（河北工程大學(xué) 信息與電氣工程學(xué)院，邯鄲 056038）

隨著信息科技的發(fā)展，信息系統(tǒng)在人們的生活、學(xué)習(xí)、工作中占據(jù)了重要的地位，保障信息系統(tǒng)安全是新形勢(shì)下必須要正視的重要問題。而針對(duì)信息系統(tǒng)中的風(fēng)險(xiǎn)評(píng)估方法有多種，大致可以分為定性、定量以及定性與定量相結(jié)合的風(fēng)險(xiǎn)評(píng)估方法。針對(duì)目前較為復(fù)雜的信息系統(tǒng)，定性與定量相結(jié)合的信息安全風(fēng)險(xiǎn)評(píng)估方法融合了前2種方法的優(yōu)點(diǎn)，得到了廣泛的應(yīng)用。而在定性與定量結(jié)合的信息安全風(fēng)險(xiǎn)評(píng)估方法中，由美國(guó)Pittsburgh大學(xué)Satty教授提出的層次化分析法AHP（analytic hierarchy process）是最常用的信息安全風(fēng)險(xiǎn)評(píng)估方法。

文獻(xiàn)[1-3]中借助AHP在風(fēng)險(xiǎn)評(píng)估中的優(yōu)勢(shì)，對(duì)問題進(jìn)行層層分解剖析，將各層因素按權(quán)重大小進(jìn)行排序，可以輕易地找到風(fēng)險(xiǎn)大的因素，但是在權(quán)重計(jì)算的過程中，往往根據(jù)人們對(duì)系統(tǒng)的認(rèn)識(shí)進(jìn)行賦值，參雜了過多的主觀人為因素，而判斷矩陣具有一致性的特性是AHP進(jìn)行應(yīng)用的重要前提條件，但在風(fēng)險(xiǎn)評(píng)估過程中，對(duì)模糊問題進(jìn)行量化時(shí)產(chǎn)生的偏差導(dǎo)致所建立的判斷矩陣不具有一致性特點(diǎn)；文獻(xiàn)[4]中通過兩兩評(píng)判機(jī)制構(gòu)建專家判斷矩陣，但是由于各個(gè)專家本身知識(shí)、技能、偏好不同，會(huì)導(dǎo)致判斷矩陣的一致性各不相同，必須通過計(jì)算CI值來判斷矩陣一致性，如果不成立，則需重新構(gòu)建判斷矩陣，從而使得由判斷矩陣得出的權(quán)重結(jié)果的準(zhǔn)確性有待進(jìn)一步驗(yàn)證；文獻(xiàn)[5]中將AHP與模糊綜合評(píng)價(jià)相結(jié)合得出信息系統(tǒng)總的風(fēng)險(xiǎn)等級(jí)，但模糊綜合評(píng)判過程中模糊算子采用Zadeh算子，評(píng)估結(jié)果由權(quán)重值最大的因素決定，忽略了其他風(fēng)險(xiǎn)因素的影響。

針對(duì)上述問題，本文對(duì)AHP中判斷矩陣的構(gòu)造、一致性檢驗(yàn)、風(fēng)險(xiǎn)等級(jí)的確立3大問題進(jìn)行改進(jìn)，主要過程如圖1所示。改進(jìn)后的方法以識(shí)別和確定風(fēng)險(xiǎn)因素權(quán)重為核心，依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估流程，結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，以降低風(fēng)險(xiǎn)評(píng)估主觀性為目的，對(duì)信息系統(tǒng)進(jìn)行定量與定性分析，識(shí)別、分析引發(fā)安全故障的因素，確定故障因素優(yōu)先級(jí)，為采取應(yīng)對(duì)措施提供依據(jù)和決策。

圖1 改進(jìn)AHP方法過程Fig.1 Process diagram of improved AHP method

1 判斷矩陣的構(gòu)造

AHP指標(biāo)層中各因素的權(quán)重同F(xiàn)TA（fault tree analysis）中基本事件對(duì)頂上事件的影響程度意義上相同，故在AHP判斷矩陣中引入FTA中基本事件的結(jié)構(gòu)重要度，利用各基本事件的結(jié)構(gòu)重要度，定量地計(jì)算出指標(biāo)層中各元素對(duì)目標(biāo)層的組合權(quán)重。其步驟如下：

1）系統(tǒng)分解，構(gòu)建層次結(jié)構(gòu)模型

根據(jù)風(fēng)險(xiǎn)評(píng)估流程和風(fēng)險(xiǎn)評(píng)估規(guī)范，對(duì)風(fēng)險(xiǎn)因素進(jìn)行識(shí)別，通常情況下將風(fēng)險(xiǎn)因素分為3組，即R=｛R1，R2，R3｝。 其中 R1表示資產(chǎn)識(shí)別，R2表示威脅識(shí)別，R3表示脆弱性識(shí)別，三者共同作為層次機(jī)構(gòu)的準(zhǔn)則層，針對(duì)每個(gè)Xi都有n個(gè)風(fēng)險(xiǎn)因素，可以表示成 Ri=｛Ri1，Ri2，…，Rin｝，作為層次結(jié)構(gòu)的指標(biāo)層，這樣就將安全風(fēng)險(xiǎn)因素分為多層次結(jié)構(gòu)，構(gòu)成層次結(jié)構(gòu)模型。文中針對(duì)數(shù)據(jù)服務(wù)器庫系統(tǒng)分析的層次結(jié)構(gòu)模型如圖2所示。

圖2 數(shù)據(jù)庫系統(tǒng)層次結(jié)構(gòu)模型Fig.2 Hierarchical structure model of database system

2）引入FTA結(jié)構(gòu)重要度，構(gòu)造判斷矩陣

根據(jù)層次結(jié)構(gòu)模型，對(duì)風(fēng)險(xiǎn)因素進(jìn)行邏輯分析，建立故障樹，求出故障樹中的最小徑集，根據(jù)式（1）計(jì)算基本事件的結(jié)構(gòu)重要度。

式中：k為最小徑集數(shù)目；m為包含基本事件Xi的最小徑集數(shù)；Nj為基本事件Xi所屬的第j個(gè)最小徑集中基本事件的數(shù)目。

根據(jù)建立的層次結(jié)構(gòu)，確立準(zhǔn)則層對(duì)于目標(biāo)層的判斷矩陣 An×n，如式（2）所示。其中判斷矩陣中的元素是由該準(zhǔn)則層相對(duì)應(yīng)的指標(biāo)層元素的結(jié)構(gòu)重要度之和與另一個(gè)同類元素之比。

2 一致性檢驗(yàn)

判斷矩陣具有一致性是AHP各層風(fēng)險(xiǎn)因素權(quán)重計(jì)算準(zhǔn)確性和科學(xué)性的重要保證，而經(jīng)典的AHP往往需要計(jì)算CI值，通過比較CI值來保證判斷矩陣的一致性。此處將通過FTA結(jié)構(gòu)重要度計(jì)算出來的判斷矩陣進(jìn)行模糊一致化轉(zhuǎn)化，使判斷矩陣具有完全一致性。

2.1 判斷矩陣模糊化

通常情況下，判斷矩陣An×n不具有完全一致性或弱一致性，根據(jù)式（3）將An×n做如下變化修正為其滿足完全一致性的條件為 rijrjkrki=rjirkjrik，則具有完全一致性。

2.2 合成權(quán)重的計(jì)算

權(quán)重的量化值直接影響著最終的評(píng)估結(jié)果，基于模糊一致判斷矩陣的權(quán)重計(jì)算方法很多，采用式（4）計(jì)算權(quán)重，既能滿足科學(xué)合理性、可行性，又具有高分辨率，文獻(xiàn)[6-7]已證明，此處不再詳述。

由指標(biāo)層因素對(duì)準(zhǔn)則層元素建立判斷矩陣，指標(biāo)層因素對(duì)于每個(gè)準(zhǔn)則層因素的判斷矩陣依次為A1，A2，…，An，其中 n 為準(zhǔn)則層因素個(gè)數(shù)，通過計(jì)算An×n的步驟得出每個(gè)判斷矩陣Ai的權(quán)重，通過A和Ai的權(quán)重，可以確定每個(gè)風(fēng)險(xiǎn)因素的合成權(quán)重。

3 確立風(fēng)險(xiǎn)等級(jí)

AHP本身的缺陷是無法估算出整個(gè)系統(tǒng)的風(fēng)險(xiǎn)等級(jí)，鑒于模糊綜合評(píng)價(jià)法的優(yōu)勢(shì)，結(jié)合新的模糊算子，求出系統(tǒng)的風(fēng)險(xiǎn)等級(jí)。

3.1 建立評(píng)判指標(biāo)集

根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范和有關(guān)規(guī)定[8]，為了實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制和管理，對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理，等級(jí)越高，風(fēng)險(xiǎn)越高，將評(píng)判指標(biāo)分為5 級(jí)，依次為 E=｛很低 VL、低 L、中 M、高 H、很高VH｝。采用隸屬度函數(shù)表示風(fēng)險(xiǎn)因素對(duì)不同評(píng)判指標(biāo)的隸屬度。此處采用高斯隸屬函數(shù)反映正態(tài)分布特性，因此定義不同評(píng)語對(duì)應(yīng)的隸屬函數(shù)為

最后，根據(jù)指標(biāo)風(fēng)險(xiǎn)因素對(duì)準(zhǔn)則層風(fēng)險(xiǎn)因素的影響程度，結(jié)合其相應(yīng)的量化值，構(gòu)造出準(zhǔn)則層的隸屬度矩陣R為

3.2 確定風(fēng)險(xiǎn)等級(jí)

由于風(fēng)險(xiǎn)評(píng)估指標(biāo)過多，為了提高評(píng)估的準(zhǔn)確性，分別對(duì)準(zhǔn)則層和目標(biāo)層進(jìn)行2級(jí)綜合評(píng)判。

3.2.1 一級(jí)模糊綜合評(píng)判

確定準(zhǔn)則層因素權(quán)重和其對(duì)應(yīng)的模糊隸屬度矩陣后，準(zhǔn)則層對(duì)應(yīng)的風(fēng)險(xiǎn)因素的權(quán)重為Wi，其中i為準(zhǔn)則層因素個(gè)數(shù)，與其相對(duì)應(yīng)的隸屬度矩陣為Ri，于是得到相應(yīng)的模糊評(píng)價(jià)矩陣Di，其中Di=Wi⊙Ri，⊙為模糊算子，其邏輯表達(dá)式如式（7）所示，此處通過改進(jìn)模糊算子，既突出了權(quán)值較大的因素，又保證對(duì)所有權(quán)重不一因素的均衡兼顧。

3.2.2 二級(jí)模糊綜合評(píng)判

目標(biāo)層因素的權(quán)重向量為 W=（w1，w2，w3），從而構(gòu)造二級(jí)綜合評(píng)判矩陣為

繼而得出目標(biāo)層因素的二級(jí)模糊綜合評(píng)價(jià)矩陣 S，其中 S=W⊙E＝（s1，s2，…，sn），根據(jù)最大隸屬原則，得出風(fēng)險(xiǎn)等級(jí)。

4 實(shí)例分析

為了驗(yàn)證改進(jìn)后AHP方法的正確性以及其在信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域中的優(yōu)勢(shì)，對(duì)圖1進(jìn)行分析，將信息安全事故發(fā)生作為故障樹的頂上事件G，分別對(duì)數(shù)據(jù)庫系統(tǒng)和數(shù)據(jù)庫硬件及通信設(shè)備發(fā)生故障進(jìn)行層層分析，運(yùn)用邏輯推理，逐步找出導(dǎo)致頂上事件發(fā)生的所有基本事件。其中T1～T6依次為數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫操作出錯(cuò)、硬件意外發(fā)生故障、通信設(shè)備出錯(cuò)，故障樹結(jié)構(gòu)如圖3所示。

圖3 故障樹結(jié)構(gòu)Fig.3 Structure of fault tree

4.1 數(shù)據(jù)計(jì)算

計(jì)算該數(shù)據(jù)庫系統(tǒng)的風(fēng)險(xiǎn)等級(jí)的具體步驟如下：

步驟1根據(jù)式（1）計(jì)算出基本事件的結(jié)構(gòu)重要度，依次為 11/112、13/160、9/80、15/224；

步驟2由圖2的層次結(jié)構(gòu)模型根據(jù)式（2）可以計(jì)算出準(zhǔn)則層的判斷矩陣A和指標(biāo)層的判斷矩陣 A1～A3；

步驟3由A和A1～A3根據(jù)式（3）對(duì)其進(jìn)行模糊一致化處理，得到模糊一致矩陣

步驟4根據(jù)式（4），對(duì)模糊一致判斷矩陣求權(quán)重，依次為 W=（0.2762 0.3452 0.3786）、W1=（0.3469 0.3176 0.3176）、W2=（0.2759 0.2979 0.2131 0.2131）、W3=（0.2284 0.2049 0.2049 0.1809 0.1809）；

步驟5由式（5）和式（6）確定這一因素所屬級(jí)別的隸屬度，并且根據(jù)式（6）來確立隸屬矩陣R1、R2和R3；

步驟6由一級(jí)模糊綜合評(píng)判，可以得到每個(gè)風(fēng)險(xiǎn)因素的評(píng)價(jià)結(jié)果，其中D1、D2、D3依次為D1＝（0.1532 0.3129 0.1443 0.0851 0.0238）、D2＝（0.1669 0.2958 0.1282 0.0755 0.0136）、D3＝（0.1654 0.1965 0.1946 0.0807 0.0319）；

步驟7進(jìn)一步得到總的評(píng)價(jià)矩陣E，進(jìn)而得到總的模糊評(píng)判結(jié)果D。

4.2 結(jié)果分析

計(jì)算出來的各風(fēng)險(xiǎn)因素的組合權(quán)重關(guān)系如圖4所示，通過該圖可以直觀地找出影響該信息系統(tǒng)安全的主要因素為x5，與傳統(tǒng)的AHP相比較，可以將權(quán)重大小劃分的更為精細(xì)。

圖4 風(fēng)險(xiǎn)因素權(quán)重示意Fig.4 Weight of risk factors

計(jì)算結(jié)果中D的最大值為0.2629，為風(fēng)險(xiǎn)評(píng)價(jià)等級(jí)的第2級(jí)，根據(jù)最大隸屬原則，該信息系統(tǒng)的風(fēng)險(xiǎn)等級(jí)為低。

5 結(jié)語

文中通過對(duì)AHP進(jìn)行改進(jìn)，將結(jié)構(gòu)重要度、模糊一致矩陣、新的模糊算子引入到該方法中，避免了判斷矩陣人為的賦值和矩陣一致性的檢驗(yàn)，大大增加了可信度。通過對(duì)模糊算子的改進(jìn)，既對(duì)所有風(fēng)險(xiǎn)因素統(tǒng)籌兼顧，又突出了影響風(fēng)險(xiǎn)評(píng)估等級(jí)的主要因素。通過實(shí)例證明該方法可以評(píng)估全部風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)級(jí)別和整個(gè)信息系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)，為管理者制定安全決策提供了科學(xué)有效的依據(jù)。

[1]Zou Q，Zhou J，Zhou C，et al.Comprehensive flood risk assessment based on set pair analysis-variable fuzzy sets model and fuzzy AHP[J].Stochastic Environmental Research and Risk Assessment，2013，27（2）：525-546.

[2]Fu S，Zhou H.The information security risk assessment based on AHP and fuzzy comprehensive evaluation[C]//Communication Software and Networks（ICCSN），2011 IEEE 3rd International Conference on IEEE，2011：124-128.

[3]Tan Z，Li P.Group decision-making information security risk assessment based on AHP and information entropy[J].Research Journal of Applied Sciences Engineering&Technology，2012，4（15）：2361-2366.

[4]葛海慧，鄭世慧，陳天平，等.信息安全威脅場(chǎng)景模糊風(fēng)險(xiǎn)評(píng)估方法[J].北京郵電大學(xué)學(xué)報(bào)，2013，36（6）：89-92.

[5]肖龍，戚湧，李千目.基于AHP和模糊綜合評(píng)判的信息安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)工程與應(yīng)用，2009，45（22）：82-85.

[6]和媛媛，鞏在武.模糊判斷矩陣最優(yōu)化排序方法研究綜述[J].統(tǒng)計(jì)與決策，2011（7）：165-168.

[7]樊治平，姜艷萍，肖四漢.模糊判斷矩陣的一致性及其性質(zhì)[J].控制與決策，2001，16（1）：69-71.

[8]中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn).GB/T 209874-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].北京：國(guó)家標(biāo)準(zhǔn)出版社，2007.