网络安全风险的模糊层次综合评估模型.pdfVIP

( ) 第 52 卷 第 5 期 武汉大学学报 理学版 Vol . 52 No . 5 　 　2006 年 10 月 J . Wuhan U niv . (Nat . Sci . Ed . ) Oct . 2006 ,622～626 文章编号 :167 18836 (2006) 网络安全风险的模糊层次综合评估模型 汪楚娇 , 林果园 ( 中国矿业大学 计算机学院 , 江苏 徐州 22 1008) 　　摘 　要 : 针对网络安全风险评估中人为因素多、指标难以量化的问题 ,在分析网络安全要素的基础上 ,将模糊 数学的方法运用于网络安全风险评估中 ,并结合层次分析方法 ,建立了网络安全风险的模糊层次综合评估模型. 该 模型首先建立逻辑的 3 级网络层次 ,即服务层 、主机层和网络层. 在服务层通过对资产 、威胁和漏洞各因子的量化 计算后得出各自的风险值 ,然后利用模糊评价方法逐级计算各层风险指数. 实验数据测试表明:通过 3 个层次 自下 而上地递阶评价各安全要素 ,利用先局部后整体的评估策略能直观地给出系统的安全态势 ,并且能准确评估网络 系统 3 个层次的安全状况. 关 　键 　词 : 风险评估 ; 威胁 ; 脆弱性 ; 资产 ; 模糊 ; 层次 中图分类号 : TP 309 . 1 　　　文献标识码 :A 观”准则来减少主观因素 ,尽量做到评估结果的客观 0 　引　言 公正. 模型中充分考虑到了网络系统的多因素性 、动 态性和复杂性 ,引入模糊计算技术. 针对网络的复杂 　　网络安全风险评估是针对心细安全风险的 3 个 ( 结构 ,模型将其划分为 3 个逻辑层次 服务层 、主机 关键元素 :资产 、脆弱性与威胁 ,从信息安全风险的 ) 层和网络层 进行评价. 且各安全因素的交互作用也 角度来衡量并保障连接在网络上的信息系统的安全 性[ 1 ] . 在该模型得到重视 ,在安全评价时 ,建立了各因素的 关系表和权重表 ,当对每个安全要素进行评估后 ,需 针对网络信息系统的安全评价 , 目前还没有形 要依据要素之间的依赖关系和重要程度进行分析 , 成较成熟的形式化评价理论 ,但存在着多种多样的 进而给出信息系统的总体评估结果. 安全评价的具体实践方式. 现有的安全评估方式可 大致归结为以下 4 类 :安全审计 、风险分析 、系统安 评估系统的建立 ( ) 1 　 全工程能力成熟度模型 SSECMM 和安全测评 等[2 ] . 风险分析模型从风险控制角度进行安全评估 , 它通过