模糊综合评判在信息系统安全风险评估中的应用*

张　洋

(海军军务信息中心　北京　100841)



模糊综合评判在信息系统安全风险评估中的应用*

张洋

(海军军务信息中心北京100841)

为了提高信息系统安全风险评估的科学性和有效性，提出了基于模糊综合评判的安全风险评估方法。该方法将模糊数学理论与风险评估理论相结合，通过对专家的风险分析进行量化，构建模糊评判矩阵，运用层次分析法确定各层次风险指标的权重系数，最后采用模糊综合评判对系统的风险等级进行量化，给出风险评估结果。结合某办公自动化系统的风险评估实例，验证了该方法的有效性和可靠性。

模糊综合评判; 层次分析法; 信息系统; 安全风险评估

Class NumberTP309

1　引言

随着以计算机和网络为代表的信息技术的迅猛发展，现代政府部门、金融机构、企事业单位和商业组织对各类信息系统的依赖日益加深，信息系统的安全性越来越重要，如何有效防止信息系统灾难性事件的发生，增强其安全性，同时合理地利用资源获得最大的社会和经济效益，这是我们面临的重大课题。针对信息系统的安全问题，传统的事后的、局部的、少数人负责的、突击式的信息系统安全管理方式已经不能适应信息系统安全发展的时代要求[1]。信息系统安全问题涉及到政策法规、管理、标准、技术等方方面面，任何单一层次上的安全措施都不可能提供真正全方位的安全，因此应从系统工程的角度综合考虑[2]。信息系统安全风险评估为信息系统安全提供了一种比较根本、有效的解决途径。由于信息系统自身的复杂性以及风险影响因素的多样性，其安全风险评估是一个多层次、多因素的评估过程，评估指标中有很多难以直接量化，只能定性地加以分析，有些可以量化，但要进行无量纲处理[3～4]。因此，本文采用模糊综合评判法，结合层次分析法，通过模糊数学的相关理论对定性问题进行量化处理，将定性分析和定量分析相结合，使评估结果更能反映客观现实，更具科学性。

2　模糊综合评判模型

模糊综合评判法是建立在模糊数学理论基础上的一种预测和评估方法，其特点在于考虑并吸取了人脑思维的模糊性特点，力求在对安全问题的分析和评估中更多地借鉴和遵循人类思维的方法和模式，保留并利用更多的不确定因素和信息，以便得到更加准确的安全风险评估结果。模糊综合评判法适用于解决信息不完全、不明确，只能用模糊的非定量的语言来描述的实际问题[5～7]。

模糊综合评判法的基本步骤如下：

1) 确定因素集U

因素集是由被评判对象的各种影响因素组成的集合，通常用大写字母U表示，即U=(u1,u2,…,un)，其中ui(i=1,2,…,n)为影响评判对象的第i个因素。

2) 确定评语集V

评语集是评估者对被评估对象可能做出的所有评估结果的集合，一般用大写字母V表示。评语集的确定要根据实际需要而定，一般将评语等级划分为3～7级，即评语集V=(v1,v2,…,vm)(3≤m≤7)。

3) 确定权重集A

权重集反映了因素集中各因素的重要程度，通常用大写字母A表示，即A=(a1,a2,…,an)，常见的确定权重的方法有专家测评法、熵值分析法、层次分析法等。在实际应用中，要求ai满足非负性和归一性，即ai≥0，i=1,2,…,n以及a1+a2+…+an=1。

4) 单因素模糊评判

单因素模糊评判是对单个因素ui(i=1,2,…,n)的评判，得到V上的模糊集，通常用Ri表示，即Ri=(ri1,ri2,…,rim)，其中rij表示因素集中第i个因素ui对评语集中第j个元素vj的隶属度。单因素模糊评判是为了确定因素集U中各因素在评语集V中的隶属度，建立一个从U到V的模糊关系，从而导出隶属度矩阵R=(rij)n×m，即单因素模糊评判矩阵。

5) 初级模糊综合评判

初级模糊评判是按每个因素的权重对所有因素进行综合评估，评估结果通常用B表示

=(b1,b2,…,bm)

其中，*为模糊算子。当权重集和隶属度均具有归一性时，*即为普通的矩阵乘法运算，并且此时B=(b1,b2,…,bm)也是归一化的，即

6) 多级模糊综合评判

多级模糊综合评判是将初级模糊评判的评判结果作为上一层的输入，使用模糊矩阵合成将初级模糊评判得到的评判结果向量归一化处理后合成矩阵R，作为因素集U到评语集V的隶属度矩阵，由此逐级往上，直到最高层的评判结束。二级模糊综合评判如图1所示。

图1　二级模糊综合评判模型

7) 评估报告

利用多级模糊综合评判得到的最终向量B对评估结果做出判定，常用的判定准则有最大隶属度原则、最小代价原则以及加权平均原则等。

3　模糊综合评判权重值的确定

在信息系统的安全风险评估过程中，存在一些难以直观量化的评估指标，对其采用层次分析法[8]进行定量分析和权系数的确定。

层次分析法(AHP)是一种符合人们对问题思维过程层次化的定性与定量相结合的分析方法，在信息安全风险分析与评估领域得到了广泛应用[9～10]。层次分析法的应用过程为：明确问题→建立层次结构模型→利用两两比较法构造判断矩阵→获得权向量→进行一致性检验。

3.1层次分析法的层次结构模型

在分析系统中因素间关系的基础上，建立系统的递阶层次结构模型。由图2可见，一般层次结构分为三层，最高层为目标层，是要达到的总体目标。第二层是准则层，实现目标的原则、策略等中间环节。第三层是指标层，是影响系统目标实现的各种因素。

图2　递阶层次结构模型

3.2判断矩阵A′的构建

利用两两比较法构造判断矩阵A′。两两比较法就是针对上一层的元素对下层元素的支配关系，进行相对重要性的两两比较。一般1～9标度法来表示两两比较的值，即判断矩阵的元素取值范围是1,2,…,9及其倒数(见表1)。判断矩阵A′=(aij)n×n，其元素值aij反映了在人们对各因素相对重要性的认识。

表1　1～9及其倒数标度法

3.3层次排序获得权向量

依据判断矩阵A′，计算对上层某元素而言，下层各元素的重要性权值，得到权向量W。

W=(w1,w2,…,wn)T

权向量W可以通过求解方程A′W=λW的最大特征根和相应的特征向量得到。求解的方法主要有求和法、正规法以及方根法。

3.4一致性检验

一致性检验就是衡量判断矩阵A′判断质量的标准。首先计算一致性指标CI和相对一致性指标CR。CI=(λmax-n)/(n-1)，CR=CI/RI。式中，λmax为矩阵最大特征根，n为矩阵维数，RI为平均随机一致性指标，1～10阶矩阵的RI取值见表2。

表2　平均随机一致性指标RI值

通常，当CR<0.1时，则认为矩阵A具有满意的一致性，否则，需要调整元素取值，直至符合一致性要求为止。

4　实例分析

下面以某办公自动化系统为例，利用德尔菲法建立系统的风险评估指标体系，利用层次分析法确定各指标的权重值，最后对系统进行多级模糊综合评判。

4.1指标体系的建立

针对信息系统安全风险分布面广，影响因素众多且具有不确定性的特点，采用德尔菲专家调查表法来建立信息系统安全风险评估的指标体系，如图3所示。

图3　信息系统安全风险评估指标体系

4.2初级模糊综合评判

初级模糊综合评判要考虑物理安全、通信运行安全，信息安全以及管理安全四个方面的安全风险综合评判。

1) 物理安全的综合评判

首先，确定因素集和评语集。根据指标体系，因素集U1=(u1,u2,u3)，安全等级分为七级，故评语集V=(v1,v2,v3,v4,v5,v6,v7)，分别代表(很安全,安全,较安全,一般,较危险,危险,很危险)。

其次，确定权重集。权重由专家根据经验和工程实践给出，A1=(0.2,0.5,0.3)。

再次，建立模糊评判矩阵。邀请20位专家进行评价，建立的评判矩阵R1为

综合评判结果

B1=A1*R1=(0,0.33,0.27,0.25,0.10,0.05,0)

2) 通信安全的综合评判

首先，因素集U2=(u1,u2,u3,u4,u5)，评语集V=(v1,v2,v3,v4,v5,v6,v7)。

其次，由层次分析法确定权重集A2，根据专家给出的指标间的两两比较值建立判断矩阵A′。

利用求和法可得到权重集：

A2=(0.098,0.232,0.340,0.170,0.160)

经一致性检验，CR=0.060<0.1,矩阵A′满足一致性要求。

再次，确定模糊综合评价矩阵R2。

最后，综合评判结果向量

B2=(0.034,0.414,0.307,0.179,0.066,0,0)

3) 信息安全的综合评判

首先，因素集U3=(u1,u2,u3,u4,u5)，评语集V=(v1,v2,v3,v4,v5,v6,v7)。

其次，由层次分析法确定权重集A3,由专家给出两两比较值，建立判断矩阵A′:

利用求和法可得到权重集A3：

A3=(0.353,0.209,0.203,0.091,0.144)

经一致性检验，CR=0.014<0.1,矩阵A′满足一致性要求。

再次，确定模糊综合评价矩阵R3:

最后，综合评判结果向量

B3=(0.020,0.390,0.299,0.210,0.081,0,0)

4) 管理安全的综合评判

首先，因素集U4=(u1,u2,u3)，评语集V=(v1,v2,v3,v4,v5,v6,v7)。

其次，确定权重集。权重由专家根据经验和工程实践给出，A4=(0.45,0.3,0.25)。

再次，建立模糊评判矩阵R4，邀请20位专家进行评价，建立的评判矩阵R4为

综合评判结果

B4=(0.135,0.530,0.278,0.057,0,0,0)

4.3二级模糊综合评判

以初级模糊评判向量构成二级模糊评判的模糊评判矩阵R=(B1,B2,B3,B4)T，结合专家给出的权重集A=(0.15, 0.25, 0.25, 0.35)，则可得到二级模糊综合评判结果为

B=(0.061,0.436,0.286,0.132,0.052,0.013,0)

根据最大隶属度原则可知，该办公自动化系统安全风险评估结果为安全。

5　结语

在信息系统安全风险评估中，存在很多难以直观量化，只能用模糊的、非定量的语言描述的指标，本文采用模糊综合评判来对信息系统的安全风险进行评估，将定量分析与定性分析相结合，使评估结果更能反映客观现实，更具有效性。通过这种方法，不仅可以对安全风险等级进行量化，还可以有针对性地选择安全风险控制策略，实现系统安全风险的有效控制。

[1] 冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):10-18.

FENG Dengguo, ZHANG Yang, ZHANG Yuqing. Survey of information security risk assessment[J]. Journal of China Institute of Communications,2004,25(7):10-18.

[2] 付钰,吴晓平,叶清,等.基于模糊集与熵权理论的信息系统安全风险评估研究[J].电子学报,2010,38(7):1489-1454.

FU Yu, WU Xiaoping, YE Qing, et al. An Approach for information Systems Security Risk Assessment on Fuzzy Set and Entropy-Weight[J]. Acta Electronica sinica,2010,38(7):1489-1454.

[3] 申时凯,佘玉梅.模糊神经网络在信息安全风险评估中的应用[J].计算机仿真,2011,28(10):91-94.

SHEN Shikai, SHE Yumei. Approach to Information Systems Security Risk Assessment Based on Fuzzy-BP Neural Network[J]. Computer Simulation,2011,28(10):91-94.

[4] 肖龙,戚湧,李千目.基于AHP和模糊综合评判的信息安全风险评估[J].计算机工程与应用,2009,45(22):82-85.

XIAO Long, QI Yong, LI Qianmu. Information security risk assessment based on AHP and fuzzy comprehensive evaluation[J]. Computer Engineering and Applications,2009,45(22):82-85.

[5] 吴静,吴晓燕,高忠长,等.基于模糊综合评判的M&S可信性评估研究[J].计算机应用研究,2009,26(12):4509-4512.

WU Jing, WU Xiaoyan, GAO Zhongchang, et al. Research on M&S credibility evaluation based on FSE[J]. Application Research of Computers,2009,26(12):4509-4512.

[6] 肖满生,周浩慧,王宏.基于模糊综合评判的相似重复记录识别方法[J].计算机工程,2010,36(13):51-53.

XIAO Mansheng, ZHOU Haohui, WANG Hong. Identification Method of Approximately Duplicate Records Based on Fuzzy Integrated Estimation[J]. Computer Engineering,2010,36(13):51-53.

[7] 覃德泽.一种改进的网络安全风险模糊综合评判法[J].计算机仿真,2010,27(12):144-147.

QIN Deze. A Fuzzy Comprehensive Evaluation Method for Improving Network Security Risks[J]. Computer Simulation,2010,27(12):144-147.

[8] 李林,刘毅,杨骏.无线网络安全风险评估方法的应用研究[J].计算机仿真,2011,28(9):147-150.

LI Lin, LIU Yi, YANG Jun. Application of Wireless Network Safety Risk Assessment[J]. Computer Simulation,2011,28(9):147-150.

[9] 娜日,吴晓伟,吕继红.基于层次分析和模糊综合评判的网络信息素养评价[J].情报杂志,2011,30(7):81-84.

NA Ri, WU Xiaowei, LV Jihong. The Study on the Network Information Literacy Based on AHP Arithmetic and Fuzzy Comprehensive Assessment[J]. Journal of Intelligence,2011,30(7):81-84.

[10] 袁礼,黄洪,周绍华.基于层次分析法的系统安全保护能力评价模型[J].计算机仿真,2011,28(5):126-130.

YUAN Li, HUANG Hong, ZHOU Shaohua. A Model of Information System Security Protection Evaluation Based on Improved AHP[J]. Computer Simulation,2011,28(5):126-130.

Application of Fuzzy Synthetic Evaluation in Security Risk Assessment of Information System

ZHANG Yang

(Navy Department of Information, Beijing100841)

To improve the validity of the security risk assessment of the information system, the method based on fuzzy synthetic evaluation is presented. The fuzzy mathematics theory is combined with the risk assessment theoryin this method. The fuzzy judgment matrix is established after the measurement of the experts’ risk analysis, and weight coefficients of the indexes are calculated by the aid of AHP. Finally, the result of security risk assessment is obtained by means of fuzzy synthetic evaluation. The result shows that the method is feasible and effective and it improves rationality the accuracy of security risk assessment of the information system.

fuzzy synthetic evaluation, AHP, information system, security risk assessment

2016年3月7日,

2016年4月24日

张洋,女,硕士,助理工程师,研究方向：信息系统。

TP309DOI：10.3969/j.issn.1672-9722.2016.09.033