李軍偉　姜學(xué)東

摘 要： 信息安全風(fēng)險(xiǎn)是一種影響電子政務(wù)系統(tǒng)推廣的關(guān)建因素，而高精度的信息安全風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果是保證電子政務(wù)系統(tǒng)正常工作的基礎(chǔ)，為了減少電子政務(wù)系統(tǒng)的信息安全風(fēng)險(xiǎn)，設(shè)計(jì)了一種新型的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)綜合模型。根據(jù)電子政務(wù)系統(tǒng)的脆弱性、威脅等要素建立信息安全評(píng)價(jià)指標(biāo)體系，采用因子分析法對(duì)評(píng)價(jià)指標(biāo)體系進(jìn)行處理，得到比較重要的評(píng)價(jià)指標(biāo)，最后通過(guò)支持向量機(jī)建立電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)模型，并在Matlab 2014平臺(tái)上進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)測(cè)試，該模型獲得了較優(yōu)的電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)精度。

關(guān)鍵詞： 電子政務(wù)； 信息安全； 風(fēng)險(xiǎn)評(píng)價(jià)模型； 入侵檢測(cè)

中圖分類號(hào)： TN915.08?34； TP181 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）07?0074?04

Comprehensive evaluation model for information security risk of e?government system

LI Junwei， JIANG Xuedong

（Faculty of Mathmatics and Computer Science， Hebei Normal University for Nationalities， Chengde 067000， China）

Abstract： The information security risk is a key factor to influence on the promotion of the e?government system， and its high?precision evaluation result is the foundation to ensure the normal work of the e?government system. In order to reduce the information security risk of the e?government system， a new comprehensive evaluation model for information security risk of the e?government system was designed. The evaluation indicator system of the information security was established according to the factors such as the e?government system′s vulnerability and weakness ulnerable to threat， and processed with the factor analysis method to get the important evaluation indicator. The information security risk evaluation model of the e?government system was established with the support vector machine. The risk evaluation model was tested on the Matlab 2014. This model has high accuracy for risk assessment of the e?government system.

Keywords： e?government affair； information security； risk assessment model； intrusion detection

0 引 言

政府是信息的最大擁有者和使用者，電子政務(wù)系統(tǒng)是政府使用信息的平臺(tái)，是信息技術(shù)和行政管理的結(jié)合。我國(guó)的電子政務(wù)系統(tǒng)剛起步不久，目前仍然有許多問(wèn)題有待解決，如信息安全問(wèn)題。信息安全風(fēng)險(xiǎn)評(píng)價(jià)有利于保障電子政務(wù)系統(tǒng)的正常運(yùn)行[1?2]。

電子政務(wù)系統(tǒng)安全是由多方面因素造成的，如網(wǎng)絡(luò)自身不足，缺乏風(fēng)險(xiǎn)意識(shí)，專業(yè)人才短缺等，設(shè)計(jì)性能優(yōu)異的評(píng)價(jià)模型十分緊迫[3]。為此，有學(xué)者對(duì)電子政務(wù)系統(tǒng)安全存在的問(wèn)題進(jìn)行研究，當(dāng)前主要可以劃分為信息安全風(fēng)險(xiǎn)等級(jí)分類和信息安全風(fēng)險(xiǎn)態(tài)勢(shì)估計(jì)兩種模型[4]。信息安全風(fēng)險(xiǎn)等級(jí)分類是指采用一定的技術(shù)和規(guī)則，將信息安全風(fēng)險(xiǎn)劃分為不同的等級(jí)，并根據(jù)分類結(jié)果采取相應(yīng)的防范措施[5]。信息安全風(fēng)險(xiǎn)態(tài)勢(shì)估計(jì)實(shí)際是建立一種信息安全風(fēng)險(xiǎn)預(yù)測(cè)模型，這兩類預(yù)測(cè)模型有各自的優(yōu)缺點(diǎn)，均有各自的應(yīng)用范圍[6]。然而無(wú)論哪一種電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型，都要分析那些直接影響電子政務(wù)系統(tǒng)的安全性因素[7?9]。當(dāng)前選擇哪些影響因素即指標(biāo)，對(duì)電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)沒(méi)有統(tǒng)一的指導(dǎo)理論，都是根據(jù)自身的經(jīng)驗(yàn)進(jìn)行選擇，這樣使得電子政務(wù)系統(tǒng)信息風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果不穩(wěn)定，通用性差，而且評(píng)價(jià)結(jié)果帶有一定的盲目性[10?11]。因子分析法可以確定每一個(gè)因素（指標(biāo)）對(duì)電子政務(wù)系統(tǒng)信息風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果的貢獻(xiàn)[12]。

為了減少電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)，設(shè)計(jì)了一種新型的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)綜合模型。本文模型提高了電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)的精度，可以為電子政務(wù)信息安全風(fēng)險(xiǎn)控制提供有價(jià)值的參考意見(jiàn)。

1 因子分析法和支持向量機(jī)

1.1 因子分析法

設(shè)電子政務(wù)信息安全風(fēng)險(xiǎn)的原始指標(biāo)有[p]個(gè)，從中選擇[m]個(gè)因子表示原始指標(biāo)所包含的信息，那么可以得到：

[Ti=ωi1X1+ωi2X2+…+ωimXm+εi] （1）

式中：[εi]為獨(dú)特因子；[ωij]為因子載荷。

因子分析法的具體執(zhí)行步驟如下：

（1） 由于電子政務(wù)信息安全風(fēng)險(xiǎn)指標(biāo)的單位各不相同，導(dǎo)致收集數(shù)據(jù)的值可能差別比較大，為此必須對(duì)電子政務(wù)信息安全風(fēng)險(xiǎn)的原始指標(biāo)值[tij]進(jìn)行預(yù)處理，得到它們的相關(guān)系數(shù)[rij]矩陣判斷。

[R=（rij）p×prij=k=1n（tki-ti）（tkj-tj）k=1n（tki-ti）2（tkj-tj）2，i，j=1，2，…，p] （2）

（2） 對(duì)[λI-R=0]進(jìn)行求解，可以得到特征值[λi，]方差貢獻(xiàn)率和累積方差貢獻(xiàn)率的計(jì)算公式具體如下：

[λik=1pλk， i=1，2，…，p] （3）

[k=1iλkk=1pλk， i=1，2，…，p] （4）

（3） 對(duì)累計(jì)貢獻(xiàn)率進(jìn)行分析，采用前面[m]個(gè)指標(biāo)作為因子分析的結(jié)果以描述電子政務(wù)信息安全風(fēng)險(xiǎn)的原始指標(biāo)。

（4） 對(duì)電子政務(wù)信息安全風(fēng)險(xiǎn)的指標(biāo)實(shí)行旋轉(zhuǎn)，得到其因子載荷矩陣為：

[A=（aij）m×paij=λilij，i，j=1，2，…，p] （5）

（5） 將電子政務(wù)信息安全風(fēng)險(xiǎn)指標(biāo)進(jìn)行線性組合，可以得到：

[Xi=li1T1+li2T2+…+lipTp，i=1，2，…，m] （6）

1.2 支持向量機(jī)

支持向量機(jī)是一種為了解決神經(jīng)網(wǎng)絡(luò)需要大樣本數(shù)據(jù)問(wèn)題的現(xiàn)代統(tǒng)計(jì)學(xué)習(xí)算法，采用結(jié)構(gòu)風(fēng)險(xiǎn)最小化原則避免了過(guò)學(xué)習(xí)、過(guò)擬合等不足，泛化能力更優(yōu)，設(shè)電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)價(jià)的樣本數(shù)據(jù)為：[D=（x1，y1），…，（xl，yl）?Rd×R，]那么支持向量機(jī)的解析函數(shù)為：

[f（x）=i=1laik（xi，x）+b] （7）

式中：參數(shù)[ai，b，i=1，2，…，l]值的求解可以變換為如下形式進(jìn)行求解：

[min12W2+Ci=1l（ξi+ξ*i）s.t. yi-W，Φ（x）-b≤ε+ξiW，Φ（x）+b-yi≤ε+ξ*iξi，ξ*i≥0] （8）

式中：[ε]為誤差界限；[ξi，ξ*i]為松弛變量。

為了簡(jiǎn)化式（8）問(wèn)題的求解，得到如下的對(duì)偶形式：

[max-12i，j=1l（αi-α*i）（αj-α*j）k（xi，xj）-εi=1l（αi+α*i）+i=1lyi（αi-α*i）] （9）

相應(yīng)的限制條件為：

[i=1l（αi-α*i）=0，αi，α*i∈0，C] （10）

當(dāng)[f（x）]滿足[yi=f（xi）+υi]條件時(shí)，就可以認(rèn)為系統(tǒng)有噪聲；采用核函數(shù)進(jìn)行特征映射，本文選擇RBF核函數(shù)，其定義為：

[k（x，x）=exp-x-x22σ2] （11）

式中[σ2]表示超參數(shù)。

由于[W=i=1l（ai-a*i）Φ（xi）]，那么插值函數(shù)可以變?yōu)椋?/p>

[f（x）=W，Φ（x）+b=i=1l（ai-a*i）Φ（xi），Φ（x）+b=i=1l（ai-a*i）k（xi，x）+b] （12）

式（8）中的松弛變量計(jì)算公式為：

[ξ*i=0， yi-W，Φ（x）-b≤εyi-W，Φ（x）-b-ε， otherwise] （13）

2 電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)的綜合評(píng)價(jià)模型

2.1 風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)

為了準(zhǔn)確、全面、客觀地對(duì)電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，根據(jù)資產(chǎn)、威脅、脆弱性以及制度等建立如圖1所示的層次結(jié)構(gòu)安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系。

2.2 電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型的工作思想

信息安全風(fēng)險(xiǎn)是影響電子政務(wù)系統(tǒng)推廣的關(guān)建因素，而信息安全風(fēng)險(xiǎn)評(píng)價(jià)的好壞是保證電子政務(wù)系統(tǒng)正常工作的基礎(chǔ)，本文提出了一種新型的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)綜合模型，其基本工作思想為：首先建立電子政務(wù)系統(tǒng)信息安全評(píng)價(jià)的指標(biāo)體系，然后采用因子分析法選擇比較重要的評(píng)價(jià)指標(biāo)，并消除一些不重要的指標(biāo)，最后建立電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)模型，電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)的評(píng)價(jià)流程如圖2所示。

3 電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)證研究

3.1 數(shù)據(jù)源

根據(jù)圖1中的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)收集數(shù)據(jù)，以入侵的次數(shù)作為電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)輸出，入侵次數(shù)的變化曲線如圖3所示。

3.2 因子分析法確定重要指標(biāo)

采用DPS軟件下的因子分析法對(duì)原始電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)進(jìn)行分析，它們的累計(jì)貢獻(xiàn)率如表1所示。從表1可以清楚地看出，隨著指標(biāo)數(shù)的增加，累計(jì)貢獻(xiàn)率不斷增加，尤其當(dāng)開(kāi)始累計(jì)貢獻(xiàn)率增加的幅度相當(dāng)快，指標(biāo)數(shù)超過(guò)7個(gè)時(shí)，累計(jì)貢獻(xiàn)率達(dá)到了86%以上，此時(shí)指標(biāo)為主要電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)，其他指標(biāo)可以當(dāng)作噪聲忽略不計(jì)。

3.3 評(píng)價(jià)結(jié)果

根據(jù)表1所得的重要電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)對(duì)原始樣本進(jìn)行處理，減少了原始樣本數(shù)據(jù)規(guī)模，驗(yàn)證樣本的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果如圖4所示。從圖4可知，本文模型的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果好，能夠保障電子政務(wù)系統(tǒng)的正常工作。

采用當(dāng)前經(jīng)典的信息風(fēng)險(xiǎn)模型進(jìn)行對(duì)比測(cè)試，它們的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)精度如表2所示，從表2可知，相對(duì)當(dāng)前經(jīng)典的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型，本文模型的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)精度更高，提高了電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)確性，評(píng)價(jià)結(jié)果更加可靠、合理，可以為電子政務(wù)系統(tǒng)管理員提供更好的參考信息，以便制定更好的管理措施。

4 結(jié) 語(yǔ)

風(fēng)險(xiǎn)評(píng)價(jià)是保證電子政務(wù)系統(tǒng)正常工作的基礎(chǔ)，如何提高電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)確性，一直是人們關(guān)注的焦點(diǎn)，為了保證電子政務(wù)系統(tǒng)的信息安全，防止非法用戶進(jìn)入系統(tǒng)竊取重要信息，設(shè)計(jì)了一種新型的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)價(jià)模型，并通過(guò)實(shí)例驗(yàn)證了其可行性和優(yōu)越性。

參考文獻(xiàn)

[1] 郭曉武.電子政務(wù)的信息安全問(wèn)題與對(duì)策[J].信息網(wǎng)絡(luò)安全，2006（7）：6?8.

[2] BODIN L D， GORDON L A， LOEB M P. Information security and risk management [J]. Communications of the ACM， 2008， 51（4）： 64?68.

[3] 陳亮.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估模型研究[J].中國(guó)人民公安大學(xué)學(xué)報(bào)（自然科學(xué)版），2007（4）：50?53.

[4] 戴航，賈斌，慕德俊.基于模糊評(píng)判法的信息安全風(fēng)險(xiǎn)評(píng)估模型[J].信息安全與通信保密，2006（10）：133?134.

[5] 范紅，馮登國(guó)，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].北京：清華大學(xué)出版社，2006.

[6] 馮登國(guó)，張陽(yáng)，張玉清.信息安全風(fēng)險(xiǎn)評(píng)估綜述[J].通信學(xué)報(bào)，2004（7）：10?18.

[7] 林夢(mèng)泉，王強(qiáng)民，陳秀真，等.基于粗糙集的網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)估模型研究[J].控制與決策，2007，22（8）：951?955.

[8] 馬麗儀，張露凡，楊宜，等.基于模糊神經(jīng)網(wǎng)絡(luò)方法的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)研究[J].中國(guó)安全科學(xué)學(xué)報(bào)，2012，22（5）：164?169.

[9] 尤馬彥，凌捷，郝彥軍.基于Elman神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)估計(jì)模型[J].計(jì)算機(jī)科學(xué)，2012，39（6）：61?76.

[10] 孟錦，馬馳，何加浪，等.基于HHGA?RBF神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)估計(jì)模型[J].計(jì)算機(jī)科學(xué)，2011，38（7）：71?75.

[11] 付鈺，吳曉平，宋業(yè)新.模糊推理與多重結(jié)構(gòu)神經(jīng)網(wǎng)絡(luò)在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J].海軍工程大學(xué)學(xué)報(bào)，2011，23（1）：10?15.

[12] 李方偉，鄭波，朱江，等.一種基于RBF神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)估計(jì)模型[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，26（5）：576?583.