亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于有序加權和熵權的信息安全風險評估

        2022-06-23 02:36:48王蔚
        項目管理技術 2022年5期
        關鍵詞:權法信息熵信息安全

        王蔚

        (北京太極信息系統(tǒng)技術有限公司,北京 100102)

        0 引言

        信息安全風險評估對于保障信息安全十分重要。開展信息安全風險評估,需要確定所依據(jù)的標準和所采用的評估方法[1]。本文旨在研究相關標準依據(jù)和現(xiàn)有評估方法,針對評估中可能出現(xiàn)的主觀偏好影響,提出基于有序加權和熵權的信息安全風險評估方法。本文研究思路是:參考標準確定安全風險評估指標,用專家評分法對若干風險指標進行綜合評價;引入有序加權平均法(Ordered Weighted Averaging,OWA)進行評價者權重調整,以弱化因主觀因素給出的極高和極低值影響;引入熵權法(Entropy Weight Method, EWM)進行客觀的指標賦權,以減少人為設置指標權重的主觀影響。

        1 信息安全風險評估概況

        1.1 信息安全風險評估標準

        目前,最具代表性的信息安全風險評估標準是CC、BS7799和中國信息安全標準。

        (1)CC。CC的全稱為《信息技術安全性評估通用準則》,由北美和歐盟合作開發(fā),是目前最全面的信息技術安全評估準則。1999年,CC標準被國際標準化組織(ISO)正式批準為國際標準ISO/IEC 15408并公布執(zhí)行[2-3]。

        (2)BS7799。BS7799的全稱為《信息安全管理實施細則》,由英國標準協(xié)會(BSI)編寫,是在信息安全管理體系方面應用最廣泛與典型的信息安全管理標準。2000年,BS7799標準的第一部分被ISO正式批準為國際標準ISO/IEC 17799并公布執(zhí)行[4]。

        (3)中國信息安全標準。中國信息安全標準從總體上劃分為基礎標準、技術與機制標準、管理標準、測評標準、密碼技術標準和保密技術標準六大類,已發(fā)布各類標準共計160余部,還有若干部標準正在開發(fā)當中。其中,標準《信息技術安全性評估準則》(GB/T 18336)[5-7]等同采用國際標準ISO/IEC15408;《信息安全技術 信息安全管理實用規(guī)則》(GB/T 19716)[8]等同采用國際標準ISO/IEC 17799。專門針對信息安全風險評估的標準是《信息安全技術 信息安全風險評估規(guī)范》(GB/T 20984)。

        1.2 信息安全風險評估方法

        國內外很多學者將其他領域一些經(jīng)典、成熟的風險評估方法應用到信息安全風險評估中,并取得了一系列成果。張利等[9]對信息安全風險綜合評估方法進行了綜述;方陽[10]將層次分析法和D-S證據(jù)理論應用于電信網(wǎng)網(wǎng)絡安全風險評估模型;趙冬梅[11]研究了信息安全風險的量化評估方法;劉昱[12]探討了信息安全評估的指標體系;吳堅[13]分析了基于算子理論的混合型多屬性群決策方法。另外,還有多名學者開展了信息安全風險評估相關研究。各風險評估方法的特點與適用范圍均有所不同,其中專家打分法在風險評估中應用廣泛,是一種行之有效的評估方法,但也存在一定局限性:一是存在評價者打分的主觀影響;二是存在指標權重的主觀影響。

        2 基于有序加權和熵權的信息安全風險評估方法

        本文提出的基于有序加權和熵權的信息安全風險評估方法是一種改進的專家評分法,通過引入有序加權平均法進行評價者權重調整,弱化因主觀因素給出的極高值和極低值影響;通過引入熵權法進行客觀的指標賦權,減少人為設置指標權重的主觀影響。

        該方法的基本步驟是:①參考信息安全風險評估規(guī)范確定信息安全風險評估指標;②引入有序加權平均法(OWA)進行評價者權重調整,引入熵權法(EWM)進行指標賦權;③通過綜合評價給出風險評估結果。

        2.1 信息安全風險評估指標

        本方法確定信息安全風險評估指標的依據(jù)是《信息安全技術 信息安全風險評估規(guī)范》(GB/T 20984)。

        風險分析涉及三個基本要素:資產(chǎn)、威脅、脆弱性。風險分析需要確定信息資產(chǎn)的識別及賦值、資產(chǎn)的脆弱性分析、威脅情況及發(fā)生的概率等方面的內容。風險分析原理如圖1所示。

        (1)資產(chǎn)識別。資產(chǎn)是指對信息系統(tǒng)的使用單位具有價值的各類信息或資源,是安全策略保護的對象。根據(jù)標準中基于表現(xiàn)形式的分類方法,資產(chǎn)分為6類,如圖2所示。

        (2)威脅識別。威脅是指可能對資產(chǎn)或系統(tǒng)安全造成損害的潛在原因,包括威脅主體、能力、動機、途徑、可能性和后果等屬性。根據(jù)標準中基于表現(xiàn)形式的分類方法,威脅分為11類,如圖3所示。

        (3)脆弱性識別。脆弱性是指能被威脅主體利用,對資產(chǎn)造成損害的薄弱點,可分為技術脆弱性和管理脆弱性。

        綜上,通過對信息系統(tǒng)的資產(chǎn)、威脅、脆弱性分析,識別出系統(tǒng)重要的風險因素,作為評價指標,見表1。

        表1 風險評價指標

        2.2 有序加權平均法

        為了降低專家打分法中的主觀因素影響,本文引入有序加權平均法(OWA)進行評價者權重調整,以弱化因主觀因素給出的極高值和極低值影響。

        OWA理論是一種根據(jù)數(shù)據(jù)排序位置確定權重的信息融合方法,由美國學者Yager提出。該方法權重只和數(shù)值信息的位置有關,可以較好地解決一些不合理問題[14-15]。

        利用OWA理論解決問題的重點是對于位置權重向量的確定。根據(jù)已有研究,本文選擇等差數(shù)列賦權法。公式為

        2.3 熵權法

        本文引入熵權法(EWM)進行評價指標賦權,以減少人為設置指標權重的主觀影響。

        熵權法是基于信息熵原理提出的一種客觀評價指標的權重方法。與人為設置指標權重不同,熵權法根據(jù)評價數(shù)據(jù)來相對客觀地設置權重。信息熵由信息論創(chuàng)始人香農(nóng)提出,反映信息的不確定程度。熵越大,無序程度越高,信息丟失越多,所得到的信息量越少。熵權法就是依據(jù)該原理發(fā)展出來的權重確定方法。某評價指標的信息熵越小,表明該指標所提供的信息量越大,在系統(tǒng)綜合評價中所發(fā)揮的作用越大,所賦予的權重也越大。

        熵權法的處理步驟為:

        (1)根據(jù)原始評分表,對數(shù)據(jù)進行標準化處理。

        設確定的風險評價指標有n個、評價人員為m名,初始評價值矩陣為

        V=(vij)m×n

        式中,i=1,2,…,m;j=1,2,…,n;vij=1,2,…,25(vij為評分值,該評分值的取值范圍參考標準設置)。

        標準化處理的方式為:采用最大最小歸一化方法,將原始數(shù)據(jù)轉換到[0 1]的范圍。歸一化公式為

        其中

        (2)計算各指標的信息熵。公式如下

        其中

        當pij=0時,令pijlnpij=0。

        (3)確定各指標的熵權。公式如下

        計算所有指標的熵權,得出評價指標的權重列向量如下

        W=(w1,w2,…,wn)T

        2.4 綜合評價

        根據(jù)調整后的評分向量V*和評價指標的權重列向量W即可計算出風險值R

        根據(jù)表2所示,將風險值轉換為風險等級。

        表2 風險等級表

        利用本文研究的基于有序加權和熵權的信息安全風險評估方法,可開展三種方式的評價:

        (2)整體風險量化評價。利用綜合評價風險值R對整體風險進行量化評價,可用于多系統(tǒng)風險的量化比較。

        (3)整體風險等級評價。評價系統(tǒng)的整體風險等級。

        3 實例分析

        以某企業(yè)信息系統(tǒng)的信息安全評估為例,對本文提出的評估方法進行分析。實例中針對被評系統(tǒng)所確定的信息安全風險因素(評估指標)見表3,專家做出的原始評分見表4。

        表3 信息安全風險評估指標表

        表4 信息安全風評估原始評分表

        OWA調整前后的風險指標評分表見表5。風險評估指標的信息熵和熵權見表6。評估結果:綜合風險值為12.05,風險等級為3,整體風險為中等。從表5可以看出,R1、R7、R10、R11的風險值較高。

        在算法方面,對比表5中OWA調整前和調整后的指標評分可以看出,OWA算子弱化了原始評分中極高值和極低值的影響,R8指標的調整較為明顯。在指標熵權方面,從表6中的指標信息熵和熵權可以看出,熵權根據(jù)指標的信息熵而得到,信息熵最小的、不確定性最低的指標R7得到的權重最高。

        表5 信息安全風險估指標評分表

        表6 指標信息熵和熵權表

        4 結語

        本文依據(jù)信息安全相關標準建立了信息安全風險評估指標體系,并提出了基于有序加權和熵權的信息安全風險評估方法。實例分析表明,OWA算子弱化了原始評分中極高值和極低值的影響,從評分的角度降低了主觀偏好的影響;通過熵權法根據(jù)評價數(shù)據(jù)的信息熵確定指標權重,從指標權重的角度減降低了主觀因素的影響。值得注意的是,由于方法中指標權重完全由數(shù)據(jù)決定,特殊情況下通過信息熵得到的權重可能與平時的直觀認識有所不同。

        猜你喜歡
        權法信息熵信息安全
        基于熵權法的BDS鐘差組合預測模型的建立
        基于信息熵可信度的測試點選擇方法研究
        保護信息安全要滴水不漏
        高校信息安全防護
        消費導刊(2017年20期)2018-01-03 06:26:38
        BP神經(jīng)網(wǎng)絡結合熵權法優(yōu)化甘草皂苷提取工藝
        中成藥(2017年9期)2017-12-19 13:34:30
        基于信息熵的實驗教學量化研究
        電子測試(2017年12期)2017-12-18 06:35:48
        基于熵權法*的廣西能源安全評價
        一種基于信息熵的雷達動態(tài)自適應選擇跟蹤方法
        雷達學報(2017年6期)2017-03-26 07:52:58
        保護個人信息安全刻不容緩
        基于信息熵的IITFN多屬性決策方法
        高清无码精品一区二区三区| 中文字幕日韩三级片| 国产又色又爽又刺激在线播放| 色窝窝免费播放视频在线| 日本特黄a级高清免费大片| 日本97色视频日本熟妇视频| 蜜桃18禁成人午夜免费网站| av无码精品一区二区三区宅噜噜| 久久aⅴ无码一区二区三区| 亚洲一区二区高清在线| 成熟妇女毛茸茸性视频| 亚洲乱码一区av春药高潮| 国产精品国产三级国av| 日本一道dvd在线中文字幕| 亚洲一区二区自偷自拍另类| 初尝人妻少妇中文字幕| 中日av乱码一区二区三区乱码| 91狼友在线观看免费完整版| 日本黄网色三级三级三级| 欧洲多毛裸体xxxxx| 成人无码区免费a片www| 偷拍熟女亚洲另类| 精品一区二区av在线| 女局长白白嫩嫩大屁股| chinese国产乱在线观看| 丰满少妇高潮在线观看| 国产av久久在线观看| 久激情内射婷内射蜜桃| 国产成人国产在线观看| 少妇又色又爽又刺激的视频| 亚洲人成在线播放网站| 福利视频一二三在线观看| 亚洲Av无码专区尤物| 日本加勒比精品一区二区视频| 日日天干夜夜狠狠爱| 波多野结衣有码| 国产精品毛片av一区二区三区| 成年女人免费v片| 人妻少妇邻居少妇好多水在线| 亚洲国产成人无码电影| 美女视频在线观看网址大全|