唐榮華

（廣東金質(zhì)信息技術(shù)有限公司，廣東 廣州 510220）

0 引 言

當(dāng)前國際形勢下，人們對信息安全越來越重視。沒有信息安全就沒有國家安全。因此，加強(qiáng)信息安全的管理以及對安全管理的評價也日趨重要。目前，對于信息安全管理的評估，許多專家學(xué)者結(jié)合評估指標(biāo)，運用模糊數(shù)學(xué)、灰色理論、層次分析法（Analytic Hierarchy Process，AHP）、熵權(quán)理論等多種方法[1-4]，取得了不少研究成果，但仍存在一些不足。

（1）評價對象主要側(cè)重于對信息安全和風(fēng)險的評估，注重從全域的角度對軟硬件環(huán)境、網(wǎng)絡(luò)運行、應(yīng)用、數(shù)據(jù)及管理等方面做安全評價，較少從管理角度進(jìn)行評價。

（2）在評估方法上面，多傾向于模糊數(shù)學(xué)、灰色理論、AHP、熵權(quán)理論等方法的單獨應(yīng)用或簡單組合。由于信息系統(tǒng)具有一定的復(fù)雜性和模糊性，評價往往帶有較多的主觀性，忽視了客觀性和指標(biāo)的相互影響等。

（3）在評價指標(biāo)的選取上有較多的主觀性，采用標(biāo)準(zhǔn)時也做了很多的裁剪，缺少權(quán)威性、普適性和客觀性。

本文提出的基于灰色關(guān)聯(lián)分析綜合法的信息安全管理評價，評價對象是管理層面的評價，因為信息安全的重點在于管理，更多的是從上到下，沒有上層的重視很難得到落實；在評價方法上，綜合應(yīng)用灰色系統(tǒng)理論的關(guān)聯(lián)度分析、層次分析法多層遞歸綜合和熵權(quán)理論等多種理論和方法，兼顧了指標(biāo)屬性的主觀權(quán)重和客觀權(quán)重，使評價更為科學(xué)；在評價指標(biāo)的選取上，選擇了國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T 20269—2006）[5]中的全部指標(biāo)，具有很好權(quán)威性和實用性。本方法針對性強(qiáng)，對系統(tǒng)等級安全保護(hù)的管理的改進(jìn)具有非常重要的指導(dǎo)意義。

1 基于AHP的評價層級構(gòu)建信息安全管理指標(biāo)體系

國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T 20269—2006）[5]對等級保護(hù)提出了具體安全管理要素及其在不同等級保護(hù)的執(zhí)行強(qiáng)度，有利于對安全管理的評價。本文采用此標(biāo)準(zhǔn)對信息系統(tǒng)安全管理的要求，基于AHP的層次分析法建立如表1所示的信息系統(tǒng)安全管理指標(biāo)體系。該體系分為目標(biāo)層、準(zhǔn)則層和指標(biāo)層三層。目標(biāo)層是信息系統(tǒng)安全管理，是評價的目標(biāo)對象，準(zhǔn)則層是8個影響因素，指標(biāo)層是30個具體的屬性指標(biāo)。

表1 信息安全管理指標(biāo)體系

2 信息安全管理評估模型

鄧聚龍教授在1982年3月提出灰色系統(tǒng)理論[6]。它是根據(jù)序列曲線幾何形狀的相似程度來判斷其聯(lián)系是否緊密。形狀越接近，對應(yīng)序列之間的關(guān)聯(lián)度就越大，反之就越小。本文指標(biāo)體系分為三級，分別是目標(biāo)層、準(zhǔn)則層和指標(biāo)層，結(jié)合主觀權(quán)重和客觀權(quán)重，先分別計算單個準(zhǔn)則的指標(biāo)關(guān)聯(lián)度，然后再以各個準(zhǔn)則的關(guān)聯(lián)度結(jié)果作為輸入，計算目標(biāo)層的綜合關(guān)聯(lián)度。

2.1 運用AHP確定各級指標(biāo)體系的主觀權(quán)重

2.1.1 構(gòu)建判斷矩陣

利用AHP（層次分析法）[1]建立判斷矩陣A=(aij)，滿足其中，aij表示對上一層比較本層第i個指標(biāo)和第j個指標(biāo)的重要程度，其值通過專家打分來確定，分值采用1-9標(biāo)度法，如表2所示。

表2 層次分析1-9標(biāo)度取值和含義

2.1.2 主觀權(quán)重計算

根據(jù)信息安全管理指標(biāo)體系層次關(guān)系，先計算指標(biāo)層對準(zhǔn)則層的權(quán)重，再計算準(zhǔn)則層對目標(biāo)層的權(quán)重。具體步驟如下。

（1）指標(biāo)層對準(zhǔn)則層的權(quán)重。對8個準(zhǔn)則分別計算其下一層指標(biāo)間的權(quán)重，每個準(zhǔn)則的下一層指標(biāo)構(gòu)建判斷矩陣A=(aij)n×n后，經(jīng)過如下歸一化和一致性評價，計算得出指標(biāo)層因素對準(zhǔn)則的主觀權(quán)重向量WA(i)，(i=1,2,…,8)。

（2）歸一化。先將判斷矩陣每一列做歸一化處理：

再對歸一化后的矩陣每一行求和，并進(jìn)行歸一化處理：

得到向量WA即為相對權(quán)重。

（3）一致性檢驗。采用式（3）進(jìn)行一致性校驗：

式中：CI為一致性指標(biāo)，其中λmax為判斷矩陣的最大特征根；RI為平均隨機(jī)一致性指標(biāo)，一般當(dāng)CR<0.1時，一致性可接受，否則需要重新進(jìn)行專家打分。

（4）準(zhǔn)則層對目標(biāo)層的權(quán)重。用同樣方法，準(zhǔn)則層8個準(zhǔn)則對目標(biāo)層構(gòu)建判斷矩陣，經(jīng)歸一化和一致性評價，求得主觀權(quán)重向量。

2.2 運用熵權(quán)法確定各級指標(biāo)體系的客觀權(quán)重

熵權(quán)法[3]是一種利用信息熵計算出各指標(biāo)熵權(quán)的一種方法。它直接利用無量綱化后的矩陣所給出的信息計算出各指標(biāo)的權(quán)重，而沒有引入決策者的主觀判斷，是一種客觀賦權(quán)方法。對于無量綱化后矩陣Xm×n（m個信息系統(tǒng)，n個指標(biāo)），各指標(biāo)的相對權(quán)重計算式為：

式中：Ej為第j個指標(biāo)值的信息熵，j=1,2,…,n，其 計 算 公 式為若Pi(j)=0，則Ej=0。Pi(j)為計算第i個系統(tǒng)第j個指標(biāo)值的比重，計算公式為

對相對權(quán)重進(jìn)行歸一化，即得到各指標(biāo)的權(quán)重系數(shù)wB(j)：

根據(jù)信息安全管理指標(biāo)體系層次關(guān)系，先計算準(zhǔn)則層各指標(biāo)的權(quán)重，再計算目標(biāo)層各準(zhǔn)則的權(quán)重。

（1）準(zhǔn)則層各指標(biāo)的權(quán)重。對8個準(zhǔn)則分別計算其下一層指標(biāo)間的權(quán)重，每個準(zhǔn)則的下一層指標(biāo)無量綱化矩陣Xm×n（m個信息系統(tǒng)，n個指標(biāo)）經(jīng)相對權(quán)重公式（4）、式（5）求得客觀權(quán)重wB(j)，(j=1,2,…,8)。

（2）目標(biāo)層各準(zhǔn)則的權(quán)重。以同樣方法，目標(biāo)層下一層8個準(zhǔn)則構(gòu)建無量綱化矩陣Xm×8，經(jīng)相對權(quán)重式（4）、式（5）求得客觀權(quán)重。

2.3 采集各信息系統(tǒng)評價構(gòu)建初始矩陣

采集指標(biāo)層各個指標(biāo)的得分，按準(zhǔn)則分別構(gòu)建初始矩陣：

2.4 單準(zhǔn)則關(guān)聯(lián)度評價

2.4.1 無量綱化處理

對于單個準(zhǔn)則指標(biāo)值初始矩陣，指標(biāo)得分越大越好。規(guī)范化采用以下公式進(jìn)行無量綱化：

規(guī)范化變換后，式（6）變?yōu)?/p>

2.4.2 確定參考數(shù)列和比較數(shù)列

選取比較矩陣X中各項評估指標(biāo)的最大值作為參考數(shù)列：

比較數(shù)列：

為第i個系統(tǒng)的比較數(shù)列。

2.4.3 建立關(guān)聯(lián)系數(shù)矩陣

計算比較數(shù)列與參考數(shù)列的相對差值，定義如下關(guān)聯(lián)系數(shù)計算公式：

式中：ρ為分辨系數(shù)，取值在0到1之間，一般取0.5，分 別表示|x0(k)-xi(k)|矩陣的最小值和最大值，式中ζi(k)為第i個系統(tǒng)的第k個影響因素對于參考系統(tǒng)x0的關(guān)聯(lián)系數(shù)。

2.4.4 計算各影響屬性的權(quán)重

采用客觀的熵權(quán)法和帶主觀性的專家打分法對信息系統(tǒng)安全管理影響因素指標(biāo)權(quán)重進(jìn)行計算，分別得到影響因素指標(biāo)k的權(quán)重系數(shù)：

式中：wA(k)和wB(k)分別為熵權(quán)法和專家打分法得到的權(quán)重，α為主觀系數(shù)，0≤α≤1，通常取0.5。

2.4.5 計算灰色關(guān)聯(lián)度

為了得到系統(tǒng)xi與x0的灰色關(guān)聯(lián)度，需要將各影響因素的灰色關(guān)聯(lián)系數(shù)進(jìn)行加權(quán)求和求得灰色關(guān)聯(lián)度向量，如式（13）所示：

2.5 綜合關(guān)聯(lián)度評價

先分別計算單個準(zhǔn)則層準(zhǔn)則的指標(biāo)的關(guān)聯(lián)度向量，然后把8個準(zhǔn)則關(guān)聯(lián)度向量合并作為初始矩陣計算目標(biāo)層的關(guān)聯(lián)度，方法同單準(zhǔn)則關(guān)聯(lián)度評價（1）-（5）的遞歸計算。

3 應(yīng)用實例

本文以某集團(tuán)公司10個信息系統(tǒng)的信息安全管理評價為例，分別以S1—S10表示10個系統(tǒng)，采集樣本參數(shù)如下。

3.1 AHP確定各級指標(biāo)體系的主觀權(quán)重專家打分情況

指標(biāo)層對準(zhǔn)則層的權(quán)重判斷矩陣：

準(zhǔn)則層對目標(biāo)層的判斷矩陣：

3.2 按準(zhǔn)則分別構(gòu)建初始矩陣

通過對各信息系統(tǒng)的信息安全管理8個準(zhǔn)則的指標(biāo)進(jìn)行打分（10分制），整理獲得相應(yīng)指標(biāo)的評判情況，分別對8個準(zhǔn)則構(gòu)建8個初始矩陣。

3.2.1 主觀權(quán)重和客觀權(quán)重計算

根據(jù)采集的樣本數(shù)據(jù)，運用式（1）—式（5）計算得各級指標(biāo)的主觀和客觀權(quán)重，如表3所示。

表3 各級指標(biāo)的主觀和客觀權(quán)重

3.2.2 單項準(zhǔn)則計算關(guān)聯(lián)度

根據(jù)各準(zhǔn)備采集的樣本數(shù)據(jù)，經(jīng)式（7）—式（13）計算各準(zhǔn)則的關(guān)聯(lián)度，結(jié)果如表4所示。

3.2.3 綜合評價

以表4各單項準(zhǔn)則關(guān)聯(lián)度為初始矩陣X0，結(jié)合準(zhǔn)則層的主觀權(quán)重和客觀權(quán)重，經(jīng)單項準(zhǔn)則計算關(guān)聯(lián)中（1）-（5）計算得出如下綜合評價關(guān)聯(lián)度：[0.91 0.47 0.40 0.51 0.55 0.47 0.50 0.49 0.58 0.65]T。把綜合的評價關(guān)聯(lián)度和8個準(zhǔn)則的關(guān)聯(lián)度合并并排序，得到表5的結(jié)果。

表4 各單項準(zhǔn)則關(guān)聯(lián)度

由表5可以得到10個信息系統(tǒng)的評價結(jié)果。綜合評價得分最高的是S1號信息系統(tǒng)，管理能力最優(yōu)；得分最低的是S6號，管理能力有待進(jìn)一步提高。根據(jù)綜合關(guān)聯(lián)度的高低，可以確定總體排名情況。根據(jù)單項準(zhǔn)備的關(guān)聯(lián)度高低，也可以找到在哪些指標(biāo)和準(zhǔn)則存在不足，從而采取有針對性的改進(jìn)措施，有效提升管理能力。

表5 各單項準(zhǔn)則關(guān)聯(lián)度和綜合評價排序表

4 結(jié) 語

本文針對信息安全管理評價存在的問題，首先采用國家標(biāo)準(zhǔn)基于AHP的評價層級構(gòu)建信息安全管理指標(biāo)體系，然后借助灰色理論、層次分析法和熵權(quán)法論述了信息安全管理評估模型的綜合評估建模過程，最后通過實例完成了對某集團(tuán)公司10個信息系統(tǒng)的信息安全管理評價，具有以下創(chuàng)新點。

（1）從管理層面進(jìn)行評價，抓住管理層面這個關(guān)鍵要素，有利于對管理人員的績效考核和信息安全的推動和落地。

（2）從目標(biāo)、準(zhǔn)則和指標(biāo)三個層次，先分層、分準(zhǔn)則進(jìn)行灰色關(guān)聯(lián)度分析，再綜合遞歸計算，自下而上，簡化了問題處理復(fù)雜度，避免了同一層指標(biāo)過多時指標(biāo)權(quán)重的設(shè)置困難。

（3）采用AHP專家打分確定各級指標(biāo)體系的主觀權(quán)重和熵權(quán)法確定各級指標(biāo)體系的客觀權(quán)重相結(jié)合的方法，克服了評價中的主觀偏差。

（4）選用與等級保護(hù)相關(guān)的國家標(biāo)準(zhǔn)作為評價指標(biāo)體系，保證了評價指標(biāo)的權(quán)威性和實用性問題。