模糊综合分析在信息安全评估中的应用.pdfVIP

第45卷 第3期 西 南 交 通 大 学 学 报 Vo1．45 No．3 2010年 6月 JOURNALOFSOUTHWESTJIAOTONGUNIVERSIrY Jun．2010 文章编号：0258-2724(2010)03-0440-05 DOI：10．3969／j．issn．0258-2724．2010．03．021 模糊综合分析在信息安全评估中的应用 付茂沼 (中国民用航空飞行学院计算机学院，四川 广汉618307) 摘 要：为了提高信息系统安全评估的准确性和有效性 ，减少评判者的主观差异性对评判结果的影响，提出了 一 种基于模糊综合分析的聚类方法．该方法对专家打分进行预处理，根据评价指标的权重大小，将分数转化为相 对权重比值 ，再运用模糊聚类法剔除离散程度较大的差异分数．实例证明，所提出的方法使赋值区间的集中程度 提高30％，评估分数的聚合性提高 15％，增强了重要评估指标对评估结果的影响力． 关键词：信息系统安全评估 ；模糊综合分析；聚类 中图分类号：TP393 文献标识码：A Application ofFuzzyComprehensiveAnalysisto InformationSecurityEvaluation FUMaoming (DepartmentofComputer，CivilAviationFlightUniversityofChina，Guanghan618307，China) Abstract：Inordertoimprovetheaccuracyandvalidityofinformationsystem securityevaluationand reducetheeffectsofdiversitiesofexperts’subjectivityonevaluationresults，aclusteringmethodbased onthefuzzycomprehensiveanalysiswasproposed．Withthismethod，scoresgivenbyexpertsarepre— processedandtransfomr edtorelativeweightratiosbasedontheweightsofevaluationindexes，andafter thetransformation，differencescoreswithalargediscretedegreeareremoved．Examplesshow thatthis clusteringmethodmakestheconcentrationrangeofvaluationintervalandtheconvergenceofassessed scoresberespectivelyincreasedby30％ and15％ toenhancetheeffectoftheimportantevaluation indexesonevaluationresults． Keywords：infomr ationsystem securityevaluation；fuzzycomprehensiveanalysis；cluster 在信息系统安全风险评估中，存在着大量难以 这些传统的评估方法，大多是采用定量和定性相结 量化计算的评估对象，包括国家法律、规章制度、人 合的综合评估方法．在指定了评估规约框架之下， 员操作等．这些包含了大量主观因素的评估对象， 明确现实情况与安全 目标的差距，将决策者的经验 很难进行定量分析，在细化方面也非常困难．现有 加以量化，进而为组织制定安全策略提供指导．具 的评估方法有很多种，可大致分为 3类 ：定量的风 体的方式是，针对评估 目标的权重、资产属性 (机 险评估方法、定性的风险评估方法 以及定量和定性