层次分析法在信息系统风险评估中的应用分析

苏艳琴 张光轶 杨小林

层次分析法在信息系统风险评估中的应用分析

苏艳琴1张光轶2杨小林3

（1.海军航空工程学院控制工程系烟台264001）（2.海军航空工程学院科研部烟台264001）（3.军委审计署济南审计中心济南250000）

针对信息系统安全的信息资产、脆弱性和威胁评估的基础上，采用层次分析法对信息系统安全风险进行评估，构建层次结构后，计算相对权重和综合权重，并通过一致性验证后，得到威胁排序，从而为制定安全策略提供帮助。

层析分析法；信息系统；风险评估

Class NumberF224

1 引言

信息系统的信息安全和风险是一对矛盾，面对日益增长的信息系统安全需求，风险评估在信息系统安全中占据重要地位，是信息系统安全的首要基础［1～2］。层次分析法（Analytic Hierarchy Process，AHP）是将定性与定量相结合，将人的主观判断用数量形式表达和处理的一种实用有效的多准则决策方法［3～4］。因此，开展层次分析法在信息系统风险评估研究是一种适合的方式。

2 层次分析法建模步骤

层次分析法是美国运筹学家，匹兹堡大学T.L.Saaty教授于20世纪70年代初提出的，它是一种定性与定量分析相结合的多准则决策分析方法，其基本思想是在决策目标的要求下，将决策对象相对于决策标准的优劣状况进行两两比较，最终获得各个对象的总体优劣状况，为决策和评选优先级别提供依据［5］。

运用层次分析法建模，大体上可按下面四个步骤进行，如图1所示。

1）基于以上风险因素分析的基础上，分析系统中各因素之间的关系，上一层次的元素作为准则对下一层次有关元素起支配作用，建立系统的递阶层次结构。

2）对同一层次的各因素关于上一层次中某一准则的重要性进行两两比较，构造两两比较判断矩阵。定性分析中，在这一步中，假定以上一层元素支配的下一层次的元素按照准则C，即两个元素a和b哪个更重要，重要多少，并按1～9标度对重要性程度赋值，如表1所示。

3）由判断矩阵计算被比较元素对于该准则的相对权重。

4）计算各层次元素对系统目标的合成权重。

3 层次分析法在风险评估的应用步骤

现将层次分析法应用到安全风险评估上，针对资产从保密性、完整性、可用性三方面分析，而保密性、完整性、可用性又可根据其所属的不同的类别的资产来判别：数据、软件、硬件、服务、人员、其他，然后如此逐层细化分析。针对安全风险，从安全风险发生的概率和安全风险发生后果来考虑，而安全风险发生概率和安全风险发生的后果又可以从物理层、网络层、系统层、应用层、管理层等五个方面来考虑，然后逐层细化分析［6～7］。针对安全策略，可以从风险发生的概率、风险对系统安全的影响、风险控制措施的选择等三个方面来考虑，接下来的就是风险控制措施了。用这样的方法逐层细化分析。

3.1 构造递阶层次结构

构造递阶层次的过程实际上是对事物的剖析过程。对信息安全的风险评估，我们的目标是分析信息安全面临的风险以及系统的安全级别，然后采取相应的控制措施［8～9］。图2是系统风险评估中资产的递阶层次结构图。第一、二、三层之间判断矩阵的元素都是全部考虑进来的，即准则层的保密性、完整性、可用性三者全都相对目标层的资产价值相对比较，生成一个3阶的相对比较矩阵。同理第三层的中的所有元素相对第二层的每个元素有一个相对比较矩阵，生成3个6阶的相对比较矩阵。但是第四层中并非所有元素都相对第三层中的每一个元素都有比较矩阵，其中的一部分别对第三层的每一个元素有比较矩阵。生成的比较矩阵阶数分别为2，3，5，3，4、若干。

图3是系统风险评估中风险的递阶层次结构图。

图3 中的网络层和应用层的内容涉及比较多，图的大小有限，罗列不全，这里补上。应用层有一系列的应用软件例如MySQL、Office、SqlServer，Web漏洞扫描软件、服务器、安全评估程序等。这一部分需要使用专家评价集，这与之前提到的单纯的层次分析法有一定的差别。之前的比较矩阵中元素的取值均为1～9中的整数或其倒数，这一部分中比较矩阵的元素的取值应该是综合n个专家的评价结果后得出的，专家在给出评价的时候需要输入的只是0，1。综合所有专家的评价结果，可以得到评价矩阵（隶属度矩阵），然后对该矩阵处理就可以得到我们需要的判断矩阵了。

图4是系统风险评估中风险措施的递阶层次结构图。

其中具体的控制措施未列出，正如前面所提到的，针对不同的安全风险会有不同的控制措施，可能同时有多个控制措施来应对一个安全风险，所以我们的层次结构模型能帮助评估者确定哪一个是最佳的控制措施，并且能对控制措施的选择优先权依次排序，以满足用户的需求。

3.2 计算第二、三层次的相对权重

先通过下层与上层的两两比较，确定其相对重要度，建立判断矩阵［10～11］

其中，aij表示从目标层A的角度考虑要素Ci对要素Cj的相对重要度，而取值确定是需要按相对重要程度取1～9之间的自然数或者倒数。

由此得到，第二、三层的判断矩阵后，再求和得到相对权重。然后，通过对特征向量W*进行归一化处理，得到排序权向量W，并进行一致性检验。

其中，求和的步骤可以概括为

3.3 计算各层元素的组合权重

利用以上结果，计算得出递阶层次结构中所有要素的组合权重［12～13］。从而，为下一步能够得到安全风险值铺垫。

4 层次分析法在信息安全风险评估的应用分析

4.1 构建分析模型

4.2 建立判断矩阵

1）准则层对目标层专家判断矩阵，其中资产（A），资产转化效能难易度（B），威胁技术（C），弱点被利用难易度（D）。

2）方案层（威胁层）对准则层比较矩阵威胁层对准则层各准则判断矩阵分别为

4.3 计算组合权重，并作一致性检验

计算判断矩阵最大特征根λmax及对应的特征向量。

准则层对目标层：

Step 1：将矩阵元素按列归一化处理得

4.4 总排序

计算结果如表1所示。

表1 总排序

因此得到，威胁总排序为：P3，P2，P5，P1，P4。

由表可以看出，最有可能的威胁来自黑客攻击，其次是越权访问、篡改、病毒攻击、物理破坏，相应发生概率为：0.303，0.280，0.201，0.125，0.091。

5 结语

论文将定性与定量结合得层次分析运用到信息系统的风险评估中进行分析，首先构造信息安全风险评估的递阶层次结构，运用AHP法计算得到相对权重，确定出各风险因素的风险等级，对信息系统提出风险控制建议。这是一种有效且操作性强的方法。

［1］冯登国，张阳，张玉清.信息安全风险评估综述［J］.通信学报，2004，25（7）：10-18.

［2］T.L.Saaty.Axiomation foundation of the analytic hierarchy process［J］.Management Science，1986（32）：841-855.

［3］Xie C，Xujia G，Wang L.Information Security Assurance Lifecycle Research［J］.The Journal of China Universities of Posts and Telecommunications，2007，14（4）：77-81.

［4］朱建军，王梦光，刘士新.AI｝P判断矩阵一致性改进的若干问题研究［J］.系统工程理论与实践，2007，27（1）：18-22.

［5］范红，冯登国，吴亚非等.信息安全风险评估方法与应用（第1版）［M］.北京：清华大学出版社，2006：5-12.

［6］W H.Fu，S.Y Zhao.J.D.McCalley，V Vittal，N. Abi-Samra，Risk assessment forspecial protection systems［J］.IEEE Transactions on Power systems，2002，17（1）：27-31.

［7］张永铮，方滨兴，迟悦，云晓春.用于评估网络信息系统的风险传播模型［J］.软件学报，2007，18（1）：137-145.

［8］华中生，吴云燕，徐晓燕.一种AHP判断矩阵一致性调整的新方法.系统工程与电子技术，2003，25（1）：38-40.

［9］陈亮.信息系统安全风险评估模型研究［J］.中国人民公安大学学报（自然科学版），2007，04：50-53.

［10］Chaoju H，Chunmei L.Method of Risk Assessment Based onClassified SecurityProtection and Fuzzy Neural Network［C］//Wearable Computing Systems（APWCS），2010Asia-PacificConference on.2010.

［11］EdwinB.Heinlein.Computer security in China［J］.Computers and Security，1996，15（5）：369-375.

［12］杨继华.信息安全风险评估模型及方法研究［D］.西安：西安电子科技大学，2007.

［13］杨洋，姚淑珍.一种基于威胁分析的信息安全风险评估方法［J］.计算机工程与应用，2009，03：94，96-100.

Application of AHP in Information System Risk Assessment

SU Yanqin1ZHANG Guangyi2YANG Xiaolin3
（1.Control Department，Naval Aeronautical and Astronautical University，Yantai264001）（2.Science Research Department，Naval Aeronautical and Astronautical University，Yantai264001）（3.Jinan Audit Centre of PLA Audit Administration，Jinan250000）

On the base of information assets，vulnerability and threat assess，the analytic hierarchy process method was applied to assess the information system safety risk.After the hierarchical structure was established，the related weight and combined weight were calculated，and then the consistency was checked，the threat was sorted.It helped to give the safety strategy.

analytic hierarchy process，information system，risk assessment

F224

10.3969/j.issn.1672-9730.2017.06.020

2016年12月8日，

2017年1月30日

苏艳琴，女，博士研究生，讲师，研究方向：通信技术、通信装备综合保障。张光轶，男，博士研究生，助理研

究员，研究方向：计算机技术、网络安全。杨小林，男，助理审计师，研究方向：计算机安全技术。