基于改进AHP的信息安全风险评估

（河北工程大学 信息与电气工程学院，邯郸 056038）

随着信息科技的发展，信息系统在人们的生活、学习、工作中占据了重要的地位，保障信息系统安全是新形势下必须要正视的重要问题。而针对信息系统中的风险评估方法有多种，大致可以分为定性、定量以及定性与定量相结合的风险评估方法。针对目前较为复杂的信息系统，定性与定量相结合的信息安全风险评估方法融合了前2种方法的优点，得到了广泛的应用。而在定性与定量结合的信息安全风险评估方法中，由美国Pittsburgh大学Satty教授提出的层次化分析法AHP（analytic hierarchy process）是最常用的信息安全风险评估方法。

文献[1-3]中借助AHP在风险评估中的优势，对问题进行层层分解剖析，将各层因素按权重大小进行排序，可以轻易地找到风险大的因素，但是在权重计算的过程中，往往根据人们对系统的认识进行赋值，参杂了过多的主观人为因素，而判断矩阵具有一致性的特性是AHP进行应用的重要前提条件，但在风险评估过程中，对模糊问题进行量化时产生的偏差导致所建立的判断矩阵不具有一致性特点；文献[4]中通过两两评判机制构建专家判断矩阵，但是由于各个专家本身知识、技能、偏好不同，会导致判断矩阵的一致性各不相同，必须通过计算CI值来判断矩阵一致性，如果不成立，则需重新构建判断矩阵，从而使得由判断矩阵得出的权重结果的准确性有待进一步验证；文献[5]中将AHP与模糊综合评价相结合得出信息系统总的风险等级，但模糊综合评判过程中模糊算子采用Zadeh算子，评估结果由权重值最大的因素决定，忽略了其他风险因素的影响。

针对上述问题，本文对AHP中判断矩阵的构造、一致性检验、风险等级的确立3大问题进行改进，主要过程如图1所示。改进后的方法以识别和确定风险因素权重为核心，依据信息安全风险评估流程，结合信息安全风险评估规范，以降低风险评估主观性为目的，对信息系统进行定量与定性分析，识别、分析引发安全故障的因素，确定故障因素优先级，为采取应对措施提供依据和决策。

图1 改进AHP方法过程Fig.1 Process diagram of improved AHP method

1 判断矩阵的构造

AHP指标层中各因素的权重同FTA（fault tree analysis）中基本事件对顶上事件的影响程度意义上相同，故在AHP判断矩阵中引入FTA中基本事件的结构重要度，利用各基本事件的结构重要度，定量地计算出指标层中各元素对目标层的组合权重。其步骤如下：

1）系统分解，构建层次结构模型

根据风险评估流程和风险评估规范，对风险因素进行识别，通常情况下将风险因素分为3组，即R=｛R1，R2，R3｝。 其中 R1表示资产识别，R2表示威胁识别，R3表示脆弱性识别，三者共同作为层次机构的准则层，针对每个Xi都有n个风险因素，可以表示成 Ri=｛Ri1，Ri2，…，Rin｝，作为层次结构的指标层，这样就将安全风险因素分为多层次结构，构成层次结构模型。文中针对数据服务器库系统分析的层次结构模型如图2所示。

图2 数据库系统层次结构模型Fig.2 Hierarchical structure model of database system

2）引入FTA结构重要度，构造判断矩阵

根据层次结构模型，对风险因素进行逻辑分析，建立故障树，求出故障树中的最小径集，根据式（1）计算基本事件的结构重要度。

式中：k为最小径集数目；m为包含基本事件Xi的最小径集数；Nj为基本事件Xi所属的第j个最小径集中基本事件的数目。

根据建立的层次结构，确立准则层对于目标层的判断矩阵 An×n，如式（2）所示。其中判断矩阵中的元素是由该准则层相对应的指标层元素的结构重要度之和与另一个同类元素之比。

2 一致性检验

判断矩阵具有一致性是AHP各层风险因素权重计算准确性和科学性的重要保证，而经典的AHP往往需要计算CI值，通过比较CI值来保证判断矩阵的一致性。此处将通过FTA结构重要度计算出来的判断矩阵进行模糊一致化转化，使判断矩阵具有完全一致性。

2.1 判断矩阵模糊化

通常情况下，判断矩阵An×n不具有完全一致性或弱一致性，根据式（3）将An×n做如下变化修正为其满足完全一致性的条件为 rijrjkrki=rjirkjrik，则具有完全一致性。

2.2 合成权重的计算

权重的量化值直接影响着最终的评估结果，基于模糊一致判断矩阵的权重计算方法很多，采用式（4）计算权重，既能满足科学合理性、可行性，又具有高分辨率，文献[6-7]已证明，此处不再详述。

由指标层因素对准则层元素建立判断矩阵，指标层因素对于每个准则层因素的判断矩阵依次为A1，A2，…，An，其中 n 为准则层因素个数，通过计算An×n的步骤得出每个判断矩阵Ai的权重，通过A和Ai的权重，可以确定每个风险因素的合成权重。

3 确立风险等级

AHP本身的缺陷是无法估算出整个系统的风险等级，鉴于模糊综合评价法的优势，结合新的模糊算子，求出系统的风险等级。

3.1 建立评判指标集

根据信息安全风险评估规范和有关规定[8]，为了实现对风险的控制和管理，对风险评估的结果进行等级化处理，等级越高，风险越高，将评判指标分为5 级，依次为 E=｛很低 VL、低 L、中 M、高 H、很高VH｝。采用隶属度函数表示风险因素对不同评判指标的隶属度。此处采用高斯隶属函数反映正态分布特性，因此定义不同评语对应的隶属函数为

最后，根据指标风险因素对准则层风险因素的影响程度，结合其相应的量化值，构造出准则层的隶属度矩阵R为

3.2 确定风险等级

由于风险评估指标过多，为了提高评估的准确性，分别对准则层和目标层进行2级综合评判。

3.2.1 一级模糊综合评判

确定准则层因素权重和其对应的模糊隶属度矩阵后，准则层对应的风险因素的权重为Wi，其中i为准则层因素个数，与其相对应的隶属度矩阵为Ri，于是得到相应的模糊评价矩阵Di，其中Di=Wi⊙Ri，⊙为模糊算子，其逻辑表达式如式（7）所示，此处通过改进模糊算子，既突出了权值较大的因素，又保证对所有权重不一因素的均衡兼顾。

3.2.2 二级模糊综合评判

目标层因素的权重向量为 W=（w1，w2，w3），从而构造二级综合评判矩阵为

继而得出目标层因素的二级模糊综合评价矩阵 S，其中 S=W⊙E＝（s1，s2，…，sn），根据最大隶属原则，得出风险等级。

4 实例分析

为了验证改进后AHP方法的正确性以及其在信息安全风险评估领域中的优势，对图1进行分析，将信息安全事故发生作为故障树的顶上事件G，分别对数据库系统和数据库硬件及通信设备发生故障进行层层分析，运用逻辑推理，逐步找出导致顶上事件发生的所有基本事件。其中T1～T6依次为数据库系统、数据库管理系统、服务器操作系统、数据库操作出错、硬件意外发生故障、通信设备出错，故障树结构如图3所示。

图3 故障树结构Fig.3 Structure of fault tree

4.1 数据计算

计算该数据库系统的风险等级的具体步骤如下：

步骤1根据式（1）计算出基本事件的结构重要度，依次为 11/112、13/160、9/80、15/224；

步骤2由图2的层次结构模型根据式（2）可以计算出准则层的判断矩阵A和指标层的判断矩阵 A1～A3；

步骤3由A和A1～A3根据式（3）对其进行模糊一致化处理，得到模糊一致矩阵

步骤4根据式（4），对模糊一致判断矩阵求权重，依次为 W=（0.2762 0.3452 0.3786）、W1=（0.3469 0.3176 0.3176）、W2=（0.2759 0.2979 0.2131 0.2131）、W3=（0.2284 0.2049 0.2049 0.1809 0.1809）；

步骤5由式（5）和式（6）确定这一因素所属级别的隶属度，并且根据式（6）来确立隶属矩阵R1、R2和R3；

步骤6由一级模糊综合评判，可以得到每个风险因素的评价结果，其中D1、D2、D3依次为D1＝（0.1532 0.3129 0.1443 0.0851 0.0238）、D2＝（0.1669 0.2958 0.1282 0.0755 0.0136）、D3＝（0.1654 0.1965 0.1946 0.0807 0.0319）；

步骤7进一步得到总的评价矩阵E，进而得到总的模糊评判结果D。

4.2 结果分析

计算出来的各风险因素的组合权重关系如图4所示，通过该图可以直观地找出影响该信息系统安全的主要因素为x5，与传统的AHP相比较，可以将权重大小划分的更为精细。

图4 风险因素权重示意Fig.4 Weight of risk factors

计算结果中D的最大值为0.2629，为风险评价等级的第2级，根据最大隶属原则，该信息系统的风险等级为低。

5 结语

文中通过对AHP进行改进，将结构重要度、模糊一致矩阵、新的模糊算子引入到该方法中，避免了判断矩阵人为的赋值和矩阵一致性的检验，大大增加了可信度。通过对模糊算子的改进，既对所有风险因素统筹兼顾，又突出了影响风险评估等级的主要因素。通过实例证明该方法可以评估全部风险要素的风险级别和整个信息系统的安全风险等级，为管理者制定安全决策提供了科学有效的依据。

[1]Zou Q，Zhou J，Zhou C，et al.Comprehensive flood risk assessment based on set pair analysis-variable fuzzy sets model and fuzzy AHP[J].Stochastic Environmental Research and Risk Assessment，2013，27（2）：525-546.

[2]Fu S，Zhou H.The information security risk assessment based on AHP and fuzzy comprehensive evaluation[C]//Communication Software and Networks（ICCSN），2011 IEEE 3rd International Conference on IEEE，2011：124-128.

[3]Tan Z，Li P.Group decision-making information security risk assessment based on AHP and information entropy[J].Research Journal of Applied Sciences Engineering&Technology，2012，4（15）：2361-2366.

[4]葛海慧，郑世慧，陈天平，等.信息安全威胁场景模糊风险评估方法[J].北京邮电大学学报，2013，36（6）：89-92.

[5]肖龙，戚湧，李千目.基于AHP和模糊综合评判的信息安全风险评估[J].计算机工程与应用，2009，45（22）：82-85.

[6]和媛媛，巩在武.模糊判断矩阵最优化排序方法研究综述[J].统计与决策，2011（7）：165-168.

[7]樊治平，姜艳萍，肖四汉.模糊判断矩阵的一致性及其性质[J].控制与决策，2001，16（1）：69-71.

[8]中华人民共和国国家标准.GB/T 209874-2007信息安全技术信息安全风险评估规范[S].北京：国家标准出版社，2007.