信息技術(shù)設(shè)備安全運(yùn)行風(fēng)險(xiǎn)評(píng)估系統(tǒng)研究與設(shè)計(jì)

中國(guó)信息通信研究院 趙曉昕 徐春瑩

?

信息技術(shù)設(shè)備安全運(yùn)行風(fēng)險(xiǎn)評(píng)估系統(tǒng)研究與設(shè)計(jì)

中國(guó)信息通信研究院 趙曉昕 徐春瑩

【摘要】信息技術(shù)設(shè)備可以承載自動(dòng)化系統(tǒng)，保存、傳輸和共享系統(tǒng)資源，為人們工作、生活和學(xué)習(xí)提供方便，提高社會(huì)信息化水平。但在設(shè)備使用過(guò)程中，其面臨著較多的黑客攻擊、木馬侵襲和病毒感染，因此亟需構(gòu)建一個(gè)風(fēng)險(xiǎn)評(píng)估系統(tǒng)，以便能夠?qū)崟r(shí)地獲取信息技術(shù)設(shè)備運(yùn)行狀態(tài)，判斷設(shè)備是否存在危險(xiǎn)，及時(shí)地進(jìn)行防御和補(bǔ)救。

【關(guān)鍵詞】信息技術(shù)設(shè)備；風(fēng)險(xiǎn)評(píng)估；層次分析；安全矩陣

1.引言

隨著互聯(lián)網(wǎng)、數(shù)據(jù)庫(kù)、多媒體等技術(shù)的快速發(fā)展，利用這些計(jì)算機(jī)技術(shù)已經(jīng)在智能教育、金融通信、工業(yè)生產(chǎn)、軍工研發(fā)、電子政務(wù)等領(lǐng)域開(kāi)發(fā)了許多的自動(dòng)化、分布式管理系統(tǒng)，提高了人們工作、生活和學(xué)習(xí)的便捷性。信息技術(shù)設(shè)備是承載自動(dòng)化系統(tǒng)運(yùn)行、保存處理信息數(shù)據(jù)的硬件資源，因此設(shè)備安全是保證系統(tǒng)可靠運(yùn)行的重要前提［1］。但是，隨著程序開(kāi)發(fā)技術(shù)的提升，病毒、木馬和黑客攻擊手段越來(lái)越高超，給信息技術(shù)設(shè)備安全運(yùn)行帶來(lái)了很大的風(fēng)險(xiǎn)。因此，亟需采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)識(shí)別、量化分析設(shè)備面臨的風(fēng)險(xiǎn)狀況，評(píng)估威脅帶來(lái)的影響，以便更好地制定安全防御策略，為計(jì)算機(jī)網(wǎng)絡(luò)信息提供安全運(yùn)行保障。

2.信息技術(shù)設(shè)備安全運(yùn)行風(fēng)險(xiǎn)評(píng)估方法

目前，信息技術(shù)設(shè)備安全運(yùn)行風(fēng)險(xiǎn)評(píng)估方法主要分為定性分析、定量分析和混合分析三種，常用的方法包括事故樹(shù)分析方法、專家分析方法、BP神經(jīng)網(wǎng)絡(luò)等［2］。

（1）事故樹(shù)分析方法。事故樹(shù)分析方法是一種演繹分析方法，其可以描述信息技術(shù)設(shè)備事故之間的邏輯關(guān)系，從中歸納、總結(jié)和發(fā)現(xiàn)事故發(fā)生的原因，識(shí)別最基本的風(fēng)險(xiǎn)元素，定性分析設(shè)備存在的漏洞。

（2）專家分析方法。專家分析方法可以邀請(qǐng)相關(guān)領(lǐng)域內(nèi)經(jīng)營(yíng)豐富的專家、學(xué)者對(duì)信息技術(shù)設(shè)備進(jìn)行查看，按照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)分析設(shè)備是否安全，也可以獲取信息技術(shù)設(shè)備存在風(fēng)險(xiǎn)的部位和組成內(nèi)容。

（3）BP神經(jīng)網(wǎng)絡(luò)分析法。BP神經(jīng)網(wǎng)絡(luò)是一種數(shù)據(jù)挖掘方法，其可以通過(guò)學(xué)習(xí)獲取相關(guān)的風(fēng)險(xiǎn)關(guān)鍵特征，然后將待評(píng)估的信息技術(shù)設(shè)備狀態(tài)數(shù)據(jù)輸入到系統(tǒng)中，以自動(dòng)化地分析設(shè)備風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)評(píng)估速度快，評(píng)估結(jié)果具有較高的準(zhǔn)確度。

3.基于層次的信息技術(shù)設(shè)備安全運(yùn)行風(fēng)險(xiǎn)評(píng)估措施

層次分析方法是一種量化的信息技術(shù)設(shè)備風(fēng)險(xiǎn)評(píng)估方法，系統(tǒng)按照模塊劃分為多個(gè)組成部分，每一個(gè)部分又可以細(xì)化為多個(gè)小設(shè)備，根據(jù)設(shè)備的隸屬度關(guān)系將其劃分為多個(gè)層次，這樣就可以準(zhǔn)確地分析顆粒度較小的設(shè)備風(fēng)險(xiǎn)，按照設(shè)備重要程度賦予不同的權(quán)值，然后將各個(gè)子設(shè)備的風(fēng)險(xiǎn)與權(quán)值相乘之后進(jìn)行疊加、集成在一起，評(píng)估整個(gè)系統(tǒng)的風(fēng)險(xiǎn)［3］。信息技術(shù)設(shè)備風(fēng)險(xiǎn)層次評(píng)估步驟包括以下幾個(gè)方面。

（1）構(gòu)建一個(gè)遞階層次結(jié)構(gòu)模型

構(gòu)建遞階層次結(jié)構(gòu)模型的主要作用是可以詳細(xì)地分析一個(gè)實(shí)際問(wèn)題，然后設(shè)計(jì)一個(gè)基于信息技術(shù)設(shè)備特征的風(fēng)險(xiǎn)指標(biāo)評(píng)估體系。遞階層次結(jié)構(gòu)模型包括措施層、準(zhǔn)則層和目標(biāo)層。目標(biāo)層是設(shè)備風(fēng)險(xiǎn)評(píng)估最終目的，準(zhǔn)則層是指設(shè)備風(fēng)險(xiǎn)評(píng)估需要遵守的原則，措施層是指設(shè)風(fēng)險(xiǎn)評(píng)估采用的具體措施，如圖1所示。

圖1　一遞階層次結(jié)構(gòu)模型

（2）為每一個(gè)層次構(gòu)建判斷矩陣

判斷矩陣可以比較和分析處于同一層次的設(shè)備重要性，重要程度采用Satty1-9級(jí)標(biāo)度，如表1所示。

表1　Saaty1-9級(jí)判斷矩陣的標(biāo)度

利用設(shè)備組成的相關(guān)經(jīng)驗(yàn)，比較各個(gè)子設(shè)備元素重要程度，并賦予不同的數(shù)值，構(gòu)造一個(gè)判斷矩陣A，如公式1所示。

其中，元素aij表示第i個(gè)因素和第j個(gè)因素的重要性之比，層次結(jié)構(gòu)模型可以通過(guò)因素之間的比較，獲取各個(gè)層次要素之間的判斷矩陣值。

（3）針對(duì)各個(gè)層次進(jìn)行排序，同時(shí)進(jìn)行一致性檢驗(yàn)

計(jì)算判斷矩陣的主特征值和特征向量值，并且排序特征向量值，詳細(xì)的計(jì)算過(guò)程如下：

歸一化處理判斷矩陣的每一列元素值，歸一化計(jì)算公式如2所示。

接著，將已經(jīng)歸一化的判斷矩陣按照行進(jìn)行相加，計(jì)算公式如3所示。

然后將相加后得到的向量值再次進(jìn)行歸一化處理，其計(jì)算結(jié)果就是所求的特征向量，計(jì)算公式如4所示。

其中，（Aw）i表示向量Aw的第i個(gè)元素值。

判斷矩陣構(gòu)建過(guò)程涉及多個(gè)子設(shè)備整合計(jì)算過(guò)程，非常容易產(chǎn)生不一致性，存在類似于A＞B＞C＞A的情況。因此，判斷矩陣構(gòu)建完畢之后需要進(jìn)行一致性檢驗(yàn)，一致性的檢驗(yàn)指標(biāo)CI計(jì)算公式如6所示：

Saaty在一致性檢驗(yàn)時(shí)引入了平均隨機(jī)一致性指標(biāo)RI，并且規(guī)定了RI值，如表2所示。

表2　一致性檢驗(yàn)指標(biāo)RI規(guī)定值

如果判斷矩陣的階數(shù)小于3，規(guī)定判斷矩陣具有一致性。如果矩陣階數(shù)大于3，需要進(jìn)一步修正一致性指標(biāo)CR，計(jì)算公式如7所示。（7）

如果CR＜0.1，表示判斷矩陣具有一致性，是可以接受的，否則表示判斷矩陣是錯(cuò)誤的，需重新進(jìn)行計(jì)算。

（4）判斷矩陣構(gòu)建完畢之后，可以根據(jù)層次符合原理，以及專家評(píng)估經(jīng)營(yíng)賦予不同設(shè)備權(quán)值，將權(quán)值向量與判斷矩陣相乘就可以獲取一個(gè)乘積，該乘積就是風(fēng)險(xiǎn)評(píng)估結(jié)果。風(fēng)險(xiǎn)評(píng)估結(jié)果越大，表示信息技術(shù)設(shè)備風(fēng)險(xiǎn)就越大，亟需進(jìn)行修復(fù)，加強(qiáng)防御。

4.結(jié)束語(yǔ)

信息技術(shù)設(shè)備承載了不同的應(yīng)用系統(tǒng)，其保存了系統(tǒng)程序和數(shù)據(jù)資源，因此安全性非常重要。傳統(tǒng)的信息技術(shù)設(shè)備安全管理模式已經(jīng)無(wú)法滿足需求，因而可以引入風(fēng)險(xiǎn)評(píng)估技術(shù)構(gòu)建一個(gè)主動(dòng)防御系統(tǒng)，以進(jìn)一步確保設(shè)備正常運(yùn)行。

參考文獻(xiàn)

［1］鄧濤.構(gòu)建信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估，提升網(wǎng)絡(luò)信息安全［J］.信息技術(shù)與信息化，2015，11（3）：40-41.

［2］王旭，張建業(yè)，苑嘉航，等.基于風(fēng)險(xiǎn)矩陣的電力公司信息安全風(fēng)險(xiǎn)評(píng)估［J］.信息技術(shù)，2014，3（1）：139-142.

［3］郭璇.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法和技術(shù)研究［J］.電子技術(shù)與軟件工程，2016，15（7）：114-116.