摘要:信息系统安全风险评估方法主要分为定性风险评估方法和定量风险评估方法,介绍了三种常用的定量风险评估方法,通过分析和研究各种方法的特点、可操作性、可行性和应用领域,指导企业、组织针对自己信息系统的特点选择适合自己的安全风险评估方法,依靠风险评估的结果使得企业、组织能够准确“定位”风险管理的策略、实践和工具,将安全活动的重点放在重要的问题上,选择低成本、高效益、适用的安全对策。
关键词:信息系统安全;风险评估;层次分析(AHP);模糊综合评价;人工神经网络(ANN)
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)07-1526-04
Comparative Study on the Risk Assessment Quantitative Method of Information System Security
WU Jing1,2, ZHAO Dong-mei2
(1.Economics and Management School, Beijing University of Technology, Beijing 100022, China; 2.School of Information Technology, Hebei Normal University, Shijiazhuang 050016, China)
Abstract: The risk assessment of information system security methods is mainly divided into qualitative risk assessment method and quantitative risk assessment method. Introduces three common quantitative risk assessment methods, through the analysis and research method of characteristics, operability, feasibility and application domain, guiding enterprise, the organization for the characteristics of information system to select suitable security risk assessment methods, rely on the risk assessment results allowing businesses, organizations can for accurate "location" risk management strategy, practices and tools, put security activities focus on important issues, chooses low cost and high benefit security countermeasures.
Key words: information system security; risk assessment; analytic hierarchy process; fuzzy comprehensive evaluation; artificial neural network
信息系统安全是一项系统工程,具有整体性、复杂性、不确定性,仅仅依靠技术手段防范不可能解决信息系统安全的根本问题,需要从全局观点出发,建设保障体系,全方位地控制和管理。而信息系统安全风险评估是整个安全系统工程的关键环节,是亟待解决的迫切问题,已成为全世界关注的课题。
信息系统安全风险评估是从风险管理角度,运用科学的手段和方法,系统地分析信息系统所面临的威胁及其存在的脆弱性,全面地、正确地认识系统目前与未来的风险,以及这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供科学依据,达到控制风险、规避风险、转移风险的目的,确保信息系统安全、稳定地运行。信息系统安全风险评估方法主要分为定性风险评估方法和定量风险评估方法。
定性风险评估方法是依靠专家对事物的经验、知识及对事物发展变化规律的预测、科学地进行分析、判断的一类方法。运用这类方法可以发现信息系统中存在的风险因素,进而针对这些风险因素从技术上、管理上提出解决问题的对策和整改措施,提高风险控制能力,达到保障信息系统安全的目的。定性风险评估针对系统中每个风险因素进行单项评估,忽略了对整体系统的安全评估,很难确定系统的综合风险程度。定性评估方法主要依靠专家和研究者的知识、经验和历史教训,主观性较强,而且对于评估人员的素质要求很高。常用于企业预测和预防事故、伤亡事故分析,以及信息系统的可靠性、安全性单项分析。
定量风险评估方法是根据同类或类似系统的数据资料,按照国家规定的标准,应用科学的方法构建数学模型进行定量化评估。信息系统风险级别用数值表示,清晰明确,直观地体现了系统总体风险的大小。同时可以确定每一种风险因素对信息系统安全的影响程度,进一步确定安全工作的重点,有针对性地采取应对措施。
本文选择可操作性、可行性较好的三种定量评估方法进行研究与分析,总结每一种方法的特点和应用范围,为企业、组织选择适合本单位的信息系统安全风险评估方法提供可靠依据。
1 层次分析风险评估法
1.1 层次分析法简介
层次分析法(AHP)是美国T.L.Saaty教授在20世纪70年代提出的 [1],它是运用层次结构模型解决多目标、多准则的复杂系统决策的一种方法,是将复杂系统的决策过程模型化、定量化的过程。该方法具有思路清晰、方法简便、适用面广、系统性强等特点,便于普及推广,是信息系统安全风险评估的一种有效方法。
1.2 层次分析风险评估法的具体步骤
第一步:构建层次结构模型
一般层次结构模型分三层,由目标层、准则层和方案层构成。具体应用于信息系统安全风险评估的构建方法为:首先,确定信息系统安全风险评估的总目标G;其次,明确风险因素对信息系统影响的评估准则P;最后,列出各种风险因素F,形成由评估总目标、评估准则和风险因素的一个层次结构模型。在该模型中,评估总目标、评估准则和风险因素处于不同的层次,彼此之间有关系使用线段连接,根据被评估系统的复杂程度,评估准则层可以细分为多层。下面以三层结构为例,详细介绍AHP风险评估法。
第二步:构建判断矩阵
① 风险因素两两比较
建立层次结构模型后,根据历史数据、统计数据、风险分析专家和系统分析员的经验和判断,确定各风险因素相对于准则层各准则的重要程度或优越性。层次分析法采用1-9标度法[2], 对于每个准则Pk,风险因素进行两两比较,将比较结果写成矩阵形式。这些矩阵称为判断矩阵。
② 一致性检验
判断矩阵必须做一致性检验,方法为:CR=CI/RI,其中,λmax为判断矩阵的最大特征值;RI为平均随机一致性指标[2]。
当CR<0.1时,判断矩阵满足一致性,否则,必须调整判断矩阵。
第三步:计算各个风险因素的相对权重
根据判断矩阵,计算各风险因素相对于准则Pk重要次序。通常采用和积法和方根法[2],求出判断矩阵的向量Vk,再进行归一化处理,即可计算出Fi相对于Pk的权重Wk。
① 计算向量:Vk=(vk1,vk2,…,vkn)T,其中,,i=1,2,…,n,n为风险因素的数目。
② 归一化处理:Wk=(wk1,wk2,…,wkn)T,其中,
同理,可以求出各准则相对于总目标的权重w=(w1,w2,…,wn)T,其中,m为准则的数目。
第四步:计算风险元素的综合权重
计算所有风险因素相对于总目标的综合权重。利用Wk构造综合矩阵C=(W1,W2,…,Wm)。利用公式:W"=C·W,得到新向量W",其中,其中,i=1,2,…,n。对向量W" 进行归一化处理,可以求得各风险因素针对整体信息系统安全的影响程度。对风险较大的风险因素,采取必要措施加以控制,重点防护,以提高整个信息系统的安全性、可靠性。
1.3 结论
层次分析法将信息系统安全的评估过程模型化、定量化,可以确定风险因素对信息系统的影响程度,但是,计算判断矩阵是依赖专家的知识和经验,所以层次分析法结论的质量依赖于专家个人因素,主观性较强,这是该评估方法最大的缺点。利用模糊数学与层次分析法相结合,较好的解决了该方法主观性强的问题[3-4]。
2 模糊综合评价风险评估法
模糊综合评价[5]是利用模糊线性变换原理和最大隶属度原则,考虑与被评价事物相关的各个因素,对其做出合理的综合评价。它是一种用定量的方法解决不确定、不完全信息的评价方法,其最大特点是利用它可以比较自然地处理人类思维的主动性和模糊性。它特别适合于用来解决那些只能用模糊的、非定量的、难以明确定义的实际问题。
信息安全风险评估是一个由多因素决定的复杂过程,因素之间有层次之分,并且呈多层结构,实践证明应用多层次模糊综合评价进行信息系统风险评估是一条可行的也是一条很好的途径[6]。
2.1 建立评估指标体系
根据国家信息系统评估规范和信息技术信息安全评估准则以及结合待评估信息系统的特点确定评价因素,将评价因素分成若干类,每一类称为单一评价因素,各类的组合称为第一级评价因素集;单一评价因素可以包含若干个第二级评价因素,逐层分解,直到底层的不可再分的单因素,从而建立多级信息系统评估指标体系。
2.2 单因素评价
对因素集U中的单因素ui(i=1,2,…,n)做单因素评价,从因素ui确定该事物对评语vj(j=1,2,…,m)的隶属度rij,从而得出第i个因素ui的单因素评价集Ri(ri1,ri2,…rim),它是评语集V上的模糊子集即评语模糊向量,rij表示因素ui具有vj评语的程度。
2.3 构造综合评价矩阵
把n个单因素评价集作为行,构成一个矩阵R,,R称综合评价矩阵。
2.4 确定因素重要程度(权重)模糊集
由于各因素对被评价事物的影响程度不同,所以进行综合评价时,必须给出一个模糊子集A=(a1,a2,…,an)描述各个因素在总评价中的重要程度即权重,且满足。
2.5 确定综合评价模型,求出模糊综合评价集
因素重要度(权重)模糊集A和综合评价矩阵R已知时,通过R作模糊线性变换,把A变为评语集V上的模糊子集B=A*R=(b1,b2,…,bm),其中,“*”为广义模糊合成运算,即
(1)
其中,表示广义模糊“与”运算,表示广义模糊“或”运算。再将B归一化得B",称B"为评语集V上的模糊综合评价集,bj"(j=1,2,…,m)是等级评语vj对模糊评价集U的隶属度,式(1)称为综合评价模型,记作M(,)。综合评价模型常用的有:模型M(∧,∨);模型M(·,∨);模型M(·,+);模型M(∧,?茌);模型M(乘幂,∧);模型M(∧,+),针对具体评估系统的特性选择合适的综合评价模型[5]。
2.6 综合评价
根据最大隶属度原则,选择模糊综合评价集B"=(b1",b2"…,bm")中最大的bj"所对应的评语vj作为综合评判的结果。
2.7 因素权重的确定
为了计算综合评价结果,需要确定因素重要程度模糊集A,这是模糊综合评价法的重点也是难点,一般常用确定权重的方法有[7-8]:
专家调查法、 Delphi法(专家评议法)、层次分析法,共同特点是方法操作简单,但主观较性强,不能客观反映因素间的重要性,往往导致评价的片面性。
主成分分析法和因子分析法、变异系数法、局部变权法和熵权系数法[6,9]是利用评估数据的信息客观地确定各因素的权重,具有科学性,操作性好的特点。
根据信息系统的特点、评估团队的水平、数据是否充分,选择适当的方法确定各因素的权重,通过定量计算求得各因素权向量即因素重要程度模糊集A。
2.8 结论
利用改进的模糊综合评价法进行信息系统安全风险评估,可以计算出精确系统风险值[6],用模糊综合评价法评估信息系统安全风险是合理的、可行的、有效的。将熵权系数应用于模糊综合评价法,利用熵计算各指标的重要程度即权重,克服了模糊综合评价主观性强的弱点,使综合评价过程客观、完善。
3 基于人工神经网络风险评估法
人工神经网络(ANN)是模拟人脑结构和思维过程,是一个高度自适应非线性动态系统,具有记忆能力、自学习能力和联想能力,人工干预少,精度较高,对专家知识的依赖较少[10]。主要用于解决不确定性、非结构性问题,实践证明基于神经网络的信息系统安全风险评估方法是有效的、可行的[11-13]。
3.1 构建基于BP神经网络的信息系统安全风险评估模型
反向传播神经网络(BP)是一种按误差反向传播算法训练的多层前馈网络,是目前应用最成熟的神经网络模型之一。数学理论已证明BP神经网络具有任意精度的函数逼近能力,所以,它为信息系统安全风险评估模型提供了一个可行的构造和表示方式。
基于神经网络的信息系统安全进行风险评估模型采用单隐含层的BP神经网络,其拓扑结构为输入层、隐含层和输出层。它的输入表示为特征量即风险因素的各个评价指标,将这些指标经过量化处理和一致性处理后,作为BP神经网络的输入量。经过BP神经网络的学习算法,网络的输出特征量为风险因素的风险级别。BP神经网络的激励函数采用Sigmoid函数,隐含层单元数在训练过程中,通过误判率的大小确定[10]。BP神经网络模型可以利用软件MATLAB的神经网络工具箱建立。
3.2 学习过程
BP算法的基本思路是信号正向传播经隐含层处理后传向输出层,计算输出值,如果输出值与期望的输出值之间的误差超过预先规定的限定值,则通过反向传播来不断修改网络的权值和阈值,最终使网络的误差平方和小于规定的限定值,此时学习过程结束,输出层的输出值就是系统风险评估级别。
3.3 学习算法
BP神经网络属于有监督学习(有导师学习),在利用BP网络风险评估前,必须先进行学习训练,要求准备一定数量的训练数据样本(成对的输入量和输出量),称为“教师信号”,当网络对于各种给定的输入量均能产生所期望的输出时,才认为网络已经在监督下“学会”了数据样本中包含的知识和规则,可以用来进行风险评估了。
利用MATLAB实现算法的基本步骤[14]:
1) 收集一组信息系统安全风险评估成功案例的数据,训练和检验样本集;
2) 初始化:给连接权值和阈值赋予(-1,1)之间的随机值;
3) 随机选取一对输入输出样本对载入网络;
4) 进行网络训练,可以得到输入层与隐含层、隐含层与输出层之间的权值和阈值;
5) 随机选取下一个样本对提供给网络,返回到第⑷步,直到全部训练样本学习完毕。
训练结束后,专家对被评估系统各风险因素的风险等级评价作为输入量,最终得到整个系统的风险评估级别。
3.4 BP神经网络存在的问题
1) 由于BP算法实际上使用梯度下降法,而它所要优化的目标函数很复杂,会出现“锯齿形现象”、麻痹现象、步长的更新规则也必须预先赋予网络,这些都导致BP算法的学习速度慢;
2) BP算法是一种局部搜索的优化方法,而它所要求解的是复杂非线性函数的全局极值、网络的逼近和推广能力同学习样本的典型性密切相关,要求选取典型样本实例组成训练集,否则,可能导致网络训练失败;
3) 新加入的样本会影响已学习成功的网络,而且要求刻画每个输入样本的特征数目也必须相同。
由于经典的BP神经存在上述问题,专家、学者有研究了多种基于神经网络的信息系统风险评估法模型。
3.5 其他基于神经网络信息系统安全风险评估模型
3.5.1 模糊神经网络模型
模糊神经网络是模糊理论与神经网络相结合的产物。第一种类型是神经网络的神经元不仅具有普通神经元的功能,同时它又能反映神经元的模糊性质,具有模糊信息处理能力。虽然,此类型网络结构与算法比较复杂,但是计算推理更为严谨。第二种类型是将模糊概念与神经网络结合,它是将神经元输入引入模糊隶属度的概念,并且其神经元仍然保留原有形态和特性,输出层代表风险值的大小。由于这类模糊神经网络构造及算法相对比较简单,因此在信息系统安全风险评估中经常使用[15-16]。基于模糊神经网络的信息系统安全风险评估法减少了人为因素的干扰,评价更加客观。
3.5.2 小波神经网络模型和模糊-小波神经网络模型
小波神经网络主要思想是将小波与BP神经网络相融合[10]。基于小波神经网络对信息系统进行风险级别的评估模型采用单隐含层的小波神经网络模型,将神经网络的输入表示为特征量即风险因素的各个评价指标经量化和一致性处理后的量化值,经过小波神经网络的学习算法,网络的输出特征量为风险因素的风险级别。小波神经网络的变换函数采用Morlet小波基函数,隐含层单元数在训练过程中确定[17]。
小波神经网络与经典BP神经网络相比具有明显的优点:首先,将小波理论应用在网络结构设计上,避免了BP网络设计的盲目性;其次,小波神经网络有更强的学习能力,逼近速度快;第三,实践证明对于同样的学习任务,小波神经网络收敛速度快[17];第四,学习过程中避免了BP神经网络容易出现的“锯齿形现象”、麻痹现象、等缺点。
解决某类系统风险评估问题时,可以采用多种神经网络模型进行比较研究,通过对比神经网络系统的鲁棒性、自修复能力和收敛性等特性,选取最适合的神经网络模型进行某类信息系统安全风险评估。
3.6 结论
基于神经网络的风险评估法模型多种多样,它们共同的特性是要求有一定数量的、具有代表性的数据样本,但是,信息系统评估样本的获取有一定难度,因此制约了它的应用。
神经网络结构的选择尚无一种统一而完整的理论指导,一般只能由经验选定,而网络的结构直接影响网络的逼近能力及推广性质。因此,应用中如何选择合适的网络结构是一个重要的问题。
4 结束语
层次分析、模糊综合评价和基于神经网络的三种定量风险评估方法都可以用软件MATLAB实现,所以它们的可操作和可行性都很好。
层次分析法要求评估者具备相关知识和经验,主观随意性较强,而且量化过程中容易使数据过于简单化,不易清晰表示大型复杂系统的原有特性,所以这种方法适用于小型、新型,缺乏历史数据的信息系统安全的风险评估;模糊综合评价法适用于评价指标体系比较完善的信息系统风险的风险评估,也适用于大型信息系统中对数据库、网络安全等技术性比较强的综合评估、动态评估;小波神经网络的风险评估方法比较客观,但是要求大量的、完善的安全数据,而历史数据获取较难,制约着该评估方法的精准性和有效性,所以适合系统运行时间长,有可对比的历史数据的信息系统的风险评估。
对于大型信息系统风险的评估也可分项评估,每项使用不同的评估方法,将层次分析法、模糊综合评价法和小波神经网络法结合起来进行整体信息系统分析和评估,在它们之间取长补短,使得整体信息系统评估结果更真实、客观,增强整体信息系统风险识别能力和各风险因素的重要程度的辨别能力,进而针对问题根源制定风险预防措施和风险管理策略,达到规避风险、控制风险的目的,为信息系统安全运行提供保障。
参考文献:
[1] Saaty T L.The Analytic Hierarchy Process[M].New York:McGraw-Hill,1980.
[2] 王莲芬,许树柏.层次分析法引论[M].北京:中国人民大学出版社,1990.
[3] Dong-mei Zhao,Jing-hong Wang,Jing Wu,Jian-feng Ma.Using Fuzzy Logic and Entropy Theory to Risk Assessment of the Information Security[J].Proceedings of 2005 International Conference on MachineLearning and Cybernetics.18-21 August 2005,2448-2453.(EI:05509539149).
[4] 赵冬梅,吴敬,陈霄凯.软件项目的模糊风险评估与风险控制[J].河北省科学院学报,2005,22(4):44-47.
[5] Ling-juan LI ,Ling-tong SHEN. An improved multilevel fuzzy comprehensive evaluation algorithm for security performance[J].The Journal of China Universities of Posts and Telecommunications. Volume 13, Issue 4, December 2006, Pages 48-53.
[6] 赵冬梅,苏红顺,吴敬,等.基于熵理论的无线网络安全的模糊风险评估[J].计算机应用与软件,2006(8):24-26.
[7] 于秀艳.信息系统绩效动态评价的权重确定方法研究[J].情报杂志.2007(1):115-116.
[8] 李因果,李新春.综合评价模型权重确定方法研究[J].辽宁学院学报:社会科学版,2007,9(2):92-96.
[9] 吴敬,陈军,赵冬梅.基于熵权系数的图书馆读者满意度算法与实现[J].现代情报,2008,28(8):121-124,126.
[10] 侯媛彬,杜京义,汪梅.神经网络[M].西安;西安电子科技大学出版社,2007.
[11] 赵冬梅,刘海峰,刘晨光.基于BP神经网络的信息安全风险评估[J].计算机工程与应用,2007,43(1):139-141.
[12] 赵川,曾强,杨育,等.基于BP神经网络的软件项目风险评估研究[J].计算机应用研究,2009,26(10):3767-3769.
[13] 鲁冬林,聂锐,张绍铜.基于BP神经网络的项目风险评估[J].价值工程,2008,8:93-96.
[14] 葛哲学,孙志强.神经网络理论与MATLAB R2007实现[M].北京:电子工业出版社,2008.
[15] 付钰,吴晓平,王甲生.基于模糊-组合神经网络的信息系统安全风险评估[J].海军工程大学学报,2010,2(1):18-23.
[16] 李大令.基于模糊神经网络的担保信用评级与风险评估系统[D].吉林:吉林大学,2008.
[17] 赵冬梅,刘金星,马建峰.基于改进小波神经网络的信息安全风险评估[J].计算机科学,2010,2:90-92.