信息技术设备安全运行风险评估系统研究与设计

中国信息通信研究院 赵晓昕 徐春莹



信息技术设备安全运行风险评估系统研究与设计

中国信息通信研究院 赵晓昕 徐春莹

【摘要】信息技术设备可以承载自动化系统，保存、传输和共享系统资源，为人们工作、生活和学习提供方便，提高社会信息化水平。但在设备使用过程中，其面临着较多的黑客攻击、木马侵袭和病毒感染，因此亟需构建一个风险评估系统，以便能够实时地获取信息技术设备运行状态，判断设备是否存在危险，及时地进行防御和补救。

【关键词】信息技术设备；风险评估；层次分析；安全矩阵

1.引言

随着互联网、数据库、多媒体等技术的快速发展，利用这些计算机技术已经在智能教育、金融通信、工业生产、军工研发、电子政务等领域开发了许多的自动化、分布式管理系统，提高了人们工作、生活和学习的便捷性。信息技术设备是承载自动化系统运行、保存处理信息数据的硬件资源，因此设备安全是保证系统可靠运行的重要前提［1］。但是，随着程序开发技术的提升，病毒、木马和黑客攻击手段越来越高超，给信息技术设备安全运行带来了很大的风险。因此，亟需采用先进的风险评估技术识别、量化分析设备面临的风险状况，评估威胁带来的影响，以便更好地制定安全防御策略，为计算机网络信息提供安全运行保障。

2.信息技术设备安全运行风险评估方法

目前，信息技术设备安全运行风险评估方法主要分为定性分析、定量分析和混合分析三种，常用的方法包括事故树分析方法、专家分析方法、BP神经网络等［2］。

（1）事故树分析方法。事故树分析方法是一种演绎分析方法，其可以描述信息技术设备事故之间的逻辑关系，从中归纳、总结和发现事故发生的原因，识别最基本的风险元素，定性分析设备存在的漏洞。

（2）专家分析方法。专家分析方法可以邀请相关领域内经营丰富的专家、学者对信息技术设备进行查看，按照风险评估标准分析设备是否安全，也可以获取信息技术设备存在风险的部位和组成内容。

（3）BP神经网络分析法。BP神经网络是一种数据挖掘方法，其可以通过学习获取相关的风险关键特征，然后将待评估的信息技术设备状态数据输入到系统中，以自动化地分析设备风险，这种风险评估速度快，评估结果具有较高的准确度。

3.基于层次的信息技术设备安全运行风险评估措施

层次分析方法是一种量化的信息技术设备风险评估方法，系统按照模块划分为多个组成部分，每一个部分又可以细化为多个小设备，根据设备的隶属度关系将其划分为多个层次，这样就可以准确地分析颗粒度较小的设备风险，按照设备重要程度赋予不同的权值，然后将各个子设备的风险与权值相乘之后进行叠加、集成在一起，评估整个系统的风险［3］。信息技术设备风险层次评估步骤包括以下几个方面。

（1）构建一个递阶层次结构模型

构建递阶层次结构模型的主要作用是可以详细地分析一个实际问题，然后设计一个基于信息技术设备特征的风险指标评估体系。递阶层次结构模型包括措施层、准则层和目标层。目标层是设备风险评估最终目的，准则层是指设备风险评估需要遵守的原则，措施层是指设风险评估采用的具体措施，如图1所示。

图1　一递阶层次结构模型

（2）为每一个层次构建判断矩阵

判断矩阵可以比较和分析处于同一层次的设备重要性，重要程度采用Satty1-9级标度，如表1所示。

表1　Saaty1-9级判断矩阵的标度

利用设备组成的相关经验，比较各个子设备元素重要程度，并赋予不同的数值，构造一个判断矩阵A，如公式1所示。

其中，元素aij表示第i个因素和第j个因素的重要性之比，层次结构模型可以通过因素之间的比较，获取各个层次要素之间的判断矩阵值。

（3）针对各个层次进行排序，同时进行一致性检验

计算判断矩阵的主特征值和特征向量值，并且排序特征向量值，详细的计算过程如下：

归一化处理判断矩阵的每一列元素值，归一化计算公式如2所示。

接着，将已经归一化的判断矩阵按照行进行相加，计算公式如3所示。

然后将相加后得到的向量值再次进行归一化处理，其计算结果就是所求的特征向量，计算公式如4所示。

其中，（Aw）i表示向量Aw的第i个元素值。

判断矩阵构建过程涉及多个子设备整合计算过程，非常容易产生不一致性，存在类似于A＞B＞C＞A的情况。因此，判断矩阵构建完毕之后需要进行一致性检验，一致性的检验指标CI计算公式如6所示：

Saaty在一致性检验时引入了平均随机一致性指标RI，并且规定了RI值，如表2所示。

表2　一致性检验指标RI规定值

如果判断矩阵的阶数小于3，规定判断矩阵具有一致性。如果矩阵阶数大于3，需要进一步修正一致性指标CR，计算公式如7所示。（7）

如果CR＜0.1，表示判断矩阵具有一致性，是可以接受的，否则表示判断矩阵是错误的，需重新进行计算。

（4）判断矩阵构建完毕之后，可以根据层次符合原理，以及专家评估经营赋予不同设备权值，将权值向量与判断矩阵相乘就可以获取一个乘积，该乘积就是风险评估结果。风险评估结果越大，表示信息技术设备风险就越大，亟需进行修复，加强防御。

4.结束语

信息技术设备承载了不同的应用系统，其保存了系统程序和数据资源，因此安全性非常重要。传统的信息技术设备安全管理模式已经无法满足需求，因而可以引入风险评估技术构建一个主动防御系统，以进一步确保设备正常运行。

参考文献

［1］邓涛.构建信息系统风险评估，提升网络信息安全［J］.信息技术与信息化，2015，11（3）：40-41.

［2］王旭，张建业，苑嘉航，等.基于风险矩阵的电力公司信息安全风险评估［J］.信息技术，2014，3（1）：139-142.

［3］郭璇.信息系统安全风险评估方法和技术研究［J］.电子技术与软件工程，2016，15（7）：114-116.