蘇艷琴 張光軼 楊小林

層次分析法在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的應(yīng)用分析

蘇艷琴1張光軼2楊小林3

（1.海軍航空工程學(xué)院控制工程系煙臺(tái)264001）（2.海軍航空工程學(xué)院科研部煙臺(tái)264001）（3.軍委審計(jì)署濟(jì)南審計(jì)中心濟(jì)南250000）

針對(duì)信息系統(tǒng)安全的信息資產(chǎn)、脆弱性和威脅評(píng)估的基礎(chǔ)上，采用層次分析法對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，構(gòu)建層次結(jié)構(gòu)后，計(jì)算相對(duì)權(quán)重和綜合權(quán)重，并通過一致性驗(yàn)證后，得到威脅排序，從而為制定安全策略提供幫助。

層析分析法；信息系統(tǒng)；風(fēng)險(xiǎn)評(píng)估

Class NumberF224

1 引言

信息系統(tǒng)的信息安全和風(fēng)險(xiǎn)是一對(duì)矛盾，面對(duì)日益增長(zhǎng)的信息系統(tǒng)安全需求，風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)安全中占據(jù)重要地位，是信息系統(tǒng)安全的首要基礎(chǔ)［1～2］。層次分析法（Analytic Hierarchy Process，AHP）是將定性與定量相結(jié)合，將人的主觀判斷用數(shù)量形式表達(dá)和處理的一種實(shí)用有效的多準(zhǔn)則決策方法［3～4］。因此，開展層次分析法在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估研究是一種適合的方式。

2 層次分析法建模步驟

層次分析法是美國(guó)運(yùn)籌學(xué)家，匹茲堡大學(xué)T.L.Saaty教授于20世紀(jì)70年代初提出的，它是一種定性與定量分析相結(jié)合的多準(zhǔn)則決策分析方法，其基本思想是在決策目標(biāo)的要求下，將決策對(duì)象相對(duì)于決策標(biāo)準(zhǔn)的優(yōu)劣狀況進(jìn)行兩兩比較，最終獲得各個(gè)對(duì)象的總體優(yōu)劣狀況，為決策和評(píng)選優(yōu)先級(jí)別提供依據(jù)［5］。

運(yùn)用層次分析法建模，大體上可按下面四個(gè)步驟進(jìn)行，如圖1所示。

1）基于以上風(fēng)險(xiǎn)因素分析的基礎(chǔ)上，分析系統(tǒng)中各因素之間的關(guān)系，上一層次的元素作為準(zhǔn)則對(duì)下一層次有關(guān)元素起支配作用，建立系統(tǒng)的遞階層次結(jié)構(gòu)。

2）對(duì)同一層次的各因素關(guān)于上一層次中某一準(zhǔn)則的重要性進(jìn)行兩兩比較，構(gòu)造兩兩比較判斷矩陣。定性分析中，在這一步中，假定以上一層元素支配的下一層次的元素按照準(zhǔn)則C，即兩個(gè)元素a和b哪個(gè)更重要，重要多少，并按1～9標(biāo)度對(duì)重要性程度賦值，如表1所示。

3）由判斷矩陣計(jì)算被比較元素對(duì)于該準(zhǔn)則的相對(duì)權(quán)重。

4）計(jì)算各層次元素對(duì)系統(tǒng)目標(biāo)的合成權(quán)重。

3 層次分析法在風(fēng)險(xiǎn)評(píng)估的應(yīng)用步驟

現(xiàn)將層次分析法應(yīng)用到安全風(fēng)險(xiǎn)評(píng)估上，針對(duì)資產(chǎn)從保密性、完整性、可用性三方面分析，而保密性、完整性、可用性又可根據(jù)其所屬的不同的類別的資產(chǎn)來判別：數(shù)據(jù)、軟件、硬件、服務(wù)、人員、其他，然后如此逐層細(xì)化分析。針對(duì)安全風(fēng)險(xiǎn)，從安全風(fēng)險(xiǎn)發(fā)生的概率和安全風(fēng)險(xiǎn)發(fā)生后果來考慮，而安全風(fēng)險(xiǎn)發(fā)生概率和安全風(fēng)險(xiǎn)發(fā)生的后果又可以從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等五個(gè)方面來考慮，然后逐層細(xì)化分析［6～7］。針對(duì)安全策略，可以從風(fēng)險(xiǎn)發(fā)生的概率、風(fēng)險(xiǎn)對(duì)系統(tǒng)安全的影響、風(fēng)險(xiǎn)控制措施的選擇等三個(gè)方面來考慮，接下來的就是風(fēng)險(xiǎn)控制措施了。用這樣的方法逐層細(xì)化分析。

3.1 構(gòu)造遞階層次結(jié)構(gòu)

構(gòu)造遞階層次的過程實(shí)際上是對(duì)事物的剖析過程。對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估，我們的目標(biāo)是分析信息安全面臨的風(fēng)險(xiǎn)以及系統(tǒng)的安全級(jí)別，然后采取相應(yīng)的控制措施［8～9］。圖2是系統(tǒng)風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的遞階層次結(jié)構(gòu)圖。第一、二、三層之間判斷矩陣的元素都是全部考慮進(jìn)來的，即準(zhǔn)則層的保密性、完整性、可用性三者全都相對(duì)目標(biāo)層的資產(chǎn)價(jià)值相對(duì)比較，生成一個(gè)3階的相對(duì)比較矩陣。同理第三層的中的所有元素相對(duì)第二層的每個(gè)元素有一個(gè)相對(duì)比較矩陣，生成3個(gè)6階的相對(duì)比較矩陣。但是第四層中并非所有元素都相對(duì)第三層中的每一個(gè)元素都有比較矩陣，其中的一部分別對(duì)第三層的每一個(gè)元素有比較矩陣。生成的比較矩陣階數(shù)分別為2，3，5，3，4、若干。

圖3是系統(tǒng)風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)的遞階層次結(jié)構(gòu)圖。

圖3 中的網(wǎng)絡(luò)層和應(yīng)用層的內(nèi)容涉及比較多，圖的大小有限，羅列不全，這里補(bǔ)上。應(yīng)用層有一系列的應(yīng)用軟件例如MySQL、Office、SqlServer，Web漏洞掃描軟件、服務(wù)器、安全評(píng)估程序等。這一部分需要使用專家評(píng)價(jià)集，這與之前提到的單純的層次分析法有一定的差別。之前的比較矩陣中元素的取值均為1～9中的整數(shù)或其倒數(shù)，這一部分中比較矩陣的元素的取值應(yīng)該是綜合n個(gè)專家的評(píng)價(jià)結(jié)果后得出的，專家在給出評(píng)價(jià)的時(shí)候需要輸入的只是0，1。綜合所有專家的評(píng)價(jià)結(jié)果，可以得到評(píng)價(jià)矩陣（隸屬度矩陣），然后對(duì)該矩陣處理就可以得到我們需要的判斷矩陣了。

圖4是系統(tǒng)風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)措施的遞階層次結(jié)構(gòu)圖。

其中具體的控制措施未列出，正如前面所提到的，針對(duì)不同的安全風(fēng)險(xiǎn)會(huì)有不同的控制措施，可能同時(shí)有多個(gè)控制措施來應(yīng)對(duì)一個(gè)安全風(fēng)險(xiǎn)，所以我們的層次結(jié)構(gòu)模型能幫助評(píng)估者確定哪一個(gè)是最佳的控制措施，并且能對(duì)控制措施的選擇優(yōu)先權(quán)依次排序，以滿足用戶的需求。

3.2 計(jì)算第二、三層次的相對(duì)權(quán)重

先通過下層與上層的兩兩比較，確定其相對(duì)重要度，建立判斷矩陣［10～11］

其中，aij表示從目標(biāo)層A的角度考慮要素Ci對(duì)要素Cj的相對(duì)重要度，而取值確定是需要按相對(duì)重要程度取1～9之間的自然數(shù)或者倒數(shù)。

由此得到，第二、三層的判斷矩陣后，再求和得到相對(duì)權(quán)重。然后，通過對(duì)特征向量W*進(jìn)行歸一化處理，得到排序權(quán)向量W，并進(jìn)行一致性檢驗(yàn)。

其中，求和的步驟可以概括為

3.3 計(jì)算各層元素的組合權(quán)重

利用以上結(jié)果，計(jì)算得出遞階層次結(jié)構(gòu)中所有要素的組合權(quán)重［12～13］。從而，為下一步能夠得到安全風(fēng)險(xiǎn)值鋪墊。

4 層次分析法在信息安全風(fēng)險(xiǎn)評(píng)估的應(yīng)用分析

4.1 構(gòu)建分析模型

4.2 建立判斷矩陣

1）準(zhǔn)則層對(duì)目標(biāo)層專家判斷矩陣，其中資產(chǎn)（A），資產(chǎn)轉(zhuǎn)化效能難易度（B），威脅技術(shù)（C），弱點(diǎn)被利用難易度（D）。

2）方案層（威脅層）對(duì)準(zhǔn)則層比較矩陣威脅層對(duì)準(zhǔn)則層各準(zhǔn)則判斷矩陣分別為

4.3 計(jì)算組合權(quán)重，并作一致性檢驗(yàn)

計(jì)算判斷矩陣最大特征根λmax及對(duì)應(yīng)的特征向量。

準(zhǔn)則層對(duì)目標(biāo)層：

Step 1：將矩陣元素按列歸一化處理得

4.4 總排序

計(jì)算結(jié)果如表1所示。

表1 總排序

因此得到，威脅總排序?yàn)椋篜3，P2，P5，P1，P4。

由表可以看出，最有可能的威脅來自黑客攻擊，其次是越權(quán)訪問、篡改、病毒攻擊、物理破壞，相應(yīng)發(fā)生概率為：0.303，0.280，0.201，0.125，0.091。

5 結(jié)語(yǔ)

論文將定性與定量結(jié)合得層次分析運(yùn)用到信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估中進(jìn)行分析，首先構(gòu)造信息安全風(fēng)險(xiǎn)評(píng)估的遞階層次結(jié)構(gòu)，運(yùn)用AHP法計(jì)算得到相對(duì)權(quán)重，確定出各風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)等級(jí)，對(duì)信息系統(tǒng)提出風(fēng)險(xiǎn)控制建議。這是一種有效且操作性強(qiáng)的方法。

［1］馮登國(guó)，張陽(yáng)，張玉清.信息安全風(fēng)險(xiǎn)評(píng)估綜述［J］.通信學(xué)報(bào)，2004，25（7）：10-18.

［2］T.L.Saaty.Axiomation foundation of the analytic hierarchy process［J］.Management Science，1986（32）：841-855.

［3］Xie C，Xujia G，Wang L.Information Security Assurance Lifecycle Research［J］.The Journal of China Universities of Posts and Telecommunications，2007，14（4）：77-81.

［4］朱建軍，王夢(mèng)光，劉士新.AI｝P判斷矩陣一致性改進(jìn)的若干問題研究［J］.系統(tǒng)工程理論與實(shí)踐，2007，27（1）：18-22.

［5］范紅，馮登國(guó)，吳亞非等.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用（第1版）［M］.北京：清華大學(xué)出版社，2006：5-12.

［6］W H.Fu，S.Y Zhao.J.D.McCalley，V Vittal，N. Abi-Samra，Risk assessment forspecial protection systems［J］.IEEE Transactions on Power systems，2002，17（1）：27-31.

［7］張永錚，方濱興，遲悅，云曉春.用于評(píng)估網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)傳播模型［J］.軟件學(xué)報(bào)，2007，18（1）：137-145.

［8］華中生，吳云燕，徐曉燕.一種AHP判斷矩陣一致性調(diào)整的新方法.系統(tǒng)工程與電子技術(shù)，2003，25（1）：38-40.

［9］陳亮.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估模型研究［J］.中國(guó)人民公安大學(xué)學(xué)報(bào)（自然科學(xué)版），2007，04：50-53.

［10］Chaoju H，Chunmei L.Method of Risk Assessment Based onClassified SecurityProtection and Fuzzy Neural Network［C］//Wearable Computing Systems（APWCS），2010Asia-PacificConference on.2010.

［11］EdwinB.Heinlein.Computer security in China［J］.Computers and Security，1996，15（5）：369-375.

［12］楊繼華.信息安全風(fēng)險(xiǎn)評(píng)估模型及方法研究［D］.西安：西安電子科技大學(xué)，2007.

［13］楊洋，姚淑珍.一種基于威脅分析的信息安全風(fēng)險(xiǎn)評(píng)估方法［J］.計(jì)算機(jī)工程與應(yīng)用，2009，03：94，96-100.

Application of AHP in Information System Risk Assessment

SU Yanqin1ZHANG Guangyi2YANG Xiaolin3
（1.Control Department，Naval Aeronautical and Astronautical University，Yantai264001）（2.Science Research Department，Naval Aeronautical and Astronautical University，Yantai264001）（3.Jinan Audit Centre of PLA Audit Administration，Jinan250000）

On the base of information assets，vulnerability and threat assess，the analytic hierarchy process method was applied to assess the information system safety risk.After the hierarchical structure was established，the related weight and combined weight were calculated，and then the consistency was checked，the threat was sorted.It helped to give the safety strategy.

analytic hierarchy process，information system，risk assessment

F224

10.3969/j.issn.1672-9730.2017.06.020

2016年12月8日，

2017年1月30日

蘇艷琴，女，博士研究生，講師，研究方向：通信技術(shù)、通信裝備綜合保障。張光軼，男，博士研究生，助理研

究員，研究方向：計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)安全。楊小林，男，助理審計(jì)師，研究方向：計(jì)算機(jī)安全技術(shù)。