专利名称::一种基于组合评估法的信息系统安全风险评估模型的制作方法
技术领域:
:本发明涉及一种信息系统安全风险评估模型,尤其是一种基于组合评估法的信息系统安全风险评估模型。
背景技术:
:信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,信息安全风险评估是信息安全建设的起点和基础,通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。经过多年的发展,国内外现有的风险评估方法很多,其共同的目标都是找出组织机构的信息系统面临的风险及其影响,以及目前安全水平与组织机构安全需求之间的差距。但是,评估方法的选择将直接影响到评估过程中的每个环节,甚至可以左右最终的评估结果,组织或企业选择风险评估方法的关键是根据具体情况来选择合适的风险评估方法。我们以数字化反映评估结果的角度将风险评估方法分为定性的风险评估方法、定量的风险评估方法和将定性与定量结合的综合的风险评估方法。定量分析就是试图从数字上对安全风险进行分析评估的一种方法,其优点是风险及其结果充分地建立在独立客观的方法和衡量标准之上,提供了富有意义的统计分析,使研究结果更科学、更严密、更深刻;其缺点是,常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。定性分析法主要依据评估专家的知识、经验、历史教训、政策走向及特殊变例等非量化资料,对系统风险状况做出判断的过程,其优点是操作简单并易于理解和实施,可以迅速找出系统风险的重要领域并重点分析,还可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻;缺点在于分析结果过于主观性,很难完全反映安全现实情况,并且对评估者自身要求较高。在实际的系统风险评估过程中,需要考虑的因素很多,有些评估要素可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的。所以,不主张在风险评估过程中一味地追求量化,也不认为一切都是量化的风险评估过程是科学、准确的。定量评估与定性评估的关系密不可分,定性评估是定量评估的基本前提,定量评估的目的在于更精确地定性,使定性评估更加科学、准确,这两者是统一的且相互补充的。由于各种风险评估方法各有优劣,因此难免会采用多种方法对一个信息系统进行评估。然而各种方法的机理不同、方法的属性层次相异,其适用范围也不同,从而导致在应用中方法之间评估结论也有差异。另一方面,被评估对象也有自己不同的特性,不是所有方法都适合用于某个特定的被评估对象。
发明内容本发明的目的在于提供一种基于组合评估法的信息系统安全风险评估模型,从而解决多方法评估结论的非一致性问题,即当对具有确定属性值的同一对象运用多种不同方法分别进行评价时结论存在差异,难以得到与客观实际相符的一致性评价。为了达到上述目标,本发明在对各类评估标准、评估方法、评估模型、评估工具深入分析、研究的基础上,提出并实现了一种基于组合评估法的信息系统安全风险评估模型,组合评估法的步骤是将目前的评估方法收集到一个方法库中,在每次评估工作开展之初,首先针对信息系统的特点以及方法的特征,采用基于模糊综合评判的数据包络分析法(DEA)从方法库中筛选出针对于所评估系统绩效值最高的几种方法,再依据模糊层次分析法(FAHP)对筛选出的各方法进行赋权。接下来,按照典型的风险评估流程,分别采用各个筛选出的评估方法对信息系统进行风险评估。最后,依据各方法的权值,组合各方法的评估结果,得出对整个信息系统的风险评估报告,从而解决多方法评估结论的非一致性问题,以达到更加科学和合理的对信息系统进行风险等级评估的目的。模糊综合评判是结合定性和定量的综合分析方法,在定量的基础上采用定性的方法进行抽象,在定性的基础上采用定量的方法进行分析综合。在采用模糊综合评判进行分析之前需要建立起合理的层次指标结构,该指标结构一方面要求能分层次刻画出方法的各个属性,另一方面要求能准确而全面的反应出方法的影响因子。DEA是处理多个输入和多个输出的多目标决策问题的方法,在有效性评价方面,DEA方法处理多输入,特别是多输出的问题的能力是具有绝对优势的。因此,我们在组合评估中引入DEA进行方法的筛选,从而大大的提高方法有效性评定的准确性和合理性,减少主观因素带来的误差,使最后的评估结果更加具有科学性。本发明运用多种评估方法对信息系统进行评估,克服了传统评估系统采用单一评估方法而造成的片面性和局限性,各评估模块自动完成评估过程,降低了评估过程中的主观性和评估成本,提高了评估的效率和准确性。图1:基于组合评估法的信息系统安全风险模型总体结构图图2:方法筛选层次结构图图3:权重计算层次结构模型图图4:权重计算层次结构图具体实施例方式参照附图将详细叙述本发明的具体实施方案。图1为完整的基于组合评估法的信息系统安全风险模型总体结构。组合评估的流程如下对于方法库中的m种方法,按照模糊综合评判法的原理,从方法的科学性和合理性两大方面进行专家评价,然后通过模糊层次分析法的计算得到各个方法的评价值,将评估方法的一级指标作为数据包络分析法(DEA)的输出指标,将模糊组合评价二级评估所得到的结果作为指标值,应用DEA方法评价不同评估方法的相对有效性,进而从方法库中选择评估有效性较高的一种或几种评估方法,分别对被评估的应用系统进行评估。然后用模糊层次分析法(FAHP)建立模型并计算筛选出来的方法相对于顶级目标的权重向量,接下来按照方法权重组合结果,最后由每种方法的风险等级值加权求和即得到组合评估的系统风险等级。1.1基于组合法的风险评估评估模型基于组合评估法的信息系统安全风险评估评估模型主要包括两个部分方法筛选和方法评估结果组合。它们是紧密相连、密不可分的统一体,方法筛选是方法评估结果组合的前提,其合理性将直接影响最终的风险评估结果。而方法评估结果组合将筛选出的方法以最佳的组合方式应用于系统的风险评估,从而减少了单一方法对所评估系统测评带来的偏差。1.1.l方法筛选首先假设在方法库中已存在多种可供选择的评估方法,这些方法都可以单独用于对某个系统进行风险评估,由于各种方法的机理不同、方法属性层次相异,其使用范围也不同,从而在应用中方法之间评估结论也存在不一致性;并且,被评估的信息系统也有自己在应用、安全、结构等的特性,不是所有的评估方法都适用于该特定的被评估对象,所以在进行具体的评估之前,需要首先进行方法的筛选,即通过相应的算法在方法库中自动筛选出对于所评估系统有效性最高的几种方法。对方法进行筛选采用基于模糊综合评判的DEA方法,模糊综合评判需要为方法的筛选建立合理的层次指标结构(见附图2),该指标结构一方面要求能分层次刻画出方法的各个属性,另一方面要求能准确而全面的反应出方法的影响因子。在使用模糊层次分析法对方法的各个评价指标进行计算后,我们将得到各个下层指标相对于最终评价的相对权重。在此基础上,按照方法的满足程度对各个指标进行评价即可得到被评价方法的综合评价值。为了详细说明方法权重的计算步骤,建立如附的层次结构模型,并用Ri、和Rijk表示各层的元素,例如&表示第一层第i个元素;而Rij表示第二层中,从属于&的第j个元素。计算可大体分为3个步骤1)构造判断矩阵根据权重计算层次结构模型图(见附图3)表示,上下层的关系已经确定。假定上一层元素Ri同下一层次中的元素Rn,R^,…,Rin有联系,则模糊一致判断矩阵可表示为<formula>formulaseeoriginaldocumentpage6</formula>A具有如下性质r=0.5,i=1,2,,n;r"=hji,i,J=1,2,:_,j,k=1,2,jk,上式中的元素r表示元素同上一层元素Ri有联系的元素Ru,&',R化中,R,.和Rij具有模糊关系"…比…重要得多"的隶属度。一般来说,为使任意两个方案关于某准则的相对重要程度得到定量描述,可采用19标度给予数量标度。确定判断矩阵中rij的值,可以采用专家给定,也可以采用其他模型来确定。这里,我们将采用Delphi方法给予确2)检验矩阵一致性在实际分析决策分析中,由于所研究的问题的复杂性和人们认识上可能产生的片面性,使构造出的判断矩阵往往不具有一致性。一致性检测条件是任意指定两行的对应元素之差为常数,也即是满足条件rik-rjk=rij-0.5。这时可用如下方法进行调整第一步,确定一个同其余元素的重要性相比较得出的判断有把握的元素,这里,假定决策者认为对判断rn,r12,,rln比较有把握。第二步,用R的第一行元素减去第二行对应元素,若所得的n个差数为常数,则不需要调整第二行元素。否则,要对第二行元素进行调整。直到第一行元素减第二行的对应元素之差为常数为止。第三步,用R的第一行元素减去第三行对应元素,若所得的n个差数为常数,则不需要调整第三行元素。否则,要对第二行元素进行调整。直到第一行元素减第三行的对应元素之差为常数为止。上述步骤如此继续下去,直到第一行元素减去第n行对应元素之差为常数为止。3)计算权重最后,假定Rn,Ri2,…,Rin的权重值为^,^,…,Win,解方程组<formula>formulaseeoriginaldocumentpage7</formula>即可求得权重向Wi二[vJT。其中的权重向Wij为<formula>formulaseeoriginaldocumentpage7</formula>其中,O<a<0.5,a是人们对所感知对象的差异程度的一种度量,但同评价对象个数和差异程度有关。当取参数a〈(n-l)/2时,不能保证权重的非负性,当a^(n_l)/2时,随着的增大,元素中最大权重值在减小,权重之差也在减小。所以,一般情况下,我们取a=(n-l)/2,则权重的计算公式为<formula>formulaseeoriginaldocumentpage7</formula>方法的评价指标的权重确定以后,需要进行具体方法对各个指标满足程度的评判。由于评价集的分值是一个相对刚性的数字,而人在进行评价时,不一定能够把评价定在某一个值上,所以我们采用模糊数学的方式对评价指标进行评分,并在此基础上引入层次分析法,最终得到一个确定的评价值。假定我们得到方法i的评价值为Vi,通过与评价值为Vj的方法j比较,即可直观得到相对优劣的结果。如果评价值的相差较大,即说明评价值较低的方法不可取。下面以求单个方法的评价值为例,说明用模糊综合评判法求单个方法的评价值的详细步骤1)构建指标评估体系根据风险评估方法的分析判断原则建立层次结构,建立评价因素集合U=[Ul,u2,u丄其中Ui(i=1,2,…,m)分别代表各影响因素。同时,由层次分析法得到各评价指标相应的权重系数。另外,将方法评价集V定义为5级V={Vl,v2,v3,v4,vj:2)确定评价隶属度矩阵在确定风险评价因素对风险评价集的隶属度时,为了更加客观和合理,请若干专家为评价组,按照Delphi方法对中间层指标的满意度进行评价,从而使人的主观估计更具客观性。设评价集V二{Vl,V2,V3,V4,v5}对于评价因素Ui有Vij个评语j=1,2,…,5,则Ui对于评语集V的隶属度向量di=[du,di2,…,cy,其中V由此得到底层一'各满意度评价指标对中间层风险评价指标的隶属度向量dij,以及隶属度矩阵D=(dij)m^3)初级模糊综合评判将所得的各隶属矩阵Di与相应的评价指标权重集Ai做模糊合成运算,得到中间层指标的评价结果向量Bi=AiODi其中"o"为模糊合成算子。为了综合考虑各评价因素的影响且保留单因素评价的全部信息,对方法评价采用I/(气'S')算子。即<formula>formulaseeoriginaldocumentpage8</formula>当权重集和隶属度均具有归一性时,ilA气击:l即为普通的矩阵乘法运算,此时中间层的评价结果向量B二[b"lv…,bj也是归一化的,即A:怖A"<formula>formulaseeoriginaldocumentpage8</formula>采用AA.V禾')模糊合成算子,即可得到中间层指标的评价结果向量。4)二级模糊综合评判在一级模糊综合评价的基础上,以初级模糊综合评判的评价结果向量构成二级模糊综合评判的评价矩阵D,作为评价因素U到评价集V中的隶属度矩阵,与中间层指标的权重向量A做模糊合成运算,模糊合成算子仍选用M《V,),可得到目标层的评价结果向量。5)评价结果对于加权平均原则,如果得到的评价结果向量为B=[bpb2,,bk],评价集为V={Vl,v2,v3,v4,vj,则得到最终结果<formula>formulaseeoriginaldocumentpage9</formula>这样对每种风险评估方法进行评价后,分数高低就可以做出评估方法的选择。1.1.2方法评估结果赋权组合方法评估结果的组合是对每种风险评估方法单独得出的评估结果进行赋权组合,对信息系统风险做出综合的评价,赋权算法采用模糊层次分析法确定权重。结果组合评估要经过三个阶段1)建立层次结构模型方法的筛选和方法的结果组合处于评估过程的不同阶段。筛选处于进行评估之前,合理的筛选是评估有效的前提,关注的是方法是否适合用于被评估系统、方法的模型合理化程度、评估的周期和成本等等;结果组合处于评估过程的后期,是在使用各种方法进行评估之后,结果的组合应该考虑的是方法的效果,考虑产生结果的过程是否合理,比如指标的覆盖面,人为因素的影响等等。因此,筛选和组合这两个操作所参照的评价指标是不同的。为了达到较佳的组合评估结果,我们将建立如的层次,提出建议的评价指标,并按模糊层次分析法的原理计算各个方法的权重,以备最后的结果按方法权重进行组合。方法的过程主要根据指标和基于指标的算法组成,对各种方法的权重按照指标和算法两部分指标进行分析计算。在指标和算法这两个大类中,我们又将指标和算法进行细分。指标又包含指标的关联合理、指标的覆盖面、指标的细化程度和人为因素的影响性四部分,前两部分合并起来即为指标对系统的反映程度;算法包括算法中的估算程度、综合手段的科学性以及定性分析量化的手段和方法。2)用模糊层次法计算权重在建立层次指标模型后,需要计算层次结构中的各层元素的相对权重,该相对权重指的是下层指标相对于上层指标的权重。首先需要构造每个三级指标对应的评估方法的比较矩阵,这里有六个三级指标,因此需要构造出六个方法比较矩阵,分别对这些矩阵进行一致性校验,如构造出的矩阵不符合一致性校验,对其进行调整后再次校验,直到通过后才能进行下一步。接下来是构造三级指标的两两比较矩阵,构造方法是对各三级指标相对于二级指标的重要程度进行两两比较,同时构造出的比较矩阵也需要通过一致性校验。然后是构造二级指标两两比较矩阵,构造方法与构造三级指标的两两比较矩阵基本相同。比较矩阵构造完成后,计算比较矩阵特征值,得到矩阵的最大特征值,同时将最大特征值对应的归一化向量作为各要素的权重向量。依次计算各方法相对于三级指标的权重、各三级指标相对于二级指标的权重,各二级指标相对于一级指标的权重,这里,我们假定方法k相对上一层元素的权重值为wijk,相对于&的权重为Wij,最后,&相对于目标0的权重为wit)则方法k的权重是此方法在指标层元素方面相对于目标0的权重为Wrk=w一Wij勿ijkr表示最下层指标中的第r个指标。方法k相对于目标的权重就是0"4=J]汀^3)结果组合在确定了筛选出的方法相对于第一层指标的权重后,用各方法权重乘以各方法计算出来的系统风险等级值,然后对计算的结果线性相加即得到对系统风险的综合评价值。在一次风险评估实践活动中,有5种风险评估方法供评估参与者选择。风险评估专家主要关心风险评估方法评估效果的科学性与合理性。由于判断风险评估效果的指标很多,在这里首先采用模糊综合评价方法对风险评估效果的科学性和合理性进行初步评价。然后利用这个评估结果应用DEA方法对风险评估方法进行筛选。1.2评价风险评估方法评估效果的指标体系在某次风险评估活动中,有N种风险风险方法可供选择,在此次风险评估活动中,我们主要关注风险评估方法的科学性、合理性,经过逐层分解和深入研究,建立风险评估方法评估效果评价指标集如表l,对于权重的确定,研究时采用德尔菲法,经过反复调查研究,指标权重如表1。表1评价风险评估方法评估效果的指标体系<table>tableseeoriginaldocumentpage11</column></row><table>1.3确定等级评估集在不影响评价结果的前提条件下,采用评语集V=(V"V2,V3,V4,V5)=(劣,差,中,良,优)采用专家结合风险评估方法标准给风险评估效果的各项性能分指标按百分制进行评分,再将各项得分U转换为模糊数学上的隶属度。得分根据评价集V的等级区间判定其归属。将各项指标得分U转换为对评估集V的隶属度,并将其进行归一化处理,$,f'<formula>formulaseeoriginaldocumentpage11</formula>得到的评估向量<formula>formulaseeoriginaldocumentpage12</formula>1.4逐级进行模糊综合评价利用上述等式,经过逐级进行模糊综合评价,最后求得每种风险评估方法的科学性和合理性的指标值,然后从高到低就可以选择合适的风险评估方法进行实际的风险评估活动。权利要求一种基于组合评估法的信息系统安全风险评估模型,其特征在于,其步骤为,在信息系统安全风险评估过程中,将目前的风险评估方法收集到一个方法库中,评估时首先采用基于模糊综合评判的数据包络分析法(DEA)从方法库中筛选出针对于所评估系统绩效值最高的几种方法,再依据模糊层次分析法(FAHP)对筛选出的各方法的评估结果进行组合。2.如权利要求1所述的一种基于组合评估法的信息系统安全风险评估模型,其特征在于,定义了组合评估法采用的层次指标体系和算法流程,其核心流程主要包括基于模糊综合评判的数据包络分析法(DEA)方法筛选和基于模糊层次分析法(FAHP)的方法结果组合。3.如权利要求1所述的一种基于组合评估法的信息系统安全风险评估模型,其特征在于,基于模糊综合评判的数据包络分析法(DEA)方法筛选,方法筛选的算法流程依次是采用模糊综合评判法计算各方法的权重向量;采用模糊综合评判法计算各方法的评价值,即方法对各个指标满足程度的评判;代入DEA模型进行综合评价。4.如权利要求1或3所述的一种基于组合评估法的信息系统安全风险评估模型,其特征在于,计算方法的权重向量包括以下步骤构造判断矩阵,判断矩阵是通过对层次指标体系中各层指标的相对重要性两两比较得来的;检验矩阵一致性,由于构造判断矩阵时存在偏差,因此需要对构造的判断矩阵进行一致性校验,若校验不通过,则须重新构造判断矩阵;通过判断矩阵计算方法权重向量。5.如权利要求1或3所述的一种基于组合评估法的信息系统安全风险评估模型,其特征在于,计算各方法的评价值包括以下步骤构建指标评估体系,根据风险评估方法的分析判断原则建立层次结构,建立评价因素集合U二[ul,u2,um],其中ui(i=1,2,…,m)分别代表各影响因素,将方法评价集V定义为5级V={vl,V2,V3,V4,v5};确定评价隶属度矩阵,设评价集V二(vl,v2,v3,v4,v5)对于评价因素ui有vij个评语j=1,2,…,5,则ui对于评语集V的隶属度向量di=[dil,di2,…,di5],其中<formula>formulaseeoriginaldocumentpage2</formula>由此得到底层各满意度评价指标对中间层风险评价指标的隶属度向量dij,以及隶属度矩阵D=(dij)mX5;初级模糊综合评判;二级模糊综合评判;评价结果,根据加权平均原则,如果得到的评价结果向量为B=[bl,b2,…,bk],评价集为V={vl,v2,v3,v4,v5),则得到最终结果<formula>formulaseeoriginaldocumentpage2</formula>6.如权利要求1或3所述的一种基于组合评估法的信息系统安全风险评估模型,其特征在于,DEA模型将每一种评估方法看成是一个将一定"输入"转化为一定"输出"的决策单元,它所需要的人力,物力投入作为决策单元的输入,其对信息系统做出的科学性,合理性的风险评估作为决策单元的输出,将评估方法的一级指标作为DEA的输出指标,将模糊综合评价二级评估所得到的结果作为指标值,这样,就可以应用DEA方法评价不同评估方法的相对有效性,进而选择评估有效性较高的一种或几种评估方法。7.如权利要求1所述的一种基于组合评估法的信息系统安全风险评估模型,其特征在于,基于模糊层次分析法(FAHP)的方法结果组合,按方法筛选模块选出的风险评估方法对信息系统进行风险等级评价,然后对评价的结果进行科学和合理的组合,评估结果组合需要经历三个阶段建立层次指标体系,筛选出的方法作为末级指标;用模糊层次分析法计算各方法相对于顶级指标的相对权重,首先需要计算的是下层指标相对于上层指标的相对权重,我们假定方法k相对上一层元素Rij的权重值为wijk,Rij相对于Ri的权重为wij,最后,Ri相对于目标0的权重为wi,则方法k的权重是此方法在指标层元素Rij方面相对于目标0的权重为<formula>formulaseeoriginaldocumentpage3</formula>r表示最下层指标中的第r个指标,方法k相对于目标的权重就是<formula>formulaseeoriginaldocumentpage3</formula>最后按上一步计算出的权重向量组合结果。全文摘要本发明涉及一种基于组合评估法的信息系统安全风险评估模型,该模型综合了定性和定量分析的优势,定义了合理的指标层次结构和算法流程,其核心思想是将目前的风险评估方法收集到一个方法库中,在评估时首先采用基于模糊综合评判的数据包络分析法(DEA)从方法库中筛选出针对于所评估系统绩效值最高的几种方法,再依据模糊层次分析法(FAHP)对筛选出的各方法的评估结果进行组合,从而解决多方法评估结论的非一致性问题,以达到更加科学和合理的对信息系统进行风险等级评估的目的。文档编号G06Q10/00GK101727627SQ200910311620公开日2010年6月9日申请日期2009年12月16日优先权日2009年12月16日发明者杨晓明,罗衡峰申请人:工业和信息化部电子第五研究所