基于TOPSIS信息安全风险评估应用研究.docVIP

基于TOPSIS信息安全风险评估应用研究 　　摘要：信息安全风险评估是一个多属性群决策问题，文章针对目前信息系统安全风险评估中风险值难以量化、主观因素影响大的问题，提出了一种基于TOPSIS的多属性群决策方法。该方法决策者权重采用成对比较判断获得，各评估指标的权重采用熵权法求解，最后用TOPSIS对信息安全风险评估进行排序。实例分析表明，该方法合理有效，可为信息系统安全风险评估提供新思路，且该方法较适合指导安全工程实践与评估软件系统的开发。 　　关键词：多属性群决策；熵权法；TOPSIS；信息安全；风险评估 　　一、 引言 　　从20世纪90年代后期起，我国信息化建设得到飞速发展，金融、电力、能源、交通等各种网络及信息系统成为了国家非常重要的基础设施。随着信息化应用的逐渐深入，越来越多领域的业务实施依赖于网络及相应信息系统的稳定而可靠的运行，因此，有效保障国家重要信息系统的安全，加强信息安全风险管理成为国家政治稳定、社会安定、经济有序运行的全局性问题。 　　信息安全风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三大类。定性评估方法的优点是使评估的结论更全面、深刻；缺点是主观性很强，对评估者本身的要求高。典型的定性评估方法有：因素分析法、逻辑分析法、历史比较法、德尔斐法等。定量的评估方法是运用相应的数量指标来对风险进行评估。其优点是用直观数据来表述评估结果，非常清晰，缺点是量化过程中容易将本来复杂的事物简单化。典型的定量分析方法有：聚类分析法、时序模型、回归模型等。定性与定量相结合的评估方法就是将定性分析方法和定量分析方法这两种方法有机结合起来，做到彼此之间扬长避短，使评估结果更加客观、公正。 　　本文针对风险评估主观性强，要素众多，各因素较难量化等特殊性，将多属性群决策方法引入到风险评估当中。多属性决策方法能够较有效解决多属性问题中权重未知的难题，而群决策方法能较好地综合专家、评估方、被评估方以及其他相关人员的评估意见。该方法可解决风险评估中评估要素属性的权重赋值问题，同时群决策理论的???入可提高风险评估的准确性和客观性。本文用熵权法来确定属性权重，用TOPSIS作为评价模型，对风险集进行排序选择，并运用实例来进行验证分析。 　　二、 相关理论研究 　　1. 信息安全风险分析原理。信息安全风险评估是指依据信息安全相关的技术和管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性进行评价的过程。它要对组织资产面临的威胁进行评估以及确定威胁利用脆弱性导致安全事件的可能性，并结合相应安全事件所涉及的资产价值来判定当安全事件发生时对组织会造成的影响。文献中提出了一种改进的风险分析流程及原理，该模型对风险分析基本流程的属性进行了细分，如图1所示。 　　根据上述原理，总结出信息安全风险评估的基本步骤，可以描述如下： （1）首先调查组织的相关业务，分析识别出组织需要保护的重要资产，以及资产本身存在的脆弱性、面临的威胁，形成风险集。（2）组织各领域专家对风险集中各属性进行评估并赋权值，得到每个风险的属性值。（3）通过一定的算法对所有属性进行综合分析，得到最后的结果，进一步推算出组织面临的风险值。 　　2. 多属性群决策理论。多属性群决策，是指决策主体是群体的多属性决策。多属性决策是利用已有的决策信息，通过一定的方式对一组（这一组是有限个）备择方案进行排序并选择，群决策是多个决策者根据自己的专业水平、知识面、经验和综合能力等对方案的重要性程度进行评价。在多属性群决策过程中，需要事先确定各专家权重和属性权重，再通过不同集结算法计算各方案的综合属性值，从而对方案进行评价或择优。 　　3. 熵权法原理。香农在1948年将熵的概念应用到信息领域用来表示信源的不确定性，根据熵的思想，人们在决策中获取信息的数量和质量是提高决策精度和可靠性的重要因素。而熵在应用于不同决策过程的评价时是一个很理想的方法。熵权法是确定多属性决策问题中各属性权系数的一种有效方法。它是利用决策矩阵和各指标的输出熵来确定各指标的权系数。 　　试考虑一个评估问题，它有m个待评估方案，n个评估属性，（简称m，n评估问题）。先将评估对象的实际状况可以得到初始的决策矩阵R′=（′ij）m×n，′ij为第i个对象在第j个指标上的状态，对R′进行标准化处理，得到标准状态矩阵：R=（ij）m×n，用M={1，2，…，m}表示方案的下标集，用 N={1，2，…，n}表示属性的下标集，以下同。其中，当评估属性取值越大越好，即为效益型数据时： 　　ij=（1） 　　当评估属性取值越小越好，即为成本型数据时： 　　ij=（2） 　　（1）评估属性的熵： 　　Hj=-kij×lnij j∈N（3） 　　其中ij=ij/ij