0 概述

信息技术水平的提高促进了社会经济的发展, 但同时也使信息安全面临巨大挑战。据统计, 因信息安全事件造成的经济损失逐年攀升。风险评估作为保障信息安全的重要措施, 已成为国内外学者广泛关注的热点之一^[1-2]。

文献[3]基于统计数据与专家经验, 通过贝叶斯网络定义信息安全风险要素之间的因果关系, 计算概率最高的系统脆弱性传播路径和最大风险估计值。但是, 在风险评估过程中, 其较难确定贝叶斯网络模型的条件概率。文献[4]使用改进的Dempster合成规则进行信息安全风险评估, 该方法不仅可以求得各风险要素的权重, 而且还可利用合成规则量化系统的总体风险值, 从而有效消除网络环境中的不确定性与随机性对评估结果的影响, 提高评估的客观性。但是, 由于使用证据理论时需假设识别框架为互斥的有限集, 导致该方法使用范围有限。文献[5]使用模糊层次分析法(Fuzzy-Analytical Hierarchy Process, F-AHP)对信息系统进行风险评估, 其能较客观地反映系统内部层次结构间的关系, 通过定性分析与定量评估相结合, 在一定程度上消除评估信息的模糊性, 提高评估精度。但该方法在构建专家评估矩阵时, 未考虑专家经验的差异性对评估结果的影响。文献[6]通过灰色网络分析法进行信息安全风险评估, 该方法能较好反映风险要素互相依赖、互相影响的关系, 可利用有限的信息资源计算出量化的评估结果, 但在评估信息不完整的情况下, 无法通过该方法求解各评估指标的权重。

针对上述问题, 本文提出一种基于D数层次分析法(D-number Analytic Hierarchy Process, D-AHP)与灰色理论的信息安全风险评估方法。由于评估结果高度依赖评估专家的主观判断, 且专家经验的差异性通常会导致评估信息的不确定性, 因此, 利用D数理论处理不确定性问题时的优势对模糊偏好关系进行改进, 将其使用范围扩展至不确定信息领域。将D数偏好关系与层次分析法(Analytic Hierarchy Process, AHP)相结合得到D-AHP算法, 保留AHP在对复杂系统进行分析时计算简单、层次逻辑清晰的优势, 以使求得的指标权重更科学合理, 降低人为主观性对评估结果的影响。在此基础上, 通过灰色理论来提高评估精度。

1 信息安全风险评估指标体系构建 1.1 信息安全风险评估

信息安全风险评估依据有关管理要求和技术标准, 对信息系统及由其处理、传输和存储的信息的保密性(Confidentiality, C)、完整性(Integrity, I)及可用性(Availability, A)等安全属性进行综合评价。信息安全风险评估通过评估资产面临的威胁以及安全事件发生的可能性, 判断安全事件一旦发生将对社会造成的影响^[7]。信息安全风险评估流程如图 1所示。

信息安全风险评估涉及资产、威胁、脆弱性以及已有安全措施四大要素。其中, 资产具有价值属性。在对资产进行识别后, 要对其保密性、完整性和可用性进行赋值。威胁的来源途径可分为环境因素与人为因素, 威胁可以通过直接或间接的方式对系统产生影响, 在机密性、完整性或可用性等方面对资产造成危害。脆弱性为资产本身固有属性, 只有脆弱性被威胁利用, 才会对资产造成损害。资产脆弱性可分为技术脆弱性与管理脆弱性2类。安全措施分为预防性安全措施和保护性预防措施, 系统的已有安全措施确认和脆弱性识别存在一定联系, 安全措施的使用将减少资产在技术或管理上的脆弱性。

1.2 指标体系构建

信息安全风险评估的过程较复杂, 本文根据GB/T 20984-2007《信息安全技术信息安全风险评估规范》^[7], 结合信息系统实际情况, 选取评估指标, 建立信息安全评估指标体系。为突出评估重点, 对评估指标体系进行适当简化, 将资产(U₁)、威胁(U₂)、脆弱性(U₃)和已有安全措施(U₄)设为一级指标, 根据这4个一级指标遴选出对应的9个二级指标。本文构建的信息安全风险评估指标体系如表 1所示。

2 理论基础 2.1 D-S证据理论

D-S证据理论^[8]于1967年被提出, 通常被用来处理不确定性信息, 目前在人工智能、信息融合与模式识别等领域具有广泛应用。D-S证据理论具有以下优势:

1) 证据理论既可以处理由随机性导致的不确定性问题, 也可以处理由模糊性导致的不确定性问题。

2) 与概率论相比, 证据理论无需先验概率和条件概率密度。

3) 证据理论可以将证据或信任函数合成为新的证据和信任函数。

但是, 使用该理论时也存在一定局限, 如需假设识别框架为互斥的有限集, 这在一定程度上限制了证据理论的使用范围。

2.2 D数理论

D数理论^[9]于2012年被提出, 其是对D-S证据理论的改进。D数理论继承了证据理论在处理不确定性信息时的优势, 且能够避免证据理论的使用局限性。D数理论不再要求识别框架中命题之间的互斥性假设和基本概率分配(Basic Probability Allocation, BPA)的完整性约束, 可以更好地处理不确定性问题。目前, 该理论已在多个领域进行应用, 如投资决策^[10]、故障模式与影响分析^[11]、桥梁状态评估^[12]、高校科研能力评估^[13]以及帷幕灌浆效率评估^[14]等。D数的定义和性质如下^[9]:

设存在一个有限非空集Ω与映射D:

$ D:\mathit{\Omega } \to [0,1] $

(1)

即:

$ \sum\limits_{B \subseteq \mathit{\Omega }} D (B) \le 1,D(\theta ) = 0 $

(2)

则称映射D为D数, 其中, B是Ω的一个子集, θ是空集。若$\sum\limits_{B \subseteq \mathit{\Omega }} {D\left( B \right)} = 1$, 则说明由D数表示的信息完整; 若$\sum\limits_{B \subseteq \mathit{\Omega }} {D\left( B \right)} < 1$, 则说明信息不完整。

设存在一个D数D和非空有限集Ω, 则D的信息完整度Q可量化表示为:

$ Q = \sum\limits_{B \subseteq \mathit{\Omega }} D (B) $

(3)

设离散集Ω={b₁, b₂, …, b_i, …, b_n}, 则D数的特殊表达形式为:

$ \begin{array}{*{20}{c}} {D\left( {\left\{ {{b_1}} \right\}} \right) = {v_1}}\\ {D\left( {\left\{ {{b_2}} \right\}} \right) = {v_2}}\\ \vdots \\ {D\left( {\left\{ {{b_i}} \right\}} \right) = {v_i}}\\ \vdots \\ {D\left( {\left\{ {{b_n}} \right\}} \right) = {v_n}} \end{array} $

(4)

也可简单表示为:

$ D = \left\{ {\left( {{b_1},{v_1}} \right),\left( {{b_2},{v_2}} \right), \cdots ,\left( {{b_i},{v_i}} \right), \cdots ,\left( {{b_n},{v_n}} \right)} \right\} $

(5)

其中, v_i>0且$\sum\limits_{i = 1}^n {{v_i}} \le 1$。

通过D数的上述表示形式, 可以高效地描述不确定性问题。设存在D数:

$ D = \left\{ {\left( {{b_1},{v_1}} \right),\left( {{b_2},{v_2}} \right), \cdots ,\left( {{b_i},{v_i}} \right), \cdots ,\left( {{b_n},{v_n}} \right)} \right\} $

则其集成可表示为:

$ I\left( D \right) = \sum\limits_{i = 1}^n {{b_i}{v_i}} $

(6)

2.3 模糊偏好关系

模糊偏好关系用符号“≻”表示, 其通过构造成对比较矩阵的方式, 来表示专家对各评估对象的偏好。

设存在一组评估对象S = {S₁, S₂, …, S_n}, 其模糊偏好关系为:

$ \mu_{R} : S \times S \rightarrow[0,1] $

(7)

用矩阵的形式表示为 R =[r_ij]_n×n:

$ \mathit{\boldsymbol{R}} = \left[ {\begin{array}{*{20}{c}} {{r_{11}}}&{{r_{12}}}& \cdots &{{r_{1n}}}\\ {{r_{21}}}&{{r_{22}}}& \cdots &{{r_{2n}}}\\ \vdots & \vdots &{}& \vdots \\ {{r_{n1}}}&{{r_{n2}}}& \cdots &{{r_{nn}}} \end{array}} \right] $

(8)

该矩阵满足:

1) r_ij≥0。

2) r_ij+r_ji=1, ∀i, j∈{1, 2, …, n}。

3) r_ii=0.5, ∀i∈{1, 2, …, n}。

其中, r_ij表示专家对S_i相对于S_j的重要性的偏好程度。r_ij的赋值及对应含义如下:

$ \left\{ \begin{array}{l} {r_{ij}} = 0,{S_j}\;比\;{S_i}\;绝对重要\\ {r_{ij}} \in \left( {0,0.5} \right),{S_j}\;比\;{S_i}\;重要一些\\ {r_{ij}} = 0.5,{S_i}\;和\;{S_j}\;同等重要\\ {r_{ij}} = \left( {0.5,1} \right),{S_i}\;比\;{S_j}\;重要一些\\ {r_{ij}} = 1,{S_i}\;比\;{S_j}\;绝对重要 \end{array} \right. $

在专家评估信息不完整或不确定的情况下, 无法构造出合理的偏好矩阵。因此, 模糊偏好关系的使用受到一定限制。本文引用文献[15]中的一个假设:10名专家对2个对象S₁、S₂进行评估, 结果分为以下2种情况:

1) 经过评估, 8名专家认为S₁比S₂重要, 且重要程度为0.7。剩余2名专家同样认为S₁比S₂重要, 但重要程度为0.6。

2) 经过评估, 6名专家认为S₁比S₂重要, 重要程度为0.8, 但剩余4名专家出于谨慎态度, 未对S₁、S₂之间的重要程度进行置评。

上述2种情况均无法通过模糊偏好关系进行表示。

2.4 D数偏好关系

针对模糊偏好关系存在的局限性, 文献[15]提出一种D数偏好关系的理论。D数偏好关系利用D数理论对模糊偏好关系进行扩展, 将偏好关系的适用范围扩大到不确定信息领域, 其对应的矩阵称为D数偏好矩阵, 简称为D矩阵。

设存在一组评估对象S={S₁, S₂, …, S_n}, 其D数偏好关系为:

$ R_{D} : S \times S \rightarrow D $

(9)

用六矩阵形式表示为 R_D=[D_ij]_n×n:

$ \boldsymbol{R}_{D}=\left[\begin{array}{cccc}{D_{11}} & {D_{12}} & {\cdots} & {D_{1 n}} \\ {D_{21}} & {D_{22}} & {\cdots} & {D_{2 n}} \\ {\vdots} & {\vdots} & {} & {\vdots} \\ {D_{n 1}} & {D_{n 2}} & {\cdots} & {D_{n n}}\end{array}\right] $

(10)

该矩阵满足:

1) D_ij={(b^ij₁, v^ij₁), (b^ij₂, v^ij₂), …, (b_m^ij, v_m^ij)}, D_ji= {(1-b^ij₁, v^ij₁), (1-b^ij₂, v^ij₂), …, (1-b_m^ij, v_m^ij)}, ∀i, j∈ {1, 2, …, n}。

2) b_k^ij∈[0, 1], ∀k∈{1, 2, …, m}。

3) D_ii = {(0.5, 1.0)}, ∀i∈{1, 2, …, n}。

其中, b_k^ij表示第k位专家认为第i个方案相对于第j个方案的重要程度, v_k^ij表示专家对该重要程度的支持度。

根据D数偏好关系, 前文假设的2种情况可分别表示为:

$ {\mathit{\boldsymbol{R}}_{D1}} = \left[ {\begin{array}{*{20}{c}} {\left\{ {\left( {0.5,1.0} \right)} \right\}}&{\left\{ {\left( {0.7,0.8} \right),\left( {0.6,0.2} \right)} \right\}}\\ {\left\{ {\left( {0.3,0.8} \right),\left( {0.4,0.2} \right)} \right\}}&{\left\{ {\left( {0.5,1.0} \right)} \right\}} \end{array}} \right] $

$ {\mathit{\boldsymbol{R}}_{D2}} = \left[ {\begin{array}{*{20}{c}} {\left\{ {\left( {0.5,1.0} \right)} \right\}}&{\left\{ {\left( {0.8,0.6} \right)} \right\}}\\ {\left\{ {\left( {0.2,0.6} \right)} \right\}}&{\left\{ {\left( {0.5,1.0} \right)} \right\}} \end{array}} \right] $

2.5 D-AHP方法

AHP是一种处理复杂评估问题的结构化方法, 其将系统分解成各因素, 通过自上而下的层次结构与相对标度, 以成对比较的方式将定性判断与定量分析结合到评估决策过程中。AHP方法通常分为3个步骤:

步骤1  分析系统因素之间的关系, 建立层次结构模型。

步骤2  参考赋值标准, 对相同层次中各因素相对于上层次中某一因素的重要性进行成对比较并构建判断矩阵, 由判断矩阵计算该因素相对于准则的权重。

步骤3  计算各方案相对于目标的权重, 并按重要程度对各方案进行排序。

但典型AHP方法不适用于处理存在不确定信息的主观评价问题。通过D数偏好关系对AHP进行改进, 得到D-AHP方法^[15], 该方法可以更好地应用于不确定环境下的复杂评估决策问题。D-AHP的结构可分为3个层次:目标层, 准则层, 方案层。层次结构如图 2所示。

目标层包括决策评估问题的总目标, 准则层包括在评估过程中需要考虑的各级指标, 方案层由具有各项评估指标的备选方案组成。

2.6 灰色理论

灰色理论^[16]广泛应用于结构复杂、难以从定量角度建立精确模型的系统研究, 在信息资源不足的情况下, 其可以较好地解决评估指标难量化和难统计的问题, 使评估结果更精确客观。

在灰色理论中, 将取值在某个区间的不确定数称为灰数, 用符号“⊗”表示。灰数的可能取值称为白化值, 通过白化权函数的形式表达白化值与白化权重之间的关系, 进而确定灰数隶属的灰类。针对信息安全风险评估内涵外延均不明确的灰性特征, 在评估信息数据少、不确定时, 可以使用灰色理论进行分析。

3 信息安全风险评估模型构建 3.1 风险评估层次结构模型

根据1.2节构建的评估指标体系, 结合信息安全风险评估实际情况, 充分考虑评估指标之间的隶属关系, 根据已确定的风险评估指标体系, 构建信息安全风险评估层次结构模型。其中, 信息安全风险为目标层元素, 资产、威胁、脆弱性、已有安全措施4个一级指标以及机密性、完整性、可用性等9个二级指标共同构成准则层。信息安全风险评估层次结构模型如图 3所示。

3.2 评估指标权重计算

为定量表示指标之间的相对重要性, 采用0.1~0.9标度对指标权重进行成对比较赋值。各标度及对应含义如表 2所示。

在使用D-AHP方法时, 首先通过D数偏好关系求解指标权重, 再结合AHP层次结构对指标权重进行逐层集成, 最终求得综合权重。

使用D数偏好关系求解指标权重的步骤如下:

步骤1  组织参评专家, 参考上述评估标度对指标进行成对比较, 通过偏好关系表示指标相对于评估目标的重要程度, 并构建D数偏好矩阵 R_D。

步骤2  根据D数的集成表示, 将D数偏好矩阵转化为确定数矩阵 R_C。

步骤3  构建基于确定数矩阵 R_C的概率矩阵 R_P, 计算成对比较的指标间的偏好概率。

步骤4  将概率矩阵 R_P转化为三角化概率矩阵 R_P^T, 并对指标按重要程度进行排序。

步骤5  根据指标排序结果, 将确定数矩阵 R_C表示为矩阵 R_C^T。计算各指标相对权重的详细过程参考文献[15]。

在权重的计算过程中, 由式(11)计算D数偏好矩阵 R_D的不一致度系数I.D.:

$ I.D. = \frac{{\sum\limits_{i = 1,j < i}^n {\mathit{\boldsymbol{R}}_P^{\rm{T}}\left( {i,j} \right)} }}{{n\left( {n - 1} \right)/2}} $

(11)

其中, R_P^T(i, j)表示矩阵 R_P^T中的元素, n表示成对比较的指标个数。

对各级指标权重进行逐层集成, 求解综合权重的过程如下:

1) 结合D数偏好关系计算结果, 设准则层一级U_i相对于评估目标的权重向量为 A =(a₁, a₂, a₃, a₄), 其中, a_i为U_i相对于评估目标的权重, a_i≥0且$\sum\limits_{i = 1}^4 {{a_i}} = 1$。

2) 设二级指标U_ij相对于U_i的权重向量为 B_i=(b_i1, b_i2, …, b_ini), 其中, b_ij表示U_ij相对于U_i的权重, b_ij≥0且$\sum\limits_{j = 1}^{{n_i}} {{b_{ij}}} = 1$, n_i表示一级指标U_i下所对应的二级指标U_ij的个数。

3) 设U_ij相对于评估目标的综合权重集 W =(w₁₁, w₁₂, …, w_ij, …, w₄₁, …, w_4ni), 其中, w_ij=a_ib_ij表示U_ij相对于评估目标的综合权重, w_ij≥0且$\sum\limits_{i = 1}^4 {\sum\limits_{j = 1}^{{n_i}} {{a_i}{b_{ij}}} } = 1$。

3.3 白化权函数与灰色评价矩阵 3.3.1 样本评价矩阵构建

根据已建立的评估指标体系, 确定风险评估等级向量 V =(v₁, v₂, …, v_t), 其中, t表示风险等级个数。采用专家打分法, 组织p位专家参考评估等级向量 V 对各指标进行独立打分。设第q位专家对准则层一级指标U_i的第j个二级指标的评价值为d_ij^(q), 最终得到样本评价矩阵 D 为:

$ \begin{array}{*{20}{c}} {\mathit{\boldsymbol{D}} = \left[ {\begin{array}{*{20}{c}} {d_{11}^{(1)}}&{d_{12}^{(1)}}& \cdots &{d_{ij}^{(1)}}& \cdots &{d_{n{n_i}}^{(1)}}\\ {d_{11}^{(2)}}&{d_{12}^{(2)}}& \cdots &{d_{ij}^{(2)}}& \cdots &{d_{n{n_i}}^{(2)}}\\ \vdots & \vdots &{}& \vdots &{}& \vdots \\ {d_{11}^{(q)}}&{d_{12}^{(q)}}& \cdots &{d_{ij}^{(q)}}& \cdots &{d_{n{n_i}}^{(q)}}\\ \vdots & \vdots &{}& \vdots &{}& \vdots \\ {d_{11}^{(p)}}&{d_{12}^{(p)}}& \cdots &{d_{ij}^{(p)}}& \cdots &{d_{n{n_i}}^{(p)}} \end{array}} \right]}\\ {i = 1,2, \cdots ,n,j = 1,2, \cdots ,{n_i},q = 1,2, \cdots ,p} \end{array} $

(12)

3.3.2 白化权函数确定

典型的白化权函数有以下3种, 用于在灰色统计法中构建灰色评价矩阵。

1) 上类白化权函数, 即⊗∈[d₁, +∞), 其定义如下:

$ {f_1}\left( {d_{ij}^{\left( q \right)}} \right) = \left\{ \begin{array}{l} \frac{{d_{ij}^{\left( q \right)}}}{{{d_1}}},d_{ij}^{\left( q \right)} \in \left[ {0,{d_1}} \right)\\ 1,d_{ij}^{\left( q \right)} \in \left[ {{d_1}, + \infty } \right)\\ 0,d_{ij}^{\left( q \right)} \in \left( { - \infty ,0} \right) \end{array} \right. $

(13)

2) 中类白化权函数, 即⊗∈[0, d₁, 2d₁], 其定义如下:

$ {f_2}\left( {d_{ij}^{\left( q \right)}} \right) = \left\{ \begin{array}{l} \frac{{d_{ij}^{\left( q \right)}}}{{{d_1}}},d_{ij}^{\left( q \right)} \in \left[ {0,{d_1}} \right)\\ \frac{{2 - d_{ij}^{\left( q \right)}}}{{{d_1}}},d_{ij}^{\left( q \right)} \in \left[ {{d_1},2{d_1}} \right]\\ 0,d_{ij}^{\left( q \right)} \notin \left[ {0,2{d_1}} \right] \end{array} \right. $

(14)

3) 下类白化权函数, 即⊗∈[0, d₁, d₂], 其定义如下:

$ {f_3}\left( {d_{ij}^{\left( q \right)}} \right) = \left\{ \begin{array}{l} 1,d_{ij}^{\left( q \right)} \in \left[ {0,{d_1}} \right)\\ \frac{{{d_2} - d_{ij}^{\left( q \right)}}}{{{d_2} - {d_1}}},d_{ij}^{\left( q \right)} \in \left[ {{d_1},{d_2}} \right]\\ 0,d_{ij}^{\left( q \right)} \notin \left[ {0,{d_2}} \right] \end{array} \right. $

(15)

3.3.3 灰色评价矩阵构建

设共有E个灰类, 通过灰色统计法, 确定白化权函数f_e, 计算评价样本d_ij^(q)属于第e(e = 1, 2, …, E)个灰类的白化权值f_e(d_ij^(q)), 从而得到指标U_ij隶属于第e个灰类的灰色统计数n_ij^(e)以及总灰色统计数n_ij分别如下:

$ n_{ij}^{\left( e \right)} = \sum\limits_{q = 1}^p {{f_e}\left( {d_{ij}^{\left( q \right)}} \right)} $

(16)

$ n_{i j}=\sum\limits_{e=1}^{E} n_{i j}^{(e)} $

(17)

根据灰色统计数及总灰色统计数, 可计算灰色评价权z_ij^(e)为:

$ z_{i j}^{(e)}=\frac{n_{i j}^{(e)}}{n_{i j}} $

(18)

其中, z_ij^(e)的值表示所有专家主张U_ij属于第e个灰类的强烈程度, 由z_ij^(e)可得U_ij对于各评价灰类的灰色评价权向量 Z_i=(z_ij⁽¹⁾, z_ij⁽²⁾, …, z_ij^(e), …, z_ij^(E)), 进而构建指标U_ij关于各评价灰类的灰色评价矩阵 Z :

$ \begin{array}{l} \mathit{\boldsymbol{Z}} = \left[ {\begin{array}{*{20}{c}} {{\mathit{\boldsymbol{Z}}_1}}\\ {{\mathit{\boldsymbol{Z}}_2}}\\ \vdots \\ {{\mathit{\boldsymbol{Z}}_i}}\\ \vdots \\ {{\mathit{\boldsymbol{Z}}_n}} \end{array}} \right] = \left[ {\begin{array}{*{20}{c}} {z_{11}^{\left( 1 \right)}}&{z_{11}^{\left( 2 \right)}}& \cdots &{z_{11}^{\left( e \right)}}& \cdots &{z_{11}^{\left( E \right)}}\\ {z_{12}^{\left( 1 \right)}}&{z_{12}^{\left( 2 \right)}}& \cdots &{z_{12}^{\left( e \right)}}& \cdots &{z_{12}^{\left( E \right)}}\\ \vdots & \vdots &{}& \vdots &{}& \vdots \\ {z_{ij}^{\left( 1 \right)}}&{z_{ij}^{\left( 2 \right)}}& \cdots &{z_{ij}^{\left( e \right)}}& \cdots &{z_{ij}^{\left( E \right)}}\\ \vdots & \vdots &{}& \vdots &{}& \vdots \\ {z_{n{n_i}}^{\left( 1 \right)}}&{z_{n{n_i}}^{\left( 2 \right)}}& \cdots &{z_{n{n_i}}^{\left( e \right)}}& \cdots &{z_{n{n_i}}^{\left( E \right)}} \end{array}} \right]\\ i = 1,2, \cdots ,n,e = 1,2, \cdots ,E \end{array} $

(19)

3.4 综合评估

根据D数偏好关系求得的三角化实数矩阵 R_C^T, 对各指标按重要程度进行排序, 同时结合指标权重, 可有效识别出系统信息安全建设中的薄弱环节, 为系统风险管理控制策略提供有针对性的建议。

根据D-AHP算法求得的权重向量 W , 以及通过灰色统计法求得的灰色评价矩阵 Z , 计算综合评价向量 H :

$ \mathit{\boldsymbol{H}} = \mathit{\boldsymbol{W}} * \mathit{\boldsymbol{Z}} $

(20)

将综合评价向量 H 和风险等级向量 V 相结合, 可求得系统总体的信息安全风险评估值 Risk :

$ \mathit{\boldsymbol{Risk}} = \mathit{\boldsymbol{H}} * {\mathit{\boldsymbol{V}}^{\rm{T}}} $

(21)

在实际评估过程中, 最直观的方式是以量化评估值的形式表示系统的风险状况, Risk 即为系统最终的风险评估值。结合风险评估等级向量 V , 可以确定系统的安全风险等级, 从而为信息安全建设提供科学有效的参考依据。

4 实验结果与分析 4.1 评估指标权重

本文以某简化的信息系统为例, 收集该系统实际运行数据并加以分析。在广泛调研的基础上, 根据所建立的信息安全风险评估指标体系, 通过问卷调查的形式收集专家评估数据, 构建评估指标的D数偏好矩阵。以准则层一级指标为例, 计算各指标相对于信息安全风险的权重:

1) 为确定各一级指标关于信息安全风险的相对重要性, 建立基于D数偏好关系的D数偏好矩阵 R_D:

$ {\mathit{\boldsymbol{R}}_D} = \left[ {\begin{array}{*{20}{c}} {\left\{ {\left( {0.50,1.00} \right)} \right\}}&{\left\{ {\left( {0.10,1.00} \right)} \right\}}&{\left\{ {\left( {0.70,1.00} \right)} \right\}}&{\left\{ {\left( {0.60,0.60} \right),\left( {0.70,0.40} \right)} \right\}}\\ {\left\{ {\left( {0.90,1.00} \right)} \right\}}&{\left\{ {\left( {0.50,1.00} \right)} \right\}}&{\left\{ {\left( {0.70,1.00} \right)} \right\}}&{\left\{ {\left( {0.60,0.80} \right)} \right\}}\\ {\left\{ {\left( {0.30,1.00} \right)} \right\}}&{\left\{ {\left( {0.30,1.00} \right)} \right\}}&{\left\{ {\left( {0.50,1.00} \right)} \right\}}&{\left\{ {\left( {0.80,1.00} \right)} \right\}}\\ {\left\{ {\left( {0.40,0.60} \right),\left( {0.30,0.40} \right)} \right\}}&{\left\{ {\left( {0.40,0.80} \right)} \right\}}&{\left\{ {\left( {0.20,1.00} \right)} \right\}}&{\left\{ {\left( {0.50,1.00} \right)} \right\}} \end{array}} \right] $

2) 按D数集成表示, 将 R_D转化为确定数矩阵 R_C, 其表达式如下:

$ {\mathit{\boldsymbol{R}}_C} = I\left( {{\mathit{\boldsymbol{R}}_D}} \right) = \left[ {\begin{array}{*{20}{c}} {0.50 \times 1.00}&{0.10 \times 1.00}&{0.70 \times 1.00}&{0.36 + 0.28}\\ {0.90 \times 1.00}&{0.50 \times 1.00}&{0.70 \times 1.00}&{0.60 + 0.80}\\ {0.30 \times 1.00}&{0.30 \times 1.00}&{0.50 \times 1.00}&{0.80 \times 1.00}\\ {0.24 + 0.12}&{0.40 \times 0.80}&{0.20 \times 1.00}&{0.50 \times 1.00} \end{array}} \right] \\ = \left[ {\begin{array}{*{20}{c}} {0.50}&{0.10}&{0.70}&{0.64}\\ {0.90}&{0.50}&{0.70}&{0.48}\\ {0.30}&{0.30}&{0.50}&{0.80}\\ {0.36}&{0.32}&{0.20}&{0.50} \end{array}} \right] $

3) 在确定数矩阵 R_C的基础上, 构建概率矩阵 R_P, 其表达式如下:

$ {\mathit{\boldsymbol{R}}_p} = \left[ {\begin{array}{*{20}{c}} {\Pr \left( {{U_1} \succ {U_1}} \right) = 0.00}&{\Pr \left( {{U_1} \succ {U_2}} \right) = 0.00}&{\Pr \left( {{U_1} \succ {U_3}} \right) = 1.00}&{\Pr \left( {{U_1} \succ {U_4}} \right) = 1.00}\\ {\Pr \left( {{U_2} \succ {U_1}} \right) = 1.00}&{\Pr \left( {{U_2} \succ {U_2}} \right) = 0.00}&{\Pr \left( {{U_2} \succ {U_3}} \right) = 1.00}&{\Pr \left( {{U_2} \succ {U_4}} \right) = 0.90}\\ {\Pr \left( {{U_3} \succ {U_1}} \right) = 0.00}&{\Pr \left( {{U_3} \succ {U_2}} \right) = 0.00}&{\Pr \left( {{U_3} \succ {U_3}} \right) = 0.00}&{\Pr \left( {{U_3} \succ {U_4}} \right) = 1.00}\\ {\Pr \left( {{U_4} \succ {U_1}} \right) = 0.00}&{\Pr \left( {{U_4} \succ {U_2}} \right) = 0.10}&{\Pr \left( {{U_4} \succ {U_3}} \right) = 0.00}&{\Pr \left( {{U_4} \succ {U_4}} \right) = 0.00} \end{array}} \right] $

4) 通过三角化方法将概率矩阵 R_P转化为 R_P^T:

$ \mathit{\boldsymbol{R}}_P^{\rm{T}} = \left[ {\begin{array}{*{20}{c}} {0.00}&{1.00}&{1.00}&{0.90}\\ {0.00}&{0.00}&{1.00}&{1.00}\\ {0.00}&{0.00}&{0.00}&{1.00}\\ {0.00}&{0.10}&{0.00}&{0.00} \end{array}} \right] $

对各指标进行排序:U₂≻U₁≻U₃≻U₄, 即信息安全风险重要程度由高到低的顺序为:威胁U₂, 资产U₁, 脆弱性U₃, 已有安全措施U₄。

由式(11)通过矩阵 R_P^T计算D数偏好矩阵 R_D的不一致度系数I.D.= 0.016 7。经专家组讨论, 该I.D.值在可接受范围内。

5) 根据指标排序将矩阵 R_C表示为 R_C^T:

$ \mathit{\boldsymbol{R}}_C^{\rm{T}} = \left[ {\begin{array}{*{20}{c}} {0.50}&{0.90}&{0.70}&{0.58}\\ {0.10}&{0.50}&{0.70}&{0.64}\\ {0.30}&{0.30}&{0.50}&{0.80}\\ {0.42}&{0.36}&{0.20}&{0.50} \end{array}} \right] $

根据该矩阵解方程组:

$ \begin{array}{l} \left\{ \begin{array}{l} \lambda \left( {{a_2} - {a_1}} \right) = 0.9 - 0.5\\ \lambda \left( {{a_1} - {a_3}} \right) = 0.7 - 0.5\\ \lambda \left( {{a_3} - {a_4}} \right) = 0.8 - 0.5\\ {a_1} + {a_2} + {a_3} + {a_4} = 1 \end{array} \right.\\ \lambda > 0,{a_i} \ge 0,\forall i \in \left\{ {1,2,3,4} \right\} \end{array} $

其中, a_i表示第i个一级指标的权重, λ表示信息的可信程度, 其与参评专家关于评估问题的认知能力有关。λ的取值及说明如下^[17]:

$ \lambda = \left\{ \begin{array}{l} \left\lceil {\underline \lambda } \right\rceil ,信息高度可信\\ n,信息中度可信\\ \frac{{{n^2}}}{2},信息低度可信 \end{array} \right. $

由于参评专家经验丰富, 评估信息高度可信, 故λ=$\left\lceil {\underline \lambda } \right\rceil $=2。因此, 得准则层各一级指标的权重为:a₁ = 0.287 5, a₂ = 0.487 5, a₃ = 0.187 5, a₄= 0.037 5。

同理, 可求得各二级指标相对于准则层一级指标的权重, 以及相对于评估目标(即信息安全风险)的综合权重, 计算结果如表 3所示。

由表 3可以看出, 各二级指标综合权重向量 W =(0.124 3, 0.072 2, 0.091 0, 0.325 0, 0.162 5, 0.046 4, 0.141 1, 0.027 1, 0.010 4)。

4.2 灰色评价矩阵

将评估等级确定为“很高”“高”“中等”“低”“很低”5个等级, 所对应的分值分别为5、4、3、2、1。分值越高, 说明该项指标存在的风险水平越高。同时确定风险评估等级向量 V =(5, 4, 3, 2, 1)。现有5名专家组成评判组, 每人均有多年信息安全风险评估经验, 结合该系统实际运行状况, 根据预先确定的评估等级向量对各二级指标进行评估赋值, 构建样本评价矩阵, 见表 4。

以一级指标资产U₁为例, U₁所对应的二级指标机密性U₁₁、完整性U₁₂、可用性U₁₃构成的样本评价矩阵 D₁为:

$ {\mathit{\boldsymbol{D}}_1} = \left[ {\begin{array}{*{20}{c}} {3.50}&{4.00}&{2.50}\\ {3.00}&{4.00}&{2.50}\\ {4.00}&{3.00}&{3.00}\\ {3.50}&{5.00}&{3.00}\\ {4.50}&{3.50}&{2.50} \end{array}} \right] $

根据评估等级, 将白化权函数分别定义为f₁(x)、f₂(x)、f₃(x)、f₄(x)、f₅(x), 各白化权函数的表达式分别如下:

$ f_{1}(x)=\left\{\begin{array}{l}{\frac{x}{5}, x \in[0,5)} \\ {1, x \in[5,+\infty)} \\ {0, x \in(-\infty, 0)}\end{array}\right. $

$ {f_2}\left( x \right) = \left\{ \begin{array}{l} \frac{x}{4},x \in \left[ {0,4} \right)\\ \frac{{8 - x}}{4},x \in \left[ {4,8} \right]\\ 0,x \notin \left[ {0,8} \right] \end{array} \right. $

$ {f_3}\left( x \right) = \left\{ \begin{array}{l} \frac{x}{3},x \in \left[ {0,3} \right)\\ \frac{{6 - x}}{3},x \in \left[ {3,6} \right]\\ 0,x \notin \left[ {0,6} \right] \end{array} \right. $

$ {f_4}\left( x \right) = \left\{ \begin{array}{l} \frac{x}{2},x \in \left[ {0,2} \right)\\ \frac{{4 - x}}{2},x \in \left[ {2,4} \right]\\ 0,x \notin \left[ {0,4} \right] \end{array} \right. $

$ {f_5}\left( x \right) = \left\{ \begin{array}{l} 1,x \in \left[ {0,1} \right)\\ 2 - x,x \in \left[ {1,2} \right]\\ 0,x \notin \left[ {0,2} \right] \end{array} \right. $

由式(16)计算指标U₁₁属于第e(e=1, 2, 3, 4, 5)个灰类的灰色统计数, 得n₁₁⁽¹⁾=3.7, n₁₁⁽²⁾=4.375, n₁₁⁽³⁾=3.833, n₁₁⁽⁴⁾=1, n₁₁⁽⁵⁾=0。由式(17)可得U₁₁的总灰色统计数n₁₁=12.908 3, 得到U₁₁对于各个评价灰类的灰色评价权为:z₁₁⁽¹⁾=0.286 6, z₁₁⁽²⁾=0.338 9, z₁₁⁽³⁾=0.296 9, z₁₁⁽⁴⁾=0.077 5, z₁₁⁽⁵⁾=0。则U₁₁的灰色评价权向量为:

$ {\mathit{\boldsymbol{Z}}_1} = \left( {0.286\;6,0.338\;9,0.296\;9,0.077\;5,0} \right) $

由此可分别计算出U₁下二级指标U₁₂和U₁₃对于各个评价灰类的灰色评价权向量为:

$ {\mathit{\boldsymbol{Z}}_2} = \left( {0.311\;4,0.349\;3,0.279\;4,0.059\;9,0} \right) $

$ {\mathit{\boldsymbol{Z}}_3} = {\rm{(0}}{\rm{.162}}\;{\rm{2,0}}{\rm{.202}}\;{\rm{7,0}}{\rm{.270}}\;{\rm{3,0}}{\rm{.202}}\;{\rm{7,0}}{\rm{.162}}\;{\rm{2)}} $

同理计算所有二级指标的总灰色统计数和灰色评价矩阵权向量, 如表 5所示。

由灰色评价权向量组成灰色评价矩阵 Z :

$ \mathit{\boldsymbol{Z}} = \left[ {\begin{array}{*{20}{c}} {0.286\;6}&{0.338\;9}&{0.296\;9}&{0.077\;5}&{0.000\;0}\\ {0.311\;4}&{0.349\;3}&{0.279\;4}&{0.059\;9}&{0.000\;0}\\ {0.162\;2}&{0.202\;7}&{0.270\;3}&{0.202\;7}&{0.162\;2}\\ {0.130\;4}&{0.163\;0}&{0.217\;4}&{0.285\;3}&{0.203\;8}\\ {0.200\;1}&{0.250\;2}&{0.308\;8}&{0.203\;8}&{0.037\;7}\\ {0.205\;2}&{0.256\;5}&{0.291\;3}&{0.209\;0}&{0.038\;0}\\ {0.173\;5}&{0.216\;8}&{0.289\;1}&{0.282\;8}&{0.037\;7}\\ {0.298\;8}&{0.334\;2}&{0.288\;3}&{0.078\;6}&{0.000\;0}\\ {0.286\;6}&{0.286\;6}&{0.286\;6}&{0.286\;6}&{0.000\;0} \end{array}} \right] $

4.3 风险分析

D-AHP权重计算结果如表 3所示。通过分析各权重计算结果及权重排序可知, 威胁U₂是信息安全建设中最需要关注的对象, 资产U₁次之, 而已有安全措施U₄对信息系统风险的影响程度最低。因此, 在系统运行过程中, 应注意以下4点:

1) 就威胁而言, 应重点关注其产生的来源。一方面应注意环境危害或自然灾害以及系统软硬件等方面的故障给系统带来的潜在损害, 增强防范意识; 另一方面要提高相关技术人员的操作水平及能力, 避免人为过失对系统造成的安全损失, 同时加强相关人员职业道德水平建设, 防止滥用职权及非法访问等行为。

2) 应加强对系统资产的保护, 同时精确识别其价值, 完善相关措施, 以确保资产的机密性、完整性及可用性。

3) 关注系统资产存在的脆弱性, 尤其是管理脆弱性。在系统运行过程中, 应完善技术管理与组织管理, 并从安全策略的角度出发, 完善脆弱性识别等工作。

4) 应重视已有安全措施建设。虽然已有安全措施对系统安全风险的影响程度最低, 但在日常运行中仍不可忽视各因素对系统产生的不利影响, 应周期性巡查系统安全防范措施及安全保护措施, 加强检查力度等。

由式(20)可得综合评价向量 H =(0.192 8, 0.234 0, 0.267 6, 0.213 0, 0.094 1), 由式(21)计算出系统总体的信息安全风险评估值Risk = 3.222 9, 由于3 < 3.222 9 < 4, 参考评估等级, 将该系统的总体风险等级确定为“中等”, 表明该系统运行状况尚可, 但还存在一定的安全隐患, 故应落实相关管理制度, 完善各项应急措施, 确保风险状况维持在可控范围内。

5 结束语

本文提出一种基于D-AHP方法和灰色理论的信息安全风险评估方法。引入D数理论改进模糊偏好关系, 以处理由于评估专家经验差异所导致的评估信息不确定等问题。结合层次分析法将定性与定量分析相结合并引入到评估决策过程中, 计算各指标的影响权重, 降低人为主观性对评估结果的影响。通过灰色理论避免评估过程中信息丢失的现象, 充分利用有限的信息资源提高评估的精确性。在此基础上, 对信息系统总体安全状况进行综合评估, 通过量化的评估结果确定系统当前的安全风险等级。本文评估方法在构建D数偏好矩阵的过程中, 不一致度系数的取值是否在接受范围内需由评估专家来决定, 这在一定程度上增加了专家主观性对评估结果的影响, 解决该问题将是下一步的研究方向。