专利名称::一种计算机信息安全模糊风险评估系统和方法
技术领域:
:本发明涉及一种计算机信息安全模糊风险评估系统和方法,属于信息安全领域,具体涉及一种信息安全风险评估。
背景技术:
:现有的信息系统安全评估方式可大致归结为安全审计、风险分析、系统安全工程能力成熟度模型(SSE2C醒)和安全测评等四类。风险分析模型从风险控制角度进行安全评估,它通过概率统计得出网络系统安全性的度量;安全测评更多地从安全技术、功能角度来进行系统的安全评估;安全审计、SSE2CMM模型等风险评估方法也都是从系统安全的某一方面出发,只着重于评估网络系统安全某方面的实践规范。在实际的评估过程中,评估人员常常是采用解析的方法,将复杂的评估对象分割成若干个相对简单的评估要素,然后由各评估要素的评估结果,推算出评估对象的风险。由于在元素解析操作上存在主观随意性,缺乏统一的、系统化的安全评估框架,这些评价方法中,评估准则和指标难以量化。为了尽可能减少人为因素,本发明提出了一种量化的安全评估方法,充分考虑到评估要素之间的关系,通过引入模糊计算技术,建立各要素的隶属关系表和权重表,从而减少主观因素,做到使评估结果尽量的客观公正。
发明内容为了克服现有技术结构的不足,本发明提供一种计算机信息安全模糊风险评估系统和方法。本发明解决其技术问题所采用的技术方案是本发明针对一个评估对象可以被分解成若干个评估要素(或子对象)的情况下,给出一种由各评估要素(或子对象)的评估结果得到评估对象的模糊风险的方法。具体
发明内容包括一种计算机信息系统模糊风险评估系统,包含根据用户对评估要素的风险判断,计算出该评估要素的模糊级别隶属程度。将所有的评估要素的隶属程序向量合起来,组成一个模糊风险矩阵的模糊风险矩阵计算器;根据模糊风险矩阵计算器输出得到的所有评估要素的模糊风险矩阵,和用户输入的评估要素的权重向量,计算整个系统的模糊风险的综合风险计算器;根据综合风险计算器系统输出的综合模糊风险,以及用户建立的风险等级标准,计算整个系统的风险确定性量值的系统风险量化器。模糊风险矩阵计算器连接综合风险计算器;综合风险计算器连接系统风险量化器。一种计算机信息系统模糊风险评估方法,包括以下步骤建立风险影响等级标准,对象解析并建立权重,建立模糊风险矩阵,计算模糊综合风险和量化综合风险。一种计算机信息系统模糊风险评估方法,包括模糊风险矩阵计算步骤;综合风险计算步骤;系统风险量化歩骤。本发明的有益效果;本发明充分考虑到评估要素之间的关系,通过引入模糊计算技术,建立各要素的隶属关系表和权重表,从而减少主观因素,提高了评估结果的客观公正性。图1是本发明的工作流程示意图。图2是本发明的系统结构示意图。下面结合附图对本发明实现作进一步说明。具体实施例方式实施例1:一种计算机信息系统模糊风险评估系统(如图2),有模糊风险矩阵计算器,根据用户对评估要素的风险判断,计算出该评估要素的模糊级别隶属程度,它具有以下输入1)评估要素标识(ID),2)该评估要素所属级别的判别向量(44…,d)。d表示评估要素属于级别i(0《i《n,n表示用户设定的风险标准等级数)的估计分值(0《^《10),对于每个评估要素,其输出是一个评估要素模糊级别隶属向量。如果有k个评估要素,则得到一个kXn的模糊矩阵,记为模糊风险矩阵R。如果用户设定的风险等级标准为一个7分位的等级{0,0.1,0.3,0.5,0.7,0.9,1},主要部件的实施方式如下1、模糊风险矩阵计算器的实施方式设用户输入的风险等级向量为A…,&},其中必表示评估要素对于风险影响标准的7分位风险级别中的级别i的隶属估计分值(0《^《10)。则该评估要素的模糊风险矩阵为(n,a…,/>},其中r,按如下的方法计算如果有k个评估要素,则得到一个kX7的模糊矩阵,记为模糊风险矩阵R;2、综合风险计算器实施方式。其对综合风险的计算包括以下步骤计算B二WXR;其中B为模糊综合评估结果,为一个lX7的矩阵B^,b2,b3,b4,b5,b6,b7},代表最后的综合评估结果隶属于第J'个风险级别的程度;W是各评估要素的权重向量,R是模糊风险矩阵计算器输出的评估要素的模糊风险矩阵。3、系统风险量化器的实施方式。其对系统风险量化的方法包括以下步骤:计算U=BXS;其中U为一个最终的综合风险的数值结果。其中S={0,0.1,0.3,0.5,0.7,0.9,ir是用户建立的风险等级标准(一个列向量);B为综合风险计算器输出的模糊综合评估结果,为一个1X7的矩阵B二{,b2,b3,b4,b5,b6,b7}。实施例2:如图l所示,一个具体的评估过程如下1.建立风险等级标准。首先定义一个7分位风险等级如表1:所示。表l:风险等级标准<table>tableseeoriginaldocumentpage8</column></row><table><table>tableseeoriginaldocumentpage9</column></row><table>2.对象解析并建立权重向量一般情况下,要评估的信息系统是一个由多个模块组成的综合系统。按从简单到复杂的原则,在评估时,先对评估对象进行分解,将其分解成若干个相对独立的评估要素。一般来说,当把一个评估对象分析成若干个评估要素时,各评估要素之间的重要程度应该不会完全相同。这时就需要确定不同的评估要素之间的权重。在各个评估要素的评估中,通过层次分析法计算出这些评估要素的重要性权值。如果有A个评估要素,则得到一个A维的权重向量W二(w,的,…,化},其中2]^''二1。3.建立模糊风险矩阵。对各单要素单独进行评估,根据每个评估要素的评估结果,确定该评估要素分别对于风险标准的7个级别的隶属度。设用户输入的风险等级向量为(d,&…,《},其中d表示评估要素对于7分位风险等级标准中级别i的隶属估计分值(0《c/i《10)。则该评估要素的模糊风险矩阵为{力,2>},其中r,按如下的方法计算/二i这样,对于k个评估要素,则得到一个kX7的模糊矩阵,记为模糊风险矩阵R。4.计算综合风险。进行单项评价并配以权重后,可以得到关于所有评估要素的一个模糊风险矩阵R,和一个权重向量W。则模糊综合评价模型为:B二WXR,其中B为模糊综合评估结果,为一个1X7的矩阵B={b,b2,b3,b4,b5,b6,b7},b,代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果。5.量化综合风险。如果要对综合评估结果进行量化,则计算U=BXS,作为一个最终的综合风险的数值结果,其中S={0,0.1,0.3,0.5,0.7,0.9,ir是风险等级定义(一个列向量,参见图2)。如果想要得到更细的等级划分,等级标准定义可采用9分位的方法进行。在上面的定义中,通过模糊风险矩阵和权重矩阵,考虑了各评估对象间的相关依赖与重要程度,合成为综合对象的评测结果。权利要求1、一种计算机信息系统模糊风险评估系统,其特征在于包含根据用户对评估要素的风险判断,计算出该评估要素的模糊级别隶属程度,将所有的评估要素的隶属程序向量合起来,组成一个模糊风险矩阵的模糊风险矩阵计算器;根据所有评估要素的模糊风险矩阵和评估要素的权重向量,计算整个系统的模糊风险的综合风险计算器;根据系统的综合模糊风险以及风险等级标准,计算整个系统的风险确定性量值的系统风险量化器;模糊风险矩阵计算器连接综合风险计算器;综合风险计算器连接系统风险量化器。2、如权利要求1所述的一种计算机信息系统模糊风险评估系统,其特征在于模糊风险矩阵计算器,根据用户对评估要素的风险判断,计算出该评估要素的模糊级别隶属程度,它具有以下输入1)评估要素标识(ID),2)该评估要素所属级别的判别向量(d,d,…,flO,d表示评估要素属于级别i(0《/《n,n表示用户设定的风险标准等级数)的估计分值(0《d《10),对于每个评估要素,其输出是一个评估要素模糊级别隶属向量;如果有k个评估要素,则得到一个kXn的模糊矩阵,记为模糊风险矩阵R。3、如权利要求1所述的一种计算机信息系统模糊风险评估系统,其特征在于综合风险矩阵计算器,根据所有评估要素的模糊风险矩阵和评估要素的权重向量,计算整个系统的模糊风险,它具有以下输入1)模糊风险矩阵R,2)所评估要素的权重向量W,其输出是一个lXn矩阵(6,,&,,&),&表示系统风险属于级别1(0《j'《n)的程度。4、如权利要求1所述的一种计算机信息系统模糊风险评估系统,其特征在于系统风险量化器,根据系统的综合模糊风险及风险等级标准,计算整个系统的风险确定性量值;其输入是系统的模糊风险矩阵(A,及风险等级标准S,输出是系统的风险确定性量值。5、一种计算机信息系统模糊风险评估方法,包括以下步骤建立风险影响等级标准,对象解析并建立权重,建立模糊风险矩阵,计算模糊综合风险和量化综合风险。6、如权利要求5所述的一种计算机信息系统模糊风险评估方法,其特征在于模糊风险矩阵计算,按下面的步骤建立模糊风险矩阵设用户输入的风险等级向量为A…,d},其中必表示评估要素对于风险影响标准的n分位风险级别中的级别i的隶属估计分值(0《d《10);则该评估要素的模糊风险矩阵为{rbn,…,r。},其中r,按如下的步骤计算如果有k个评估要素,则得到一个kXn的模糊矩阵,记为模糊风险矩阵R。7、如权利要求5所述的一种计算机信息系统模糊风险评估方法,其特征在于综合风险计算按下面的步骤计算综合模糊风险如果进行单项评价并配以权重后,得到的模糊风险矩阵为R,权重向量为W,则模糊综合评价模型为B=WXR;其中B为模糊综合评估结果,为一个lXn的矩阵B二{b,,b2,b:i,b4,b5,bfi,b},b,代表最后的综合评估结果隶属于第i个风险级别的程度;W是各评估要素的权重向量,R是各评估要素的综合模糊风险矩阵。8、如权利要求5所述的一种计算机信息系统模糊风险评估方法,其特征在于系统风险量化按下面的步骤量化综合风险计算U=BXS;其中U为一个最终的综合风险的数值结果,其中S^Sl,s2,s:i,&,s5,s,sn厂是风险等级标准(一个列向量);B为模糊综合评估结果,为一个lXn的矩阵B二{,b2,b:i,,b5,b6,b}。全文摘要一种计算机信息系统模糊风险评估系统及方法,包含根据用户对评估要素的风险判断,计算出该评估要素的模糊级别隶属程度。将所有的评估要素的隶属程序向量合起来,组成一个模糊风险矩阵的模糊风险矩阵计算器;根据所有评估要素的模糊风险矩阵和评估要素的权重向量,计算整个系统的模糊风险的综合风险计算器;根据系统的综合模糊风险以及风险等级标准,计算整个系统的风险确定性量值的系统风险量化器。本发明的有益效果;充分考虑到评估要素之间的关系,通过引入模糊计算技术,建立各要素的隶属关系表和权重表,从而减少主观因素,提高了评估结果的客观公正性。文档编号G06F21/00GK101470779SQ20071030398公开日2009年7月1日申请日期2007年12月24日优先权日2007年12月24日发明者史萍萍,杰李,胡振宇,谢瑞璇申请人:北京启明星辰信息技术股份有限公司