因子分析和神經網絡的信息系統風險評估模型

張明慧 程紅霞

摘 ?要： 信息系統風險變化具有隨機性、不確定性，傳統方法無法準確考慮信息系統風險這些變化特點，導致當前信息系統風險評估的可靠性差、評估精度低。為了改善信息系統風險評估效果，設計基于因子分析和神經網絡的信息系統風險評估模型。首先，分析當前信息系統風險評估的國內外研究現狀，構建完整的信息系統風險評估指標;然后，采用因子分析法從原始信息系統風險評估指標中提取重要的指標，采用神經網絡對信息系統風險評估的訓練樣本進行學習，構建信息系統風險評估模型;最后，通過仿真對比實驗驗證所提模型的合理性和優越性。結果表明，所提模型可以準確描述信息系統風險變化的隨機性、不確定性，獲得高精度的信息系統風險評估結果，改善了信息系統風險評估效率，信息系統風險評估的整體性能要優于當前其他信息系統風險評估模型。

關鍵詞： 信息系統; 風險評估; 因子分析; 神經網絡; 評估指標; 研究現狀分析

中圖分類號： TN915.08?34; TP391 ? ? ? ? ? ? ? ? ? 文獻標識碼： A ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2019）13?0101?05

Information system risk assessment model based on factor analysis and neural network

ZHANG Minghui， CHENG Hongxia

（School of Information Science and Technology， Zhengzhou Normal University， Zhengzhou 450044， China）

Abstract： Changes of information system risk are random and uncertain， and the change characteristics of information system risk aren′t accurately considered in traditional methods， which results in poor reliability and low assessment accuracy of the current information system risk assessment. In order to improve the effectiveness of information system risk assessment， an information system risk assessment model based on factor analysis and neural network is designed. The current research status at home and abroad is analyzed for information system risk assessment， and the complete information system risk assessment indexes are constructed. The factor analysis method is used to extract the important indexes from the original information system risk assessment indexes. The neural network is adopted to learn the training samples of information system risk assessment， and construct the information system risk assessment model. The rationality and superiority of the model are verified with simulation and comparative experiments. The results show that the model can accurately describe the randomness and uncertainty of information system risk changes， obtain high?precision information system risk assessment results， and improve the efficiency of information system risk assessment. The overall performance of the information system risk assessment model is better than that of other information system risk assessment models.

Keywords： information system; risk assessment; factor analysis; neural network; evaluation index; research status analysis

0 ?引 ?言

當前大多數企業、單位以及部門都構建了自己的信息管理系統，信息系統的應用價值越來越高。信息系統安全是危害信息系統正常運行最直接的表現。一些非法用戶一旦入侵到信息系統，會竊取一些重要數據，對企業、個人會造成很大的經濟損失，因此采用各種技術和手段保證信息系統安全成為信息系統研究領域的焦點[1?3]。

信息系統風險評估是一種關鍵信息系統安全保障技術，它可以對信息系統將來面臨的風險進行估計，可以幫助信息系統管理人員了解信息系統安全的發展趨勢。為此，國內外學者和專家對信息系統風險評估問題進行了深入的分析和研究，并取得了不錯的研究成果，涌現了許多有效的信息系統風險評估模型[4]。

信息系統風險評估模型可以劃分為兩種類型。一種是基于定性分析的信息系統風險評估模型，主要有基于攻擊樹的信息系統風險評估模型、基于風險事件分類的信息系統風險評估模型、基于威脅傳播的信息系統風險評估模型等。這些定性分析的模型從理論上對信息系統風險整體變化態勢進行把握，可以得到信息系統風險所處的等級，以及可以發生的后果，但是不能對信息系統風險進行準確量化處理和分析，很難建立準確的信息系統風險評估模型。因此在實際應用中難以推廣，缺陷十分明顯[5?7]。另一種是基于定量分析的信息系統風險評估模型，主要有層次分析法、模糊理論、貝葉斯方法、灰色理論、神經網絡以及它們的組合方法[8?10]。基于定量分析的信息系統風險評估模型可以很好地描述信息系統風險變化特點，信息系統風險評估結果更加可靠，而且信息系統風險評估結果可解釋性更好。

在定量分析的信息系統風險評估建模過程中，理想的信息系統風險評估指標體系是獲得高精度評估結果的基礎[11?12]。在實際應用中，信息系統風險評估影響因子（指標）相當多，如果全部選擇，那么信息系統風險評估指標信息重復大，而且導致輸入向量的維數過高，出現“維數災”的問題，因此對評估指標選擇具有重要的意義，可降低輸入向量的維數，加快信息系統風險評估的速度[12?15]。

為了改善信息系統風險評估的效果，設計基于因子分析和神經網絡的信息系統風險評估模型（FA?NN）。首先采用因子分析法從原始信息系統風險評估指標中提取重要的指標，然后采用神經網絡的自適應學習能力構建信息系統風險評估模型，通過仿真實驗驗證本文模型的合理性和優越性。

1 ?信息系統風險評估指標體系的構建

信息系統是一個復雜的系統，要建立一個性能優異的信息系統風險評估模型，首先要構建一個完整、科學的信息系統風險評估指標體系，信息系統風險評估指標體系直接影響模型能否準確描述信息系統風險的各種影響因素，對信息系統風險評估時間也起著決定性的作用。風險評估指標可以直接或間接地反映信息系統風險發生的影響因子，本文根據含義清楚、完整、易于量化的原則，參考相關研究對信息系統風險評估指標進行構建，信息系統風險評估指標體系如圖1所示。

圖1 ?信息系統風險評估指標體系

2 ?因子分析和神經網絡的信息系統風險評估模型

2.1 ?因子分析法

在信息系統風險評估過程中，通常情況下，希望能夠全面描述各種影響因素的作用，但是每一種類型的信息系統風險評估指標對信息系統風險評估影響程度不同，而且各種信息系統風險評估指標之間可能存在一定相關性，這樣信息系統風險評估指標數多，并不代表可以獲得高精度的信息系統風險評估結果。

因子分析法（Factor Analyze，FA）可以采用幾個沒有相關性的綜合因子代表原始信息系統風險評估指標，是一種有效的信息系統風險評估指標降維方法。基本工作原理為：首先根據相關性實現信息系統風險評估指標分組，同一組的信息系統風險評估指標之間相關性高，反之相關性較低。每一組信息系統風險評估指標表示一個基本結構，即稱之為公共因子，其可以保留原有信息系統風險評估指標的主要信息。

設共有[p]個信息系統風險評估指標，[n]個樣本數據，那么因子分析法可以將[n]個樣本數據描述為[m

式中：[Ti]表示原信息系統風險評估指標;[Xi]表示公共因子，因子間相互獨立、無相關性;[εi]表示獨特因子;[ωij]表示因子載荷，描述第[i]個信息系統風險評估指標在第[j]個公共因子上的重要程度。

2.2 ?因子分析法的信息系統風險評估指標選擇步驟

1） 對輸入信息系統風險評估指標數據進行標準化處理，消除信息系統風險評估指標量綱差異，計算信息系統風險評估指標的相關系數矩陣，具體為：

2） 構造因子變量。對特征方程[λI-R=0]進行求解，[I]表示全1矩陣，得到第[i]個指標的特征值[λi（i=1，2，…，p）]，計算方差貢獻率和累積方差貢獻率。

3） 確定因子，根據累積方差貢獻率得到前[m]個因子，通常情況下累積方差貢獻率超過85%就行，前[m]個因子可以反映原始信息系統風險評估指標的大部分信息。

4） 構建因子載荷矩陣，具體為：

5） 將因子變量表示為原始信息系統風險評估指標的線性組合，即：

利用原始信息系統風險評估指標的線性組合計算因子變量的得分，增強因子的可解釋性。

2.3 ?BP神經網絡

BP神經網絡具有自適應能力，可以較好地描述信息系統風險變化的隨機性和不確定性。BP神經網絡通常有3層：輸入層、隱含層、輸出層，各層之間通常采用S型傳遞函數，具體為：

2.4 ?構建信息系統風險評估模型

BP神經網絡克服了傳統信息系統風險評估方法對決策性判斷的依賴等缺陷，為此，本文選擇BP神經網絡構建信息系統風險評估模型，該模型不需要事先準確地知道信息系統風險等級與其指標間的聯系，可以通過對信息系統風險評估的訓練樣本進行學習，建立信息系統風險等級與其指標之間的非線性關系，可以很好地模擬不同指標和信息系統風險等級間的復雜映射?；贐P神經網絡的信息系統風險評估模型工作過程主要包括2個階段，具體如下：

1） BP神經網絡訓練階段。根據信息系統風險等級，利用訓練樣本進行BP神經網絡的學習，對BP神經網絡進行訓練，建立信息系統風險評估模型。

2） 評估階段。輸入未知等級的信息系統風險評估樣本，根據建立的信息系統風險評估模型輸出信息系統風險等級。

因子分析和BP神經網絡的信息系統風險評估模型流程如圖2所示。

圖2 ?信息系統風險評估模型流程

3 ?信息系統風險評估的實例分析

3.1 ?信息系統風險樣本數據

為了評價因子分析和神經網絡的信息系統風險評估模型的效果，采用一個企業的信息系統作為研究目標，采集其一段時間內的信息系統風險樣本數據，共獲得信息系統風險樣本數據200個。隨機選擇50個作為驗證樣本，分析本文所構建的信息系統風險評估模型的性能，信息系統風險共劃分為5個等級，具體如表1所示。

表1 ?信息系統風險的等級劃分

3.2 ?提取信息系統風險評估指標的重要公共因子

采用因子分析對信息系統風險評估指標進行處理，計算公共因子的方差貢獻率以及累積方差貢獻率，前5個公共因子的累積方差貢獻率達到了92.03%，那么表示這5個公共因子就可以描述圖1中9個信息系統風險評估指標的能力，它們的累積方差貢獻率具體如表2所示。

表2 ?信息系統風險評估公共因子的貢獻率

從表2可以看出，因子分析可以省略對信息系統風險評估結果影響較小的指標，達到了優化信息系統風險評估指標的目的，消除了信息系統風險評估指標中的冗余信息，有效地簡化了信息系統風險評估指標，為后續對信息系統風險評估建模效率的提高起到一定的作用。

3.3 ?本文方法的信息系統風險評估結果

為了增強本文模型的信息系統風險評估測試結果的說服力，進行5次評估測試實驗。每一次的訓練樣本和驗證樣本采用隨機方式進行選擇，統計每一次測試的信息系統風險評估正確率，具體如圖3所示。

圖3 ?本文模型的信息系統風險評估正確率

對信息系統風險評估正確率進行分析可知，本文模型的信息系統風險評估正確率均超過了95%，信息系統風險評估誤差遠低于應用控制范圍，表明本文模型是一種結果可信、性能穩定、正確率較高的信息系統風險評估模型。

3.4 ?與當前其他信息系統風險評估模型的綜合性能對比

選擇文獻[13?15]的信息系統風險評估模型進行對比測試，統計各種信息系統風險評估的正確率以及評估的建模時間，結果如表3所示。

表3 ?信息系統風險評估的整體性能比較

從表3可知，本文模型信息系統風險評估正確率得到了一定提升，而且減少了信息系統風險評估的建模時間，這是因為引入了因子分析法減少了信息系統風險評估模型的輸入向量數量，降低了信息系統風險評估建模的計算復雜度，使整個信息系統風險評估整體性能更優。

4 ?結 ?論

針對當前信息系統風險評估過程存在的難題，提出因子分析和神經網絡的信息系統風險評估模型，具體過程為：

1） 在分析現有信息系統風險評估相關研究的基礎上，構建相應的信息系統風險評估指標體系。

2） 引入因子分析對信息系統風險評估指標進行處理，簡化了信息系統風險評估的輸入，提升了信息系統風險評估模型的工作效率。

3） 利用神經網絡擬合信息系統風險的變化特點，建立性能優異的信息系統風險評估模型。

4） 通過具體的信息系統風險評估實例驗證了本文模型的性能。本文模型的信息系統風險評估模型整體性能要明顯優于對比的信息系統風險評估模型，解決了當前信息系統風險評估模型的復雜性和正確率低的問題?？蔀橛嘘P部門估計信息系統風險、選擇合理的信息系統風險防范措施提供科學的參考依據，具有較高的實際應用價值。

參考文獻

[1] 宋艷，陳冬華.信息系統安全風險評估綜述[J].情報理論與實踐，2009，32（5）：114?116.

SONG Yan， CHEN Donghua. Summary of information system security risk assessment [J]. Information studies： theory & application， 2009， 32（5）： 114?116.

[2] 謝麗霞，孫偉博.B2C電子商務信息系統操作風險評估方法研究[J].計算機應用與軟件，2016，33（9）：43?45.

XIE Lixia， SUN Weibo. On operational risk assessment of B2C e?commerce information system [J]. Computer applications and software， 2016， 33（9）： 43?45.

[3] 畢東旭，林家駿.復雜信息系統風險評估框架與流程[J].計算機工程，2015，41（4）：156?160.

BI Dongxu， LIN Jiajun. Risk assessment framework and process of complex information system [J]. Computer engineering， 2015， 41（4）： 156?160.

[4] 王楨珍，武小悅，謝永強.基于面向對象的信息系統風險評估方法[J].計算機工程與應用，2009，45（30）：92?94.

WANG Zhenzhen， WU Xiaoyue， XIE Yongqiang. Object?oriented based method of information system risk evaluation [J]. Computer engineering and applications， 2009， 45（30）： 92?94.

[5] 王娜，張健，王晉東，等.單調指標空間在信息系統風險評估中的應用研究[J].計算機工程與科學，2015，37（3）：486?491.

WANG Na， ZHANG Jian， WANG Jindong， et al. Application research of monotonic index space in information system risk evaluation [J]. Computer engineering & science， 2015， 37（3）： 486?491.

[6] 任秋潔，潘剛，白永強，等.基于FAHP和攻擊樹的信息系統安全風險評估[J].電子技術應用，2018，44（8）：113?117.

REN Qiujie， PAN Gang， BAI Yongqiang， et al. Security risk assessment of information system based on FAHP and attack tree [J]. Application of electronic technique， 2018， 44（8）： 113?117.

[7] 馬剛，杜宇鴿，榮江，等.基于威脅傳播的復雜信息系統安全風險評估[J].清華大學學報（自然科學版），2014，54（1）：35?43.

MA Gang， DU Yuge， RONG Jiang， et al. Risk assessment of complex information system security based on threat propagation [J]. Journal of Tsinghua University （Science and technology）， 2014， 54（1）： 35?43.

[8] 袁光輝，樊重俊，熊紅林，等.基于貝葉斯方法的信息系統整合風險評估研究[J].上海理工大學學報，2014，36（1）：60?64.

YUAN Guanghui， FAN Chongjun， XIONG Honglin， et al. Risk assessment of information system integration based on Bayesian method [J]. Journal of University of Shanghai for Science and Technology， 2014， 36（1）： 60?64.

[9] 李晨旸，張曉梅，李媛.一種基于層次分析法的大規模信息系統風險評估方法[J].計算機應用與軟件，2013，30（10）：322?325.

LI Chenyang， ZHANG Xiaomei， LI Yuan. A large?scale info?rmation system security risk assessment method based on analytic hierarchy process [J]. Computer applications and software， 2013， 30（10）： 322?325.

[10] 黃劍雄，丁建立.基于模糊分析的信息系統風險灰色評估模型[J].計算機工程與設計，2012，33（4）：1285?1289.

HUANG Jianxiong， DING Jianli. Evaluation model for information system risk based on fuzzy analysis [J]. Computer engineering and design， 2012， 33（4）： 1285?1289.

[11] 付鈺，吳曉平，宋業新.模糊推理與多重結構神經網絡在信息系統安全風險評估中的應用[J].海軍工程大學學報，2011，23（1）：10?15.

FU Yu， WU Xiaoping， SONG Yexin. Application of fuzzy reasoning and multi?layer neural network to security risk assessment of information system [J]. Journal of Naval University of Engineering， 2011， 23（1）： 10?15.

[12] 付鈺，吳曉平，王甲生.基于模糊?組合神經網絡的信息系統安全風險評估[J].海軍工程大學學報，2010，22（1）：18?23.

FU Yu， WU Xiaoping， WANG Jiasheng. An approach to information systems security risk assessment based on fuzzy?combinatorial neural network [J]. Journal of Naval University of Engineering， 2010， 22（1）： 18?23.

[13] 李廷元，范成瑜，秦志光，等.基于風險事件分類的信息系統評估模型研究[J].計算機應用，2009，29（10）：2806?2808.

LI Tingyuan， FAN Chengyu， QIN Zhiguang， et al. Risk assessment model for information system based on classification of risk events [J]. Journal of computer applications， 2009， 29（10）： 2806?2808.

[14] 馬佶.基于灰色模糊理論的信息系統風險評估[J].情報雜志，2009，28（4）：56?59.

MA Ji. Information system risk assessment based on grey fuzzy theory [J]. Journal of intelligence， 2009， 28（4）： 56?59.

[15] 趙保華.層次分析法和神經網絡的信息系統風險評估[J].微電子學與計算機，2015，32（10）：163?166.

ZHAO Baohua. Risk evaluation of information system security based on neural network and analytic hierarchy process [J]. Microelectronics & computer， 2015， 32（10）： 163?166.