基于模糊評估的等級保護風險評估模型

劉一丹，董碧丹，崔中杰，李永立，2

(1.中國航天工程咨詢中心，北京100037;2.哈爾濱工業大學管理學院，黑龍江哈爾濱150001)

0 引言

信息系統風險評估是信息系統安全工程的重要組成部分，是建立信息系統安全體系的基礎和前提［1］。信息安全風險評估規范［2］中明確了信息系統風險評估的基本工作形式是自評估與檢查評估。根據國家有關管理規定，基礎性、重要的信息系統采用等級保護標準進行防護和測評。信息系統使用單位應結合自身情況，依照國家標準，開展風險評估工作。

目前，信息系統的復雜性和動態性給風險評估帶來了很大困難，評估工作多是由專家根據定性的評價指標進行評估。因此，最終的評估結果易受主觀因素的影響，具有模糊性和不確定性。學術界已有一些針對網絡風險評估中不確定性問題的研究:Fu等運用層次分析法 (AHP)和模糊綜合評價法 (FCE)，建立風險評估的量化模式［3］;Huang等以灰色評估模型為基礎，在權重的選擇過程中引入模糊層次分析法，弱化了評價的主觀性［4］;Gao等人應用灰色關聯決策算法，給出了評估值缺失的先驗估計，能夠有效地處理參數評估值的不確定性問題［5］;Huang等人利用不確定推理技術推導由脆弱性可能引發的系統安全事件并計算損失大小和風險值［6］。

證據理論作為對貝葉斯概率方法的推廣，是一種重要的不確定性推理方法，能夠較好地解決目標問題中的模糊性和不確定性［7-12］。已有的相關工作存在以下問題:一方面，沒有規范的評估體系和恰當的評價準則;另一方面，缺少對評估中模糊值的處理。本文建立了基于等級保護標準的層次化評估體系，將等級保護和風險評估有機地結合在一起;提出了以證據理論為基礎的模糊風險評估模型，增加了對模糊值的處理，使其能夠更廣泛地應用于信息系統風險評估中。

1 基于等級保護的層次化評估體系

信息系統風險評估是對系統中存在的安全風險進行識別、分析和評價。鑒于信息系統的復雜性，需要將風險因素按照規律和特點進行分類識別。本文依據我國《信息系統安全等級保護基本要求》［13］提取出其中主要的風險因素并分為目標層、準則層和指標層三層。各層的內容如下:

(1)目標層為風險評估的目標，即保障信息系統安全;

(2)準則層為信息的三個安全屬性，即保密性、完整性和可用性［2］;

(3)指標層分為兩級，第一級是等級保護要求中定義的系統安全的十個類別，由五個技術要求，五個管理要求構成;第二層是各類別包含的主要風險因素。

風險評估層次化結構體系如圖1所示，限于篇幅原因，指標層中只列出了技術部分的風險因素。

圖1 基于等級保護的層次化評估體系

2 基于證據理論的模糊評估方法

2.1 證據理論［14］

D-S證據理論是由Dempster和Shafer提出的一種處理不確定性的理論，能滿足比概率更弱的公理系統。該理論通過證據的積累不斷縮小假設集，能夠處理由隨機和模糊導致的不確定性。本文對證據理論的相關函數定義如下:

定義2 信度函數Bel和似然函數Pls:設Θ為識別框架，m為識別框架Θ上的基本可信度分配函數，若函數Bel:2Θ→［0，1］和 Pls:2Θ→［0，1］滿足

則稱函數Bel為Θ上的信度函數，函數Pls為Θ上的似然函數。Bel(A)表示對A為真的信任程度，Pls(A)表示對A為非假的信任程度。由此可得，區間 ［Bel(A)，Pls(A)］表示A的不確定區間，|Pls(A)-Bel(A)|表示對A的不確定程度。

定義3 D-S合成法則:設mi∈{mi|1 i n}為同一識別框架Θ上的n個基本可信度分配，若K =則可按照下述規則合成這n個信度

2.2 權重系數與合成法則修正

由于各風險因素對系統安全有不同的影響，因此風險因素的重要程度由相應的權重系數體現，定義權重向量且滿足:

通過關聯權重向量，得到修正的D-S合成法則。設wmax=max(w1，w2，…wn)，令1 － αi=wi/wmax，則稱 αi為 wi的“折扣率”。利用“折扣率”，可按下述方法調整識別框架內所有命題的基本可信度:

將調整后的基本可信度值 mi＇(Ak)，mi＇(Θ)代入式(3)，形成修正后的D-S合成法則［8］。

2.3 模糊評語集合

評語集合是對信息系統中各種風險因素可能作出的評價集合，在證據理論中被視為識別框架。本文依據信息安全風險評估規范［2］把度量等級分為5個等級，設S為評語集合，S={s1(很低風險)，s2(低風險)，s3(中等風險)，s4(高風險)，s5(很高風險)}。

在實際風險評估中，由于評估者對問題認識的模糊性和局限性，給出的評估信息會有不精確、不完整的情況，可能會出現以下3種情況:

(1)V=si:評估值為精確值，表示評估者確定評估值對應于某一風險等級;

(2)V=*:評估值為缺失值，表示評估者無法確定評估值，利用證據理論計算時，可將缺失值視為對各風險等級具有相同的信任度，即信任整個識別框架S;

(3)V=［si，sj］，i＜ j:評估值為模糊值，表示評估者無法精確確定評估值，認為其值介于等級si和sj的區間中，鑒于評估區間一般不會跨越多個等級，令j=i+1。

本文將模糊性引入評語集合S，保持原有si定義不變，定義S*如下

2.4 基于模糊評估的等級保護風險評估模型

以證據理論為模糊評估方法，建立基于模糊評估的等級保護風險評估模型R={X，W，W*，S*，M}。

X={Xi|1 i n}，Xi對應于圖1中指標層里十個系統風險類別，本文選取技術部分的五類安全事件進行評估，即n=5。Xi={xij|1 j lXi}，xij為Xi包含的風險因素，lXi為xij的個數，圖1中列出了本文使用的所有風險因素。

風險類別權重向量 W=(w1，w2，…，wn)，wi為 Xi的權重;風險因素權重矩陣W*={wij|1 i n，1 j lXi}，wij為xij的權重。

S*為模糊評語集合，引用2.3節式 (6)中定義。

M為評估矩陣:mij(sk)表示風險因素xij處于風險等級sk的基本可信度，由評估者賦值;mij＇(sk)為調整后xij處于風險等級sk的基本可信度，由mij(sk)通過折扣率計算得出;mi＇(sk)表示風險類別xi處于風險等級sk的基本可信度，由 mij＇(sk)經 D-S 合成法則合成得到;mi＇(sk)為調整后 xi處于風險等級sk的基本可信度，由mi＇(sk)通過折扣率計算得出;最終，可求得信息系統處于風險等級sk的基本可信度m(sk)，通過計算信度函數和似然函數，得到評估結果。

3 實證研究

本文給出一個信息系統風險評估的實例，運用證據理論量化評估并對等級保護標準框架下的系統安全狀況進行判斷。

步驟1 分別確定風險類別Xi和風險因素xij，由層次分析法得到權重W和W*。建立評估矩陣M，由專家評判基本可信度mij(sk)。

步驟2 對于每一類風險類別，確定關鍵因素wmax，得到折扣率，代入式 (4)和式 (5)計算調整后的基本可信度 mij＇(sk)。

表1為經步驟1和步驟2計算得到完整的評估矩陣M。不難發現，專家的評判結果既有精確值 (表中si列所示)，也有缺失值 (表中［si，si+1］列所示)和模糊值 (表中S*列所示)，具有很大的不確定性;而經步驟2后，表中S*列增大說明，利用式 (4)和式 (5)可以使證據間的沖突歸于識別框架內的不確定性［10］。

步驟3 利用式 (3)對各Xi內的mij＇(sk)進行證據合成，得到mi＇(sk)，重復步驟2，計算調整后的基本可信度mi＇(sk)，如表2 所示。同理，繼續利用式 (3) 對 mi＇(sk)進行證據合成，得到信息系統處于風險等級sk的基本可信度m(sk)，表3為合成結果。

步驟4 由表3中的結果，根據式 (1)、式 (2)計算信息系統處于不同風險等級的信任度和似然度，得到評估結果，如表4所示。

由表2、表3可以看出，權重較高、可信度較高、專家普遍支持的評語等級 (風險等級)經合成后可信度變得更高，而權重較低、可信度較低、專家意見分歧較大的評語等級經合成后可信度更低;評估中存在的模糊性和不確定性亦隨著合成進行，逐漸降低至可接受范圍內。由表4可得，該信息系統處于風險等級s3(中等風險)的信任度為0.762，遠遠高于其它等級，不確定度為0.001，因此可以判定該信息系統處于中等風險。

表1 評估矩陣M

表2 風險因素合成后的評估矩陣M

表3 風險類別合成后的評估矩陣M

表4 評估結果

4 結束語

本文針對信息系統風險評估易受主觀因素的影響，存在模糊性和不確定性等問題，提出了一個新的風險評估模型。通過建立基于等級保護的層次化評估體系，并運用基于證據理論的模糊評估方法處理評估中存在的模糊值，最終量化評估結果。實證結果表明，該模型能夠減小風險評估中的模糊性和不確定性，可以較好地解決信息系統風險評估的實際困難和問題。不過，完整的信息系統風險評估是對資產、脆弱性和威脅的整體評價，下一步應考慮細化評估體系。

［1］FENG Dengguo，ZHANG Yang，ZHANG Yuqing.Survey of information security risk assessment［J］.Journal on Communications，2004，25(7):10-18(in Chinese).［馮登國，張陽，張玉清.信息安全風險評估綜述 ［J］.通信學報，2004，25(7):10-18.］

［2］GB/T 20984-2007 Information security technology-Risk assessment specification for information security［S］.Beijing:Stan-dards Press of China，2007(in Chinese).［GB/T 20984-2007信息安全技術 信息安全風險評估規范 ［S］.北京:中國標準出版社，2007.］

［3］FU S，ZHOU H J.The information security risk assessment based on AHP and fuzzy comprehensive evaluation［C］//International Conference on Risk Management ＆ Engineering Management.Beijing:IEEE，2008:404-409.

［4］HUANG Jianxiong，DING Jianli.Evaluation model for information system risk based on fuzzy analysis［J］.Computer Engineering and Design，2012，33(4):1285-1289(in Chinese).［黃劍雄，丁建立.基于模糊分析的信息系統風險灰色評估模型［J］.計算機工程與設計，2012，33(4):1285-1289.］

［5］GAO Yang，LUO Junzhou.Information security risk assessment based on grey relational decision-making algorithm ［J］.Journal of Southeast University:Natural Science Edition，2009，39(2):225-229(in Chinese).［高陽，羅軍舟.基于灰色關聯決策算法的信息安全風險評估方法 ［J］.東南大學學報 (自然科學版)，2009，39(2):225-229.］

［6］HUANG Hong，LIU Zengliang，YU Datai.A new uncertainty evolution inference model for classified evaluation of information system［J］.Transactions of Beijing Institute of Technology，2010，30(5):537-542(in Chinese).［黃洪，劉增良，余達太.一種新的系統等級測評不確定性演化推理模型［J］.北京理工大學學報，2010，30(5):537-542.］

［7］HUA Z，GONG B，XU X.A DS-AHP approach for multi-attribute decision making problem with incomplete information［J］.Expert Systems with Applications，2008，34(3):2221-2227.

［8］ZHANG X L，ZHANGX.Research on e-government security risk assessment based on improved D-Sevidence theory and entropy weight AHP ［C］//International Conference on Computer，Mechatronics，Control and Electronic Engineering.Changchun:IEEE，2010:93-96.

［9］LIU Jia，XU Guoai，GAO Yang，et al.The algorithm of power system security detection comprehensive decision based on dempster-shafer theory improved combination rule［J］.Transactions of China Electrotechnical Society，2011，26(7):247-255(in Chinese).［劉嘉，徐國愛，高洋，等.基于證據理論改進合成法則的電力系統安全檢驗綜合判定算法 ［J］.電工技術學報，2011，26(7):247-255.］

［10］GAO Huisheng，ZHU Jing.Security risk assessment model of network based on D-S evidence theory［J］.Computer Engineering and Applications，2008，44(6):157-159(in Chinese).［高會生，朱靜.基于D-S證據理論的網絡安全風險評估模型［J］.計算機工程與應用，2008，44(6):157-159.］

［11］LI Yibing， ZHANG Zongzhi， GAO Zhenguo.Improved DS evidence theory application in cooperative spectrum sensing ［J］.Computer Engineering and Design，2011，32(10):3292-3295(in Chinese).［李一兵，張宗志，高振國.改進的證據理論在合作頻譜感知中的應用 ［J］.計算機工程與設計，2011，32(10):3292-3295.］

［12］FENG N，XIE J.A hybrid approach of evidence theory and rough sets for ISS risk assessment［J］.Journal of Networks，2012，7(2):337-343.

［13］GB/T 22239-2008 Information security technology-baseline for classified protection of information system ［S］.Beijing:Standards Press of China，2008(in Chinese).［GB/T 22239-2008信息安全技術信息系統安全等級保護基本要求［S］.北京:中國標準出版社，2008.］

［14］DUAN Xinsheng.Evidence theory and decision-making，artificial intelligence［M］.Beijing:China Renmin University Press，1993:14-64(in Chinese).［段新生.證據理論與決策、人工智能［M］.北京:中國人民大學出版社，1993:14-64.］