基于模糊评估的等级保护风险评估模型

刘一丹，董碧丹，崔中杰，李永立，2

(1.中国航天工程咨询中心，北京100037;2.哈尔滨工业大学管理学院，黑龙江哈尔滨150001)

0 引言

信息系统风险评估是信息系统安全工程的重要组成部分，是建立信息系统安全体系的基础和前提［1］。信息安全风险评估规范［2］中明确了信息系统风险评估的基本工作形式是自评估与检查评估。根据国家有关管理规定，基础性、重要的信息系统采用等级保护标准进行防护和测评。信息系统使用单位应结合自身情况，依照国家标准，开展风险评估工作。

目前，信息系统的复杂性和动态性给风险评估带来了很大困难，评估工作多是由专家根据定性的评价指标进行评估。因此，最终的评估结果易受主观因素的影响，具有模糊性和不确定性。学术界已有一些针对网络风险评估中不确定性问题的研究:Fu等运用层次分析法 (AHP)和模糊综合评价法 (FCE)，建立风险评估的量化模式［3］;Huang等以灰色评估模型为基础，在权重的选择过程中引入模糊层次分析法，弱化了评价的主观性［4］;Gao等人应用灰色关联决策算法，给出了评估值缺失的先验估计，能够有效地处理参数评估值的不确定性问题［5］;Huang等人利用不确定推理技术推导由脆弱性可能引发的系统安全事件并计算损失大小和风险值［6］。

证据理论作为对贝叶斯概率方法的推广，是一种重要的不确定性推理方法，能够较好地解决目标问题中的模糊性和不确定性［7-12］。已有的相关工作存在以下问题:一方面，没有规范的评估体系和恰当的评价准则;另一方面，缺少对评估中模糊值的处理。本文建立了基于等级保护标准的层次化评估体系，将等级保护和风险评估有机地结合在一起;提出了以证据理论为基础的模糊风险评估模型，增加了对模糊值的处理，使其能够更广泛地应用于信息系统风险评估中。

1 基于等级保护的层次化评估体系

信息系统风险评估是对系统中存在的安全风险进行识别、分析和评价。鉴于信息系统的复杂性，需要将风险因素按照规律和特点进行分类识别。本文依据我国《信息系统安全等级保护基本要求》［13］提取出其中主要的风险因素并分为目标层、准则层和指标层三层。各层的内容如下:

(1)目标层为风险评估的目标，即保障信息系统安全;

(2)准则层为信息的三个安全属性，即保密性、完整性和可用性［2］;

(3)指标层分为两级，第一级是等级保护要求中定义的系统安全的十个类别，由五个技术要求，五个管理要求构成;第二层是各类别包含的主要风险因素。

风险评估层次化结构体系如图1所示，限于篇幅原因，指标层中只列出了技术部分的风险因素。

图1 基于等级保护的层次化评估体系

2 基于证据理论的模糊评估方法

2.1 证据理论［14］

D-S证据理论是由Dempster和Shafer提出的一种处理不确定性的理论，能满足比概率更弱的公理系统。该理论通过证据的积累不断缩小假设集，能够处理由随机和模糊导致的不确定性。本文对证据理论的相关函数定义如下:

定义2 信度函数Bel和似然函数Pls:设Θ为识别框架，m为识别框架Θ上的基本可信度分配函数，若函数Bel:2Θ→［0，1］和 Pls:2Θ→［0，1］满足

则称函数Bel为Θ上的信度函数，函数Pls为Θ上的似然函数。Bel(A)表示对A为真的信任程度，Pls(A)表示对A为非假的信任程度。由此可得，区间 ［Bel(A)，Pls(A)］表示A的不确定区间，|Pls(A)-Bel(A)|表示对A的不确定程度。

定义3 D-S合成法则:设mi∈{mi|1 i n}为同一识别框架Θ上的n个基本可信度分配，若K =则可按照下述规则合成这n个信度

2.2 权重系数与合成法则修正

由于各风险因素对系统安全有不同的影响，因此风险因素的重要程度由相应的权重系数体现，定义权重向量且满足:

通过关联权重向量，得到修正的D-S合成法则。设wmax=max(w1，w2，…wn)，令1 － αi=wi/wmax，则称 αi为 wi的“折扣率”。利用“折扣率”，可按下述方法调整识别框架内所有命题的基本可信度:

将调整后的基本可信度值 mi＇(Ak)，mi＇(Θ)代入式(3)，形成修正后的D-S合成法则［8］。

2.3 模糊评语集合

评语集合是对信息系统中各种风险因素可能作出的评价集合，在证据理论中被视为识别框架。本文依据信息安全风险评估规范［2］把度量等级分为5个等级，设S为评语集合，S={s1(很低风险)，s2(低风险)，s3(中等风险)，s4(高风险)，s5(很高风险)}。

在实际风险评估中，由于评估者对问题认识的模糊性和局限性，给出的评估信息会有不精确、不完整的情况，可能会出现以下3种情况:

(1)V=si:评估值为精确值，表示评估者确定评估值对应于某一风险等级;

(2)V=*:评估值为缺失值，表示评估者无法确定评估值，利用证据理论计算时，可将缺失值视为对各风险等级具有相同的信任度，即信任整个识别框架S;

(3)V=［si，sj］，i＜ j:评估值为模糊值，表示评估者无法精确确定评估值，认为其值介于等级si和sj的区间中，鉴于评估区间一般不会跨越多个等级，令j=i+1。

本文将模糊性引入评语集合S，保持原有si定义不变，定义S*如下

2.4 基于模糊评估的等级保护风险评估模型

以证据理论为模糊评估方法，建立基于模糊评估的等级保护风险评估模型R={X，W，W*，S*，M}。

X={Xi|1 i n}，Xi对应于图1中指标层里十个系统风险类别，本文选取技术部分的五类安全事件进行评估，即n=5。Xi={xij|1 j lXi}，xij为Xi包含的风险因素，lXi为xij的个数，图1中列出了本文使用的所有风险因素。

风险类别权重向量 W=(w1，w2，…，wn)，wi为 Xi的权重;风险因素权重矩阵W*={wij|1 i n，1 j lXi}，wij为xij的权重。

S*为模糊评语集合，引用2.3节式 (6)中定义。

M为评估矩阵:mij(sk)表示风险因素xij处于风险等级sk的基本可信度，由评估者赋值;mij＇(sk)为调整后xij处于风险等级sk的基本可信度，由mij(sk)通过折扣率计算得出;mi＇(sk)表示风险类别xi处于风险等级sk的基本可信度，由 mij＇(sk)经 D-S 合成法则合成得到;mi＇(sk)为调整后 xi处于风险等级sk的基本可信度，由mi＇(sk)通过折扣率计算得出;最终，可求得信息系统处于风险等级sk的基本可信度m(sk)，通过计算信度函数和似然函数，得到评估结果。

3 实证研究

本文给出一个信息系统风险评估的实例，运用证据理论量化评估并对等级保护标准框架下的系统安全状况进行判断。

步骤1 分别确定风险类别Xi和风险因素xij，由层次分析法得到权重W和W*。建立评估矩阵M，由专家评判基本可信度mij(sk)。

步骤2 对于每一类风险类别，确定关键因素wmax，得到折扣率，代入式 (4)和式 (5)计算调整后的基本可信度 mij＇(sk)。

表1为经步骤1和步骤2计算得到完整的评估矩阵M。不难发现，专家的评判结果既有精确值 (表中si列所示)，也有缺失值 (表中［si，si+1］列所示)和模糊值 (表中S*列所示)，具有很大的不确定性;而经步骤2后，表中S*列增大说明，利用式 (4)和式 (5)可以使证据间的冲突归于识别框架内的不确定性［10］。

步骤3 利用式 (3)对各Xi内的mij＇(sk)进行证据合成，得到mi＇(sk)，重复步骤2，计算调整后的基本可信度mi＇(sk)，如表2 所示。同理，继续利用式 (3) 对 mi＇(sk)进行证据合成，得到信息系统处于风险等级sk的基本可信度m(sk)，表3为合成结果。

步骤4 由表3中的结果，根据式 (1)、式 (2)计算信息系统处于不同风险等级的信任度和似然度，得到评估结果，如表4所示。

由表2、表3可以看出，权重较高、可信度较高、专家普遍支持的评语等级 (风险等级)经合成后可信度变得更高，而权重较低、可信度较低、专家意见分歧较大的评语等级经合成后可信度更低;评估中存在的模糊性和不确定性亦随着合成进行，逐渐降低至可接受范围内。由表4可得，该信息系统处于风险等级s3(中等风险)的信任度为0.762，远远高于其它等级，不确定度为0.001，因此可以判定该信息系统处于中等风险。

表1 评估矩阵M

表2 风险因素合成后的评估矩阵M

表3 风险类别合成后的评估矩阵M

表4 评估结果

4 结束语

本文针对信息系统风险评估易受主观因素的影响，存在模糊性和不确定性等问题，提出了一个新的风险评估模型。通过建立基于等级保护的层次化评估体系，并运用基于证据理论的模糊评估方法处理评估中存在的模糊值，最终量化评估结果。实证结果表明，该模型能够减小风险评估中的模糊性和不确定性，可以较好地解决信息系统风险评估的实际困难和问题。不过，完整的信息系统风险评估是对资产、脆弱性和威胁的整体评价，下一步应考虑细化评估体系。

［1］FENG Dengguo，ZHANG Yang，ZHANG Yuqing.Survey of information security risk assessment［J］.Journal on Communications，2004，25(7):10-18(in Chinese).［冯登国，张阳，张玉清.信息安全风险评估综述 ［J］.通信学报，2004，25(7):10-18.］

［2］GB/T 20984-2007 Information security technology-Risk assessment specification for information security［S］.Beijing:Stan-dards Press of China，2007(in Chinese).［GB/T 20984-2007信息安全技术 信息安全风险评估规范 ［S］.北京:中国标准出版社，2007.］

［3］FU S，ZHOU H J.The information security risk assessment based on AHP and fuzzy comprehensive evaluation［C］//International Conference on Risk Management ＆ Engineering Management.Beijing:IEEE，2008:404-409.

［4］HUANG Jianxiong，DING Jianli.Evaluation model for information system risk based on fuzzy analysis［J］.Computer Engineering and Design，2012，33(4):1285-1289(in Chinese).［黄剑雄，丁建立.基于模糊分析的信息系统风险灰色评估模型［J］.计算机工程与设计，2012，33(4):1285-1289.］

［5］GAO Yang，LUO Junzhou.Information security risk assessment based on grey relational decision-making algorithm ［J］.Journal of Southeast University:Natural Science Edition，2009，39(2):225-229(in Chinese).［高阳，罗军舟.基于灰色关联决策算法的信息安全风险评估方法 ［J］.东南大学学报 (自然科学版)，2009，39(2):225-229.］

［6］HUANG Hong，LIU Zengliang，YU Datai.A new uncertainty evolution inference model for classified evaluation of information system［J］.Transactions of Beijing Institute of Technology，2010，30(5):537-542(in Chinese).［黄洪，刘增良，余达太.一种新的系统等级测评不确定性演化推理模型［J］.北京理工大学学报，2010，30(5):537-542.］

［7］HUA Z，GONG B，XU X.A DS-AHP approach for multi-attribute decision making problem with incomplete information［J］.Expert Systems with Applications，2008，34(3):2221-2227.

［8］ZHANG X L，ZHANGX.Research on e-government security risk assessment based on improved D-Sevidence theory and entropy weight AHP ［C］//International Conference on Computer，Mechatronics，Control and Electronic Engineering.Changchun:IEEE，2010:93-96.

［9］LIU Jia，XU Guoai，GAO Yang，et al.The algorithm of power system security detection comprehensive decision based on dempster-shafer theory improved combination rule［J］.Transactions of China Electrotechnical Society，2011，26(7):247-255(in Chinese).［刘嘉，徐国爱，高洋，等.基于证据理论改进合成法则的电力系统安全检验综合判定算法 ［J］.电工技术学报，2011，26(7):247-255.］

［10］GAO Huisheng，ZHU Jing.Security risk assessment model of network based on D-S evidence theory［J］.Computer Engineering and Applications，2008，44(6):157-159(in Chinese).［高会生，朱静.基于D-S证据理论的网络安全风险评估模型［J］.计算机工程与应用，2008，44(6):157-159.］

［11］LI Yibing， ZHANG Zongzhi， GAO Zhenguo.Improved DS evidence theory application in cooperative spectrum sensing ［J］.Computer Engineering and Design，2011，32(10):3292-3295(in Chinese).［李一兵，张宗志，高振国.改进的证据理论在合作频谱感知中的应用 ［J］.计算机工程与设计，2011，32(10):3292-3295.］

［12］FENG N，XIE J.A hybrid approach of evidence theory and rough sets for ISS risk assessment［J］.Journal of Networks，2012，7(2):337-343.

［13］GB/T 22239-2008 Information security technology-baseline for classified protection of information system ［S］.Beijing:Standards Press of China，2008(in Chinese).［GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求［S］.北京:中国标准出版社，2008.］

［14］DUAN Xinsheng.Evidence theory and decision-making，artificial intelligence［M］.Beijing:China Renmin University Press，1993:14-64(in Chinese).［段新生.证据理论与决策、人工智能［M］.北京:中国人民大学出版社，1993:14-64.］