基于AHP的信息安全项目风险评价.docxVIP

基于?AHP?的信息安全项目风险评价 　　摘?要?本文引入?AHP?方法来为信息系统构建 安全风险评估体系，得出信息系统安全等级及对应分 值，实现对信息系统的安全性评价。 　　【关键词】层次分析法?信息安全?一致性校正 　　1?引言 　　随着信息安全技术的发展，当前已经出现了不少 风险评估方法，在信息安全管理中发挥着作用，但是 这些方法往往无法实现定量分析，也难以将安全体系 作为一个完整的系统进行分析和评估。本文引入 AHP?方法来为信息系统构建安全风险评估体系，具 有比较好的理论价值与实践意义。 　　2?风险评价指标的构建 　　结合德尔菲原理，最终构建出基于分层结构的信 息安全评价指标体系，如表?1?所示。层次分析法的基 础便是判断矩阵的构建，也是进行安全风险评估的关 键性步骤。判断矩阵能够以阵阵的形式量化体现出本 层的所有元素对于上一层指标的相关性与重要程度， 判断矩阵的构建思路是：对处于同一层次的全部影响 因素?ai?与?aj?两两比较，形成判断矩阵： 　　。 　　其中： 　　数字?1、3、…9?的含义是?aij?的标度。aij?取值不 同，含义也不同：取值为?1?时，表示?ai?与?aj?同样重 要，取值为?3?时，表示?ai?与?aj?相比，重要程度稍高； 取值为?5?时，表示?ai?比?aj?重要，取值为?7?时，表示 ai?比?aj?重要得多，取值为?9?时，表示?ai?比?aj?绝对重 要。 　　考虑到无论是专家还是技术人员对所有指标的重 要性程度进行比较时，其判断一般而言不尽一致，因 此在得到判断矩阵之后，接下来还需要对矩阵的逻辑 一致性进行评估。结合层次分析法，对一致性进行判 断的指标算法是?；在得到?CI?的值以后，与平均随机 一致性?进行运算，取，RI?的含义是一致性比例，若 满足?，则认为该片段矩阵的一致性处于可接受范围。 平均随机一致性的取值可通过查表获得。结合以上的 分析，在得到所有元素的权重向量之后，接着进行每 一个元素对于评价目标的权重的具体序列。本文将指 标的上一层命名为?A?层，设该层次共有?m?个评估指 标元素，表示为?。由此，将?A?层的下一层命名为?B 层，设该层次共有?n?个元素，表示为?，B?层权重便 可表示为?。由此可知?B?层的一致性比例可以表示为： CR0.1，假若满足?，便能够认为结果处于可接受范 围。 　　2.1?判断矩阵的构建 　　结合前文所阐述的判断方法，聘请被评估机构的 16?位信息安全专家进行指标的评估，结合专家的意 见得到判断矩阵。然后对数据进行初步处理，去除一 些偏离过大的数值，得到专家群体判断矩阵。此处结 合信息安全评价指标体系准则层，给出判断矩阵?A 如下： 　　再以指标层的数据安全为例，给出判断矩阵?B1 如下： 　　篇幅所限，其他的矩阵略。引入?MATLAB，对 所有得出的判断矩阵进行归一化计算，得到所有矩阵 的权重向量。依旧以指标体系准则层判断矩阵?A?以 及指标层的数据安全判断矩阵?B1?为例，其权重向量 分别是： 　　结合准则层判断矩阵?A?的权重向量，得到其最 大特征值，由此有， 　　， 　　故可以通过一致性检验。同理可对其余的所有指 标进行权重向量的求取和一致性检验，均通过，此处 不再赘述。最终得到综合权重向量如表?1?所示。 　　3?实例分析 　　结合以上的指标构建以及综合权重向量的计算， 便可以对具体机构的信息安全风险进行评估。将信息 安全的风险情况分为五个级别，分别为：A?级：信息 系统安全性良好；B?级：信息系统较为安全；C?级： 信息系统安全性一般；D?级：安全性比较低；E?级： 安全风险较大。以百分制进行级别的对应，其关系为： A?级：90――100?分；B?级：80――89?分；C?级： 70――79?分；D?级：60――69?分；E?级：低于?60?分。 　　由此，聘请该机构的技术人员，以及安全管理专 家对所有的指标项目进行打分，并对每一位专家的分 数进行加权综合计算，最终得出其具体的安全风险分 数为?88.13?分，由此可知该机构的安全风险级别是 B，表示“信息系统较为安全”。结合每一个指标分 值的分析，可知其安全程度最好的项目为硬件，稍差 的项目是管理安全项。由此可以给出该机构在安全风 险管理方面的目标应该加强安全管理机制的建立，以 及执行的力度和落实的程度。 　　4?结束语 　　本文引入?AHP?法，结合具体案例，对信息安全 风险评估进行了指标的构建于实例分析，并结合评估 的指标建立了量化层次模型，在此基础上给出了具体 的计算方法，通过实例验证了算法的准确性。 　　层次分析法是一种实用的多准则决策方法，能对 一些复杂的难以精确定量描述的决策问题进行量化分 析，本文对信息安全风险考评的研究就是多指标评价 的例子，将层次分