网络安全评价的层次分析法与可拓评价分析法的集成模型.docxVIP

网络安全评价的层次分析法与可拓评价分析法的集成模型 1 管理的综合评价 信息安全管理正在朝着体系化、标准化、量化等方向发展，网络安全管理是信息安全管理的重点和难点。对网络安全进行综合评价，可以使技术人员和管理者及时得到有效的反馈信息，有利于对网络信息系统进行持续改善。因此，无论从专业技术的角度，还是从管理的角度，都有必要对网络安全进行综合评价。网络安全综合评价主要涉及指标体系的设计、指标权重的确定、评价方法的选用等问题。 在指标方面，目前已有研究把AHP方法应用到网络安全综合评价中，参考文献提出目标层、一级指标层、二级指标层的三层两级评价体系，并通过AHP方法求出指标的权重。众所周知，网络安全保障的是信息的完整性、保密性、可用性与不可抵赖性。这种三层的评价体系没有把指标对上述网络安全关键属性的关系与影响表达出来。其实，AHP具备分析相邻上、下两层有复杂多重对应关系的能力，而这种三层的评价体系也没有充分利用AHP在这方面的优势。在评价方法的选用上，目前有关于模糊评价、人工神经网络、数据包络分析法等方法的研究。实际上，在没有客观、统一的评价标准体系的状况下，依靠专家进行评判仍然是最简单、有效的方法。 2 专家综合评价结果的计算 在上述相关研究的基础上，本文引入表示信息完整性、保密性、可用性、不可抵赖性的准则层，构成四级三层的评价体系，利用AHP计算指标的权重，并引入一种新的评价方法———可拓分析方法，把专家的评分转化成综合评价结果。 2.1 指数的重量是通过ahp方法确定的 2.1.1 分级四级指标量表：以图4 依据ISO/IEC18028等相关标准，构建一个三级四层指标体系，如图1所示。其中，Wai表示第i个准则对总目标的权重，Wbj表示第j个一级指标对总目标的权重，Wck表示第k个二级指标对总目标的权重。 2.1.2 层次单排序。依据计算，有以下简称“层次单排序”，或称层次单排序。请看，计算层次单排序，计算层次单排序，计算层次单排序。请看 计算出某层次元素对于上一层次中某一元素的相对重要性，这种排序计算称为层次单排序。无论评价体系的层次结构多么复杂，都可以把它看成由若干个这种层次单排序构成。 (1） 各元素极端值的计算 对于上层的某一元素，下层相关的各个元素都进行两两比较，构造出比较判断矩阵。若有n个元素，可得到判断矩阵B=（Bij)n×n，其中，Bij表示第i个元素对第j个元素的相对重要性。矩阵B具有如下性质： 其中，Bij的赋值可使用常用的1～9标度法，如Bij=1表示第i个元素与第j个元素同等重要，Bij=9表示第i个元素比第j个元素极端重要，Bij=1/9表示第i个元素比第j个元素极端不重要。 应用层次分析法需要确保专家判断思维的一致性，因此需要进行判断矩阵的一致性检验。根据矩阵理论，可以用判断矩阵特征根的变化来检验判断一致性的程度。设λ1，λ2，…，λn是满足式Bx=λx的数，也即矩阵B的特征根，且对所有Aij=1有： 若矩阵B具备完全一致性，则λ1=λmax=n，其余特征根均为零。若矩阵B不具备完全一致性，则有则λ1=λmaxn，且： AHP方法把判断矩阵最大特征根以外的其余特征根的负平均值作为衡量判断矩阵偏离一致性程度的指标： 用来检查专家判断思维的一致性，CI为0表示判断矩阵具备完全一致性，CI越小越好。在实际应用中，如果λmax稍大于n，其余特征根也接近于零，这种情况也可以接受，叫作“满意一致性”。一般把CI与平均随机一致性指标RI的比率CR作为“满意一致性”的衡量标准，当时，即可认为判断矩阵达到满意一致性。平均随机一致性指标RI值可查表获得。 (2） 方根法的计算步骤 计算矩阵特征根及其对应特征向量可采用方根法、特征根法或最小二乘法等。指标定权对精度要求不高，适宜采用相对简单、方便的方根法。下面给出方根法的计算步骤。 ·计算判断矩阵每一行元素的乘积Ei: ·计算Ei的n次方根: ·对向量作归一化处理： 则W=[W1,W2，…，Wn]T即为所求的特征向量，也即层次单排序得到的权重值。 ·计算判断矩阵的最大特征根λmax: 其中，（BW)i表示向量BW的第i个元素。 2.1.3 层次总排序 对图1的层次结构由上而下逐层计算，求出最低层元素对于总目标的相对重要性，称为层次总排序，也即依次求出Wai、Wbj、Wck。易知，通过构造准则层对目标的判断矩阵，由层次单排序可求出Wai。设Pji表示第j个一级指标对第i个准则的层次单排序结果，则有： 设Qkj表示第k个二级指标对第j个一级指标的层次单排序结果，则有： 2.2 可渗透分析算法 2.2.1 安全等级指标 评估指标分成一级指标与二级指标。一级指标包括管理安全、环境安全、体系安全、软件安全与数据安全。每个一级指标下有若干个二级指标，二级指标共计18个。专家根据自己