一种信息系统风险评估的灰色多层次综合评估方法

〔摘 要〕针对信息系统安全风险因素的灰色性和模糊性，以及信息安全风险评估过程中所存在的主观性问题，结合模糊数学理论、灰色系统理论和层次分析法，提出一种信息系统风险评估的灰色多层次综合评估方法，一定程度上能克服信息不完全以及主观性的影响，进一步提高评估的科学合理性。论文通过构建一种信息系统灰色多层次综合评估模型，描述了信息系统风险的灰色综合评估过程，并通过实例验证该方法的可行性与有效性。

〔关键词〕灰色层次分析法；信息系统风险评估；模糊数学理论；灰色系统理论；白化权函数

随着国民经济和社会发展对信息及信息系统的依赖程度日益增强，电力、电信、交通、银行等关键基础设施所必备的直接关系国计民生的主要信息系统在受到传统物理性破坏的同时还面临新兴虚拟化攻击，其所面临的安全风险和威胁日趋严重。为保障信息系统的正常安全运行，必须找出可能导致其崩溃的严重缺陷，而解决该问题的有效途径之一则是对信息系统进行有效的安全风险评估。

信息系统风险评估方法在风险评估中有着举足轻重的作用，它贯穿整个评估流程，对被评估系统的资产、面临的威胁、脆弱性以及已有安全措施有针对性的进行科学分析，判定其风险等级，将其作为安全措施实施的依据以进一步开展风险管理工作。目前，信息系统风险评估方法众多，其分析侧重点及运用范围各不相同，而且风险评估的主观随意性强、误差较大，导致了评价的客观准确较难实现。国内外有关学者虽都在探讨信息系统风险的综合评价方法，但至今尚未形成完整的体系。

信息系统的运行机制的不确定，行为信息的不完全，决策目标的模糊性且难以量化，导致难以对其进行精确量化。模糊数学理论中的隶属度和灰色系统理论中的灰度恰好是实现“柔化”的有效工具。本文由此提出一种信息系统风险评估的灰色多层次综合评估方法，通过应用模糊层次分析法（Fuzzy Analytic Hierarchy Process，FAHP）计算受评对象各层次的相对权重，运用灰色系统理论[1]处理专家的评估数据，这样可避免由个人的评估失误而影响整个评估结果，强化结果的客观、公正性。在评估过程中利用已有的白化信息最大程度地综合考虑每一个样本数据对最终评价结果（综合评价值）的影响，进而减少人为误差，以实现其结论在理论上更贴近被评对象的本质属性。

1 灰色系统理论

灰色系统理论由我国学者邓聚龙教授于1982年首次提出[2]。所谓灰色系统是指系统中既有白色参数（已知参数）又有黑色参数（未知参数），其研究内容包括客观事物的量化、建模、预测、决策、控制等。灰色系统理论以部分信息已知，部分信息未知的小样本、贫信息不确定性系统为研究对象，主要通过对部分已知信息的生成、开发，提取有价值的信息，实现对系统运行行为、演化规律的正确描述和有效监控。

灰色系统理论是从信息的非完备性出发研究和处理复杂系统的理论，它不是从系统内部特殊的规律出发去研究系统，而是通过对系统某一层次的观测资料加以数学处理，达到在更高层次上了解系统内部变化趋势、相互关系等机制[3]。

在多层次评估中，各评估指标的重要度通常是各异的，权重确定的科学合理性直接影响着评价的准确程度。由于传统AHP方法在比较评估准则的重要性时，仅考虑了评估者主观判断的两种可能极端情况，难以处理主观判断的不确定性与模糊性。因此，借鉴文献[5]中提出的改进FAHP来确定层次结构中各指标的权重系数，可以克服AHP的缺陷，更好地处理主观判断带来的不确定性与模糊性。一级指标Ui的权重集为W=（W1，W2，W3，W4），二级指标Uij的权重集为Wi=（Wi1，Wi2，…，Wij）。

2.2 确定评价等级

依据GB/T 20984-2007《信息安全技术信息安全风险评估规范》标准的要求，结合安全保护等级和国际危机管理的分级惯例，将风险评价等级分为5级，即很高、高、中、低和很低。评价指标Uij是定性指标，将其转换为定量指标可通过制定评价指标评分等级标准予以现实。按照5分制原则确定各等级的赋值，则其对应分值为5、4、3、2、1，指标等级介于两者之间的相应的评分为45、35、25、15、05[6]。

2.3 评价样本矩阵的确定

2.4 确定评价灰类

确定评价灰类是指确定评价灰类的等级数、灰类的灰数以及灰数的白化权函数。白化权函数转折点的值称为阈值[7]。设有h（h=1，2，…，g）个评价灰类，将评价灰类取很高、高、中、低、很低5级，其相应灰数白化权函数分别为f1（x），f2（x），…，fg（x），其中g=5，如图2所示。

对系统的评价因素Ui做综合评价，其结果记为B=W·R，其中W为评价因素Ui的权重集[8]。

根据最大隶属原则，由矩阵Bi可得准则层各评价因素Ui的级别，由矩阵B可确定目标层所属的灰类等级。将各评价灰类等级按“灰水平”赋值，各评价灰类等级值向量为C=（5，4，3，2，1），受评对象总体得分状况为：G=B×CT，其中，G反映了信息系统风险值所处等级。由此，可根据各影响因子所处风险状态，采取合适的措施进行风险控制和风险规避[9]。

3 应用实例

由图1知，信息系统的安全风险涉及物理环境及保障U1、硬件设施U2、软件设施U3和管理者U44个方面，其中“硬件设施”的安全风险评估涉及六类风险因素，分别包括：计算机U21、网络设备U22、传输介质及转换器U23、输入/输出设备U24、存储介质U25、监控设备U26[10]。

3.1 确定风险评估各指标的权重

运用文献[5]中提出的改进FAHP方法对风险评估层次结构模型各层次风险因素进行计算，得出“硬件设施”（U2）各指标的权重为：

邀请5位评价专家分别对“硬件设施U2”所属评价因素U2j（j=1，2，…，6）按评分等级标准评判，得出评价样本矩阵。

3.3 计算灰色评价权向量及权矩阵

当h=1时，依据式（1）、式（2）可得：

根据最大隶属原则，由矩阵B2可得“硬件设施”的灰类级别为低。同理，由B1、B3、B4可判断其它各受评对象的具体等级。由矩阵B可确定受评信息系统的灰类级别为低，进一步得出该信息系统风险评估总体得分状况G：

该信息系统的综合风险评估值为3508，属于良好等级，由此可知该系统相对安全可靠。

4 结束语

针对信息系统安全风险因素的灰色性和模糊性，及其评估过程中存在的主观性问题，结合模糊数学理论、灰色系统理论和层次分析法（AHP）等理论，提出一种信息系统风险评估的灰色多层次综合评估方法。该方法运用灰数和白化权函数来确定评价矩阵中的元素，与处理同类问题所采用的传统方法完全依靠专家经验的情况相比，它可以大幅减少风险计算中的主观因素影响，提高评估的有效性及精确度。针对AHP方法难以处理主观判断的不确定性与模糊性等问题，引入基于FAHP的风险评估方法对风险进行量化分析，以克服传统AHP的缺陷，准确确定层次结构中各指标的权重系数。通过构建灰色多层次综合评估模型表明论文所提出的方法切合实际且具备良好的可操作性，值得在业界推广。另外，通过在实践中不断应用该评估方法，依据实际情况的变化逐步对其予以改进和完善以促使风险评估结果具有更好的客观性是下一步需考虑的工作。

参考文献

[1]邓聚龙.灰预测与灰决策[M].武汉：华中科技大学出版社，2002.9.

[2]邓聚龙.汉英对照灰色系统基本方法（第2版）[M].武汉：华中科技大学出版社，2005.8.

[3]郇正军，卢刚夫，周大水.灰色理论在入侵检测技术中的应用研究[J].计算机工程与设计，2007，28（23）：5610-5612.

[4]付钰，吴晓平，叶清，等.基于模糊集与熵权理论的信息系统安全风险评估研究[J].电子学报，2010，38（7）：1489-1494.

[5]王甲生，付钰，吴晓平.基于改进FAHP法的信息系统安全风险评估[J].火力与指挥控制，2011，36（4）：33-36.

[6]胡勇，吴少华，胡朝浪，等.信息系统风险灰色评估方法[J].计算机应用研究，2008，25（8）：2477-2479.

[7]任帅，慕德俊，朱灵波.一种基于灰色层次分析法的信息安全评估模型[J].计算机应用，2006，26（9）：2111-2113.

[8]杨兴凯，王延章.基于灰色模糊理论的政府信息共享能力测度研究[J].大连理工大学学报，2012，52（2）：297-303.

[9]段金利，张岐山，刘维嘉.基于AHP法和灰色理论的信息系统风险评估模型[J].广东工业大学学报，2006，23（4）：12-16.

[10]付沙.一种改进风险矩阵法在网络系统风险评估中的应用[J].计算机系统应用，2012，21（1）：148-151，167.

（本文责任编辑：孙国雷）2012年12月第32卷第12期现？代？情？报Journal of Modern InformationDec，2012Vol32 No122012年12月第32卷第12期DOI和论文数据库抽取在文献元数据获取方面的应用Dec，2012Vol32 No12

收稿日期：2012-09-12

基金项目：本文系济南大学博士基金项目（项目编号：XBS1237）、山东省科学技术发展计划项目（项目编号：2011GGX10116）的研究成果之一。

作者简介：马 坤