中国信息通信研究院 赵晓昕 徐春莹
信息技术设备安全运行风险评估系统研究与设计
中国信息通信研究院 赵晓昕 徐春莹
【摘要】信息技术设备可以承载自动化系统,保存、传输和共享系统资源,为人们工作、生活和学习提供方便,提高社会信息化水平。但在设备使用过程中,其面临着较多的黑客攻击、木马侵袭和病毒感染,因此亟需构建一个风险评估系统,以便能够实时地获取信息技术设备运行状态,判断设备是否存在危险,及时地进行防御和补救。
【关键词】信息技术设备;风险评估;层次分析;安全矩阵
随着互联网、数据库、多媒体等技术的快速发展,利用这些计算机技术已经在智能教育、金融通信、工业生产、军工研发、电子政务等领域开发了许多的自动化、分布式管理系统,提高了人们工作、生活和学习的便捷性。信息技术设备是承载自动化系统运行、保存处理信息数据的硬件资源,因此设备安全是保证系统可靠运行的重要前提[1]。但是,随着程序开发技术的提升,病毒、木马和黑客攻击手段越来越高超,给信息技术设备安全运行带来了很大的风险。因此,亟需采用先进的风险评估技术识别、量化分析设备面临的风险状况,评估威胁带来的影响,以便更好地制定安全防御策略,为计算机网络信息提供安全运行保障。
目前,信息技术设备安全运行风险评估方法主要分为定性分析、定量分析和混合分析三种,常用的方法包括事故树分析方法、专家分析方法、BP神经网络等[2]。
(1)事故树分析方法。事故树分析方法是一种演绎分析方法,其可以描述信息技术设备事故之间的逻辑关系,从中归纳、总结和发现事故发生的原因,识别最基本的风险元素,定性分析设备存在的漏洞。
(2)专家分析方法。专家分析方法可以邀请相关领域内经营丰富的专家、学者对信息技术设备进行查看,按照风险评估标准分析设备是否安全,也可以获取信息技术设备存在风险的部位和组成内容。
(3)BP神经网络分析法。BP神经网络是一种数据挖掘方法,其可以通过学习获取相关的风险关键特征,然后将待评估的信息技术设备状态数据输入到系统中,以自动化地分析设备风险,这种风险评估速度快,评估结果具有较高的准确度。
层次分析方法是一种量化的信息技术设备风险评估方法,系统按照模块划分为多个组成部分,每一个部分又可以细化为多个小设备,根据设备的隶属度关系将其划分为多个层次,这样就可以准确地分析颗粒度较小的设备风险,按照设备重要程度赋予不同的权值,然后将各个子设备的风险与权值相乘之后进行叠加、集成在一起,评估整个系统的风险[3]。信息技术设备风险层次评估步骤包括以下几个方面。
(1)构建一个递阶层次结构模型
构建递阶层次结构模型的主要作用是可以详细地分析一个实际问题,然后设计一个基于信息技术设备特征的风险指标评估体系。递阶层次结构模型包括措施层、准则层和目标层。目标层是设备风险评估最终目的,准则层是指设备风险评估需要遵守的原则,措施层是指设风险评估采用的具体措施,如图1所示。
图1 一递阶层次结构模型
(2)为每一个层次构建判断矩阵
判断矩阵可以比较和分析处于同一层次的设备重要性,重要程度采用Satty1-9级标度,如表1所示。
表1 Saaty1-9级判断矩阵的标度
利用设备组成的相关经验,比较各个子设备元素重要程度,并赋予不同的数值,构造一个判断矩阵A,如公式1所示。
其中,元素aij表示第i个因素和第j个因素的重要性之比,层次结构模型可以通过因素之间的比较,获取各个层次要素之间的判断矩阵值。
(3)针对各个层次进行排序,同时进行一致性检验
计算判断矩阵的主特征值和特征向量值,并且排序特征向量值,详细的计算过程如下:
归一化处理判断矩阵的每一列元素值,归一化计算公式如2所示。
接着,将已经归一化的判断矩阵按照行进行相加,计算公式如3所示。
然后将相加后得到的向量值再次进行归一化处理,其计算结果就是所求的特征向量,计算公式如4所示。
其中,(Aw)i表示向量Aw的第i个元素值。
判断矩阵构建过程涉及多个子设备整合计算过程,非常容易产生不一致性,存在类似于A>B>C>A的情况。因此,判断矩阵构建完毕之后需要进行一致性检验,一致性的检验指标CI计算公式如6所示:
Saaty在一致性检验时引入了平均随机一致性指标RI,并且规定了RI值,如表2所示。
表2 一致性检验指标RI规定值
如果判断矩阵的阶数小于3,规定判断矩阵具有一致性。如果矩阵阶数大于3,需要进一步修正一致性指标CR,计算公式如7所示。(7)
如果CR<0.1,表示判断矩阵具有一致性,是可以接受的,否则表示判断矩阵是错误的,需重新进行计算。
(4)判断矩阵构建完毕之后,可以根据层次符合原理,以及专家评估经营赋予不同设备权值,将权值向量与判断矩阵相乘就可以获取一个乘积,该乘积就是风险评估结果。风险评估结果越大,表示信息技术设备风险就越大,亟需进行修复,加强防御。
信息技术设备承载了不同的应用系统,其保存了系统程序和数据资源,因此安全性非常重要。传统的信息技术设备安全管理模式已经无法满足需求,因而可以引入风险评估技术构建一个主动防御系统,以进一步确保设备正常运行。
参考文献
[1]邓涛.构建信息系统风险评估,提升网络信息安全[J].信息技术与信息化,2015,11(3):40-41.
[2]王旭,张建业,苑嘉航,等.基于风险矩阵的电力公司信息安全风险评估[J].信息技术,2014,3(1):139-142.
[3]郭璇.信息系统安全风险评估方法和技术研究[J].电子技术与软件工程,2016,15(7):114-116.