一种多属性决策的信息安全效用提升方法
【技术领域】
[0001] 本发明涉及信息管理技术领域,尤其是涉及一种多属性决策的信息安全效用提升 方法。
【背景技术】
[0002] 多准则决策问题在各领域广泛存在。其中,备选方案有限时为多属性决策,备选方 案连续(无限个)时为多目标决策。多准则决策方法的研究和应用很多,如:在《Vague集 的多目标模糊决策方法》一文中提出了一种新的多目标模糊决策的Vague集方法,该方法 利用一个新的评分函数对方案进行排序,选出最优方案,并给出其相关性质,证明其解决了 现有Vague集的多目标模糊决策方法的缺陷,通过实例阐明新方法的有效性和优越性。在 《城市环境质量综合评价的多目标决策理想区间法》一文中提出了一种新的评价方法,即多 目标决策理想区间法,用该方法评价城市环境质量,把评价标准处理成理想区间的形式,并 用遗传投影寻踪方法来确定权重。工程招标采购也是一类典型的多目标决策问题,在《工程 招标采购的模糊多目标群决策分析》一文中将基于模糊集合理论的模糊多目标群决策方法 用于工程招标决策中,决策者只需依其经验和偏好,用语言变量独立地对各投标者进行指 标评估,再用模糊数量化处理这些语言变量,经由决策模型的计算获得方案的优劣排序。其 他的方法还有人工神经网络、遗传算法、灰色评估、模糊贝叶斯决策、粗集和证据理论、随机 与概率论、模糊集方法等。
[0003] 然而,对于信息安全效用提升方案或效用提升选择方法的多属性决策,国内外的 研究不多。如:在《信息系统安全措施有效性评估》一文中研究了不同的安全措施对抗某一 风险的相关性,得到了安全措施有效性评估模型。在《模糊多属性决策方法在信息安全评估 中的应用》一文中利用模糊性多属性决策方法,建立了一种信息系统安全管理综合评估的 定量模型,旨在综合各种定性定量评估因子的影响,得到对系统安全性的综合评价的量化 值,从而提高信息系统的科学管理水平。在《信息系统安全评估理论及其关键技术研究》一 文中提出了基于模糊多属性群决策的信息系统安全决策方法,并采用多指标的各种指数评 估安全措施,获得安全措施的排序。
[0004] 在选择最优化信息安全效用提升方案时,在现有的大部分研究或选择评价过程 中,并没有利用模糊多属性决策理论,而是简单地使用人工操作或主观判断作为最优方案 选择的唯一方法,使得信息安全效用提升方案的选取机制具有相当的主观判断色彩,并且 选择评价过程较为复杂繁琐,其大部分选择方法不具有客观性,从而导致信息安全效用提 升方案并非最优,其选择效果不佳。
【发明内容】
[0005] 本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种多属性决 策的信息安全效用提升方法,本发明基于多属性决策的信息安全措施效用提升最优方案选 择方法为有效实施系统信息安全管理提供了决策支持,可以减轻信息安全措施效用评估过 程中对人员主观因子的严重依赖,通过灵敏度分析来考察主观上的误差扰动对最终结果的 影响程度,即当方案的内外因素发生变化时,指标值在什么范围变化,已排出的顺序不变, 从而分析决策结果的稳定性和可靠性,减少了输入数据的主观性。可保证信息安全措施效 用评估过程的规范性和信息安全措施效用评估结果的一致性和可追溯性,降低了信息安全 措施效用提升最优方案选择的复杂度,提高了信息安全措施效用提升最优方案选择的客观 可信度,其效果倶佳,为实际网络环境中的信息安全管理活动提供指导。
[0006] 为解决上述技术问题,本发明采用的技术方案是:一种多属性决策的信息安全效 用提升方法,其特征在于,包括以下步骤:
[0007] S1、获取信息系统的基本要求;
[0008] S2、确定备选的信息安全效应提升方案;
[0009] S3、获取信息安全效应提升方案的效能指数EI ;
[0010] S4、确定信息安全效应提升方案决策的主要影响因子;
[0011] S5、计算主要影响因子的权重;
[0012] S6、获取信息安全效应提升方案的综合指数GI ;
[0013] S7、依据相对综合指数RGI进行排序,选择最优化信息安全效应提升方案。
[0014] 进一步地,所述步骤Sl具体为:所述信息系统基本要求为满足安全等级要求的基 本要求,能对抗系统不能接受的重大风险,成本在可接受的范围以及其他相关要求。
[0015] 进一步地,所述步骤S2具体为:确定备选的信息安全效用提升方案集合P : {Pj I j =1,2,. . .,s},其中,Pj是第j种信息安全效用提升方案,s为备选信息安全效用提升方案 的数量。
[0016] 进一步地,所述步骤S3具体为:所述效能指数EI计算方式为
,其中,RLi是风险ri的风险等级,eji是信息安全效用提升方案Pi对 i:={ 抗风险ri的有效性,通过灵敏度分析与人工专家共同依据理论分析、历史数据、学识经验 和实际情况给出。
[0017] 进一步地,所述步骤S4、S5具体为:所述主要影响因子表示为集合F : {fi I i = 1, 2, . . .,t},相应的权重表示为集合W' = {wi' I i = 1,2, . . .,t}。
[0018] 进一步地,所述主要影响因子F分别为信息安全效用提升方案的效能、安全措施 效用值、安全等级保护要求、投资成本、实施代价,其权重W'分别为0. 35、0. 10、0. 30、0. 15、 0. 10〇
[0019] 进一步地,所述步骤S6具体为:所述综合指数GI计算公式为
其中,GI j为信息安全效用提升方案Pj的综合指数,Wi'为第i种影响因子fi的权重,gji 为对k进行归一化的结果,而k为信息安全效用提升方案Pj在影响因子fi上的取值。
[0020] 进一步地,所述参数gji的计算方式分效益型目标属性和成本型目标属性两种, 其中效益型目标属性和成本型目标属性计算方式分别为:
[0021]
[0022] 其中,1^1、1\1分别为第」、第1^个影响因子。
[0023] 进一步地,所述步骤S7具体为:所述相对综合指数RGI计算公式为
,然后对各个信息安全效用提升方案进行排序,从而得 出最优化的信息安全效用提升方案。
[0024] 本发明与现有技术相比具有以下优点:本发明基于多属性决策的信息安全措施效 用提升最优方案选择方法为有效实施系统信息安全管理提供了决策支持,可以减轻信息安 全措施效用评估过程中对人员主观因子的严重依赖,通过灵敏度分析来考察主观上的误差 扰动对最终结果的影响程度,即当方案的内外因素发生变化时,指标值在什么范围变化,已 排出的顺序不变,从而分析决策结果的稳定性和可靠性,减少了输入数据的主观性。可保证 信息安全措施效用评估过程的规范性和信息安全措施效用评估结果的一致性和可追溯性, 降低了信息安全措施效用提升最优方案选择的复杂度,提高了信息安全措施效用提升最优 方案选择的客观可信度,其效果倶佳,为实际网络环境中的信息安全管理活动提供指导。
[0025] 下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
【附图说明】
[0026] 图1为本发明的工作流程图;
【具体实施方式】
[0027] 如图1所示,一种多属性决策的信息安全效用提升方法,其特征在于,包括以下步 骤:
[0028] S1、获取信息系统的基本要求;
[0029] S2、确定备选的信息安全效应提升方案;
[0030] S3、获取信息安全效应提升方案的效能指数EI ;
[0031] S4、确定信息安全效应提升方案决策的主要影响因子;
[0032] S5、计算主要影响因子的权重;
[0033] S6、获取信息安全效应提升方案的综合指数GI ;
[0034] S7、依据相对综合指数RGI进行排序,选择最优化信息安全效应提升方案。
[0035] 本实施例中,所述步骤Sl具体为:所述信息系统基本要求为满足安全等级要求的 基本要求,能对抗系统不能接受的重大风险,成本在可接受的范围以及其他相关要求。
[0036] 本实施例中,所述步骤S2具体为:确定备选的信息安全效用提升方案集合P : {Pj I j = 1,2, ...,s},其中,Pj是第j种信息安全效用提升方案,s为备选信息安全效用提 升方案的数量。
[0037] 本实施例中,所述步骤S3具体为:所述效能指数EI计算方式为
[0038]
[0039] 其中,RLi是风险ri的风险等级,eji是信息安全效用提升方案Pj对抗风险ri的 有效性,通过灵敏度分析与人工专家共同依据理论分