任俊 孫亞丹

摘要： 隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)的發(fā)展和興起，信息安全面臨嚴峻的問題，對安全風(fēng)險進行評估和分析對信息系統(tǒng)的安全狀態(tài)和建設(shè)有很大幫助。該文是基于G1-層次分析法確定各風(fēng)險指標(biāo)的權(quán)重，然后對風(fēng)險因素指標(biāo)進行標(biāo)準(zhǔn)化處理，進而確定信息安全風(fēng)險程度的大小，識別所面對和的威脅、漏洞以及風(fēng)險，提前采取一定的措施，有效規(guī)避風(fēng)險。

關(guān)鍵詞： G1；層次分析法；風(fēng)險等級評估；業(yè)務(wù)流程

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）09-0010-02

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動應(yīng)用、智能控制技術(shù)以及區(qū)塊鏈技術(shù)的發(fā)展和興起，人們的生活方式發(fā)生了顯著的變化，給工作生活以及學(xué)習(xí)帶來了便利和高效，但是也必須面對信息安全隱患所附帶的威脅以及挑戰(zhàn)，因此信息系統(tǒng)的信息安全的問題得到了用戶、公司、政府以及其他社會人員的廣泛關(guān)注[3]。在此情境下，信息系統(tǒng)的風(fēng)險評估成為眾多學(xué)者關(guān)注和研究的重點。

1 信息安全風(fēng)險評估

從信息安全的發(fā)展階段可知，信息安全從個體、單項技術(shù)逐步向多維的信息系統(tǒng)轉(zhuǎn)變，對對象、內(nèi)容、技術(shù)三個維度進行評估，以更完善全面的角度對信息系統(tǒng)的安全進行評估。信息安全風(fēng)險評估通過信息系統(tǒng)的日志、安全態(tài)勢感知以及某種風(fēng)險評估系統(tǒng)等方式，使用相關(guān)的網(wǎng)絡(luò)拓撲圖、滲透測試以及安全基線配置檢查等方法識別信息資產(chǎn)面臨的漏洞和威脅。信息安全風(fēng)險評估是對信息和信息處理設(shè)備所受到的威脅、影響、脆弱性以及發(fā)生事件后造成損失的評估，其中涉及對資產(chǎn)、威脅、漏洞和已有安全措施等風(fēng)險要素的識別與評估。信息安全風(fēng)險評估主要是通過訪問調(diào)查、網(wǎng)絡(luò)信息源、文獻搜索以及工具采集等方法進行對象采集。風(fēng)險評估分析方法主要有：信息模型分析法、經(jīng)驗分析法、定量分析、定性分析等。隨著信息化水平和技術(shù)的發(fā)展，各行業(yè)的信息系統(tǒng)的信息化程度逐步加深加強，與此同時，信息安全面臨嚴峻的問題，因此對安全風(fēng)險進行評估和分析對信息系統(tǒng)的安全狀態(tài)和建設(shè)有很大幫助。[5]

2 基于業(yè)務(wù)流程的信息系統(tǒng)風(fēng)險評估模型構(gòu)建

2.1 基于業(yè)務(wù)流程的風(fēng)險模型

信息資產(chǎn)主要包括位置固定資產(chǎn)（如計算機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、傳輸介質(zhì)……）和位置變動資產(chǎn)（如業(yè)務(wù)信息、用戶信息、各種數(shù)據(jù)資料、系統(tǒng)文檔……）。業(yè)務(wù)流程中，對位置變動資產(chǎn)的識別可以在業(yè)務(wù)流程的初始階段來進行，而對位置固定資產(chǎn)的識別，則需要在每個業(yè)務(wù)節(jié)點逐一識別如圖。

當(dāng)位置變動資產(chǎn)（數(shù)據(jù)信息）經(jīng)過業(yè)務(wù)節(jié)點時，由位置固定資產(chǎn)的漏洞所形成的風(fēng)險會使位置變動資產(chǎn)也處于相同的威脅之中，如果組織針對業(yè)務(wù)節(jié)點的風(fēng)險所采取的防范措施不當(dāng)很有可能會引發(fā)信息安全事件。通過識別業(yè)務(wù)流程中信息變動資產(chǎn)和信息固定資產(chǎn)所面對和的威脅、漏洞以及風(fēng)險，同時及時采取相應(yīng)的舉措，進而保證信息資產(chǎn)的保密性、完整性和可用性的安全。

2.2 信息系統(tǒng)風(fēng)險等級權(quán)重的確定

為更全面確定信息系統(tǒng)的風(fēng)險等級的權(quán)重，本文首先根據(jù)G1法和層次分析法分別確定影響風(fēng)險等級的各項指標(biāo)的權(quán)重，通過綜合分析法來確定各項指標(biāo)的綜合權(quán)重，更客觀精準(zhǔn)確定各指標(biāo)的權(quán)重。

3）通過對層次分析法中單層次指標(biāo)權(quán)重計算進行改進，若[ok]為理性賦值，：根據(jù)2）中[ok]的值確定第[m]個指標(biāo)的權(quán)重，則[wk]為：

其中，[wk-1]表示第[k-1]個風(fēng)險指標(biāo)的權(quán)重值，[wk]表示第[k]個風(fēng)險指標(biāo)的權(quán)重值。

2. 3 基于業(yè)務(wù)流程的信息系統(tǒng)風(fēng)險評估模型構(gòu)建

根據(jù)信息系統(tǒng)中資產(chǎn)、威脅、漏洞和已有安全措施相互之間的依存關(guān)系，將風(fēng)險等級劃分成5方面的因素：資產(chǎn)價值的吸引力、資產(chǎn)面臨的威脅、威脅利用資產(chǎn)漏洞造成的損失、資產(chǎn)的漏洞以及已有安全措施的風(fēng)險的可控程度。根據(jù)信息系統(tǒng)的特性，將影響安全的因素分成三層，第一層為目標(biāo)層：要進行評價的對象；第二層為準(zhǔn)則層：衡量是否實現(xiàn)的標(biāo)準(zhǔn)；第三層為方案層：實現(xiàn)目標(biāo)的方案、方法等。

1）對原始指標(biāo)進行標(biāo)準(zhǔn)化處理

由于信息系統(tǒng)的安全水平的評價指標(biāo)數(shù)據(jù)的存在一定的差異，為了利用影響因素的初始評價指標(biāo)數(shù)據(jù)，需要對所有指標(biāo)進行標(biāo)準(zhǔn)化處理，然后利用線性加權(quán)法來確定信息安全建設(shè)水平，具體見公式4：

其中，[ct'ij]表示第[i]個信息安全風(fēng)險的第[j]項影響因素標(biāo)準(zhǔn)化后的值，[ctij]表示第[i]個信息安全風(fēng)險的第[j]項影響因素原值，[minctij]，[maxctij]分別表示第[i]個信息安全風(fēng)險的第[j]項影響因素的最小值和最大值。

2）信息系統(tǒng)安全風(fēng)險程度大小

通過各影響因素的權(quán)重計算，以及各個信息安全標(biāo)準(zhǔn)化處理后的各項影響因素指標(biāo)，通過求和得到信息系統(tǒng)信息安全風(fēng)險綜合得分評價值，具體見公式5：

其中，[ctlij]表示第[i]個信息安全風(fēng)險程度的大小，[ct'ij]表示第[i]個信息安全風(fēng)險的第[j]項影響因素標(biāo)準(zhǔn)化后的值，[wij]第[i]個信息安全風(fēng)險第[j]項影響因素的權(quán)重。[6]通過[ctlij]的數(shù)量值的大小確定各項風(fēng)險等級的大小，提前制定相關(guān)的措施進而規(guī)避一定風(fēng)險。

3 結(jié)束語

信息系統(tǒng)安全問題是企業(yè)和政府關(guān)注的重點，本文結(jié)合業(yè)務(wù)流程中的信息系統(tǒng)面臨的各項安全風(fēng)險的因素，基于G1法和層次分析法的確定各安全風(fēng)險因素的權(quán)重，對風(fēng)險因素指標(biāo)進行標(biāo)準(zhǔn)化處理，進而確定信息安全風(fēng)險程度的大小，識別所面對和的威脅、漏洞以及風(fēng)險，同時及時采取相應(yīng)的舉措，有效規(guī)避風(fēng)險，進而保證信息資產(chǎn)的保密性、完整性和可用性的安全。根據(jù)評估結(jié)果確定影響信息系統(tǒng)的安全的指標(biāo)，提前采取一定的措施。

參考文獻：

[1] 許詩詩，程杰.關(guān)于計算機信息系統(tǒng)安全風(fēng)險評估標(biāo)準(zhǔn)與方法的研究[J].數(shù)字通信世界，2017（2）：149-150.

[2] 柴繼文，王勝，梁暉輝，等.基于層次分析法的信息安全風(fēng)險評估要素量化方法[J].重慶大學(xué)學(xué)報，2017，40（4）：44-53.

[3] 金力，譚紅春，丁大為，等.基于改進證據(jù)理論的信息安全風(fēng)險評估模型[J].重慶理工大學(xué)學(xué)報，2017，31（5）：119-124.

[4] 鄒凱，向尚，張中青揚，等.智慧城市信息安全風(fēng)險評估模型構(gòu)建與實證研究[J].圖書情報工作， 2016，60（7）：19-24.

[5] 劉曙生.淺談信息安全風(fēng)險評估與風(fēng)險分析方法的應(yīng)用[J].網(wǎng)絡(luò)空間安全，2017（4）：78-80.

[6] 王恩旭.基于G1-熵值的智慧旅游城市建設(shè)水平評價模型及實證研究[J].大連理工大學(xué)學(xué)報：社會科學(xué)版，2014，35（2）：68-73.