一种新的基于AHP的信息安全风险评估方法研究.pdfVIP

MY K 第3 期 江苏科技信息 No.3 2015 年1 月 Jiangsu Science Technology Information January ，2015 一种新的基于AHP的 信息安全风险评估方法研究 姚树香 （厦门软件职业技术学院，福建厦门 361000 ） 摘要：文章以江苏某一大型电商企业为例，对电商企业网络系统进行信息安全的风险研究，建构出风险评估的指标体系并分 析各要素之间的权重关系，提出一种新的基于AHP 的安全风险评估的方法，并通过该风险评估方法分析了各影响因素的综 合权重排序并根据评估结果，提出建设性的意见。结合实例分析证明了该方法有较强的科学性和实效性，比较适宜应用于信 息安全风险评估领域。 关键词：信息安全；风险评估；ＡＨＰ 0 引言 全状态，采取有效的安全防范措施，确保网络信息系统的安全。 随着信息科技的飞速发展，以信息科技为基础的信息产业 1 层次分析法 已经成为世界经济的重要产业。信息系统及其所承载信息的 层次分析法（Analytic Hierarchy Process ，简称AHP ）是美国 安全问题也日益突出，如何对信息发展过程中 成的关系国家 Satty T.L 教授提出的一种层次化的、定性与定量相结合的多准 政治、经济、文化等方面的重要的信息系统面临的各种风险进 则决策方法。其特征是使决策者对整个系统的评审过程进行 行有效的评估、预测、防范，如何在安全风险的预防、减少、转 量化处理。用层次分析法分析问题主要包括以下几步。 移、补偿和分散等之间做出决策，是我国信息安全保障体系中 1.1 层次结构模型的构建 的重要工作之一，所以要有效的评估信息安全的风险，提出应 对问题进行分析首先要构建层次模型，其最上层是目标 对策略。 层，仅一个元素。其它层可以有一或多个元素，处在同一层的 依据有关管理标准与信息安全技术，对信息系统及由它处 元素具有相同的等级量值，相邻两层的元素根据某种规则进行 理的信息的属性进行评价，这个过程就是信息安全风险评估。 排定。一般而言，层次结构模型分为三层，如图1 所示。 目前对信息安全风险评估分析的方法，大致可分为：定量、定 性、定性和定量相结合的分析方法。 定量分析法是将风险的指标通过量化来对其进行评估。定 性分析法主要是研究者根据自己掌握的相关经验、知识对系统 的风险程度进行评价。将这2 种方法结合起来，采用综合的分 析评估方法就形成了定性定量综合分析法。主要的有概率风险 评估、模糊综合评价方法、层次分析AHP 法等。 众多研究者分别采用不同方法，从不同方面、不同角度对 信息安全风险评估进行研究，如OCTAVE 方法，概率风险分析 图1 层次结构模型