王蔚
(北京太極信息系統(tǒng)技術有限公司,北京 100102)
信息安全風險評估對于保障信息安全十分重要。開展信息安全風險評估,需要確定所依據(jù)的標準和所采用的評估方法[1]。本文旨在研究相關標準依據(jù)和現(xiàn)有評估方法,針對評估中可能出現(xiàn)的主觀偏好影響,提出基于有序加權和熵權的信息安全風險評估方法。本文研究思路是:參考標準確定安全風險評估指標,用專家評分法對若干風險指標進行綜合評價;引入有序加權平均法(Ordered Weighted Averaging,OWA)進行評價者權重調整,以弱化因主觀因素給出的極高和極低值影響;引入熵權法(Entropy Weight Method, EWM)進行客觀的指標賦權,以減少人為設置指標權重的主觀影響。
目前,最具代表性的信息安全風險評估標準是CC、BS7799和中國信息安全標準。
(1)CC。CC的全稱為《信息技術安全性評估通用準則》,由北美和歐盟合作開發(fā),是目前最全面的信息技術安全評估準則。1999年,CC標準被國際標準化組織(ISO)正式批準為國際標準ISO/IEC 15408并公布執(zhí)行[2-3]。
(2)BS7799。BS7799的全稱為《信息安全管理實施細則》,由英國標準協(xié)會(BSI)編寫,是在信息安全管理體系方面應用最廣泛與典型的信息安全管理標準。2000年,BS7799標準的第一部分被ISO正式批準為國際標準ISO/IEC 17799并公布執(zhí)行[4]。
(3)中國信息安全標準。中國信息安全標準從總體上劃分為基礎標準、技術與機制標準、管理標準、測評標準、密碼技術標準和保密技術標準六大類,已發(fā)布各類標準共計160余部,還有若干部標準正在開發(fā)當中。其中,標準《信息技術安全性評估準則》(GB/T 18336)[5-7]等同采用國際標準ISO/IEC15408;《信息安全技術 信息安全管理實用規(guī)則》(GB/T 19716)[8]等同采用國際標準ISO/IEC 17799。專門針對信息安全風險評估的標準是《信息安全技術 信息安全風險評估規(guī)范》(GB/T 20984)。
國內外很多學者將其他領域一些經(jīng)典、成熟的風險評估方法應用到信息安全風險評估中,并取得了一系列成果。張利等[9]對信息安全風險綜合評估方法進行了綜述;方陽[10]將層次分析法和D-S證據(jù)理論應用于電信網(wǎng)網(wǎng)絡安全風險評估模型;趙冬梅[11]研究了信息安全風險的量化評估方法;劉昱[12]探討了信息安全評估的指標體系;吳堅[13]分析了基于算子理論的混合型多屬性群決策方法。另外,還有多名學者開展了信息安全風險評估相關研究。各風險評估方法的特點與適用范圍均有所不同,其中專家打分法在風險評估中應用廣泛,是一種行之有效的評估方法,但也存在一定局限性:一是存在評價者打分的主觀影響;二是存在指標權重的主觀影響。
本文提出的基于有序加權和熵權的信息安全風險評估方法是一種改進的專家評分法,通過引入有序加權平均法進行評價者權重調整,弱化因主觀因素給出的極高值和極低值影響;通過引入熵權法進行客觀的指標賦權,減少人為設置指標權重的主觀影響。
該方法的基本步驟是:①參考信息安全風險評估規(guī)范確定信息安全風險評估指標;②引入有序加權平均法(OWA)進行評價者權重調整,引入熵權法(EWM)進行指標賦權;③通過綜合評價給出風險評估結果。
本方法確定信息安全風險評估指標的依據(jù)是《信息安全技術 信息安全風險評估規(guī)范》(GB/T 20984)。
風險分析涉及三個基本要素:資產(chǎn)、威脅、脆弱性。風險分析需要確定信息資產(chǎn)的識別及賦值、資產(chǎn)的脆弱性分析、威脅情況及發(fā)生的概率等方面的內容。風險分析原理如圖1所示。
(1)資產(chǎn)識別。資產(chǎn)是指對信息系統(tǒng)的使用單位具有價值的各類信息或資源,是安全策略保護的對象。根據(jù)標準中基于表現(xiàn)形式的分類方法,資產(chǎn)分為6類,如圖2所示。
(2)威脅識別。威脅是指可能對資產(chǎn)或系統(tǒng)安全造成損害的潛在原因,包括威脅主體、能力、動機、途徑、可能性和后果等屬性。根據(jù)標準中基于表現(xiàn)形式的分類方法,威脅分為11類,如圖3所示。
(3)脆弱性識別。脆弱性是指能被威脅主體利用,對資產(chǎn)造成損害的薄弱點,可分為技術脆弱性和管理脆弱性。
綜上,通過對信息系統(tǒng)的資產(chǎn)、威脅、脆弱性分析,識別出系統(tǒng)重要的風險因素,作為評價指標,見表1。
表1 風險評價指標
為了降低專家打分法中的主觀因素影響,本文引入有序加權平均法(OWA)進行評價者權重調整,以弱化因主觀因素給出的極高值和極低值影響。
OWA理論是一種根據(jù)數(shù)據(jù)排序位置確定權重的信息融合方法,由美國學者Yager提出。該方法權重只和數(shù)值信息的位置有關,可以較好地解決一些不合理問題[14-15]。
利用OWA理論解決問題的重點是對于位置權重向量的確定。根據(jù)已有研究,本文選擇等差數(shù)列賦權法。公式為
本文引入熵權法(EWM)進行評價指標賦權,以減少人為設置指標權重的主觀影響。
熵權法是基于信息熵原理提出的一種客觀評價指標的權重方法。與人為設置指標權重不同,熵權法根據(jù)評價數(shù)據(jù)來相對客觀地設置權重。信息熵由信息論創(chuàng)始人香農(nóng)提出,反映信息的不確定程度。熵越大,無序程度越高,信息丟失越多,所得到的信息量越少。熵權法就是依據(jù)該原理發(fā)展出來的權重確定方法。某評價指標的信息熵越小,表明該指標所提供的信息量越大,在系統(tǒng)綜合評價中所發(fā)揮的作用越大,所賦予的權重也越大。
熵權法的處理步驟為:
(1)根據(jù)原始評分表,對數(shù)據(jù)進行標準化處理。
設確定的風險評價指標有n個、評價人員為m名,初始評價值矩陣為
V=(vij)m×n
式中,i=1,2,…,m;j=1,2,…,n;vij=1,2,…,25(vij為評分值,該評分值的取值范圍參考標準設置)。
標準化處理的方式為:采用最大最小歸一化方法,將原始數(shù)據(jù)轉換到[0 1]的范圍。歸一化公式為
其中
(2)計算各指標的信息熵。公式如下
其中
當pij=0時,令pijlnpij=0。
(3)確定各指標的熵權。公式如下
計算所有指標的熵權,得出評價指標的權重列向量如下
W=(w1,w2,…,wn)T
根據(jù)調整后的評分向量V*和評價指標的權重列向量W即可計算出風險值R
根據(jù)表2所示,將風險值轉換為風險等級。
表2 風險等級表
利用本文研究的基于有序加權和熵權的信息安全風險評估方法,可開展三種方式的評價:
(2)整體風險量化評價。利用綜合評價風險值R對整體風險進行量化評價,可用于多系統(tǒng)風險的量化比較。
(3)整體風險等級評價。評價系統(tǒng)的整體風險等級。
以某企業(yè)信息系統(tǒng)的信息安全評估為例,對本文提出的評估方法進行分析。實例中針對被評系統(tǒng)所確定的信息安全風險因素(評估指標)見表3,專家做出的原始評分見表4。
表3 信息安全風險評估指標表
表4 信息安全風評估原始評分表
OWA調整前后的風險指標評分表見表5。風險評估指標的信息熵和熵權見表6。評估結果:綜合風險值為12.05,風險等級為3,整體風險為中等。從表5可以看出,R1、R7、R10、R11的風險值較高。
在算法方面,對比表5中OWA調整前和調整后的指標評分可以看出,OWA算子弱化了原始評分中極高值和極低值的影響,R8指標的調整較為明顯。在指標熵權方面,從表6中的指標信息熵和熵權可以看出,熵權根據(jù)指標的信息熵而得到,信息熵最小的、不確定性最低的指標R7得到的權重最高。
表5 信息安全風險估指標評分表
表6 指標信息熵和熵權表
本文依據(jù)信息安全相關標準建立了信息安全風險評估指標體系,并提出了基于有序加權和熵權的信息安全風險評估方法。實例分析表明,OWA算子弱化了原始評分中極高值和極低值的影響,從評分的角度降低了主觀偏好的影響;通過熵權法根據(jù)評價數(shù)據(jù)的信息熵確定指標權重,從指標權重的角度減降低了主觀因素的影響。值得注意的是,由于方法中指標權重完全由數(shù)據(jù)決定,特殊情況下通過信息熵得到的權重可能與平時的直觀認識有所不同。