王蔚
(北京太極信息系統(tǒng)技術(shù)有限公司,北京 100102)
信息安全風(fēng)險(xiǎn)評估對于保障信息安全十分重要。開展信息安全風(fēng)險(xiǎn)評估,需要確定所依據(jù)的標(biāo)準(zhǔn)和所采用的評估方法[1]。本文旨在研究相關(guān)標(biāo)準(zhǔn)依據(jù)和現(xiàn)有評估方法,針對評估中可能出現(xiàn)的主觀偏好影響,提出基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法。本文研究思路是:參考標(biāo)準(zhǔn)確定安全風(fēng)險(xiǎn)評估指標(biāo),用專家評分法對若干風(fēng)險(xiǎn)指標(biāo)進(jìn)行綜合評價(jià);引入有序加權(quán)平均法(Ordered Weighted Averaging,OWA)進(jìn)行評價(jià)者權(quán)重調(diào)整,以弱化因主觀因素給出的極高和極低值影響;引入熵權(quán)法(Entropy Weight Method, EWM)進(jìn)行客觀的指標(biāo)賦權(quán),以減少人為設(shè)置指標(biāo)權(quán)重的主觀影響。
目前,最具代表性的信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)是CC、BS7799和中國信息安全標(biāo)準(zhǔn)。
(1)CC。CC的全稱為《信息技術(shù)安全性評估通用準(zhǔn)則》,由北美和歐盟合作開發(fā),是目前最全面的信息技術(shù)安全評估準(zhǔn)則。1999年,CC標(biāo)準(zhǔn)被國際標(biāo)準(zhǔn)化組織(ISO)正式批準(zhǔn)為國際標(biāo)準(zhǔn)ISO/IEC 15408并公布執(zhí)行[2-3]。
(2)BS7799。BS7799的全稱為《信息安全管理實(shí)施細(xì)則》,由英國標(biāo)準(zhǔn)協(xié)會(BSI)編寫,是在信息安全管理體系方面應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。2000年,BS7799標(biāo)準(zhǔn)的第一部分被ISO正式批準(zhǔn)為國際標(biāo)準(zhǔn)ISO/IEC 17799并公布執(zhí)行[4]。
(3)中國信息安全標(biāo)準(zhǔn)。中國信息安全標(biāo)準(zhǔn)從總體上劃分為基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)與機(jī)制標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、測評標(biāo)準(zhǔn)、密碼技術(shù)標(biāo)準(zhǔn)和保密技術(shù)標(biāo)準(zhǔn)六大類,已發(fā)布各類標(biāo)準(zhǔn)共計(jì)160余部,還有若干部標(biāo)準(zhǔn)正在開發(fā)當(dāng)中。其中,標(biāo)準(zhǔn)《信息技術(shù)安全性評估準(zhǔn)則》(GB/T 18336)[5-7]等同采用國際標(biāo)準(zhǔn)ISO/IEC15408;《信息安全技術(shù) 信息安全管理實(shí)用規(guī)則》(GB/T 19716)[8]等同采用國際標(biāo)準(zhǔn)ISO/IEC 17799。專門針對信息安全風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn)是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T 20984)。
國內(nèi)外很多學(xué)者將其他領(lǐng)域一些經(jīng)典、成熟的風(fēng)險(xiǎn)評估方法應(yīng)用到信息安全風(fēng)險(xiǎn)評估中,并取得了一系列成果。張利等[9]對信息安全風(fēng)險(xiǎn)綜合評估方法進(jìn)行了綜述;方陽[10]將層次分析法和D-S證據(jù)理論應(yīng)用于電信網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估模型;趙冬梅[11]研究了信息安全風(fēng)險(xiǎn)的量化評估方法;劉昱[12]探討了信息安全評估的指標(biāo)體系;吳堅(jiān)[13]分析了基于算子理論的混合型多屬性群決策方法。另外,還有多名學(xué)者開展了信息安全風(fēng)險(xiǎn)評估相關(guān)研究。各風(fēng)險(xiǎn)評估方法的特點(diǎn)與適用范圍均有所不同,其中專家打分法在風(fēng)險(xiǎn)評估中應(yīng)用廣泛,是一種行之有效的評估方法,但也存在一定局限性:一是存在評價(jià)者打分的主觀影響;二是存在指標(biāo)權(quán)重的主觀影響。
本文提出的基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法是一種改進(jìn)的專家評分法,通過引入有序加權(quán)平均法進(jìn)行評價(jià)者權(quán)重調(diào)整,弱化因主觀因素給出的極高值和極低值影響;通過引入熵權(quán)法進(jìn)行客觀的指標(biāo)賦權(quán),減少人為設(shè)置指標(biāo)權(quán)重的主觀影響。
該方法的基本步驟是:①參考信息安全風(fēng)險(xiǎn)評估規(guī)范確定信息安全風(fēng)險(xiǎn)評估指標(biāo);②引入有序加權(quán)平均法(OWA)進(jìn)行評價(jià)者權(quán)重調(diào)整,引入熵權(quán)法(EWM)進(jìn)行指標(biāo)賦權(quán);③通過綜合評價(jià)給出風(fēng)險(xiǎn)評估結(jié)果。
本方法確定信息安全風(fēng)險(xiǎn)評估指標(biāo)的依據(jù)是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T 20984)。
風(fēng)險(xiǎn)分析涉及三個(gè)基本要素:資產(chǎn)、威脅、脆弱性。風(fēng)險(xiǎn)分析需要確定信息資產(chǎn)的識別及賦值、資產(chǎn)的脆弱性分析、威脅情況及發(fā)生的概率等方面的內(nèi)容。風(fēng)險(xiǎn)分析原理如圖1所示。
(1)資產(chǎn)識別。資產(chǎn)是指對信息系統(tǒng)的使用單位具有價(jià)值的各類信息或資源,是安全策略保護(hù)的對象。根據(jù)標(biāo)準(zhǔn)中基于表現(xiàn)形式的分類方法,資產(chǎn)分為6類,如圖2所示。
(2)威脅識別。威脅是指可能對資產(chǎn)或系統(tǒng)安全造成損害的潛在原因,包括威脅主體、能力、動(dòng)機(jī)、途徑、可能性和后果等屬性。根據(jù)標(biāo)準(zhǔn)中基于表現(xiàn)形式的分類方法,威脅分為11類,如圖3所示。
(3)脆弱性識別。脆弱性是指能被威脅主體利用,對資產(chǎn)造成損害的薄弱點(diǎn),可分為技術(shù)脆弱性和管理脆弱性。
綜上,通過對信息系統(tǒng)的資產(chǎn)、威脅、脆弱性分析,識別出系統(tǒng)重要的風(fēng)險(xiǎn)因素,作為評價(jià)指標(biāo),見表1。
表1 風(fēng)險(xiǎn)評價(jià)指標(biāo)
為了降低專家打分法中的主觀因素影響,本文引入有序加權(quán)平均法(OWA)進(jìn)行評價(jià)者權(quán)重調(diào)整,以弱化因主觀因素給出的極高值和極低值影響。
OWA理論是一種根據(jù)數(shù)據(jù)排序位置確定權(quán)重的信息融合方法,由美國學(xué)者Yager提出。該方法權(quán)重只和數(shù)值信息的位置有關(guān),可以較好地解決一些不合理問題[14-15]。
利用OWA理論解決問題的重點(diǎn)是對于位置權(quán)重向量的確定。根據(jù)已有研究,本文選擇等差數(shù)列賦權(quán)法。公式為
本文引入熵權(quán)法(EWM)進(jìn)行評價(jià)指標(biāo)賦權(quán),以減少人為設(shè)置指標(biāo)權(quán)重的主觀影響。
熵權(quán)法是基于信息熵原理提出的一種客觀評價(jià)指標(biāo)的權(quán)重方法。與人為設(shè)置指標(biāo)權(quán)重不同,熵權(quán)法根據(jù)評價(jià)數(shù)據(jù)來相對客觀地設(shè)置權(quán)重。信息熵由信息論創(chuàng)始人香農(nóng)提出,反映信息的不確定程度。熵越大,無序程度越高,信息丟失越多,所得到的信息量越少。熵權(quán)法就是依據(jù)該原理發(fā)展出來的權(quán)重確定方法。某評價(jià)指標(biāo)的信息熵越小,表明該指標(biāo)所提供的信息量越大,在系統(tǒng)綜合評價(jià)中所發(fā)揮的作用越大,所賦予的權(quán)重也越大。
熵權(quán)法的處理步驟為:
(1)根據(jù)原始評分表,對數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理。
設(shè)確定的風(fēng)險(xiǎn)評價(jià)指標(biāo)有n個(gè)、評價(jià)人員為m名,初始評價(jià)值矩陣為
V=(vij)m×n
式中,i=1,2,…,m;j=1,2,…,n;vij=1,2,…,25(vij為評分值,該評分值的取值范圍參考標(biāo)準(zhǔn)設(shè)置)。
標(biāo)準(zhǔn)化處理的方式為:采用最大最小歸一化方法,將原始數(shù)據(jù)轉(zhuǎn)換到[0 1]的范圍。歸一化公式為
其中
(2)計(jì)算各指標(biāo)的信息熵。公式如下
其中
當(dāng)pij=0時(shí),令pijlnpij=0。
(3)確定各指標(biāo)的熵權(quán)。公式如下
計(jì)算所有指標(biāo)的熵權(quán),得出評價(jià)指標(biāo)的權(quán)重列向量如下
W=(w1,w2,…,wn)T
根據(jù)調(diào)整后的評分向量V*和評價(jià)指標(biāo)的權(quán)重列向量W即可計(jì)算出風(fēng)險(xiǎn)值R
根據(jù)表2所示,將風(fēng)險(xiǎn)值轉(zhuǎn)換為風(fēng)險(xiǎn)等級。
表2 風(fēng)險(xiǎn)等級表
利用本文研究的基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法,可開展三種方式的評價(jià):
(2)整體風(fēng)險(xiǎn)量化評價(jià)。利用綜合評價(jià)風(fēng)險(xiǎn)值R對整體風(fēng)險(xiǎn)進(jìn)行量化評價(jià),可用于多系統(tǒng)風(fēng)險(xiǎn)的量化比較。
(3)整體風(fēng)險(xiǎn)等級評價(jià)。評價(jià)系統(tǒng)的整體風(fēng)險(xiǎn)等級。
以某企業(yè)信息系統(tǒng)的信息安全評估為例,對本文提出的評估方法進(jìn)行分析。實(shí)例中針對被評系統(tǒng)所確定的信息安全風(fēng)險(xiǎn)因素(評估指標(biāo))見表3,專家做出的原始評分見表4。
表3 信息安全風(fēng)險(xiǎn)評估指標(biāo)表
表4 信息安全風(fēng)評估原始評分表
OWA調(diào)整前后的風(fēng)險(xiǎn)指標(biāo)評分表見表5。風(fēng)險(xiǎn)評估指標(biāo)的信息熵和熵權(quán)見表6。評估結(jié)果:綜合風(fēng)險(xiǎn)值為12.05,風(fēng)險(xiǎn)等級為3,整體風(fēng)險(xiǎn)為中等。從表5可以看出,R1、R7、R10、R11的風(fēng)險(xiǎn)值較高。
在算法方面,對比表5中OWA調(diào)整前和調(diào)整后的指標(biāo)評分可以看出,OWA算子弱化了原始評分中極高值和極低值的影響,R8指標(biāo)的調(diào)整較為明顯。在指標(biāo)熵權(quán)方面,從表6中的指標(biāo)信息熵和熵權(quán)可以看出,熵權(quán)根據(jù)指標(biāo)的信息熵而得到,信息熵最小的、不確定性最低的指標(biāo)R7得到的權(quán)重最高。
表5 信息安全風(fēng)險(xiǎn)估指標(biāo)評分表
表6 指標(biāo)信息熵和熵權(quán)表
本文依據(jù)信息安全相關(guān)標(biāo)準(zhǔn)建立了信息安全風(fēng)險(xiǎn)評估指標(biāo)體系,并提出了基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法。實(shí)例分析表明,OWA算子弱化了原始評分中極高值和極低值的影響,從評分的角度降低了主觀偏好的影響;通過熵權(quán)法根據(jù)評價(jià)數(shù)據(jù)的信息熵確定指標(biāo)權(quán)重,從指標(biāo)權(quán)重的角度減降低了主觀因素的影響。值得注意的是,由于方法中指標(biāo)權(quán)重完全由數(shù)據(jù)決定,特殊情況下通過信息熵得到的權(quán)重可能與平時(shí)的直觀認(rèn)識有所不同。