摘 要：隨著我國經(jīng)濟(jì)建設(shè)的高速發(fā)展，目前我國的信息化的普及也較為完善。但是在我國信息化發(fā)展的過程中，信息安全問題一直是阻礙信息技術(shù)發(fā)展的難題。由于信息安全威脅的存在，也就導(dǎo)致了在我國信息化普及的過程中會出現(xiàn)各種問題。因此就需要將信息安全的威脅評估模型進(jìn)行研究。而在進(jìn)行信息安全威脅評估的過程中，AHP可以起到很大的作用，能夠讓評估信息安全威脅更加有效率，為我國信息技術(shù)發(fā)展做出貢獻(xiàn)。

關(guān)鍵詞：AHP；信息安全；威脅評估；模型

中圖分類號：TP309

隨著世界信息技術(shù)的高速發(fā)展，我國的信息技術(shù)也在近年來得到了極為快速的發(fā)展以及普及，很多基于信息技術(shù)的產(chǎn)業(yè)也成為了我國的支柱性產(chǎn)業(yè)，為我國的經(jīng)濟(jì)發(fā)展作出貢獻(xiàn)。但是在我國的信息技術(shù)發(fā)展的過程中，信息技術(shù)的安全是一個相當(dāng)重要的問題，一旦在信息技術(shù)產(chǎn)業(yè)中出現(xiàn)了問題，那么就會造成相當(dāng)嚴(yán)重的后果。因此就需要在信息安全技術(shù)發(fā)展的過程中注意信息安全的威脅評估模型研究。在進(jìn)行信息安全威脅評估模型的過程中，一種較為先進(jìn)的方法，即基于AHP的信息安全威脅評估模型研究就顯得相當(dāng)重要。通過這樣的方法，就能夠在高效率，高效果的前提下進(jìn)行信息安全威脅模型的評估，從而能夠保證信息技術(shù)的安全發(fā)展。

1 AHP的概念以及使用方法

1.1 AHP的基本概念

AHP是一種算法，全稱是層次分析法。這種算法最開始是由美國匹茲堡大學(xué)的一名運(yùn)籌學(xué)家，托馬斯·薩蒂教授首先提出的。這種算法的特點(diǎn)是簡單而靈活，并且適用范圍較為廣泛。由于其能夠?qū)Χㄐ缘膯栴}進(jìn)行定量的分析，因此在計(jì)算后得出的結(jié)果也會顯得十分準(zhǔn)確，而且AHP算法是將復(fù)雜而抽象的問題通過相互的劃分，從而使問題中的各種影響因素變得有條理，有層級，從而達(dá)到讓復(fù)雜的問題變得簡單的效果。在通過每一層次之間的順序來計(jì)算在問題中的所有影響因素里進(jìn)行排序工作。這種方法在上個世紀(jì)八十年代在我國進(jìn)行推廣后，由于定性以及定量分析的特點(diǎn)和準(zhǔn)確簡易的計(jì)算方法在我國迅速受到了人們的歡迎，而目前也仍然利用于我國的信息領(lǐng)域，并且做出了相當(dāng)突出的貢獻(xiàn)。

1.2 AHP算法的基本步驟

在使用AHP算法的過程中，首先應(yīng)該確定出系統(tǒng)中的目標(biāo)。在這一步驟中，要求要對系統(tǒng)有著較為深刻的認(rèn)識，并且能夠?qū)⑾到y(tǒng)中所規(guī)定的范圍，所需要使用的各種措施等等信息進(jìn)行收集。在信息收集完成后，就需要建立起一個遞階結(jié)構(gòu)。在這個遞階結(jié)構(gòu)中要求按照目標(biāo)以及功能的不同將結(jié)構(gòu)分成不同的層次。在將遞階結(jié)構(gòu)中的各種因素之間的關(guān)系進(jìn)行確認(rèn)后，就能夠通過各種數(shù)學(xué)算法來進(jìn)行構(gòu)造。在構(gòu)造完成后，需要對系統(tǒng)中各種因素構(gòu)造的合成權(quán)重進(jìn)行計(jì)算，并且在計(jì)算完成后進(jìn)行排序，從而能夠保證在遞階結(jié)構(gòu)中的每個因素的重要程度，在這些工作完成后就可以考慮相關(guān)的對策。

2 如何對信息安全威脅模型進(jìn)行AHP評估

2.1 使用基于AHP信息安全威脅評估模型的方法

基于AHP的信息安全威脅評估模型主要是包括了資產(chǎn)和威脅的識別以及對威脅的分析。在對資產(chǎn)的識別方面，可以根據(jù)計(jì)算及數(shù)據(jù)庫中的資料進(jìn)行了解和分析，也可以通過與相關(guān)負(fù)責(zé)人進(jìn)行交流從而得到這些資料。在具體需要評估的資料方面，包括了對于信息中包含的資產(chǎn)數(shù)量，形成的資產(chǎn)量，并且在這些信息經(jīng)過了評估確認(rèn)后，就可以得到資產(chǎn)的具體價(jià)值以及資產(chǎn)的暴露因子。在威脅識別方面，是需要對評估對象的歷史威脅以及在日后會出現(xiàn)的潛在威脅進(jìn)行的識別，并且將各種威脅進(jìn)行列出，形成威脅列表。在對資產(chǎn)以及威脅都進(jìn)行了識別以后，就可以通過這些識別的資料來進(jìn)行AHP的計(jì)算。在計(jì)算方面，可以使用一個二元組E=（T，A，P）來表示，表示出資產(chǎn)A有可能會受到的威脅T會發(fā)生的可能性。通過層次的單排序就可以進(jìn)行一致性的檢驗(yàn)，在檢驗(yàn)后就可以進(jìn)行層次的總排序，從而得到單資產(chǎn)威脅的分析結(jié)果。AHP算法的具體步驟首先需要先構(gòu)造判斷矩陣R，并且再計(jì)算出在統(tǒng)一標(biāo)準(zhǔn)以及層次下的某個元素的排序向量 ，在此過程中，i=1，2，...，d，從而就可以得到W的具體范圍。在將W的范圍得到后，就可以求出矩陣的最大特征值λmax的值。然后就需要計(jì)算并且判斷矩陣中的一致性指標(biāo)以及一致性比例，一致性指標(biāo)的求法為CI=（λmax-d）/（d-1），一致性比例的求法為CR=CI/RI。通過這種算法就可以得到W，在得到了W后，可以分別使用W1以及W2j的方式來進(jìn)行保存，并且可以計(jì)算出層次總排序的向量，總排序向量的計(jì)算方法為 。

2.2 單資產(chǎn)模糊性的威脅等級的AHP算法

我們可以將威脅的評價(jià)等級設(shè)置為一個集合作為模型。對信息造成的威脅類型主要是分為了聲譽(yù)，業(yè)務(wù)以及經(jīng)濟(jì)方面的，可以將這些威脅分為五個等級，即很小影響，較小影響，一定的影響，較大影響，很大影響。在每一個等級方面可以對應(yīng)一個模糊子集，并且需要給出相應(yīng)的模糊映射。通過AHP的算法就能夠計(jì)算出單資產(chǎn)的威脅值，從而進(jìn)一步的將模糊子集以及相應(yīng)的模糊影射計(jì)算出來，因此就能夠?qū)钨Y產(chǎn)模糊性威脅值較為精確的計(jì)算出來。在模糊影射的具體計(jì)算方法上，主要是通過隸屬度函數(shù)來進(jìn)行計(jì)算的，通過定義出F（V）來表示出V上所有的模糊集，通過表示出F（V）中的一個元素，并且表示出威脅元素來將各種評語中的支持程度來進(jìn)行評價(jià)，在支持程度中，一般某一因素是表示在這一類的資產(chǎn)面臨威脅因素時的人數(shù)。而通過在模糊集中的隸屬度函數(shù)可以求出因素集合中的模糊評判矩陣 。在這個矩陣中，y表示威脅等級的元素?cái)?shù)量，s表示因素集中的元素?cái)?shù)量，通過這個矩陣就可以算出威脅等級在威脅等級的計(jì)算過程中，首先應(yīng)該輸入V以及TU，然后根據(jù)V={v1，v2，v3，v4，v5}來計(jì)算出M的值。在將M的值計(jì)算出以后，就可以通過AHP算法來將 求出來，在進(jìn)行歸一化的處理后跟M的值進(jìn)行模糊變幻的計(jì)算，從而得到單資產(chǎn)綜合威脅值及其集合B={b1，b2，b3，b4，b5}。在單資產(chǎn)綜合威脅集合計(jì)算出之后，就可以計(jì)算出單資產(chǎn)的綜合威脅等級 。

2.3 評估信息安全威脅分析的方法

在評估信息安全威脅分析的具體方法上，首先應(yīng)該進(jìn)行威脅評估的準(zhǔn)備，在準(zhǔn)備完成后再進(jìn)行資產(chǎn)識別以及威脅識別。在威脅識別完成后需要進(jìn)行威脅分析。在威脅分析方面，需要分析是否為低等級威脅。如果是低等級威脅，那么就需要加強(qiáng)現(xiàn)有的措施，如果不是低等級威脅，那么就需要將安全防范措施進(jìn)行重新部署。不論是否為低等級威脅，在分析出相應(yīng)的措施之后都應(yīng)該做出結(jié)果報(bào)告。

3 結(jié)束語

目前我國的信息安全工作顯得十分重要，它決定著我國企業(yè)以及事業(yè)單位的信息安全，而傳統(tǒng)的信息安全威脅評估方法已經(jīng)不能很好地滿足于目前的社會需求，因此就需要采用AHP算法來進(jìn)行信息安全威脅評估，從而保證信息安全能夠得到較好的保障。

參考文獻(xiàn)：

[1]李楊，韋偉，劉永忠.一種基于AHP的信息安全威脅評估模型研究[J].計(jì)算機(jī)科學(xué)，2012（01）：61-64.

[2]李楊.一種基于AHP的信息安全威脅評估模型研究[D].西南大學(xué)，2012.

[3]唐杰，逯全芳，文紅.基于AHP移動終端系統(tǒng)的安全風(fēng)險(xiǎn)評估[J].信息安全與技術(shù)，2013（03）：13-16.

[4]牛立成.電信網(wǎng)中業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全評估的模糊綜合評價(jià)[J].計(jì)算機(jī)安全，2012（06）：80-82.

[5]陳錫庚.一種量化的移動智能終端風(fēng)險(xiǎn)評估方法[J].數(shù)字通信，2013（06）：40-45.

作者單位：中國電子設(shè)備系統(tǒng)工程公司計(jì)算站，北京 100089