基于信息熵與三角模糊數(shù)的信息安全風(fēng)險(xiǎn)評(píng)估研究

付 沙,肖葉枝

(湖南財(cái)政經(jīng)濟(jì)學(xué)院 信息技術(shù)與管理學(xué)院,湖南 長沙 410205)

人類邁入信息社會(huì),網(wǎng)絡(luò)信息無處不在、無時(shí)不有,各行各業(yè)及人們的日常工作和生活都依賴于信息網(wǎng)絡(luò),離不開信息網(wǎng)絡(luò)。人們?cè)诶眯畔⒕W(wǎng)絡(luò)進(jìn)行生產(chǎn)、生活、交流和管理等過程活動(dòng)的同時(shí),信息網(wǎng)絡(luò)對(duì)人類社會(huì)的正常生活與生產(chǎn)秩序進(jìn)行了有效的保護(hù),改善或提高了人類的整體素質(zhì)和生活質(zhì)量,也促進(jìn)了人類社會(huì)的交流和進(jìn)步。然而,信息網(wǎng)絡(luò)的開放互聯(lián)性及軟、硬件固有的脆弱性會(huì)給信息的存儲(chǔ)、傳輸和使用帶來潛在的安全風(fēng)險(xiǎn)[1]。

信息安全風(fēng)險(xiǎn)評(píng)估作為預(yù)防和控制信息安全風(fēng)險(xiǎn)的重要手段,對(duì)解決信息安全問題起著至關(guān)重要的作用。風(fēng)險(xiǎn)評(píng)估涉及眾多復(fù)雜的評(píng)價(jià)要素,各因素之間存在相互作用關(guān)系;此外,風(fēng)險(xiǎn)評(píng)估的要素較難量化,致使信息安全風(fēng)險(xiǎn)評(píng)估工作具有一定的主觀性[2]。在原有理論的基礎(chǔ)上又涌現(xiàn)出許多優(yōu)秀的研究成果,高志方[3]提出一種基于妥協(xié)率法的信息安全風(fēng)險(xiǎn)評(píng)估方法,運(yùn)用妥協(xié)率方法對(duì)方案進(jìn)行排序,該方法不僅考慮了方案與正、負(fù)理想點(diǎn)之間的距離,還探究了相對(duì)距離的重要性。黃慧萍[4]提出了一種基于攻擊防御樹和博弈論的信息安全評(píng)估方法。柴繼文[5]對(duì)現(xiàn)有風(fēng)險(xiǎn)評(píng)估模型進(jìn)行分層細(xì)化,改進(jìn)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)中各要素的識(shí)別與定量計(jì)算方法,減少風(fēng)險(xiǎn)計(jì)算所涉及要素之間的耦合。陳卓[6]提出一種可以包含更多信息的評(píng)判矩陣形式,評(píng)判矩陣最大限度地保留了評(píng)判過程中涉及到的信息。此外,引入與理想解的關(guān)聯(lián)度這項(xiàng)指標(biāo),使用逼近理想解法對(duì)專家意見進(jìn)行分析排序。高凱[7]從風(fēng)險(xiǎn)來源視角,識(shí)別智慧城市信息安全主要風(fēng)險(xiǎn)源,通過分析指標(biāo)間的相互依存關(guān)系,構(gòu)建網(wǎng)絡(luò)層次分析法結(jié)構(gòu)模型。王萍[8]研究了信息安全風(fēng)險(xiǎn)評(píng)估及其應(yīng)用,提出了基于模糊綜合評(píng)估法的信息安全風(fēng)險(xiǎn)評(píng)估模型,結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估流程,設(shè)計(jì)開發(fā)了一套適用于中小型企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估平臺(tái)。基于上述方面的考慮,本文提出將三角模糊數(shù)與信息熵理論應(yīng)用于信息安全風(fēng)險(xiǎn)評(píng)估中的研究。

1 理論基礎(chǔ)

1.1 信息安全風(fēng)險(xiǎn)評(píng)估原理

依據(jù)2007年正式發(fā)布實(shí)施的國家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007),風(fēng)險(xiǎn)評(píng)估就是利用資產(chǎn)識(shí)別、脆弱性識(shí)別、威脅識(shí)別與評(píng)估結(jié)果以及已有安全措施識(shí)別,對(duì)資產(chǎn)面臨的風(fēng)險(xiǎn)進(jìn)行分析與評(píng)價(jià)。由于安全風(fēng)險(xiǎn)總是以威脅利用脆弱性導(dǎo)致一系列安全事件的形式體現(xiàn)出來的,風(fēng)險(xiǎn)的大小由安全事件產(chǎn)生后的損失及其發(fā)生的可能性決定,因此風(fēng)險(xiǎn)評(píng)估的主要任務(wù)是分析當(dāng)前環(huán)境下安全事件的可能性和影響,然后使用特定方法來計(jì)算風(fēng)險(xiǎn)[3]。風(fēng)險(xiǎn)評(píng)估原理圖,如圖1所示。

圖1 風(fēng)險(xiǎn)評(píng)估原理圖

1.2 三角模糊數(shù)及其運(yùn)算規(guī)則

|xU-yU|

(1)

(2)

(3)

稱s(X,Y)為決策方案X與Y的相似度。

(4)

(5)

1.3 確定相似度的相對(duì)比率

對(duì)決策方案集進(jìn)行排序,使決策方案Ai與正理想決策方案之間的相似度越大越好,而決策方案與負(fù)理想決策方案的相似度越小越好。然而,當(dāng)某個(gè)決策方案接近正理想決策方案時(shí),它不一定會(huì)遠(yuǎn)離負(fù)理想決策方案。為了解決上述問題,使用相對(duì)比率Rs(Ai)來表示接近正理想決策方案且遠(yuǎn)離負(fù)理想決策方案的備選決策方案之間的相對(duì)差異。

(6)

2 基于信息熵與三角模糊數(shù)的風(fēng)險(xiǎn)評(píng)估方法

2.1 問題描述

2.2 決策步驟

針對(duì)上述問題,不確定多屬性決策的相似規(guī)劃模型具體步驟描述如下:

步驟1 構(gòu)造三角模糊數(shù)形式的決策信息矩陣,分析確定的安全風(fēng)險(xiǎn)事件,針對(duì)m個(gè)方案,選擇n項(xiàng)指標(biāo),邀請(qǐng)專家組對(duì)信息安全風(fēng)險(xiǎn)狀況進(jìn)行評(píng)估,經(jīng)整理統(tǒng)計(jì)后得到三角模糊數(shù)決策信息矩陣R。

步驟2 規(guī)范化決策矩陣。對(duì)于成本型指標(biāo),將最大值賦值0,最小值賦值1,中間值按在[0,1]中的比例賦值,然后將區(qū)間前后互換;對(duì)于效益型指標(biāo),將最大值賦值1,最小值賦值0,中間值按在[0,1]中的比例賦值。最終可得到規(guī)范化決策矩陣R′。

步驟3 確定指標(biāo)權(quán)重。首先,根據(jù)規(guī)范化決策矩陣R′確定各指標(biāo)的信息熵Hj[12]。

(7)

信息熵的確定分為兩部分,分別是指標(biāo)的重心點(diǎn)bij和三角模糊數(shù)的方差Vij。其中,ρ為決策者的判斷系數(shù),0≤ρ≤1。

根據(jù)信息熵理論及公式(7),確定各指標(biāo)的權(quán)重wj。

(8)

步驟5 通過公式(2)和公式(3),求解每個(gè)決策方案分別與正理想決策方案之間的相似度Sω(Ai,C+*),以及與負(fù)理想決策方案之間的相似度Sω(Ai,C-*)。

步驟6 根據(jù)公式(6),計(jì)算各決策方案Ai與理想決策方案C*的相似度在決策方案集中的相對(duì)比率Rs(Ai),并按照Rs(Ai)大小對(duì)方案進(jìn)行排序,其值越大則方案越優(yōu)。

3 實(shí)例分析

在質(zhì)量工程獎(jiǎng)項(xiàng)評(píng)估過程中,信息安全風(fēng)險(xiǎn)是評(píng)估基礎(chǔ)設(shè)施的一個(gè)重要方面。為申報(bào)省級(jí)質(zhì)量工程獎(jiǎng)項(xiàng),某市質(zhì)量技術(shù)監(jiān)督局組織來自北京、上海、質(zhì)量發(fā)展研究院的多位風(fēng)險(xiǎn)評(píng)估專家,在與當(dāng)?shù)匚寮抑?A1,A2,…,A5)網(wǎng)絡(luò)信息部門的相關(guān)管理和技術(shù)人員進(jìn)行深入溝通,并詳細(xì)獲知其網(wǎng)絡(luò)信息系統(tǒng)近三年的技術(shù)和運(yùn)營狀況后,主要考慮以下7個(gè)指標(biāo):保密性(C1) 、完整性(C2) 、可用性(C3) 、嚴(yán)重程度(C4) 、難易程度(C5) 、發(fā)生頻率(C6)和發(fā)生概率(C7)。專家組根據(jù)上述方面對(duì)5家公司的信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,得到各公司每項(xiàng)風(fēng)險(xiǎn)指標(biāo)評(píng)價(jià)信息組成的決策信息矩陣,各公司在各指標(biāo)下的評(píng)價(jià)值以三角模糊數(shù)形式給出,如表1所示。

表1 決策信息矩陣

1) 將專家組給出的決策信息矩陣進(jìn)行規(guī)范化處理,其中,指標(biāo)C1、C2和C3為風(fēng)險(xiǎn)評(píng)估的成本型指標(biāo),指標(biāo)C4、C5、C6和C7為風(fēng)險(xiǎn)評(píng)估的效益型指標(biāo)。

依據(jù)步驟2,規(guī)范化處理決策信息矩陣,得到規(guī)范化決策矩陣R′,如表2所示。

2)確定指標(biāo)權(quán)重。首先,根據(jù)規(guī)范化決策矩陣R′確定各指標(biāo)的信息熵Hj。

令決策者判斷系數(shù)ρ=0.5,計(jì)算各指標(biāo)的信息熵Hj,即:

H1=0.9347,H2=0.9419,H3=0.9248,H4=0.9665,H5=0.8512,H6=0.9144,H7=0.9511,

然后,根據(jù)信息熵理論及公式(7),求得各指標(biāo)的權(quán)重wj,即:

w1=0.1266,w2=0.1128,w3=0.1459,w4=0.0650,w5=0.2887,w6=0.1661,w7=0.0949

3)確定規(guī)范化決策矩陣的三角模糊數(shù)正、負(fù)理想決策方案。

根據(jù)公式(4)和公式(5),三角模糊數(shù)正理想決策方案C+*為:

C+*={[0.072,0.099,0.127],[0.075,0.103,0.113],[0.082,0.119,0.146],[0.022,0.043,0.065],[0.115,0.202,0.289],[0.111,0.138,0.166],[0.014,0.068,0.095]}

三角模糊數(shù)負(fù)理想決策方案C-*為:

C-*={[0.000,0.027,0.045],[0.000,0.047,0.066],[0.000,0.036,0.064],[0.000,0.014,0.036],[0.000,0.029,0.058],[0.000,0.042,0.097],[0.000,0.027,0.068]}

4)通過公式(2)和公式(3),求解各決策方案Ai分別與正、負(fù)理想決策方案之間的相似度。

Ai與正理想決策方案的相似度Sω(Ai,C+*)為:

Sω(A1,C+*)=0.958,Sω(A2,C+*)=0.971,Sω(A3,C+*)=0.967,Sω(A4,C+*)=0.948,Sω(A5,C+*)=0.946

Ai與負(fù)理想決策方案的相似度Sω(Ai,C-*)為:

Sω(A1,C-*)=0.966,Sω(A2,C-*)=0.953,Sω(A3,C-*)=0.956,Sω(A4,C-*)=0.976,Sω(A5,C-*)=0.977

5)依據(jù)公式(6),計(jì)算Ai與C*的相似度在決策方案集中的相對(duì)比率Rs(Ai)。

Rs(A1)=-0.0266,Rs(A2)=0,Rs(A3)=-0.0073,Rs(A4)=-0.0474,Rs(A5)=-0.0503

根據(jù)Rs(Ai)值的大小對(duì)各備選方案進(jìn)行排序,可得到最終的排序結(jié)果為A2?A3?A1?A4?A5,可確定最優(yōu)方案為A2,其評(píng)價(jià)結(jié)果能為該組織決策者提供科學(xué)依據(jù)。對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)例的分析表明,運(yùn)用該風(fēng)險(xiǎn)評(píng)估模型能夠有效地量化風(fēng)險(xiǎn)評(píng)估因素的影響,在考慮已有安全措施成本的同時(shí),為選擇有效的安全控制措施提供客觀、準(zhǔn)確的擇優(yōu)排序,也進(jìn)一步提高了信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性。

4 結(jié)束語

本文采用三角模糊數(shù)的形式建立信息安全風(fēng)險(xiǎn)評(píng)估矩陣,運(yùn)用信息熵理論確定評(píng)價(jià)指標(biāo)的權(quán)重,基于相似度關(guān)系理論,建立了三角模糊數(shù)不確定多屬性決策的相似規(guī)劃模型,并對(duì)實(shí)現(xiàn)步驟進(jìn)行了詳細(xì)探討。采用本文模型和計(jì)算方法所得到的資產(chǎn)風(fēng)險(xiǎn)評(píng)估結(jié)果,為信息安全保障工作提供了客觀、準(zhǔn)確的決策依據(jù),也為后期風(fēng)險(xiǎn)控制提供了更加確切合理的建議。