唐榮華
(廣東金質(zhì)信息技術(shù)有限公司,廣東 廣州 510220)
當(dāng)前國際形勢下,人們對信息安全越來越重視。沒有信息安全就沒有國家安全。因此,加強信息安全的管理以及對安全管理的評價也日趨重要。目前,對于信息安全管理的評估,許多專家學(xué)者結(jié)合評估指標(biāo),運用模糊數(shù)學(xué)、灰色理論、層次分析法(Analytic Hierarchy Process,AHP)、熵權(quán)理論等多種方法[1-4],取得了不少研究成果,但仍存在一些不足。
(1)評價對象主要側(cè)重于對信息安全和風(fēng)險的評估,注重從全域的角度對軟硬件環(huán)境、網(wǎng)絡(luò)運行、應(yīng)用、數(shù)據(jù)及管理等方面做安全評價,較少從管理角度進行評價。
(2)在評估方法上面,多傾向于模糊數(shù)學(xué)、灰色理論、AHP、熵權(quán)理論等方法的單獨應(yīng)用或簡單組合。由于信息系統(tǒng)具有一定的復(fù)雜性和模糊性,評價往往帶有較多的主觀性,忽視了客觀性和指標(biāo)的相互影響等。
(3)在評價指標(biāo)的選取上有較多的主觀性,采用標(biāo)準(zhǔn)時也做了很多的裁剪,缺少權(quán)威性、普適性和客觀性。
本文提出的基于灰色關(guān)聯(lián)分析綜合法的信息安全管理評價,評價對象是管理層面的評價,因為信息安全的重點在于管理,更多的是從上到下,沒有上層的重視很難得到落實;在評價方法上,綜合應(yīng)用灰色系統(tǒng)理論的關(guān)聯(lián)度分析、層次分析法多層遞歸綜合和熵權(quán)理論等多種理論和方法,兼顧了指標(biāo)屬性的主觀權(quán)重和客觀權(quán)重,使評價更為科學(xué);在評價指標(biāo)的選取上,選擇了國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T 20269—2006)[5]中的全部指標(biāo),具有很好權(quán)威性和實用性。本方法針對性強,對系統(tǒng)等級安全保護的管理的改進具有非常重要的指導(dǎo)意義。
國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T 20269—2006)[5]對等級保護提出了具體安全管理要素及其在不同等級保護的執(zhí)行強度,有利于對安全管理的評價。本文采用此標(biāo)準(zhǔn)對信息系統(tǒng)安全管理的要求,基于AHP的層次分析法建立如表1所示的信息系統(tǒng)安全管理指標(biāo)體系。該體系分為目標(biāo)層、準(zhǔn)則層和指標(biāo)層三層。目標(biāo)層是信息系統(tǒng)安全管理,是評價的目標(biāo)對象,準(zhǔn)則層是8個影響因素,指標(biāo)層是30個具體的屬性指標(biāo)。
表1 信息安全管理指標(biāo)體系
鄧聚龍教授在1982年3月提出灰色系統(tǒng)理論[6]。它是根據(jù)序列曲線幾何形狀的相似程度來判斷其聯(lián)系是否緊密。形狀越接近,對應(yīng)序列之間的關(guān)聯(lián)度就越大,反之就越小。本文指標(biāo)體系分為三級,分別是目標(biāo)層、準(zhǔn)則層和指標(biāo)層,結(jié)合主觀權(quán)重和客觀權(quán)重,先分別計算單個準(zhǔn)則的指標(biāo)關(guān)聯(lián)度,然后再以各個準(zhǔn)則的關(guān)聯(lián)度結(jié)果作為輸入,計算目標(biāo)層的綜合關(guān)聯(lián)度。
2.1.1 構(gòu)建判斷矩陣
利用AHP(層次分析法)[1]建立判斷矩陣A=(aij),滿足其中,aij表示對上一層比較本層第i個指標(biāo)和第j個指標(biāo)的重要程度,其值通過專家打分來確定,分值采用1-9標(biāo)度法,如表2所示。
表2 層次分析1-9標(biāo)度取值和含義
2.1.2 主觀權(quán)重計算
根據(jù)信息安全管理指標(biāo)體系層次關(guān)系,先計算指標(biāo)層對準(zhǔn)則層的權(quán)重,再計算準(zhǔn)則層對目標(biāo)層的權(quán)重。具體步驟如下。
(1)指標(biāo)層對準(zhǔn)則層的權(quán)重。對8個準(zhǔn)則分別計算其下一層指標(biāo)間的權(quán)重,每個準(zhǔn)則的下一層指標(biāo)構(gòu)建判斷矩陣A=(aij)n×n后,經(jīng)過如下歸一化和一致性評價,計算得出指標(biāo)層因素對準(zhǔn)則的主觀權(quán)重向量WA(i),(i=1,2,…,8)。
(2)歸一化。先將判斷矩陣每一列做歸一化處理:
再對歸一化后的矩陣每一行求和,并進行歸一化處理:
得到向量WA即為相對權(quán)重。
(3)一致性檢驗。采用式(3)進行一致性校驗:
式中:CI為一致性指標(biāo),其中λmax為判斷矩陣的最大特征根;RI為平均隨機一致性指標(biāo),一般當(dāng)CR<0.1時,一致性可接受,否則需要重新進行專家打分。
(4)準(zhǔn)則層對目標(biāo)層的權(quán)重。用同樣方法,準(zhǔn)則層8個準(zhǔn)則對目標(biāo)層構(gòu)建判斷矩陣,經(jīng)歸一化和一致性評價,求得主觀權(quán)重向量。
熵權(quán)法[3]是一種利用信息熵計算出各指標(biāo)熵權(quán)的一種方法。它直接利用無量綱化后的矩陣所給出的信息計算出各指標(biāo)的權(quán)重,而沒有引入決策者的主觀判斷,是一種客觀賦權(quán)方法。對于無量綱化后矩陣Xm×n(m個信息系統(tǒng),n個指標(biāo)),各指標(biāo)的相對權(quán)重計算式為:
式中:Ej為第j個指標(biāo)值的信息熵,j=1,2,…,n,其 計 算 公 式為若Pi(j)=0,則Ej=0。Pi(j)為計算第i個系統(tǒng)第j個指標(biāo)值的比重,計算公式為
對相對權(quán)重進行歸一化,即得到各指標(biāo)的權(quán)重系數(shù)wB(j):
根據(jù)信息安全管理指標(biāo)體系層次關(guān)系,先計算準(zhǔn)則層各指標(biāo)的權(quán)重,再計算目標(biāo)層各準(zhǔn)則的權(quán)重。
(1)準(zhǔn)則層各指標(biāo)的權(quán)重。對8個準(zhǔn)則分別計算其下一層指標(biāo)間的權(quán)重,每個準(zhǔn)則的下一層指標(biāo)無量綱化矩陣Xm×n(m個信息系統(tǒng),n個指標(biāo))經(jīng)相對權(quán)重公式(4)、式(5)求得客觀權(quán)重wB(j),(j=1,2,…,8)。
(2)目標(biāo)層各準(zhǔn)則的權(quán)重。以同樣方法,目標(biāo)層下一層8個準(zhǔn)則構(gòu)建無量綱化矩陣Xm×8,經(jīng)相對權(quán)重式(4)、式(5)求得客觀權(quán)重。
采集指標(biāo)層各個指標(biāo)的得分,按準(zhǔn)則分別構(gòu)建初始矩陣:
2.4.1 無量綱化處理
對于單個準(zhǔn)則指標(biāo)值初始矩陣,指標(biāo)得分越大越好。規(guī)范化采用以下公式進行無量綱化:
規(guī)范化變換后,式(6)變?yōu)?/p>
2.4.2 確定參考數(shù)列和比較數(shù)列
選取比較矩陣X中各項評估指標(biāo)的最大值作為參考數(shù)列:
比較數(shù)列:
為第i個系統(tǒng)的比較數(shù)列。
2.4.3 建立關(guān)聯(lián)系數(shù)矩陣
計算比較數(shù)列與參考數(shù)列的相對差值,定義如下關(guān)聯(lián)系數(shù)計算公式:
式中:ρ為分辨系數(shù),取值在0到1之間,一般取0.5,分 別表示|x0(k)-xi(k)|矩陣的最小值和最大值,式中ζi(k)為第i個系統(tǒng)的第k個影響因素對于參考系統(tǒng)x0的關(guān)聯(lián)系數(shù)。
2.4.4 計算各影響屬性的權(quán)重
采用客觀的熵權(quán)法和帶主觀性的專家打分法對信息系統(tǒng)安全管理影響因素指標(biāo)權(quán)重進行計算,分別得到影響因素指標(biāo)k的權(quán)重系數(shù):
式中:wA(k)和wB(k)分別為熵權(quán)法和專家打分法得到的權(quán)重,α為主觀系數(shù),0≤α≤1,通常取0.5。
2.4.5 計算灰色關(guān)聯(lián)度
為了得到系統(tǒng)xi與x0的灰色關(guān)聯(lián)度,需要將各影響因素的灰色關(guān)聯(lián)系數(shù)進行加權(quán)求和求得灰色關(guān)聯(lián)度向量,如式(13)所示:
先分別計算單個準(zhǔn)則層準(zhǔn)則的指標(biāo)的關(guān)聯(lián)度向量,然后把8個準(zhǔn)則關(guān)聯(lián)度向量合并作為初始矩陣計算目標(biāo)層的關(guān)聯(lián)度,方法同單準(zhǔn)則關(guān)聯(lián)度評價(1)-(5)的遞歸計算。
本文以某集團公司10個信息系統(tǒng)的信息安全管理評價為例,分別以S1—S10表示10個系統(tǒng),采集樣本參數(shù)如下。
指標(biāo)層對準(zhǔn)則層的權(quán)重判斷矩陣:
準(zhǔn)則層對目標(biāo)層的判斷矩陣:
通過對各信息系統(tǒng)的信息安全管理8個準(zhǔn)則的指標(biāo)進行打分(10分制),整理獲得相應(yīng)指標(biāo)的評判情況,分別對8個準(zhǔn)則構(gòu)建8個初始矩陣。
3.2.1 主觀權(quán)重和客觀權(quán)重計算
根據(jù)采集的樣本數(shù)據(jù),運用式(1)—式(5)計算得各級指標(biāo)的主觀和客觀權(quán)重,如表3所示。
表3 各級指標(biāo)的主觀和客觀權(quán)重
3.2.2 單項準(zhǔn)則計算關(guān)聯(lián)度
根據(jù)各準(zhǔn)備采集的樣本數(shù)據(jù),經(jīng)式(7)—式(13)計算各準(zhǔn)則的關(guān)聯(lián)度,結(jié)果如表4所示。
3.2.3 綜合評價
以表4各單項準(zhǔn)則關(guān)聯(lián)度為初始矩陣X0,結(jié)合準(zhǔn)則層的主觀權(quán)重和客觀權(quán)重,經(jīng)單項準(zhǔn)則計算關(guān)聯(lián)中(1)-(5)計算得出如下綜合評價關(guān)聯(lián)度:[0.91 0.47 0.40 0.51 0.55 0.47 0.50 0.49 0.58 0.65]T。把綜合的評價關(guān)聯(lián)度和8個準(zhǔn)則的關(guān)聯(lián)度合并并排序,得到表5的結(jié)果。
表4 各單項準(zhǔn)則關(guān)聯(lián)度
由表5可以得到10個信息系統(tǒng)的評價結(jié)果。綜合評價得分最高的是S1號信息系統(tǒng),管理能力最優(yōu);得分最低的是S6號,管理能力有待進一步提高。根據(jù)綜合關(guān)聯(lián)度的高低,可以確定總體排名情況。根據(jù)單項準(zhǔn)備的關(guān)聯(lián)度高低,也可以找到在哪些指標(biāo)和準(zhǔn)則存在不足,從而采取有針對性的改進措施,有效提升管理能力。
表5 各單項準(zhǔn)則關(guān)聯(lián)度和綜合評價排序表
本文針對信息安全管理評價存在的問題,首先采用國家標(biāo)準(zhǔn)基于AHP的評價層級構(gòu)建信息安全管理指標(biāo)體系,然后借助灰色理論、層次分析法和熵權(quán)法論述了信息安全管理評估模型的綜合評估建模過程,最后通過實例完成了對某集團公司10個信息系統(tǒng)的信息安全管理評價,具有以下創(chuàng)新點。
(1)從管理層面進行評價,抓住管理層面這個關(guān)鍵要素,有利于對管理人員的績效考核和信息安全的推動和落地。
(2)從目標(biāo)、準(zhǔn)則和指標(biāo)三個層次,先分層、分準(zhǔn)則進行灰色關(guān)聯(lián)度分析,再綜合遞歸計算,自下而上,簡化了問題處理復(fù)雜度,避免了同一層指標(biāo)過多時指標(biāo)權(quán)重的設(shè)置困難。
(3)采用AHP專家打分確定各級指標(biāo)體系的主觀權(quán)重和熵權(quán)法確定各級指標(biāo)體系的客觀權(quán)重相結(jié)合的方法,克服了評價中的主觀偏差。
(4)選用與等級保護相關(guān)的國家標(biāo)準(zhǔn)作為評價指標(biāo)體系,保證了評價指標(biāo)的權(quán)威性和實用性問題。