基于信息系統安全風險綜合評估的灰色預測模型研究

摘要:該文提出了基于信息系統若干歷史時期的風險度的灰色預測模型，它充分利用灰色系統理論少數據建模的特點，根據已有風險數據對信息系統的安全風險價值的整體情況進行了客觀的預測，從而實現對信息系統安全風險的有效的管理和控制。

關鍵詞:信息系統;風險評估;模糊綜合評判;灰色預測

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2009)36-10290-02

An Research of a Grey Prediction Model Based on Comprehensive Risk Evaluation of Information System Security

CAI Shu-zhen

(School of Information Science， Nanjing Audit University， Nanjing 210029， China)

Abstract: This article proposes a grey prediction model based on the risk degree of a information system in some stages. According to the characteristics of the grey system theory which can use a little datum to build the model and the existing risk data， It will predicate impersonally the holistic complexion of information system security risk value， so it will manage and control effectually the risk of information system security.

Key words: information system; risk analysis; fuzzy comprehensive evaluation; grey prediction

當今社會被超大規模的信息網絡環境籠罩著，盡管各種安全保護措施層出不窮，但無論如何風險都是仍然存在的，因而對信息安全風險進行分析和評估在近幾年被越來越多的人所重視。到目前為止，關于風險的分析方法、風險評估方法以及風險分析和評估建模方法、甚至于信息系統風險的綜合評估模型的研究報道陸陸續續涌出。通過運用模糊綜合評估方法，結合層次分析法，采用Delphi精度分析的定性和定量相結合的信息系統安全風險綜合評估模型，可以確定一個信息系統某個時期的風險度量，但信息系統是復雜的，影響系統安全因素也是多樣的，從而希望能基于若干時期的風險度建立一個安全風險預測模型。

1 基于綜合評估模型的信息系統安全風險的度量

風險事件發生概率記為PS，風險事件發生后果影響程度記為CS，那么風險度量計算公式為RS=PS?誗CS[1]。

PS和CS的綜合評估步驟:

① 建立因素集U

記U={u1，u2，...，um}，其中ui(i=1，2，...，m)分別代表各影響因素。

風險事件發生的影響因素和風險事件發生后果的影響程度層次分析表如表1。

② 建立權重集A

采用層次分析法來確定權重集A={a1，a2，...，am}，

其中，。

③ 建立評估集V

根據通用評估準則對信息系統風險評價集定義為:

V={風險很低，風險低，風險較低，風險中等，風險較高，風險高，風險很高}

={v1，v2，v3，v4，v5，v6，v7}(其中vi為評價集的等級賦值)

= (等分[0，1])

④ 單因素模糊評估

確定因素集U中的每一個因素在評價集V中的隸屬度，從而導出隸屬度矩陣R=(rij)m×7，rij表示因素ui對評價等級vj的隸屬度:

步驟②和④均涉及專家賦權，為更加客觀和合理起見，可以按照Delphi法進行賦權精度分析，同時引入專家權威系數，用于判斷專家權威性，對賦權結果進行處理。

⑤ 初級模糊評價

按每個因素的各個等級進行評價，得到評價結果向量B:

其中，對B進行歸一化處理得B':

B'=(b1'，b2'，b3'，b4'，b5'，b6'，b7')

⑥ 多級模糊綜合評價

在初級模糊評價基礎上，逐級向上評判得到最終評價結果向量Bn，n通常為1或2。

⑦ 確定評價結果(PS和CS)

PS和CS由公式 [1]計算得到。

根據上述步驟確定的Ps和Cs便可計算出風險度RS=PS?誗CS。

2 灰色預測模型

按照上綜合評估模型，對某信息系統的t個時期的風險度進行計算，得到風險度數據序列:R=(R0(1)，r0(2)，...，R0(t))，在這個原始數列基礎上進行GM(1，1)模型的灰色預測步驟:

① 將原始數列(R0(1)，r0(2)，...，R0(t))作一次累加生成(AGO)可得數列:

R1=(R1(1)，R1(2)，...，R1(t))，

其中R1(K)=R0(1)+R0(2)+...+R0(K)，R1(1)=R0(1)，K=1，2，...，t

② 建立下述白化形式的微分方程和模型，即:

式中參數列a，μ按最小二乘法求得，即:

其中:

③ 計算BT，T，(BTB)-1，從而求得參數。

④ 確定模型:

(解上述白化方程所得，即累加生成數據預測計算公式)

⑤ 通過步驟④中式子得到的生成數據序列:

作累減生成(I-AGO)即可得預測序列:

其中，

⑥ 模型精度檢驗，修正模型

分別對R1與1進行殘差檢驗和1的I-AGO與R0殘差檢驗，如模型精度不理想，就應建立相應得殘差GM(1，1)模型，對原預測數據序列加以修正，得最終精度較高的預測模型。

⑦ 根據步驟⑥中最終所得的預測模型對該信息系統的安全風險價值進行預測。

3 結束語

信息系統風險受諸多因素影響，而且這些因素具有很強的模糊性，所以借助模糊綜合評估方法以及層次分析法可較準確的綜合評估出一個信息系統某一時期的風險狀況，但風險隨時間而變化，這就需要綜合比較系統在不同時期的風險整體水平。本文提出了在用綜合評估模型評估信息系統若干時期的風險度的基礎上建立灰色預測模型對信息系統的安全風險價值的整體水平進行預測。該方法充分利用現有風險數據對信息系統安全風險作出了客觀的定量分析，灰色模型能保證相應的誤差率，使得風險度的評估結果更為可靠，還可以根據實際運行情況和風險數據作灰色新陳代謝模型，對信息系統風險的變化進行監控和管理。

參考文獻:

[1] 宋如順.基于SSE-CMM的信息系統安全風險評估[J].計算機應用研究，2000(11).

[2] 鄧聚龍.灰色系統理論教程[M].武漢:華中理工大學出版社，1992.

[3] 周子揚，劉思峰.基于灰色預測的風險投資價值評估方法[J].南京航空航天大學學報，2004(5).

[4] Peltier T R.Information Security Risk Analysis[M].Rothstein Associates Inc，2001.