王蔚

(北京太極信息系統(tǒng)技術(shù)有限公司，北京 100102)

0 引言

信息安全風(fēng)險(xiǎn)評估對于保障信息安全十分重要。開展信息安全風(fēng)險(xiǎn)評估，需要確定所依據(jù)的標(biāo)準(zhǔn)和所采用的評估方法[1]。本文旨在研究相關(guān)標(biāo)準(zhǔn)依據(jù)和現(xiàn)有評估方法，針對評估中可能出現(xiàn)的主觀偏好影響，提出基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法。本文研究思路是：參考標(biāo)準(zhǔn)確定安全風(fēng)險(xiǎn)評估指標(biāo)，用專家評分法對若干風(fēng)險(xiǎn)指標(biāo)進(jìn)行綜合評價(jià)；引入有序加權(quán)平均法(Ordered Weighted Averaging，OWA)進(jìn)行評價(jià)者權(quán)重調(diào)整，以弱化因主觀因素給出的極高和極低值影響；引入熵權(quán)法(Entropy Weight Method， EWM)進(jìn)行客觀的指標(biāo)賦權(quán)，以減少人為設(shè)置指標(biāo)權(quán)重的主觀影響。

1 信息安全風(fēng)險(xiǎn)評估概況

1.1 信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)

目前，最具代表性的信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)是CC、BS7799和中國信息安全標(biāo)準(zhǔn)。

(1)CC。CC的全稱為《信息技術(shù)安全性評估通用準(zhǔn)則》，由北美和歐盟合作開發(fā)，是目前最全面的信息技術(shù)安全評估準(zhǔn)則。1999年，CC標(biāo)準(zhǔn)被國際標(biāo)準(zhǔn)化組織(ISO)正式批準(zhǔn)為國際標(biāo)準(zhǔn)ISO/IEC 15408并公布執(zhí)行[2-3]。

(2)BS7799。BS7799的全稱為《信息安全管理實(shí)施細(xì)則》，由英國標(biāo)準(zhǔn)協(xié)會(BSI)編寫，是在信息安全管理體系方面應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。2000年，BS7799標(biāo)準(zhǔn)的第一部分被ISO正式批準(zhǔn)為國際標(biāo)準(zhǔn)ISO/IEC 17799并公布執(zhí)行[4]。

(3)中國信息安全標(biāo)準(zhǔn)。中國信息安全標(biāo)準(zhǔn)從總體上劃分為基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)與機(jī)制標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、測評標(biāo)準(zhǔn)、密碼技術(shù)標(biāo)準(zhǔn)和保密技術(shù)標(biāo)準(zhǔn)六大類，已發(fā)布各類標(biāo)準(zhǔn)共計(jì)160余部，還有若干部標(biāo)準(zhǔn)正在開發(fā)當(dāng)中。其中，標(biāo)準(zhǔn)《信息技術(shù)安全性評估準(zhǔn)則》(GB/T 18336)[5-7]等同采用國際標(biāo)準(zhǔn)ISO/IEC15408；《信息安全技術(shù) 信息安全管理實(shí)用規(guī)則》(GB/T 19716)[8]等同采用國際標(biāo)準(zhǔn)ISO/IEC 17799。專門針對信息安全風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn)是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T 20984)。

1.2 信息安全風(fēng)險(xiǎn)評估方法

國內(nèi)外很多學(xué)者將其他領(lǐng)域一些經(jīng)典、成熟的風(fēng)險(xiǎn)評估方法應(yīng)用到信息安全風(fēng)險(xiǎn)評估中，并取得了一系列成果。張利等[9]對信息安全風(fēng)險(xiǎn)綜合評估方法進(jìn)行了綜述；方陽[10]將層次分析法和D-S證據(jù)理論應(yīng)用于電信網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估模型；趙冬梅[11]研究了信息安全風(fēng)險(xiǎn)的量化評估方法；劉昱[12]探討了信息安全評估的指標(biāo)體系；吳堅(jiān)[13]分析了基于算子理論的混合型多屬性群決策方法。另外，還有多名學(xué)者開展了信息安全風(fēng)險(xiǎn)評估相關(guān)研究。各風(fēng)險(xiǎn)評估方法的特點(diǎn)與適用范圍均有所不同，其中專家打分法在風(fēng)險(xiǎn)評估中應(yīng)用廣泛，是一種行之有效的評估方法，但也存在一定局限性：一是存在評價(jià)者打分的主觀影響；二是存在指標(biāo)權(quán)重的主觀影響。

2 基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法

本文提出的基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法是一種改進(jìn)的專家評分法，通過引入有序加權(quán)平均法進(jìn)行評價(jià)者權(quán)重調(diào)整，弱化因主觀因素給出的極高值和極低值影響；通過引入熵權(quán)法進(jìn)行客觀的指標(biāo)賦權(quán)，減少人為設(shè)置指標(biāo)權(quán)重的主觀影響。

該方法的基本步驟是：①參考信息安全風(fēng)險(xiǎn)評估規(guī)范確定信息安全風(fēng)險(xiǎn)評估指標(biāo)；②引入有序加權(quán)平均法(OWA)進(jìn)行評價(jià)者權(quán)重調(diào)整，引入熵權(quán)法(EWM)進(jìn)行指標(biāo)賦權(quán)；③通過綜合評價(jià)給出風(fēng)險(xiǎn)評估結(jié)果。

2.1 信息安全風(fēng)險(xiǎn)評估指標(biāo)

本方法確定信息安全風(fēng)險(xiǎn)評估指標(biāo)的依據(jù)是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T 20984)。

風(fēng)險(xiǎn)分析涉及三個(gè)基本要素：資產(chǎn)、威脅、脆弱性。風(fēng)險(xiǎn)分析需要確定信息資產(chǎn)的識別及賦值、資產(chǎn)的脆弱性分析、威脅情況及發(fā)生的概率等方面的內(nèi)容。風(fēng)險(xiǎn)分析原理如圖1所示。

(1)資產(chǎn)識別。資產(chǎn)是指對信息系統(tǒng)的使用單位具有價(jià)值的各類信息或資源，是安全策略保護(hù)的對象。根據(jù)標(biāo)準(zhǔn)中基于表現(xiàn)形式的分類方法，資產(chǎn)分為6類，如圖2所示。

(2)威脅識別。威脅是指可能對資產(chǎn)或系統(tǒng)安全造成損害的潛在原因，包括威脅主體、能力、動(dòng)機(jī)、途徑、可能性和后果等屬性。根據(jù)標(biāo)準(zhǔn)中基于表現(xiàn)形式的分類方法，威脅分為11類，如圖3所示。

(3)脆弱性識別。脆弱性是指能被威脅主體利用，對資產(chǎn)造成損害的薄弱點(diǎn)，可分為技術(shù)脆弱性和管理脆弱性。

綜上，通過對信息系統(tǒng)的資產(chǎn)、威脅、脆弱性分析，識別出系統(tǒng)重要的風(fēng)險(xiǎn)因素，作為評價(jià)指標(biāo)，見表1。

表1 風(fēng)險(xiǎn)評價(jià)指標(biāo)

2.2 有序加權(quán)平均法

為了降低專家打分法中的主觀因素影響，本文引入有序加權(quán)平均法(OWA)進(jìn)行評價(jià)者權(quán)重調(diào)整，以弱化因主觀因素給出的極高值和極低值影響。

OWA理論是一種根據(jù)數(shù)據(jù)排序位置確定權(quán)重的信息融合方法，由美國學(xué)者Yager提出。該方法權(quán)重只和數(shù)值信息的位置有關(guān)，可以較好地解決一些不合理問題[14-15]。

利用OWA理論解決問題的重點(diǎn)是對于位置權(quán)重向量的確定。根據(jù)已有研究，本文選擇等差數(shù)列賦權(quán)法。公式為

2.3 熵權(quán)法

本文引入熵權(quán)法(EWM)進(jìn)行評價(jià)指標(biāo)賦權(quán)，以減少人為設(shè)置指標(biāo)權(quán)重的主觀影響。

熵權(quán)法是基于信息熵原理提出的一種客觀評價(jià)指標(biāo)的權(quán)重方法。與人為設(shè)置指標(biāo)權(quán)重不同，熵權(quán)法根據(jù)評價(jià)數(shù)據(jù)來相對客觀地設(shè)置權(quán)重。信息熵由信息論創(chuàng)始人香農(nóng)提出，反映信息的不確定程度。熵越大，無序程度越高，信息丟失越多，所得到的信息量越少。熵權(quán)法就是依據(jù)該原理發(fā)展出來的權(quán)重確定方法。某評價(jià)指標(biāo)的信息熵越小，表明該指標(biāo)所提供的信息量越大，在系統(tǒng)綜合評價(jià)中所發(fā)揮的作用越大，所賦予的權(quán)重也越大。

熵權(quán)法的處理步驟為：

(1)根據(jù)原始評分表，對數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理。

設(shè)確定的風(fēng)險(xiǎn)評價(jià)指標(biāo)有n個(gè)、評價(jià)人員為m名，初始評價(jià)值矩陣為

V=(vij)m×n

式中，i=1，2，…，m；j=1，2，…，n；vij=1，2，…，25(vij為評分值，該評分值的取值范圍參考標(biāo)準(zhǔn)設(shè)置)。

標(biāo)準(zhǔn)化處理的方式為：采用最大最小歸一化方法，將原始數(shù)據(jù)轉(zhuǎn)換到[0 1]的范圍。歸一化公式為

其中

(2)計(jì)算各指標(biāo)的信息熵。公式如下

其中

當(dāng)pij=0時(shí)，令pijlnpij=0。

(3)確定各指標(biāo)的熵權(quán)。公式如下

計(jì)算所有指標(biāo)的熵權(quán)，得出評價(jià)指標(biāo)的權(quán)重列向量如下

W=(w1,w2,…,wn)T

2.4 綜合評價(jià)

根據(jù)調(diào)整后的評分向量V*和評價(jià)指標(biāo)的權(quán)重列向量W即可計(jì)算出風(fēng)險(xiǎn)值R

根據(jù)表2所示，將風(fēng)險(xiǎn)值轉(zhuǎn)換為風(fēng)險(xiǎn)等級。

表2 風(fēng)險(xiǎn)等級表

利用本文研究的基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法，可開展三種方式的評價(jià)：

(2)整體風(fēng)險(xiǎn)量化評價(jià)。利用綜合評價(jià)風(fēng)險(xiǎn)值R對整體風(fēng)險(xiǎn)進(jìn)行量化評價(jià)，可用于多系統(tǒng)風(fēng)險(xiǎn)的量化比較。

(3)整體風(fēng)險(xiǎn)等級評價(jià)。評價(jià)系統(tǒng)的整體風(fēng)險(xiǎn)等級。

3 實(shí)例分析

以某企業(yè)信息系統(tǒng)的信息安全評估為例，對本文提出的評估方法進(jìn)行分析。實(shí)例中針對被評系統(tǒng)所確定的信息安全風(fēng)險(xiǎn)因素(評估指標(biāo))見表3，專家做出的原始評分見表4。

表3 信息安全風(fēng)險(xiǎn)評估指標(biāo)表

表4 信息安全風(fēng)評估原始評分表

OWA調(diào)整前后的風(fēng)險(xiǎn)指標(biāo)評分表見表5。風(fēng)險(xiǎn)評估指標(biāo)的信息熵和熵權(quán)見表6。評估結(jié)果：綜合風(fēng)險(xiǎn)值為12.05，風(fēng)險(xiǎn)等級為3，整體風(fēng)險(xiǎn)為中等。從表5可以看出，R1、R7、R10、R11的風(fēng)險(xiǎn)值較高。

在算法方面，對比表5中OWA調(diào)整前和調(diào)整后的指標(biāo)評分可以看出，OWA算子弱化了原始評分中極高值和極低值的影響，R8指標(biāo)的調(diào)整較為明顯。在指標(biāo)熵權(quán)方面，從表6中的指標(biāo)信息熵和熵權(quán)可以看出，熵權(quán)根據(jù)指標(biāo)的信息熵而得到，信息熵最小的、不確定性最低的指標(biāo)R7得到的權(quán)重最高。

表5 信息安全風(fēng)險(xiǎn)估指標(biāo)評分表

表6 指標(biāo)信息熵和熵權(quán)表

4 結(jié)語

本文依據(jù)信息安全相關(guān)標(biāo)準(zhǔn)建立了信息安全風(fēng)險(xiǎn)評估指標(biāo)體系，并提出了基于有序加權(quán)和熵權(quán)的信息安全風(fēng)險(xiǎn)評估方法。實(shí)例分析表明，OWA算子弱化了原始評分中極高值和極低值的影響，從評分的角度降低了主觀偏好的影響；通過熵權(quán)法根據(jù)評價(jià)數(shù)據(jù)的信息熵確定指標(biāo)權(quán)重，從指標(biāo)權(quán)重的角度減降低了主觀因素的影響。值得注意的是，由于方法中指標(biāo)權(quán)重完全由數(shù)據(jù)決定，特殊情況下通過信息熵得到的權(quán)重可能與平時(shí)的直觀認(rèn)識有所不同。