采用的每一種技術都完全可以受到主體的掌控。因此對于自主性而言，要求能夠對系統的源代碼以及生產技術進行全部掌握，同時還要掌控系統的運行流程、整體結構以及參數配置，從而完成系統的自主可控。

而對于脆弱性而言，其所指的是系統進行開發以及運行時，因為存在著開發者的疏忽或者是操作者的使用不當，對系統所造成的影響。其中分為穩定脆弱性以及安全脆弱性，穩定脆弱性所指的是系統具有一定的漏洞，造成系統出現固定或者是非固定行為的異常工作;安全脆弱性所指的是系統具有一定的漏洞，造成外界人員的攻擊，使得系統異常工作。

4.2管理類可控性指標的劃分

對于管理類指標而言，這里分為兩類，分別是管理模式可控性以及人員可控性。

其中管理模式可控性所指的是對信息信息的各項制度規范是否合理進行管理。通過有效的管理模式可以使得系統可靠性得到增強，并系統維護率也會降低。但是如果管理模式不合理，那么不可控隱患就會加劇，因此就會降低效率。

對于人員可控性而言，其所指的是主體能否管控系統相關人員。系統是通過人員操作來實現功能的，如果人員不可控，那么系統可控性也會難以保障。

4.3信息系統可控性的評價

針對指標進行類別劃分，然后根據指標權值就能夠得出每一類指標的數值，從而判斷系統是否能夠達到相應的可控性要求。

5 結語

影響系統可控性的指標有很多，所以對可控性的評價是非常復雜的，而通過指標的分類以及評價體系的建立就能夠簡化評價流程，對信息系統可控性評價研究具有重要意義。

參考文獻

[1]薛正，馬婷婷，于洋.基于多目標決策的信息安全風險評估方法研究[J].科技資訊，2019，17（02）：1-3.

[2]呂耀懷.大數據時代信息安全的倫理考量[J].道德與文明，2019（04）：84-92.

（作者單位：武警警官學院）