張玉娟 電科院

當(dāng)前，在對國有企業(yè)的運(yùn)行和管理的過程中，主要是依靠信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)來進(jìn)行，同時(shí)，也逐漸提升對網(wǎng)絡(luò)的依賴程度。對系統(tǒng)和平臺(tái)的穩(wěn)定性進(jìn)行測試的主要依據(jù)就是網(wǎng)絡(luò)信息安全。目前，大多數(shù)的企業(yè)管理人員只是對網(wǎng)絡(luò)信息安全的重要性有所了解，并建立信息安全管理系統(tǒng)（ISMS），但是針對ISMS 實(shí)施的有效辦法并沒有得到有效的落實(shí)，其主要過程就是對風(fēng)險(xiǎn)的評估。風(fēng)險(xiǎn)評估的有效應(yīng)用，可以對公司資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行評估，針對工期風(fēng)險(xiǎn)減輕制定出相應(yīng)的策略。但是，它沒有提供實(shí)現(xiàn)細(xì)節(jié)，也沒有在實(shí)現(xiàn)級別將其分配給用戶。因此，不同的用戶組具有不同的術(shù)語，這些術(shù)語在網(wǎng)絡(luò)風(fēng)險(xiǎn)評估的運(yùn)營階段會(huì)產(chǎn)生不同的結(jié)果。為此，本文針對風(fēng)險(xiǎn)評估建立相關(guān)模型，并結(jié)合專家的意見進(jìn)行充分考慮。相關(guān)專家知識(shí)存儲(chǔ)為監(jiān)管數(shù)據(jù)庫，模糊邏輯用于獲取匯總值，作為管理公司網(wǎng)絡(luò)信息安全的參考。

一、方法論

目前，已經(jīng)有很多行業(yè)應(yīng)用多標(biāo)準(zhǔn)決策（MCDM），主要涉及到如下領(lǐng)域：電子商務(wù)開發(fā)、軟件開發(fā)、地下水污染、林業(yè)和衛(wèi)生中心等。一般情況下采用衡量風(fēng)險(xiǎn)的影響方法，學(xué)者們還針對風(fēng)險(xiǎn)水平確定中所應(yīng)用的方法的不同進(jìn)行分析。相關(guān)學(xué)者使用概率，過程，層次，分析（AHP）和熵（Shannon）技術(shù)來評估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。模糊邏輯用于通過語言變量進(jìn)行決策，而熵技術(shù)也適用于加權(quán)決策矩陣。對風(fēng)險(xiǎn)的優(yōu)先級進(jìn)行評定可利用熵技術(shù)進(jìn)行確定[1]，并根據(jù)ISO17799 分類確定風(fēng)險(xiǎn)因素。假設(shè)AHP 方法中兩次比較中的風(fēng)險(xiǎn)確定為權(quán)重近似，在對各風(fēng)險(xiǎn)因素的可能性和嚴(yán)重性進(jìn)行評估時(shí)可用專家意見進(jìn)行評定。同時(shí)，可以認(rèn)為單個(gè)信息資產(chǎn)對每個(gè)風(fēng)險(xiǎn)因素的脆弱性等同于影響的嚴(yán)重性以及專家和語言變量的相對價(jià)值[2]。

二、多準(zhǔn)則決策模型的改進(jìn)

作為決策表中的一種方法，多準(zhǔn)則決策中每個(gè)決策選項(xiàng)的值均由專家確定。同樣，針對熵技術(shù)，如果閾值內(nèi)的所有替代項(xiàng)都具有“Very High”值，則閾值權(quán)重將顯著降低。在工作進(jìn)行的過程中，正在確定替代方案的當(dāng)前值，并且應(yīng)該使用“非常高”方案的相對值來確定TOPSIS 中替代方案的值。為此，如果將TOPSIS 技術(shù)用于風(fēng)險(xiǎn)評估，應(yīng)用優(yōu)先級對風(fēng)險(xiǎn)進(jìn)行排序，并且無法實(shí)現(xiàn)評估目標(biāo)。因此，模型中TOP-SIS 技術(shù)不能得到直接的應(yīng)用。簡單權(quán)重增加（SAW）方法是做出多準(zhǔn)則決策的最流行方法[3]，在這項(xiàng)技術(shù)中，決策表中準(zhǔn)則的權(quán)重取決于受訪者的意見。任務(wù)的完成度一般是由決策表的值來決定的，或者由受訪者直接確定為雙重比較，或者由專家直接對權(quán)重予以確定。針對公司中的實(shí)際模型可以隨意進(jìn)行選擇，為此在實(shí)際的實(shí)施過程中，采用SAW技術(shù)。

三、實(shí)際應(yīng)用結(jié)果

為了驗(yàn)證所介紹模型的性能，針對模型的具體應(yīng)用進(jìn)行分析。進(jìn)行評估時(shí)，預(yù)先確定了81 個(gè)威脅和9 個(gè)區(qū)域。第一，對每一個(gè)領(lǐng)域的重要性予以確定，依據(jù)其管理水平的不同，專家提出針對性的意見，并依照公司業(yè)務(wù)流程與供應(yīng)商之間的關(guān)系，對每個(gè)領(lǐng)域的重要性做出明確的說明[4]，確保結(jié)果的合理性。在操作級別上，將每個(gè)顯示區(qū)域中的可能性與影響因素作為目標(biāo)，最后對風(fēng)險(xiǎn)級別進(jìn)行計(jì)算。第二，專家將比較與威脅的機(jī)會(huì)和影響相關(guān)的標(biāo)準(zhǔn)，專家使用語言評估變量根據(jù)概率和影響標(biāo)準(zhǔn)評估威脅評估。建立模糊決策矩陣后，必須建立標(biāo)準(zhǔn)化的模糊決策矩陣，其中結(jié)果與總權(quán)重的模糊度有關(guān)。為此，對威脅的概率和影響值進(jìn)行計(jì)算的過程中，應(yīng)將每個(gè)標(biāo)準(zhǔn)所關(guān)聯(lián)的值進(jìn)行相加。分兩步計(jì)算數(shù)字文檔的潛在威脅：通過將83.6 的威脅風(fēng)險(xiǎn)水平乘以價(jià)值數(shù)字風(fēng)險(xiǎn)，將每個(gè)潛在威脅和最終影響不確定性相乘，數(shù)字化文檔可以計(jì)算數(shù)字文檔字段中所有威脅的風(fēng)險(xiǎn)級別[5]。

四、結(jié)語

為了ISMS 的有效實(shí)施，第一步可以利用一種工具對企業(yè)內(nèi)部的風(fēng)險(xiǎn)進(jìn)行評估，同時(shí)提出了模糊的多準(zhǔn)則決策專家系統(tǒng)，以評估信息系統(tǒng)的風(fēng)險(xiǎn)，使用模糊的技術(shù)將專家意見與語言變量相關(guān)聯(lián)，這些語言變量可以更準(zhǔn)確地反映專家的意見。相比較之前的模型，此模型的優(yōu)點(diǎn)是可以對各威脅帶來的可能性和影響因素進(jìn)行確定，并考慮有效的度量標(biāo)準(zhǔn)。最后，專家們提出了他們對特定標(biāo)準(zhǔn)的看法，從而使得結(jié)果的準(zhǔn)確性和可靠性得到提升，從而可以看出，本文提出的方法可以對網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)進(jìn)行有效的評估。