黃玉潔,唐作其,梁 靜

(貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,貴陽 550025)

0 概述

信息安全風(fēng)險(xiǎn)評(píng)估是解決信息系統(tǒng)安全問題的有效手段,近年來已經(jīng)取得一定的研究成果,其中，不僅有完善的國際標(biāo)準(zhǔn)以及符合各國國情的國家標(biāo)準(zhǔn),還包括在標(biāo)準(zhǔn)的基礎(chǔ)上提出的各種評(píng)估模型、評(píng)估方法、評(píng)估體系。文獻(xiàn)[1]提出了一種基于攻擊防御樹和博弈論的評(píng)估方法。文獻(xiàn)[2]利用模糊認(rèn)知圖獲取資產(chǎn)間關(guān)系并通過模糊認(rèn)知圖推理過程計(jì)算系統(tǒng)風(fēng)險(xiǎn)值。文獻(xiàn)[3]把貝葉斯網(wǎng)絡(luò)和有序加權(quán)平均算子(OWA)結(jié)合應(yīng)用于信息安全威脅評(píng)估模型。文獻(xiàn)[4]提出了基于Petri網(wǎng)的CPS信息安全風(fēng)險(xiǎn)評(píng)估方法。

風(fēng)險(xiǎn)評(píng)估過程是對(duì)模糊信息綜合評(píng)價(jià)的過程,因此出現(xiàn)了基于層次分析法[5]、層次模糊綜合法[6]、灰色綜合評(píng)價(jià)法[7]、人工神經(jīng)網(wǎng)絡(luò)[8]、逼近理想解排序法(Technique for Order Preference by Similarity to an Ideal Solution,TOPSIS)[9]等信息安全風(fēng)險(xiǎn)評(píng)估方法。這些方法在處理模糊信息的過程中都有一定的優(yōu)勢(shì)。其中，TOPSIS方法是一種決策方法,其區(qū)間數(shù)可充分利用原有信息數(shù)據(jù),對(duì)每個(gè)評(píng)價(jià)對(duì)象進(jìn)行優(yōu)劣排序,為專家評(píng)估時(shí)的權(quán)威性問題提供解決方案,因此能很好地應(yīng)用到信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域[10]。然而實(shí)際案例中對(duì)某些取值會(huì)有一定的偏好,造成有效信息流失,最終導(dǎo)致評(píng)價(jià)結(jié)果出現(xiàn)偏差。因此,需要一種能充分利用所有信息的區(qū)間方法。國內(nèi)外已有眾多學(xué)者對(duì)三參數(shù)形式的區(qū)間進(jìn)行研究,如文獻(xiàn)[11]研究了以三參數(shù)區(qū)間數(shù)形式給出的有限方案決策問題,用3個(gè)參數(shù)區(qū)間全面覆蓋信息從而在一定程度避免信息的缺失,這類方法在文獻(xiàn)[12]研究下得到進(jìn)一步改進(jìn)。針對(duì)上述研究的不足,本文提出了將三參數(shù)區(qū)間數(shù)以及信息熵理論運(yùn)用到信息安全風(fēng)險(xiǎn)評(píng)估中的方法,通過信息熵確定指標(biāo)權(quán)重,并采用三參數(shù)區(qū)間得到評(píng)價(jià)權(quán)重,對(duì)權(quán)重進(jìn)行分析得到風(fēng)險(xiǎn)評(píng)估結(jié)果。

1 信息安全風(fēng)險(xiǎn)評(píng)估

國標(biāo)GB/T 20984-2007[13]中規(guī)定風(fēng)險(xiǎn)評(píng)估是通過對(duì)風(fēng)險(xiǎn)資產(chǎn)、威脅、脆弱性的識(shí)別以及賦值,最終得到信息系統(tǒng)的安全保護(hù)等級(jí)。通過對(duì)國標(biāo)的詳細(xì)解讀,本文在基本原理的基礎(chǔ)上將資產(chǎn)、威脅、脆弱性按照國標(biāo)的內(nèi)容分解到更小的指標(biāo)中,具體如圖1所示。

圖1 風(fēng)險(xiǎn)分析原理

從圖1可以看出，需要從資產(chǎn)保密性、完整性等7個(gè)指標(biāo)評(píng)估一個(gè)信息安全事件的安全風(fēng)險(xiǎn)等級(jí)。因此,風(fēng)險(xiǎn)計(jì)算公式可以表示為:

R=f(A1,A2,A3,V1,V2,V3,T1)

(1)

其中,f表示計(jì)算風(fēng)險(xiǎn)值的函數(shù)。

解決多指標(biāo)評(píng)價(jià)問題有多種解決方式,比如AHP、灰色理論等,但無論是哪種方式都需要構(gòu)造評(píng)價(jià)矩陣,根據(jù)評(píng)價(jià)矩陣采用某種方式綜合所有評(píng)價(jià)者的意見,分析評(píng)價(jià)矩陣計(jì)算得到最終結(jié)果,這種方式避免了單人評(píng)價(jià)帶來的人為主觀性。通常傳統(tǒng)型評(píng)價(jià)矩陣采用對(duì)多個(gè)單因素等級(jí)打分的形式,評(píng)估者采用單數(shù)值表達(dá)打分程度,然后采用層次分析法、熵權(quán)法等綜合計(jì)算得到各單因素的相對(duì)權(quán)重,最終求得風(fēng)險(xiǎn)等級(jí)。但這種形式忽略了評(píng)價(jià)者自身的權(quán)威性,將所有評(píng)價(jià)者等同對(duì)待,導(dǎo)致信息被利用不完全;同時(shí)考慮評(píng)價(jià)者在信息判定時(shí)存在模糊不確定的情況,文獻(xiàn)[10]提出一種新的矩陣評(píng)價(jià)形式的方法,即區(qū)間數(shù)評(píng)價(jià)矩陣。不僅考慮專家評(píng)價(jià)者的權(quán)威性,還采用區(qū)間形式表達(dá)專家對(duì)某個(gè)指標(biāo)打分的不確定與模糊性,從而增加結(jié)果的準(zhǔn)確性。

本文在上述研究基礎(chǔ)上提出將三參數(shù)區(qū)間數(shù)形式的評(píng)價(jià)矩陣應(yīng)用到信息安全風(fēng)險(xiǎn)評(píng)估中。國標(biāo)中采用5個(gè)等級(jí)表達(dá)危害嚴(yán)重程度,評(píng)估風(fēng)險(xiǎn)等級(jí)的目的是確定安全事件一旦發(fā)生可能對(duì)系統(tǒng)造成的危害程度,然后根據(jù)是否可接受進(jìn)而采取對(duì)策和整改措施。由此可知,等級(jí)是確定相對(duì)危害程度的度量值,因此本文采用9個(gè)等級(jí)表達(dá)危害嚴(yán)重程度。一方面為了方便三參數(shù)區(qū)間表達(dá),另一方面,1～9是人們習(xí)慣的數(shù)量表達(dá)方式。同樣采用區(qū)間的形式可表達(dá)每個(gè)等級(jí)的取值范圍。

安全事件確定以后,各專家對(duì)上述分析的7個(gè)指標(biāo)進(jìn)行打分,包含分值的上下限以及可能性最高的值。確定三參數(shù)區(qū)間形式的評(píng)價(jià)矩陣Z,通過矩陣確定指標(biāo)的權(quán)重R以及評(píng)價(jià)者的權(quán)重W,從而確定風(fēng)險(xiǎn)事件的風(fēng)險(xiǎn)等級(jí)。

Risk=R°Z°W

(2)

其中,符號(hào)“°”表示運(yùn)算法則。

最終得到的風(fēng)險(xiǎn)等級(jí)結(jié)果是三參數(shù)形式的區(qū)間數(shù),不僅反映最終結(jié)果的區(qū)間范圍,更反映風(fēng)險(xiǎn)事件等級(jí)最可能的值,使得最終風(fēng)險(xiǎn)等級(jí)結(jié)果更明確。

2 理論基礎(chǔ)

2.1 三參數(shù)區(qū)間數(shù)

定義1設(shè)r=[a,b,c]為r取值的三參數(shù)區(qū)間數(shù)形式,其中,a、c分別是區(qū)間的上限與下限,b為區(qū)間中取值概率最大的數(shù),稱為區(qū)間重心，a≤b≤c。

定義2設(shè)r1=[a1,b1,c1],r2=[a2,b2,c2],則r1與r2之間的三維歐式距離為:

(3)

定義3設(shè)三參數(shù)形式的區(qū)間數(shù)r1=[a1,b1,c1],r2=[a2,b2,c2],其中m(r1)=(a1+c1)/2,m(r2)=(a2+c2)/2,l(r1)=c1-a1,l(r2)=c2-a2,則r1大于r2的可能性記為[12]:

(4)

定義4設(shè)A=([aA1,bA1,cA1],[aA2,bA2,cA2],…,[aAn,bAn,cAn]),B=([aB1,bB1,cB1],[aB2,bB2,cB2],…,[aBn,bBn,cBn])為2個(gè)三區(qū)間形式的向量,則向量A與向量B的關(guān)聯(lián)綜合距離為[12]:

(5)

其中,i∈(1,2,…,n),wi表示第i個(gè)評(píng)價(jià)指標(biāo)權(quán)重。

在區(qū)間決策方法中,通過檢測(cè)評(píng)價(jià)對(duì)象與最優(yōu)解以及最劣解之間的距離來判定評(píng)價(jià)對(duì)象的相對(duì)優(yōu)劣程度。

假設(shè)有一個(gè)三參數(shù)區(qū)間評(píng)價(jià)矩陣Z:

那么,在求矩陣Z的最優(yōu)解與最劣解之前需要將矩陣規(guī)范化。首先需要區(qū)分成本型指標(biāo)與效益型指標(biāo),按照不同的處理方法對(duì)數(shù)據(jù)規(guī)范化。成本型指標(biāo)表示評(píng)價(jià)值與指標(biāo)值成反比變化,而效益型指標(biāo)成正比變化[10]。

假設(shè)矩陣Z是經(jīng)過規(guī)范化處理的，那么正理想解也即最優(yōu)解為[12]:

(6)

負(fù)理想解也即最劣解為:

(7)

其中,ri由式(4)求得。

在決策方法TOPSIS中,通過評(píng)價(jià)矩陣與正負(fù)理想數(shù)求得兩者之間的綜合關(guān)聯(lián)度,并根據(jù)綜合關(guān)聯(lián)度對(duì)評(píng)價(jià)者的重要度進(jìn)行排序即區(qū)間排序,進(jìn)而確定評(píng)價(jià)者的權(quán)重。

2.2 信息熵

在信息安全風(fēng)險(xiǎn)評(píng)估中，確定風(fēng)險(xiǎn)因素的相對(duì)權(quán)重通常采用層次分析法。該方法是定性與定量方法相結(jié)合的多準(zhǔn)則決策方法,通過對(duì)指標(biāo)之間進(jìn)行兩兩比較,量化分析風(fēng)險(xiǎn)評(píng)估過程中各指標(biāo)相對(duì)重要程度。然而這種方法對(duì)參與者的專業(yè)知識(shí)以及經(jīng)驗(yàn)水平都有較高的要求。除了層次分析法,信息熵也能夠應(yīng)用于指標(biāo)權(quán)重的確定,在一定程度上減弱人為主觀因素的影響。文獻(xiàn)[14-17]將信息熵理論應(yīng)用到權(quán)重的確定中,表明信息熵能很好地應(yīng)用于指標(biāo)權(quán)重確定。

信息熵用來描述隨機(jī)事件不確定性的程度,是測(cè)量不確定性的量,根據(jù)指標(biāo)變異性的大小可以確定對(duì)象的權(quán)重,具體信息熵概念如下[18]:

設(shè)信息系統(tǒng)處于n種不同的狀態(tài),其中，Si表示系統(tǒng)處于i(i∈(1,2,…,n))種狀態(tài)下,pi表示系統(tǒng)處于狀態(tài)Si的概率,則信息熵記為:

(8)

指標(biāo)的變異程度與信息熵成反比,與指標(biāo)權(quán)重成正比。因此,信息熵越大,指標(biāo)的權(quán)重值越小,具體計(jì)算如下:

(9)

(10)

2.3 基于三參數(shù)區(qū)間數(shù)與信息熵的風(fēng)險(xiǎn)評(píng)估流程

采用本文方法的前提是需要對(duì)信息系統(tǒng)的資產(chǎn)、脆弱性、威脅進(jìn)行統(tǒng)計(jì)分析,哪些威脅能利用哪些資產(chǎn)的脆弱性,分析三者之間的關(guān)聯(lián)關(guān)系,進(jìn)而確定信息系統(tǒng)存在的風(fēng)險(xiǎn)事件。然后采用三參數(shù)區(qū)間數(shù)和信息熵的方式對(duì)每個(gè)風(fēng)險(xiǎn)事件進(jìn)行分析,確定風(fēng)險(xiǎn)等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)風(fēng)險(xiǎn)評(píng)估確定信息系統(tǒng)中存在哪些安全事件,是否在能接受的范圍內(nèi)。該方法的具體風(fēng)險(xiǎn)評(píng)估流程如下:

步驟1構(gòu)建三參數(shù)區(qū)間形式的評(píng)價(jià)矩陣。

分析確定的安全風(fēng)險(xiǎn)事件,選定n個(gè)指標(biāo),請(qǐng)m個(gè)專家進(jìn)行評(píng)價(jià),綜合評(píng)價(jià)結(jié)果,整理統(tǒng)計(jì)三參數(shù)區(qū)間評(píng)價(jià)矩陣Z。

步驟2規(guī)范化矩陣。

確定各指標(biāo)的類型,對(duì)其分別處理。對(duì)于成本型指標(biāo),將最大值賦值0、最小值賦值1、中間值按在[0,1]中的比例賦值,然后將區(qū)間前后互換。對(duì)于效益型指標(biāo),將最大值賦值1、最小值賦值0、中間按占[0,1]中的比值賦值。最終得到規(guī)范化的評(píng)價(jià)矩陣Z。

步驟3計(jì)算指標(biāo)權(quán)重。

首先依據(jù)規(guī)范化的評(píng)價(jià)矩陣Z確定屬性j的熵值:

(11)

熵值的確定分為兩部分,分別是指標(biāo)的重心點(diǎn)bij以及三參數(shù)形式的區(qū)間數(shù)的方差Vij。其中,ρ為決策者的判斷系數(shù),0≤ρ≤1。

根據(jù)信息熵的理論及式(8)～式(10),確定指標(biāo)權(quán)重:

(12)

步驟4確定評(píng)價(jià)矩陣的正負(fù)理想解。

由式(6)和式(7)分別確定評(píng)價(jià)矩陣Z的正理想解、負(fù)理想解。

步驟5計(jì)算評(píng)價(jià)向量與正負(fù)理想解之間的綜合距離。

由式(5),結(jié)合確定的評(píng)價(jià)矩陣的正負(fù)理想解,求得正負(fù)綜合距離:

(13)

(14)

其中,i∈(1,2,…,m),j∈(1,2,…,n)。

步驟6計(jì)算評(píng)價(jià)向量與正負(fù)理想解的貼近度。

綜合評(píng)價(jià)矩陣與正負(fù)理想解之間的綜合距離,求各評(píng)價(jià)向量與正負(fù)理想解之間的貼近度,即:

(15)

其中,i∈(1,2,…,m),j∈(1,2,…,n)。

步驟7確定評(píng)價(jià)者的相對(duì)權(quán)重。

綜合評(píng)價(jià)向量與理想解之間的貼近度,得到評(píng)價(jià)者的相對(duì)權(quán)重,即:

(16)

步驟8計(jì)算最終風(fēng)險(xiǎn)的區(qū)間形式。

通過式(2),得到風(fēng)險(xiǎn)事件三區(qū)間形式的各等級(jí)得分區(qū)間值。

步驟9分析結(jié)果,確定風(fēng)險(xiǎn)等級(jí)。

通過上述求得的風(fēng)險(xiǎn)事件的區(qū)間形式,分析得到風(fēng)險(xiǎn)事件風(fēng)險(xiǎn)發(fā)生的可能性等級(jí)。

3 實(shí)例分析

下面以某城市應(yīng)急管理系統(tǒng)為例展示風(fēng)險(xiǎn)值計(jì)算過程。經(jīng)過分析,該系統(tǒng)面臨幾個(gè)風(fēng)險(xiǎn)事件,包括計(jì)算機(jī)病毒事件、蠕蟲事件、其他有害程序事件、拒絕服務(wù)攻擊事件、漏洞攻擊事件、信息丟失事件等。本文以計(jì)算機(jī)信息丟失事件E1為例,分別采用文中提到的方法與傳統(tǒng)二區(qū)間形式的評(píng)價(jià)矩陣對(duì)其進(jìn)行風(fēng)險(xiǎn)安全等級(jí)的評(píng)估。

3.1 信息安全風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)安全等級(jí)評(píng)估方法如下：

1)確定影響E1的安全等級(jí)因素

通過前文分析,這里選定資產(chǎn)的保密性(f1)、完整性(f2)、可用性(f3)、技術(shù)實(shí)現(xiàn)的難易程度(f4)、弱點(diǎn)的流行程度(f5)、已有安全措施(f6)、脆弱性發(fā)生的頻率(f7)作為風(fēng)險(xiǎn)因素指標(biāo)。

2)構(gòu)造三參數(shù)形式的評(píng)價(jià)矩陣

假設(shè)有5位行業(yè)專家,分別用p1～p5表示。請(qǐng)每位專家對(duì)E1的7個(gè)影響因素給出評(píng)價(jià),綜合給出的評(píng)語建立評(píng)價(jià)矩陣,如表1所示。

表1 專家評(píng)價(jià)矩陣Z

3)規(guī)范化矩陣

通過7個(gè)指標(biāo)等級(jí)高低分別對(duì)安全事件風(fēng)險(xiǎn)等級(jí)的影響進(jìn)行分析,確定f1、f2、f3、f5、f7為“效益性”因素,f4、f6為“成本型”因素。依據(jù)上述評(píng)估流程講述的對(duì)于不同的因素類型采用不同的處理方式得到規(guī)范化評(píng)價(jià)矩陣Z：

4)計(jì)算指標(biāo)權(quán)重

首先令ρ=0.6,計(jì)算各指標(biāo)的信息熵以及指標(biāo)權(quán)重,通過式(11)和式(12)計(jì)算得到結(jié)果如表2所示。

表2 指標(biāo)信息熵以及權(quán)重

5)確定評(píng)價(jià)矩陣的正負(fù)理想型解

根據(jù)式(6)和式(7)計(jì)算得到評(píng)價(jià)矩陣Z的正負(fù)理想解,分別如下:

正理想型解:{[0.33,0.66,1],[0.66,1,1],[0.66,0.66,1],[0.75,0.75,1],[0.66,1,1],[0.875,0.875,1],[0.5,0.5,1]}。

負(fù)理想型解:{[0,0.33,0.66],[0,0.33,0.66],[0,0.33,0.33],[0.5,0.5,0.75],[0,0.33,0.66],[0,0.25,0.25],[0,0.25,0.5]}。

6)確定專家相對(duì)權(quán)重

根據(jù)式(13)和式(14)計(jì)算得到評(píng)價(jià)矩陣與正負(fù)理想解的綜合距離,如表3所示。

表3 評(píng)價(jià)矩陣與正負(fù)理想解的綜合距離

根據(jù)式(15)得到每個(gè)專家評(píng)價(jià)與理想矩陣的貼近度,即:

C=[0.590 9,0.453 9,0.416 8,0.388 6,0.383 8]T

根據(jù)式(16)得到專家的相對(duì)權(quán)重,即:

R=[0.264 4,0.203 1,0.186 5,0.173 9,0.171 7]T

7)確定風(fēng)險(xiǎn)事件風(fēng)險(xiǎn)

通過式(2),綜合專家權(quán)重、指標(biāo)權(quán)重,得到風(fēng)險(xiǎn)安全事件E1的安全等級(jí)區(qū)間為:

Risk=[5.427,6.320,7.080]

從結(jié)果可以看出,風(fēng)險(xiǎn)事件E1的風(fēng)險(xiǎn)等級(jí)在區(qū)間[5,7]之間,且等級(jí)為6的概率相對(duì)較大,因此可以判定風(fēng)險(xiǎn)事件E1的風(fēng)險(xiǎn)等級(jí)為6。其他風(fēng)險(xiǎn)事件等級(jí)評(píng)估方式同理。

3.2 二區(qū)間形式評(píng)估方法

采用文獻(xiàn)[10]中的方法計(jì)算風(fēng)險(xiǎn)值,根據(jù)上文中評(píng)價(jià)矩陣Z,得到2個(gè)參數(shù)區(qū)間形式的評(píng)價(jià)矩陣,即:

正負(fù)理想解構(gòu)造采用如下方式:

正理想型：J+={[aj,cj]|1≤j≤n},其中，aj、cj分別為第j個(gè)因素下所有專家評(píng)分的下限平均值、上限平均值。

負(fù)理想型：J-={[aj，cj]|max(|aij-J+(aj)|+|cij-J+(cj)|)},其中，1≤i≤m,1≤j≤n,aij為評(píng)價(jià)矩陣中第i個(gè)專家對(duì)第j個(gè)指標(biāo)的評(píng)價(jià)。

依照上述方法得到結(jié)果為:

正理想解為:{[0.33,0.86],[0.33,0.93],[0.4,0.8],[0.35,0.85],[0.4,0.93],[0.2,0.4],[0.25,0.8]}。

負(fù)理想解為:{[0,0.66],[0,0.66],[0,0.33],[0,0.5],[0,0.66],[0.87,1],[0,0.5]}。

將評(píng)價(jià)矩陣中每個(gè)評(píng)價(jià)區(qū)間與正負(fù)理想解對(duì)比,計(jì)算得到每個(gè)區(qū)間的關(guān)聯(lián)系數(shù):

ξ+=

ξ-=

通過關(guān)聯(lián)系數(shù),計(jì)算關(guān)聯(lián)度以及綜合關(guān)聯(lián)度,得到專家意見的排序,即:

將綜合關(guān)聯(lián)度歸一化得到專家的相對(duì)權(quán)重,即:

R= [0.11 0.24 0.23 0.21 0.18]T

最終風(fēng)險(xiǎn)等級(jí)區(qū)間為:

Risk=R°Z°W=[5.73,7.44]

因此,可以判定安全事件E1的風(fēng)險(xiǎn)等級(jí)大于5小于7,但具體偏向哪個(gè)等級(jí)結(jié)果不確定。

3.3 結(jié)果對(duì)比

通過2種不同表示方法與計(jì)算方式得到結(jié)果對(duì)比如表4所示。

表4 2種區(qū)間方法對(duì)比結(jié)果

由表4可以看出,采用一般區(qū)間形式得到的結(jié)果是區(qū)間形式的,可能性值會(huì)擴(kuò)大,而三區(qū)間形式的評(píng)估結(jié)果雖然也是區(qū)間形式,但有一個(gè)最大可能的值,因此縮小了取值范圍。

4 結(jié)束語

本文采用三參數(shù)區(qū)間數(shù)的形式構(gòu)建信息安全風(fēng)險(xiǎn)評(píng)價(jià)矩陣,分析信息熵理論得到評(píng)價(jià)指標(biāo)的權(quán)重,通過決策方法TOPSIS計(jì)算評(píng)估專家的權(quán)重,結(jié)合評(píng)價(jià)矩陣給出系統(tǒng)安全事件的風(fēng)險(xiǎn)等級(jí)。該方法整合并充分利用評(píng)估者的全部有用信息,以減弱結(jié)果的模糊性。實(shí)驗(yàn)結(jié)果表明，與一般區(qū)間形式方法相比，三參數(shù)區(qū)間形式的評(píng)估方法在確定最終風(fēng)險(xiǎn)等級(jí)時(shí)能夠縮小范圍,使得結(jié)果更準(zhǔn)確。