最優(yōu)組合賦權(quán)法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用

劉加伶，付明明,馮　欣,張　紅

(重慶理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，重慶　400054)

?

最優(yōu)組合賦權(quán)法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用

劉加伶，付明明,馮欣,張紅

(重慶理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，重慶400054)

摘要：在互聯(lián)網(wǎng)環(huán)境下新運(yùn)行的信息系統(tǒng)由于運(yùn)行時(shí)間短，通過(guò)涉及的數(shù)據(jù)樣本不足以用定量分析方法量化分析出系統(tǒng)的安全狀況，而定性分析方法又過(guò)于依賴評(píng)估者的主觀經(jīng)驗(yàn)。為提高評(píng)估的科學(xué)性和有效性，依據(jù)拉格朗日條件極值原理，結(jié)合G1-法求出的主觀權(quán)重和熵權(quán)法求出的客觀權(quán)重，提出兼顧主客觀因素的最優(yōu)組合賦權(quán)方法，并通過(guò)求解模型最優(yōu)解以確定指標(biāo)的最優(yōu)組合權(quán)重。實(shí)例分析表明：在數(shù)據(jù)不足的情況下，最優(yōu)組合賦權(quán)法兼顧了主客觀因素，評(píng)估結(jié)果能更合理地反映信息系統(tǒng)的信息安全現(xiàn)狀。

關(guān)鍵詞：信息安全風(fēng)險(xiǎn)評(píng)估；最優(yōu)組合賦權(quán)；熵權(quán)法；G1-法

隨著電子商務(wù)、電子政務(wù)、智能城市等一系列信息化工程的快速發(fā)展，信息技術(shù)的應(yīng)用一方面使得人們的工作、生活更加便捷和高效，另一方面也導(dǎo)致信息安全事件呈增長(zhǎng)趨勢(shì)[8]。因此，如何科學(xué)、有效地評(píng)估出信息系統(tǒng)當(dāng)前的安全狀況，對(duì)信息安全問(wèn)題的控制和解決有十分重要的意義。

信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度出發(fā)，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)面臨的威脅及存在的脆弱性，評(píng)估安全事件發(fā)生的可能性和危害程度[1]。其中，風(fēng)險(xiǎn)值的確定是信息安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵，而各評(píng)估指標(biāo)權(quán)重的確定將直接影響風(fēng)險(xiǎn)值的確定，從而影響評(píng)估結(jié)果的科學(xué)性、合理性。目前，國(guó)內(nèi)外學(xué)者對(duì)指標(biāo)權(quán)重的確定方法主要有主觀賦權(quán)法、客觀賦權(quán)法、綜合賦權(quán)法[2-3]。主觀賦權(quán)法無(wú)需樣本數(shù)據(jù)，但過(guò)于依賴評(píng)估者的業(yè)務(wù)經(jīng)驗(yàn)，主觀性強(qiáng)[14]?？陀^賦權(quán)法依賴樣本數(shù)據(jù)，樣本數(shù)據(jù)的量和質(zhì)決定了評(píng)估結(jié)果的科學(xué)性和有效性[15]。付鈺等[4]運(yùn)用熵權(quán)法確定了指標(biāo)權(quán)重，在一定程度上克服了單一賦權(quán)法的缺點(diǎn)，然而評(píng)估結(jié)果中未能體現(xiàn)主客觀的重要程度，且對(duì)初始數(shù)據(jù)的依賴性較大，在信息系統(tǒng)涉及數(shù)據(jù)的質(zhì)和量不足的情況下，難以有效地反映出系統(tǒng)的安全狀況。

實(shí)際評(píng)估工作中風(fēng)險(xiǎn)因素重要程度的差異是客觀存在的。新投入運(yùn)行的信息系統(tǒng)收集的數(shù)據(jù)有限，難以用客觀評(píng)估方法準(zhǔn)確評(píng)估出信息系統(tǒng)目前的安全狀況。為了合理解決以上問(wèn)題，本文將主觀賦權(quán)法和客觀賦權(quán)法有效結(jié)合，使評(píng)估結(jié)果同時(shí)兼顧主觀和客觀信息，通過(guò)組合賦權(quán)法對(duì)新運(yùn)行的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，使結(jié)果能更合理、有效地反映系統(tǒng)此時(shí)的安全狀況。

1信息安全風(fēng)險(xiǎn)評(píng)估一般過(guò)程

根據(jù)國(guó)家標(biāo)準(zhǔn)《電信網(wǎng)和互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估指南》YD/T 1730—2008[5]，信息安全風(fēng)險(xiǎn)評(píng)估一般過(guò)程分為5個(gè)階段：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段、風(fēng)險(xiǎn)要素識(shí)別階段、風(fēng)險(xiǎn)值確定階段、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定階段。風(fēng)險(xiǎn)評(píng)估具體流程如圖1所示。風(fēng)險(xiǎn)評(píng)估過(guò)程的關(guān)鍵是風(fēng)險(xiǎn)值的確定，風(fēng)險(xiǎn)值的確定決定了風(fēng)險(xiǎn)分析和實(shí)施風(fēng)險(xiǎn)管理的有效性[11]。

圖1　風(fēng)險(xiǎn)評(píng)估實(shí)施流程

2基于最優(yōu)組合賦權(quán)法的信息安全風(fēng)險(xiǎn)評(píng)估模型

基于最優(yōu)組合賦權(quán)法的信息安全風(fēng)險(xiǎn)評(píng)估是綜合運(yùn)用主觀賦權(quán)法和客觀賦權(quán)法對(duì)信息系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。對(duì)于新運(yùn)行的信息系統(tǒng)，由于運(yùn)行時(shí)間短，使用單一方法很難準(zhǔn)確評(píng)估出此時(shí)的安全狀況，而最優(yōu)組合賦權(quán)法能最大限度地考慮主客觀因素，使評(píng)估指標(biāo)之間的主客觀差異更容易體現(xiàn)。

基于最優(yōu)賦權(quán)法的信息安全風(fēng)險(xiǎn)評(píng)估方法如圖2所示。

圖2　基于最優(yōu)組合賦權(quán)法信息安全風(fēng)險(xiǎn)評(píng)估

2.1基于G1-法的主觀權(quán)重確定

G1-法是指標(biāo)偏好型法，該方法可以直接表達(dá)評(píng)價(jià)者主觀信息，在一定程度上克服了層次分析法中一致性檢驗(yàn)、被比較元素個(gè)數(shù)較多時(shí)判斷的準(zhǔn)確性難以保證等缺陷，計(jì)算過(guò)程較簡(jiǎn)便[6]。

G1-法的主要步驟如下：

步驟2給出xj-1與xj間相對(duì)重要程度的比較判斷。設(shè)專家關(guān)于評(píng)價(jià)指標(biāo)xj-1與xj的重要程度之比ωk-1/ωk的理性判斷為：

(1)

當(dāng)m較大時(shí)，由序關(guān)系可取rm=1。

表1　rk的賦值參考表

步驟3確定主觀權(quán)重ωk。由式(2)可求出各個(gè)屬性的主觀權(quán)重。

(2)

2.2基于信息熵的客觀權(quán)重確定

信息熵確定權(quán)重的基本思路：首先確定所有方案在每個(gè)屬性上的熵，然后由每個(gè)屬性上熵的大小來(lái)確定權(quán)重。如果這個(gè)屬性上的熵比較大，則意味著所有方案在這個(gè)屬性上的變化較小，因此這個(gè)屬性對(duì)最后的評(píng)價(jià)結(jié)果貢獻(xiàn)較小。而如果這個(gè)屬性的熵較小，則結(jié)果正好相反[7]。

信息熵確定權(quán)重的主要步驟如下[9-10]：

其中：xij為對(duì)j個(gè)指標(biāo)下的第i個(gè)評(píng)價(jià)對(duì)象的評(píng)價(jià)值。

步驟2計(jì)算第j項(xiàng)指標(biāo)下第i個(gè)方案的特征比重：

(3)

步驟3計(jì)算熵值Ej：

(4)

其中：常數(shù)k可以取k=1/lnm。此時(shí)0≤Ej≤1，即Ej最大為1。

步驟4歸一化處理確定各屬性權(quán)重ωj：

(5)

歸一化的目的是讓所有屬性的權(quán)重之和為1。

2.3最優(yōu)組合權(quán)重確定

最優(yōu)組合賦權(quán)的思想是通過(guò)求解建立的組合權(quán)重模型，確定主客觀權(quán)重各自的比重，使得最終確定的組合權(quán)重更好地反映被評(píng)價(jià)系統(tǒng)的真實(shí)情況[6]。

(6)

(7)

使綜合評(píng)價(jià)值盡可能地分散并體現(xiàn)出不同被評(píng)對(duì)象之間的差異是多指標(biāo)評(píng)價(jià)中組合賦權(quán)系數(shù)確定的原則。最優(yōu)組合賦權(quán)問(wèn)題可以轉(zhuǎn)化為求以下最優(yōu)化問(wèn)題：

(8)

由拉格朗日條件極值原理，可得：

(9)

2.4風(fēng)險(xiǎn)值確定

風(fēng)險(xiǎn)值與各風(fēng)險(xiǎn)因素的權(quán)重ω及其相應(yīng)的隸屬矩陣P和評(píng)價(jià)集向量G的轉(zhuǎn)置正相關(guān)，3項(xiàng)相乘即可計(jì)算出第1層風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)值：

(10)

由公式(10)分別求出第1層風(fēng)險(xiǎn)因素：資產(chǎn)、威脅、脆弱性和已有安全措施的風(fēng)險(xiǎn)值Rc,Rt,Rf,Rp。

資產(chǎn)的風(fēng)險(xiǎn)因素有資產(chǎn)價(jià)值、威脅頻率、脆弱性價(jià)值和已有安全措施，這些因素與風(fēng)險(xiǎn)值都是正相關(guān)的。因此，將這些因素的風(fēng)險(xiǎn)值相乘即可得到資產(chǎn)對(duì)應(yīng)某項(xiàng)弱點(diǎn)的風(fēng)險(xiǎn)值：

(11)

由于在風(fēng)險(xiǎn)分析時(shí)風(fēng)險(xiǎn)值是整數(shù)，所以在最后求得風(fēng)險(xiǎn)值時(shí)取整。

風(fēng)險(xiǎn)評(píng)估的評(píng)價(jià)集為

2.5風(fēng)險(xiǎn)分析

對(duì)風(fēng)險(xiǎn)值進(jìn)行等級(jí)化處理。《YD/T 1730—2008》標(biāo)準(zhǔn)[5]把風(fēng)險(xiǎn)等級(jí)分為5級(jí)，風(fēng)險(xiǎn)等級(jí)描述如表2所示，每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度，等級(jí)越高，風(fēng)險(xiǎn)越高。

結(jié)合不同資產(chǎn)已采取的安全措施判斷其風(fēng)險(xiǎn)值是否在可以接受范圍內(nèi)，如果風(fēng)險(xiǎn)值在可以接受范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受風(fēng)險(xiǎn)，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)值在可接受范圍外，則是不可接受風(fēng)險(xiǎn)，需要制定風(fēng)險(xiǎn)處理計(jì)劃并采取新的安全措施來(lái)降低、控制風(fēng)險(xiǎn)。

綜合考慮資產(chǎn)類別、風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，并結(jié)合資產(chǎn)所在網(wǎng)絡(luò)或系統(tǒng)的安全等級(jí)，提出一個(gè)可接受的風(fēng)險(xiǎn)閾值(風(fēng)險(xiǎn)值大于此閾值的風(fēng)險(xiǎn)視為不可接受)。

表2　風(fēng)險(xiǎn)等級(jí)判定

3案例分析

應(yīng)用最優(yōu)組合賦權(quán)法對(duì)C市聯(lián)通網(wǎng)絡(luò)運(yùn)維部新運(yùn)行的業(yè)務(wù)系統(tǒng)實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估。調(diào)研該信息系統(tǒng)的實(shí)際情況并結(jié)合《電信網(wǎng)和互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估指南》(YD/T 1730—2008)[5]標(biāo)準(zhǔn)，該信息系統(tǒng)的資產(chǎn)可以分為硬件、軟件、數(shù)據(jù)、服務(wù)、紙質(zhì)和人員6類。由該系統(tǒng)的實(shí)際運(yùn)行情況和相關(guān)安全等級(jí)要求并結(jié)合專家意見(jiàn)制定出該系統(tǒng)所涉及每類資產(chǎn)的風(fēng)險(xiǎn)閾值(表3)。

表3　風(fēng)險(xiǎn)閾值

為了驗(yàn)證該方法的科學(xué)性和有效性，以系統(tǒng)的硬件資產(chǎn)為研究對(duì)象，根據(jù)相關(guān)標(biāo)準(zhǔn)將風(fēng)險(xiǎn)評(píng)價(jià)集定義如下：G=[很高，高，中等，低，很低]=[5,4,3,2,1]，其含義如表4所示。

風(fēng)險(xiǎn)評(píng)估中每個(gè)要素都有其特定屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性是威脅來(lái)源、發(fā)生頻率等；脆弱性的屬性是其被威脅利用的程度等；已有安全措施的屬性是已有安全措施有效性。通過(guò)實(shí)際調(diào)研并結(jié)合《YD/T 1730—2008》標(biāo)準(zhǔn)[2]，在遵循標(biāo)準(zhǔn)性、可控性、完備性、最小影響、保密性等原則的基礎(chǔ)上，根據(jù)業(yè)務(wù)系統(tǒng)實(shí)際運(yùn)行情況，確定信息安全風(fēng)險(xiǎn)評(píng)估體系(見(jiàn)圖3)。

表4　風(fēng)險(xiǎn)評(píng)價(jià)集描述

圖3　信息安全風(fēng)險(xiǎn)評(píng)估體系

采用德?tīng)柗品?，邀?qǐng)10位專家根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估體系與風(fēng)險(xiǎn)評(píng)價(jià)集，對(duì)信息系統(tǒng)硬件資產(chǎn)的風(fēng)險(xiǎn)因素進(jìn)行打分，將打分結(jié)果進(jìn)行規(guī)范化處理得到隸屬矩陣(見(jiàn)表5)。

表5　隸屬矩陣

3.1主觀權(quán)重下的風(fēng)險(xiǎn)值

評(píng)估小組認(rèn)為信息系統(tǒng)硬件資產(chǎn)的風(fēng)險(xiǎn)因素Xc1、Xc2、Xc3之間的重要性程度關(guān)系式為Xc3>Xc2>Xc1，且給出此時(shí)的r2=1.2,r3=1.4；Xt1、Xt2、Xt3風(fēng)險(xiǎn)因素之間的重要性程度關(guān)系式為Xt3>Xt2>Xt1，且給出此時(shí)的r2=1.2,r3=1.2；Xf1、Xf2風(fēng)險(xiǎn)因素之間的重要性程度關(guān)系式為Xf2>Xf1，且給出此時(shí)的r2=1.2；Xp1、Xp2風(fēng)險(xiǎn)因素之間的重要性程度關(guān)系式為Xp2>Xp1，且給出此時(shí)的r2=1.0。

利用序關(guān)系法，由式(2)可求出各屬性的主觀權(quán)重為：

(0.245,0.343,0.412)

(0.275,0.329,0.396)

由公式(10)求出第1層主觀權(quán)重下各要素的風(fēng)險(xiǎn)值：

(2.484,2.388,2.637,2.250)

將上述結(jié)果代入式(11)求出主觀權(quán)重下系統(tǒng)的硬件資產(chǎn)的風(fēng)險(xiǎn)值為35。

3.2客觀權(quán)重下的風(fēng)險(xiǎn)值

由熵權(quán)法的主要步驟計(jì)算出各風(fēng)險(xiǎn)因素的客觀權(quán)重為：

ω″c=(ω″c1,ω″c1,ω″c1)=

(0.654,0.149,0.197)

ω″t=(ω″t1,ω″t2,ω″t3)=

(0.631,0.290,0.079)

ω″f=(ω″f1,ω″f2)=(0.737,0.263)

ω″p=(ω″p1,ω″p2)=(0.572,0.428)

由式(10)求出第1層客觀權(quán)重下各要素的風(fēng)險(xiǎn)值為

(2.278,2.087,2.721,2.257)

將上述結(jié)果代入式(11)求出客觀權(quán)重下系統(tǒng)硬件資產(chǎn)的風(fēng)險(xiǎn)值為29。

3.3組合權(quán)重下的風(fēng)險(xiǎn)值

將上述求得的ω′,ω″代入式(9)和(10)，歸一化后得到每個(gè)屬性的主客觀相應(yīng)系數(shù)為：

kc1= 0.566 0, kc2= 0.434 0

kp1= 0.500 0, kp2= 0.500 0

kt1= 0.499 3, kt2= 0.500 7

kf1= 0.474 0, kf2= 0.525 6

由式(6)求出第一層最優(yōu)組合權(quán)重為：

ωc=(ωc1,ωc2,ωc3)=

(0.422 6, 0.258 7,0.318 7)

ωt=(ωt1,ωt2,ωt3)=

(0.453 2, 0.309 3, 0.237 5)

ωf=(ωf1,ωf2)=(0.603 3, 0.396 7)

ωp=(ωp1,ωp2)=(0.536 2, 0.463 8)

由式(10)求出第一層最優(yōu)組合權(quán)重下各要素的風(fēng)險(xiǎn)值為

(2.395,2.238,2.681,2.254)

將上述結(jié)果代入式(11)，得出最優(yōu)組合權(quán)重下系統(tǒng)硬件資產(chǎn)的風(fēng)險(xiǎn)值為32。

3.4結(jié)果分析

通過(guò)最優(yōu)組合賦權(quán)法求得C市聯(lián)通網(wǎng)絡(luò)運(yùn)維部新運(yùn)行的業(yè)務(wù)信息系統(tǒng)涉及的硬件資產(chǎn)風(fēng)險(xiǎn)值為32，風(fēng)險(xiǎn)等級(jí)為3級(jí)。與只采用單一賦權(quán)模型得出的評(píng)估結(jié)果的對(duì)比見(jiàn)表6。

表6　組合賦權(quán)法和單一賦權(quán)法結(jié)果對(duì)比

根據(jù)得到的風(fēng)險(xiǎn)值并結(jié)合硬件資產(chǎn)的風(fēng)險(xiǎn)閾值，可以認(rèn)為采用G1-法求得的風(fēng)險(xiǎn)值是不可接受風(fēng)險(xiǎn)，就此判斷應(yīng)對(duì)硬件資產(chǎn)已有的安全措施進(jìn)行相應(yīng)改進(jìn)，從而增加了風(fēng)險(xiǎn)控制成本。然而，實(shí)際上已有的安全措施可以控制現(xiàn)存風(fēng)險(xiǎn)，此結(jié)果可能受專家主觀經(jīng)驗(yàn)不足影響[12-13]。熵權(quán)法和最優(yōu)組合賦權(quán)法求得的風(fēng)險(xiǎn)值都是可接受風(fēng)險(xiǎn)，然而熵權(quán)法求得的風(fēng)險(xiǎn)值相對(duì)偏低，可能受到數(shù)據(jù)量少的影響，而最優(yōu)組合賦權(quán)法求得的風(fēng)險(xiǎn)值更客觀。

4結(jié)束語(yǔ)

綜合主觀權(quán)重和客觀權(quán)重各自的優(yōu)缺點(diǎn)，在基于拉格朗日條件極值原理的基礎(chǔ)上，建立最優(yōu)組合賦權(quán)模型，求得組合權(quán)重。通過(guò)實(shí)例驗(yàn)證表明，該方法有效避免了人為因素對(duì)評(píng)價(jià)結(jié)果的影響，解決了因數(shù)據(jù)少而難以客觀反映系統(tǒng)信息安全狀況的問(wèn)題。

參考文獻(xiàn)：

[1]楊玉明.淺析信息安全風(fēng)險(xiǎn)評(píng)估在企業(yè)信息化建設(shè)中的應(yīng)用[J].中國(guó)電子商務(wù),2012(2):218-218.

[2]OUYANG Y P,SHIEH H M,TZENG G H.A VIKOR technique with applications based on DEMATEL and ANP[Z].MCDM 2009,Communications in Computer and Information Science (CCIS).2009,35:780-799.

[3]BEREZINA KATERINA,COBANOGLU CIHAN,MILLER BRIAN L.The impact of information security breach on hotel guest perception of service quality,satisfaction,revisit intentions and word-of-mouth[J].Internation Journal of Contemporary Hospitality Management,2012,24(7):99-101.

[4]付鈺,吳曉平,葉清,等.基于模糊集與熵權(quán)理論的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J].電子學(xué)報(bào),2010(7):1489-1494.

[5]YD/T 1730—2008.電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南[S].北京:中華人民共和國(guó)信息產(chǎn)業(yè)部，2008.

[6]郭亞軍.綜合評(píng)價(jià)理論、方法及拓展[M].北京:科學(xué)出版社,2012.

[7]趙剛,劉換.基于多層次模糊綜合評(píng)判及熵權(quán)理論的實(shí)用風(fēng)險(xiǎn)評(píng)估[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2012(10):1382-1387.

[8]楊珂.淺談網(wǎng)絡(luò)信息安全現(xiàn)狀[J].數(shù)字技術(shù)與應(yīng)用,2013(2):172.

[9]張璇,廖鴻志,李彤,等.基于信息熵和攻擊面的軟件安全度量[J].計(jì)算機(jī)應(yīng)用,2013(1):19-22,48.

[10]付沙.一種基于信息熵的信息系統(tǒng)安全風(fēng)險(xiǎn)分析方法[J].情報(bào)科學(xué),2013(6):38-42.

[11]陳頌,王光偉,劉欣宇,等.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J].通信技術(shù),2012(1):128-130.

[12]劉佳,徐賜文.信息安全風(fēng)險(xiǎn)評(píng)估方法的比較分析[J].中央民族大學(xué)學(xué)報(bào)(自然科學(xué)版),2012(2):91-96.

[13]宋彪,朱建明.基于業(yè)務(wù)流程的ERP信息安全進(jìn)化熵的風(fēng)險(xiǎn)評(píng)估[J].通信學(xué)報(bào),2012(S1):210-215.

[14]SHA FU,YEZHI XIAO.An Effective Process of Information Security Risk Assessment[J].Energy Procedia,

2011.

[15]張弢,慕德俊,任帥,等.一種基于風(fēng)險(xiǎn)矩陣法的信息安全風(fēng)險(xiǎn)評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用,2010(5):93-95.

(責(zé)任編輯楊黎麗)

Application of Optimal Combined Weights Method in Information Security Risk Assessment

LIU Jia-ling, FU Ming-ming, FENG Xin, ZHANG Hong College of Computer Science and Engineering,

(Chongqing University of Technology, Chongqing 400054, China)

Abstract:The new on-line information system under the internet environment, due to the short running time, the data are insufficient to quantitative analyze the system’s security situation using the quantitative analysis method,while the qualitative analysis is too dependent on subjective assessment of the experience. To improve the scientificity and effectiveness of the assessment, Lagrange conditioned extreme value was presented, combined subjective weights confirmed by G1-Law and objective weights confirmed by entropy method, an optimal combination determining considering both subjective and objective weight information was put forward. The result show that， in the case of insufficient data, an optimal combination determining takes into account the objective and subjective factors and makes the evaluation results more reasonably reflect the information security status of the information system.

Key words:information security risk assessment; optimal combination weight; entropy method; G1-law

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 1674-8425(2016)03-0087-07

doi:10.3969/j.issn.1674-8425(z).2016.03.015

作者簡(jiǎn)介：劉加伶(1963—)，女，碩士，教授，主要從事信息管理與數(shù)據(jù)庫(kù)技術(shù)等方面研究。

基金項(xiàng)目：國(guó)家自然科學(xué)基金青年科學(xué)基金項(xiàng)目(61202348)

收稿日期：2015-10-20

引用格式：劉加伶，付明明,馮欣,等.最優(yōu)組合賦權(quán)法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J].重慶理工大學(xué)學(xué)報(bào)(自然科學(xué))，2016(3):87-93.

Citation format：LIU Jia-ling, FU Ming-ming, FENG Xin, ZHANG Hong.Application of Optimal Combined Weights Method in Information Security Risk Assessment [J].Journal of Chongqing University of Technology(Natural Science)，2016(3):87-93.