基于信息系統(tǒng)安全風(fēng)險綜合評估的灰色預(yù)測模型研究

摘要:該文提出了基于信息系統(tǒng)若干歷史時期的風(fēng)險度的灰色預(yù)測模型，它充分利用灰色系統(tǒng)理論少數(shù)據(jù)建模的特點，根據(jù)已有風(fēng)險數(shù)據(jù)對信息系統(tǒng)的安全風(fēng)險價值的整體情況進(jìn)行了客觀的預(yù)測，從而實現(xiàn)對信息系統(tǒng)安全風(fēng)險的有效的管理和控制。

關(guān)鍵詞:信息系統(tǒng);風(fēng)險評估;模糊綜合評判;灰色預(yù)測

中圖分類號:TP311文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)36-10290-02

An Research of a Grey Prediction Model Based on Comprehensive Risk Evaluation of Information System Security

CAI Shu-zhen

(School of Information Science， Nanjing Audit University， Nanjing 210029， China)

Abstract: This article proposes a grey prediction model based on the risk degree of a information system in some stages. According to the characteristics of the grey system theory which can use a little datum to build the model and the existing risk data， It will predicate impersonally the holistic complexion of information system security risk value， so it will manage and control effectually the risk of information system security.

Key words: information system; risk analysis; fuzzy comprehensive evaluation; grey prediction

當(dāng)今社會被超大規(guī)模的信息網(wǎng)絡(luò)環(huán)境籠罩著，盡管各種安全保護(hù)措施層出不窮，但無論如何風(fēng)險都是仍然存在的，因而對信息安全風(fēng)險進(jìn)行分析和評估在近幾年被越來越多的人所重視。到目前為止，關(guān)于風(fēng)險的分析方法、風(fēng)險評估方法以及風(fēng)險分析和評估建模方法、甚至于信息系統(tǒng)風(fēng)險的綜合評估模型的研究報道陸陸續(xù)續(xù)涌出。通過運用模糊綜合評估方法，結(jié)合層次分析法，采用Delphi精度分析的定性和定量相結(jié)合的信息系統(tǒng)安全風(fēng)險綜合評估模型，可以確定一個信息系統(tǒng)某個時期的風(fēng)險度量，但信息系統(tǒng)是復(fù)雜的，影響系統(tǒng)安全因素也是多樣的，從而希望能基于若干時期的風(fēng)險度建立一個安全風(fēng)險預(yù)測模型。

1 基于綜合評估模型的信息系統(tǒng)安全風(fēng)險的度量

風(fēng)險事件發(fā)生概率記為PS，風(fēng)險事件發(fā)生后果影響程度記為CS，那么風(fēng)險度量計算公式為RS=PS?誗CS[1]。

PS和CS的綜合評估步驟:

① 建立因素集U

記U={u1，u2，...，um}，其中ui(i=1，2，...，m)分別代表各影響因素。

風(fēng)險事件發(fā)生的影響因素和風(fēng)險事件發(fā)生后果的影響程度層次分析表如表1。

② 建立權(quán)重集A

采用層次分析法來確定權(quán)重集A={a1，a2，...，am}，

其中，。

③ 建立評估集V

根據(jù)通用評估準(zhǔn)則對信息系統(tǒng)風(fēng)險評價集定義為:

V={風(fēng)險很低，風(fēng)險低，風(fēng)險較低，風(fēng)險中等，風(fēng)險較高，風(fēng)險高，風(fēng)險很高}

={v1，v2，v3，v4，v5，v6，v7}(其中vi為評價集的等級賦值)

= (等分[0，1])

④ 單因素模糊評估

確定因素集U中的每一個因素在評價集V中的隸屬度，從而導(dǎo)出隸屬度矩陣R=(rij)m×7，rij表示因素ui對評價等級vj的隸屬度:

步驟②和④均涉及專家賦權(quán)，為更加客觀和合理起見，可以按照Delphi法進(jìn)行賦權(quán)精度分析，同時引入專家權(quán)威系數(shù)，用于判斷專家權(quán)威性，對賦權(quán)結(jié)果進(jìn)行處理。

⑤ 初級模糊評價

按每個因素的各個等級進(jìn)行評價，得到評價結(jié)果向量B:

其中，對B進(jìn)行歸一化處理得B':

B'=(b1'，b2'，b3'，b4'，b5'，b6'，b7')

⑥ 多級模糊綜合評價

在初級模糊評價基礎(chǔ)上，逐級向上評判得到最終評價結(jié)果向量Bn，n通常為1或2。

⑦ 確定評價結(jié)果(PS和CS)

PS和CS由公式 [1]計算得到。

根據(jù)上述步驟確定的Ps和Cs便可計算出風(fēng)險度RS=PS?誗CS。

2 灰色預(yù)測模型

按照上綜合評估模型，對某信息系統(tǒng)的t個時期的風(fēng)險度進(jìn)行計算，得到風(fēng)險度數(shù)據(jù)序列:R=(R0(1)，r0(2)，...，R0(t))，在這個原始數(shù)列基礎(chǔ)上進(jìn)行GM(1，1)模型的灰色預(yù)測步驟:

① 將原始數(shù)列(R0(1)，r0(2)，...，R0(t))作一次累加生成(AGO)可得數(shù)列:

R1=(R1(1)，R1(2)，...，R1(t))，

其中R1(K)=R0(1)+R0(2)+...+R0(K)，R1(1)=R0(1)，K=1，2，...，t

② 建立下述白化形式的微分方程和模型，即:

式中參數(shù)列a，μ按最小二乘法求得，即:

其中:

③ 計算BT，T，(BTB)-1，從而求得參數(shù)。

④ 確定模型:

(解上述白化方程所得，即累加生成數(shù)據(jù)預(yù)測計算公式)

⑤ 通過步驟④中式子得到的生成數(shù)據(jù)序列:

作累減生成(I-AGO)即可得預(yù)測序列:

其中，

⑥ 模型精度檢驗，修正模型

分別對R1與1進(jìn)行殘差檢驗和1的I-AGO與R0殘差檢驗，如模型精度不理想，就應(yīng)建立相應(yīng)得殘差GM(1，1)模型，對原預(yù)測數(shù)據(jù)序列加以修正，得最終精度較高的預(yù)測模型。

⑦ 根據(jù)步驟⑥中最終所得的預(yù)測模型對該信息系統(tǒng)的安全風(fēng)險價值進(jìn)行預(yù)測。

3 結(jié)束語

信息系統(tǒng)風(fēng)險受諸多因素影響，而且這些因素具有很強(qiáng)的模糊性，所以借助模糊綜合評估方法以及層次分析法可較準(zhǔn)確的綜合評估出一個信息系統(tǒng)某一時期的風(fēng)險狀況，但風(fēng)險隨時間而變化，這就需要綜合比較系統(tǒng)在不同時期的風(fēng)險整體水平。本文提出了在用綜合評估模型評估信息系統(tǒng)若干時期的風(fēng)險度的基礎(chǔ)上建立灰色預(yù)測模型對信息系統(tǒng)的安全風(fēng)險價值的整體水平進(jìn)行預(yù)測。該方法充分利用現(xiàn)有風(fēng)險數(shù)據(jù)對信息系統(tǒng)安全風(fēng)險作出了客觀的定量分析，灰色模型能保證相應(yīng)的誤差率，使得風(fēng)險度的評估結(jié)果更為可靠，還可以根據(jù)實際運行情況和風(fēng)險數(shù)據(jù)作灰色新陳代謝模型，對信息系統(tǒng)風(fēng)險的變化進(jìn)行監(jiān)控和管理。

參考文獻(xiàn):

[1] 宋如順.基于SSE-CMM的信息系統(tǒng)安全風(fēng)險評估[J].計算機(jī)應(yīng)用研究，2000(11).

[2] 鄧聚龍.灰色系統(tǒng)理論教程[M].武漢:華中理工大學(xué)出版社，1992.

[3] 周子揚，劉思峰.基于灰色預(yù)測的風(fēng)險投資價值評估方法[J].南京航空航天大學(xué)學(xué)報，2004(5).

[4] Peltier T R.Information Security Risk Analysis[M].Rothstein Associates Inc，2001.