基于信息熵與三角模糊數(shù)的信息安全風險評估研究

付 沙,肖葉枝

(湖南財政經(jīng)濟學院 信息技術與管理學院,湖南 長沙 410205)

人類邁入信息社會,網(wǎng)絡信息無處不在、無時不有,各行各業(yè)及人們的日常工作和生活都依賴于信息網(wǎng)絡,離不開信息網(wǎng)絡。人們在利用信息網(wǎng)絡進行生產(chǎn)、生活、交流和管理等過程活動的同時,信息網(wǎng)絡對人類社會的正常生活與生產(chǎn)秩序進行了有效的保護,改善或提高了人類的整體素質(zhì)和生活質(zhì)量,也促進了人類社會的交流和進步。然而,信息網(wǎng)絡的開放互聯(lián)性及軟、硬件固有的脆弱性會給信息的存儲、傳輸和使用帶來潛在的安全風險[1]。

信息安全風險評估作為預防和控制信息安全風險的重要手段,對解決信息安全問題起著至關重要的作用。風險評估涉及眾多復雜的評價要素,各因素之間存在相互作用關系;此外,風險評估的要素較難量化,致使信息安全風險評估工作具有一定的主觀性[2]。在原有理論的基礎上又涌現(xiàn)出許多優(yōu)秀的研究成果,高志方[3]提出一種基于妥協(xié)率法的信息安全風險評估方法,運用妥協(xié)率方法對方案進行排序,該方法不僅考慮了方案與正、負理想點之間的距離,還探究了相對距離的重要性。黃慧萍[4]提出了一種基于攻擊防御樹和博弈論的信息安全評估方法。柴繼文[5]對現(xiàn)有風險評估模型進行分層細化,改進風險評估標準中各要素的識別與定量計算方法,減少風險計算所涉及要素之間的耦合。陳卓[6]提出一種可以包含更多信息的評判矩陣形式,評判矩陣最大限度地保留了評判過程中涉及到的信息。此外,引入與理想解的關聯(lián)度這項指標,使用逼近理想解法對專家意見進行分析排序。高凱[7]從風險來源視角,識別智慧城市信息安全主要風險源,通過分析指標間的相互依存關系,構建網(wǎng)絡層次分析法結構模型。王萍[8]研究了信息安全風險評估及其應用,提出了基于模糊綜合評估法的信息安全風險評估模型,結合信息安全風險評估流程,設計開發(fā)了一套適用于中小型企業(yè)的信息安全風險評估平臺?；谏鲜龇矫娴目紤],本文提出將三角模糊數(shù)與信息熵理論應用于信息安全風險評估中的研究。

1 理論基礎

1.1 信息安全風險評估原理

依據(jù)2007年正式發(fā)布實施的國家標準《信息安全技術信息安全風險評估規(guī)范》(GB/T 20984-2007),風險評估就是利用資產(chǎn)識別、脆弱性識別、威脅識別與評估結果以及已有安全措施識別,對資產(chǎn)面臨的風險進行分析與評價。由于安全風險總是以威脅利用脆弱性導致一系列安全事件的形式體現(xiàn)出來的,風險的大小由安全事件產(chǎn)生后的損失及其發(fā)生的可能性決定,因此風險評估的主要任務是分析當前環(huán)境下安全事件的可能性和影響,然后使用特定方法來計算風險[3]。風險評估原理圖,如圖1所示。

圖1 風險評估原理圖

1.2 三角模糊數(shù)及其運算規(guī)則

|xU-yU|

(1)

(2)

(3)

稱s(X,Y)為決策方案X與Y的相似度。

(4)

(5)

1.3 確定相似度的相對比率

對決策方案集進行排序,使決策方案Ai與正理想決策方案之間的相似度越大越好,而決策方案與負理想決策方案的相似度越小越好。然而,當某個決策方案接近正理想決策方案時,它不一定會遠離負理想決策方案。為了解決上述問題,使用相對比率Rs(Ai)來表示接近正理想決策方案且遠離負理想決策方案的備選決策方案之間的相對差異。

(6)

2 基于信息熵與三角模糊數(shù)的風險評估方法

2.1 問題描述

2.2 決策步驟

針對上述問題,不確定多屬性決策的相似規(guī)劃模型具體步驟描述如下:

步驟1 構造三角模糊數(shù)形式的決策信息矩陣,分析確定的安全風險事件,針對m個方案,選擇n項指標,邀請專家組對信息安全風險狀況進行評估,經(jīng)整理統(tǒng)計后得到三角模糊數(shù)決策信息矩陣R。

步驟2 規(guī)范化決策矩陣。對于成本型指標,將最大值賦值0,最小值賦值1,中間值按在[0,1]中的比例賦值,然后將區(qū)間前后互換;對于效益型指標,將最大值賦值1,最小值賦值0,中間值按在[0,1]中的比例賦值。最終可得到規(guī)范化決策矩陣R′。

步驟3 確定指標權重。首先,根據(jù)規(guī)范化決策矩陣R′確定各指標的信息熵Hj[12]。

(7)

信息熵的確定分為兩部分,分別是指標的重心點bij和三角模糊數(shù)的方差Vij。其中,ρ為決策者的判斷系數(shù),0≤ρ≤1。

根據(jù)信息熵理論及公式(7),確定各指標的權重wj。

(8)

步驟5 通過公式(2)和公式(3),求解每個決策方案分別與正理想決策方案之間的相似度Sω(Ai,C+*),以及與負理想決策方案之間的相似度Sω(Ai,C-*)。

步驟6 根據(jù)公式(6),計算各決策方案Ai與理想決策方案C*的相似度在決策方案集中的相對比率Rs(Ai),并按照Rs(Ai)大小對方案進行排序,其值越大則方案越優(yōu)。

3 實例分析

在質(zhì)量工程獎項評估過程中,信息安全風險是評估基礎設施的一個重要方面。為申報省級質(zhì)量工程獎項,某市質(zhì)量技術監(jiān)督局組織來自北京、上海、質(zhì)量發(fā)展研究院的多位風險評估專家,在與當?shù)匚寮抑?A1,A2,…,A5)網(wǎng)絡信息部門的相關管理和技術人員進行深入溝通,并詳細獲知其網(wǎng)絡信息系統(tǒng)近三年的技術和運營狀況后,主要考慮以下7個指標:保密性(C1) 、完整性(C2) 、可用性(C3) 、嚴重程度(C4) 、難易程度(C5) 、發(fā)生頻率(C6)和發(fā)生概率(C7)。專家組根據(jù)上述方面對5家公司的信息安全風險進行評估,得到各公司每項風險指標評價信息組成的決策信息矩陣,各公司在各指標下的評價值以三角模糊數(shù)形式給出,如表1所示。

表1 決策信息矩陣

1) 將專家組給出的決策信息矩陣進行規(guī)范化處理,其中,指標C1、C2和C3為風險評估的成本型指標,指標C4、C5、C6和C7為風險評估的效益型指標。

依據(jù)步驟2,規(guī)范化處理決策信息矩陣,得到規(guī)范化決策矩陣R′,如表2所示。

2)確定指標權重。首先,根據(jù)規(guī)范化決策矩陣R′確定各指標的信息熵Hj。

令決策者判斷系數(shù)ρ=0.5,計算各指標的信息熵Hj,即:

H1=0.9347,H2=0.9419,H3=0.9248,H4=0.9665,H5=0.8512,H6=0.9144,H7=0.9511,

然后,根據(jù)信息熵理論及公式(7),求得各指標的權重wj,即:

w1=0.1266,w2=0.1128,w3=0.1459,w4=0.0650,w5=0.2887,w6=0.1661,w7=0.0949

3)確定規(guī)范化決策矩陣的三角模糊數(shù)正、負理想決策方案。

根據(jù)公式(4)和公式(5),三角模糊數(shù)正理想決策方案C+*為:

C+*={[0.072,0.099,0.127],[0.075,0.103,0.113],[0.082,0.119,0.146],[0.022,0.043,0.065],[0.115,0.202,0.289],[0.111,0.138,0.166],[0.014,0.068,0.095]}

三角模糊數(shù)負理想決策方案C-*為:

C-*={[0.000,0.027,0.045],[0.000,0.047,0.066],[0.000,0.036,0.064],[0.000,0.014,0.036],[0.000,0.029,0.058],[0.000,0.042,0.097],[0.000,0.027,0.068]}

4)通過公式(2)和公式(3),求解各決策方案Ai分別與正、負理想決策方案之間的相似度。

Ai與正理想決策方案的相似度Sω(Ai,C+*)為:

Sω(A1,C+*)=0.958,Sω(A2,C+*)=0.971,Sω(A3,C+*)=0.967,Sω(A4,C+*)=0.948,Sω(A5,C+*)=0.946

Ai與負理想決策方案的相似度Sω(Ai,C-*)為:

Sω(A1,C-*)=0.966,Sω(A2,C-*)=0.953,Sω(A3,C-*)=0.956,Sω(A4,C-*)=0.976,Sω(A5,C-*)=0.977

5)依據(jù)公式(6),計算Ai與C*的相似度在決策方案集中的相對比率Rs(Ai)。

Rs(A1)=-0.0266,Rs(A2)=0,Rs(A3)=-0.0073,Rs(A4)=-0.0474,Rs(A5)=-0.0503

根據(jù)Rs(Ai)值的大小對各備選方案進行排序,可得到最終的排序結果為A2?A3?A1?A4?A5,可確定最優(yōu)方案為A2,其評價結果能為該組織決策者提供科學依據(jù)。對風險評估實例的分析表明,運用該風險評估模型能夠有效地量化風險評估因素的影響,在考慮已有安全措施成本的同時,為選擇有效的安全控制措施提供客觀、準確的擇優(yōu)排序,也進一步提高了信息安全風險評估的準確性。

4 結束語

本文采用三角模糊數(shù)的形式建立信息安全風險評估矩陣,運用信息熵理論確定評價指標的權重,基于相似度關系理論,建立了三角模糊數(shù)不確定多屬性決策的相似規(guī)劃模型,并對實現(xiàn)步驟進行了詳細探討。采用本文模型和計算方法所得到的資產(chǎn)風險評估結果,為信息安全保障工作提供了客觀、準確的決策依據(jù),也為后期風險控制提供了更加確切合理的建議。