吳文剛，張志文，王慶生

(1.山西經濟管理干部學院， 太原 030024; 2.公安部第三研究所， 上海 201204；3.太原理工大學， 太原 030024)

?

基于模糊綜合評判和AHP信息安全風險評估模型

吳文剛1，張志文2，王慶生3

(1.山西經濟管理干部學院， 太原 030024; 2.公安部第三研究所， 上海 201204；3.太原理工大學， 太原 030024)

考慮到定性分析信息安全風險評估具有一定的主觀性，基于層次分析法和模糊綜合評判法，構建信息安全風險評估數(shù)學模型，對信息安全風險評估進行定性與定量相結合的方法進行分析，將該模型應用于信息安全風險評估實例，驗證了模型的有效性。

信息安全風險評估；層次分析法；定量分析

隨著信息技術的訊速發(fā)展，信息安全問題變得日益復雜。近年來，利用信息安全風險評估識別系統(tǒng)風險存在的位置及其大小而制定相應風險控制對策，已成為信息安全問題中一個重要的環(huán)節(jié)。

ISO27001提出了風險評估實施的基本過程，但并未給出風險評估詳細的實施方法。風險存在的2個基本屬性為導致資產損失和威脅發(fā)生的可能性。為此對系統(tǒng)資產、威脅、脆弱性進行評估并計算威脅利用脆弱性造成安全事件發(fā)生的可能性以及評估安全事件發(fā)生對資產造成的損害程度，即可得到系統(tǒng)風險。

定性評估風險事件發(fā)生的概率和所產生的影響上帶有較強的主觀性，對評估者的要求也相對較高。定量分析雖然比較客觀，研究結果更為科學、合理，但是對資產價值和威脅的量化數(shù)據(jù)要求較高。鑒于此困難，為提高信息安全風險評估結果的準確性和可信度，減少主觀依賴性以及增強風險評估適用性，考慮到層次分析對處理復雜決策問題具有較高的有效性,能夠在對影響要素及其內在關系進行分析的基礎上，使用較少的定量信息使得決策思維數(shù)學化，從而通過數(shù)學方法為復雜的決策問題提供相對簡便的決策措施[1-9]。本文構建了一類基于模糊評判法和層次分析法的信息安全風險評估模型，擬采用定性和定量結合的方法對信息系統(tǒng)進行風險評估。

1 信息安全風險評估模型

《國標GB/T 20984—2007—信息安全風險評估規(guī)范》[6]中指出：風險就是威脅利用系統(tǒng)存在的脆弱性直接或間接地導致信息系統(tǒng)資產受損，是一種潛在的可能性。風險評估首先是識別系統(tǒng)的關鍵資產，評估其價值并進行賦值；然后分析并評估該資產所面臨的威脅和存在的脆弱性，進而評估該資產所面臨的風險，最后得到整體系統(tǒng)的風險。因此，風險和資產的價值、威脅以及脆弱性直接相關。

1.1 基于模糊評判的資產評估模型

ISO21001中指出：資產評估就是確定資產的3個屬性(機密性(C)、完整性(I)、可用性(A))在受到破壞時對信息系統(tǒng)造成的影響的過程。常見的資產賦值法有最大值法、加權平均法、取對數(shù)法等。本文基于模糊綜合評判法，建立資產評估模型，對資產進行定性與定量結合的方法進行賦值。

1) 確定資產價值綜合評判因素集U

定義資產信息安全的機密性、完整性、可用性作為資產評估資產價值的因素集，即

2) 給出資產價值評判集V

依據(jù)信息安全風險評估規(guī)范(國標GB/T 20984—2007)中信息安全的3個屬性(機密性、完整性、可用性)的賦值表，得到資產價值指標集合V={1，2，3，4，5}。

3) 單因素評判

建立從因素集U到評判集V的映射f∶U→f(V)f(V)是V上的模糊集全體，確定集合U中每個因素對于評判集V的單因素評估矩陣R，即

4) 綜合評判

確定資產因素集U中每個元素對于資產價值的重要性權重系數(shù)集合，

利用復合運算求得資產因素U的綜合評估矩陣，并進行歸一化處理：B=w×R得到資產賦值的計算公式：VA=int{B×VT}

(1)

1.2 威脅評估

威脅是信息系統(tǒng)被直接或間接攻擊時，系統(tǒng)資產的保密性、完整性和可用性等方面受到損害或發(fā)生一些突發(fā)的安全事件。事實上，安全事件發(fā)生的可能性與威脅頻率大小有關，而安全事件造成的損害在一定程度上由威脅強度決定。因此，對威脅的評估賦值，實際就是對威脅頻率及威脅強度進行賦值。

假設某一資產面臨的單個威脅計算公式

(2)

其中： t為資產所面臨單個威脅； Ts為威脅強度； Tt為威脅頻率值。

為此，可得某一信息資產所面臨的總威脅值計算公式:

(3)

1.3 基于AHP的脆弱性評估模型

信息系統(tǒng)脆弱性在信息安全評估中有重要作用，信息安全風險評估中風險值的大小與脆弱性被利用后與資產的損害程度有著密切的關系，而且風險發(fā)生的可能性與脆弱性被威脅利用的可能性息息相關。資產的脆弱性可從管理和技術兩方面進行識別。

對信息系統(tǒng)脆弱性的評估，實際上就是識別重要資產可能存在的脆弱性，并對其脆弱性的嚴重程度量化賦值?；谛畔踩燃壉Ｗo基本要求和對信息系統(tǒng)的漏洞掃描，探究信息系統(tǒng)存在的脆弱性列表。假設基于等級保護測評和漏洞掃描發(fā)現(xiàn)信息系統(tǒng)資產A有n個脆弱性v1，v2，…，vn，依據(jù)圖1中資產層次結構圖，建立如下數(shù)學模型：

1) 構建關于脆弱點、資產屬性及資產的一個層次結構圖(圖1)。

圖1 資產的層次結構模型

2) 利用表1中的1～9標度法，對準則層的3個屬性進行兩兩比較判斷，明確其相對重要性。得到3個指標間成對比較判斷矩陣A:

其中aii=1, aij·aji=1，且矩陣A為互反矩陣。

表1 判斷矩陣A中元素的取值

3) 利用特征向量法求解判斷矩陣A的最大特征值λmax和特征向量w，并對判斷矩陣進行一致性檢驗。

最大特征值λmax的近似算法如下：

①A中每行元素連乘并開n次方:

(4)

(5)

③A中每列元素求和

(6)

④ 求得判斷矩陣A的最大特征值:

(7)

在進行一致檢驗時，引入一致性指標CI:

(8)

CI與表2中同階矩陣的隨機指標RI的比率稱為一致性比率CR，即CR=CI/RI。若CR>0.1，說明A中各元素估計不符合一致性檢驗，須重新構造判斷矩陣。若CR<0.1，說明A中各元素滿足一致性檢驗，可用式(5)求得ω(1)，作為n個目標的權重。

同理，可利用上述方法，求得機密性準則層與脆弱點目標層間的判斷矩陣特征向量ω1，完整性同脆弱點間判斷矩陣的特征向量ω2，可用性準則與脆弱點判斷矩陣的特征向量ω3，并對得到的各判斷矩陣進行一致性檢驗，求到脆弱點指標層對資產屬性準則層的判斷矩陣特征向量

(9)

由ω=ω(2)·ω(1)，就可得出資產A的脆弱性的得分。依據(jù)表2，依據(jù)脆弱性級別，對脆弱性vi進行賦值V。

表2 脆弱性識別填入表

1.4 已有控制措施的確認

已有安全控制措施的確認對系統(tǒng)脆弱性識別存在一定的影響。在一定程度上，使用安全措施能夠削弱系統(tǒng)管理或技術上的脆弱性，然而安全措施的確認并不需要詳細具體到每一個資產、每一個組件的脆弱性，而是將其看做某一類具體措施的集合。

假設資產A的威脅和脆弱性存在若干個，而控制措施可能對其中的某些威脅和脆弱點有效，綜合考慮威脅、脆弱點和控制措施S={S1,S2,…,Sn}間的關系，令每一項控制措施對于該資產的威脅和脆弱點的抑制有效性為EIi，得到該資產面臨的風險控制措施的有效性指數(shù)

(10)

1.5 風險分析

國標GB/T 20984—2007中介紹了風險計算原理，將信息安全風險值表示為資產、威脅與脆弱性間的一個函數(shù)

(11)

其中，R表示風險值，A代表資產，V代表脆弱性，T代表威脅；la表示安全事件對資產的作用價值；Va表示脆弱性的嚴重程度；L表示威脅利用資產的脆弱性造成安全事件發(fā)生的可能性；F表示安全事件發(fā)生導致系統(tǒng)資產的損失[6]。

然而，式(11)并未將某些資產已經施加的控制措施考慮在內。因此，可得到考慮確認措施后的風險值計算公式：

R=R(A,V,T)×(1-EI)=R(L(T,V),F(la,Va))×(1-EI)

(12)

基于信息安全風險評估規(guī)范中的相乘法原理，綜合式1.1-1.3中資產、威脅、脆弱性的評估模型，得到:

(13)

(14)

有新的風險計算公式：

(15)

2 模型分析

基于構建的數(shù)學模型，對某校門戶網站系統(tǒng)進行風險評估。選定數(shù)據(jù)庫為評估資產。

1) 根據(jù)本文的資產評估模型，令數(shù)據(jù)庫的因素集U={C，I，A}，數(shù)據(jù)庫價值指標集合:

通過與系統(tǒng)管理員及相關專家訪談，得到評判集R為:

如果機密性(C)、完整性(I)、可用性(A)三者之間的權重w=(0.3,0.3,0.4)，于是數(shù)據(jù)庫的資產價值：

2) 基于對門戶網站系統(tǒng)的信息安全測評，數(shù)據(jù)庫可能面臨的威脅有越權使用、濫用授權、密碼分析和口令攻擊。利用威脅計算式(2)和(3)，可得：

越權使用濫用授權密碼分析口令攻擊威脅強度3234威脅發(fā)生可能性3334總威脅值int(3.625)=4

3) 應用式(3)構建的模型對數(shù)據(jù)庫存在的脆弱性進行評估，通過對門戶網站等級測評報告的分析發(fā)現(xiàn)，系統(tǒng)脆弱點主要有管理不到位(v1)、身份鑒別(v2)、惡意代碼防范(v3)、數(shù)據(jù)備份(v4)、資源控制(v5)。

利用表1，參考文中對目標層與準則層間矩陣評分[3]，得到目標層—準則層的判斷矩陣:

求得矩陣A最大特征值λmax=3.094，特征向量ω(1)=(0.064 3, 0.237 0, 0.698 6)T。由于CR=0.081<0.10，表明判斷矩陣A滿足一致性檢驗。

同理，可得到3個準則層與目標層的判斷矩陣，即:

利用Matlab求得準則層—指標層的判斷矩陣的特征向量：

ω(2)=(ω1,ω2,ω3)T=

于是可求得數(shù)據(jù)庫的脆弱性v1,v2,v3,v4,v5的嚴重程度值為0.519 8，0.215 5，0.143 7，0.066 7，0.053 8。

依據(jù)表3，可得脆弱性v1,v2,v3,v4,v5的值分別為3、2、1、1、1。

4) 該門戶網站系統(tǒng)數(shù)據(jù)庫采取的安全措施有：設置密碼、分配管理員，對數(shù)據(jù)庫進行審計。設置密碼、分配管理員能夠在一定程度上削弱脆弱性v1,v2,v4，故可定義數(shù)據(jù)庫面臨的風險控制措施的有效性指數(shù)EI=0.2。

5) 利用1.5中得到的新的風險值算分公式，可求得數(shù)據(jù)庫在各脆弱性下的風險值：

3 結束語

本文基于ISO 27001系列標準及國標GB/T 20984—2007的信息系統(tǒng)的風險評估流程，構建了一類基于模糊綜合評判法和層次分析法的信息安全風險評估模型，應用定性與定量相結合的方法對信息系統(tǒng)進行風險評估，得到了資產、威脅及脆弱點的賦值方法及風險分析方法。在考慮已有控制措施確認的基礎上，利用相乘原理得到了新風險值計算公式。通過某校門戶網站的實例驗證了模型結果的有效性與可靠性。

[1] 付國慶，龔軍，呂小毅.基于AHP與模糊數(shù)學的信息安全風險評估模型 [J].信息安全通信與保密,2014(10):100-103.

[2] 李國偉,王付明,王南星.基于模糊AHP法的網絡空間聯(lián)合反恐作戰(zhàn)指揮體系效能評估[J].兵器裝備工程學報,2016,37(4):111-113.

[3] 華光.基于層次分析法的信息安全風險評估研究[J].實踐與經驗，2008(9):80-83.

[4] 劉寶利，肖曉春，張根度.基于層次分析法的信息系統(tǒng)脆弱性評估方法[J].2006(33):62-64.

[5] 趙帥,韓國柱,汪偉.基于模糊層次評判的火炮測試性分級評估[J].兵器裝備工程學報,2016,37(2):78-83.

[6] 李鵬宇.基于層次分析法的信息安全風險評估量化方法研究[D].南昌：江西財經大學，2012.

[7] 楊笑源，趙曉剛.應用改進層次分析法和模糊綜合評判的油庫靜電災害評估[J].重慶理工大學學報(自然科學版)，2015(2):136-140.

[8] 公安部信息安全等級保護評估中心.信息安全等級保護培訓教程[M].北京：電子工業(yè)出版社,2016.

[9] 潘雪霖,孫偉.基于GB/T 20984—2007風險評估計算模型的研究[J].信息安全研究,2015,1(1):54-59.

(責任編輯 陳 艷)

A Information Security Risk Assessment Model Based on AHP and Fuzzy Comprehensive Evaluation

WU Wen-gang1, ZHANG Zhi-wen2, WANG Qing-sheng3

(1.Shanxi Institute of Economic Management, Taiyuan 030024, China;2.The Third Research Institute of Ministry of Public Security, Shanghai 201204, China;3.Taiyuan University of Technology, Taiyuan 030024, China)

Considering the qualitative analysis of information security risk assessment has certain subjectivity. In this paper, based on AHP and fuzzy comprehensive evaluation method, a mathematical model of information security risk assessment is built, which provided a method to study the information security risk assessment with ualitative analysis and quantitative analysis. And the model was applied to information security risk assessment instance, which proved the validity of the model.

information security risk assessment; AHP; quantitative analysis

2017-03-15

山西省科技廳資助項目(20140322-13)

吳文剛(1978—)，男，講師，主要從事信息系統(tǒng)等級保護、風險評估研究； 張志文(1991—)，男，碩士，主要從事應用數(shù)學，信息安全風險評估的研究，E-mail：zzwv5zhangzhiwen@163.com。

吳文剛，張志文，王慶生.基于模糊綜合評判和AHP信息安全風險評估模型[J].重慶理工大學學報(自然科學)，2017(7):156-161.

format：WU Wen-gang, ZHANG Zhi-wen, WANG Qing-sheng.A Information Security Risk Assessment Model Based on AHP and Fuzzy Comprehensive Evaluation[J].Journal of Chongqing University of Technology(Natural Science)，2017(7):156-161.

10.3969/j.issn.1674-8425(z).2017.07.025

TP393

A

1674-8425(2017)07-0156-06