罗 佳，杨世平

(1.贵州大学 计算机科学与信息学院，贵州 贵阳 550025；2.贵州大学 明德学院，贵州 贵阳 550004)

随着信息技术的飞速发展，来自信息领域，网络世界的威胁频繁出现，信息系统及所承载的信息和服务的安全性变得尤为重要。信息和信息服务在保密性、完整性、可用性等方面出现漏洞都将给组织带来不同程度的影响。开展信息安全风险评估，对网络和信息系统的资产价值、潜在的安全威胁、薄弱环节进行分析，可以做到心中有数，可以发现信息系统中存在的主要安全问题，并找到解决这些问题的方法，有针对性地进行管理。通过识别分析信息系统风险要素的相互关系和层次结构，建立一种信息系统灰色模糊多层风险综合评估模型。利用专家评判法构造系统风险要素指标评判样本矩阵，确立风险评价灰类的等级数、灰类的灰数及白化权函数，通过灰色统计法计算出灰色评价权矩阵，即模糊综合评判矩阵。通过模糊综合评判法量化评估系统资产面临威胁发生的可能性及威胁利用脆弱性产生的后果，以此量化系统资产及系统面临的风险，该方法可以减少评估的主观性。

1信息安全风险评估方法

目前国内外存在很多风险评估的方法，但还没有统一的信息安全风险分析的方法。从计算方法上分为定性分析方法、定量分析方法、定性与定量相结合的分析方法[1-2]。

1.1定量评估方法

定量评估方法是指运用数量指标对风险进行评估，定量分析方法的优点是用直观的数据来表述评估的结果，看起来一目了然，而且比较客观。但也常常为了量化，容易简单化、模糊化，会造成误解和曲解。而且由于数据统计缺乏长期性，计算过程又容易出错，所以定量分析的细化非常困难。

1.2定性评估方法

定性分析方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断。典型的定性分析方法有德尔菲法、矩阵法等。定性分析方法的优点是避免了定量分析方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面深刻，但它的缺点也显而易见，即主观性强，对评估者要求很高。

1.3定性与定量结合的评估方法

信息系统风险评估是个复杂的过程，需要考虑的因素很多，有些评估要素是可以用量化的形式来表达，而对有些要素的量化又是很困难甚至是不可能的。定量分析是定性分析的基础和前提，定性分析应该建立在定量分析的基础上，不能将定性分析方法与定量分析方法简单地割裂开来，而是将这两种方法结合起来，采用综合分析方法。主要的综合分析方法有层次分析法、概率风险评估和模糊综合评价法等。

2 信息安全风险评估的计算方法[3]

风险是威胁发生的可能性，是薄弱点被威胁利用的概率潜在的函数 ，R=R(A，T，V)=R(L(T，V)，P(Ia，Va))其中A为资产；T为威胁；V为脆弱性；Ia为资产的重要程度；Va为资产的脆弱性；L(T，V)为威胁利用资产脆弱性的可能性；P(Ia，Va)为作用的资产价值及其脆弱性的严重程度[3]，风险计算原理如图1所示。

图1 风险计算原理图

3信息系统安全风险的模糊综合评判模型

3.1信息安全风险要素关系

信息安全风险评估是围绕着资产、脆弱性和威胁展开的。通过信息安全风险要素关系图可知，风险是潜在的安全事件发生的可能性和后果，评估量化风险，就是量化安全事件发生的可能性和后果。在应用灰色综合评估方法评估信息系统的风险时，应先建立信息系统风险评估指标体系，通过对信息系统的风险本质进行分析，可建立风险评估指标体系[4]，信息安全风险评估指标体系如表1所示。

3.2确立评价指标集

设评价因素集 u={u1，u2，…，un}，根据所建立的评估指 标 体 系 ， 第 一 级 评 价 指 标 为 ：{u1，u2，u3，u4，u5，u6}， 第二 级 指 标 为 ：u1={u11，u12，u13，u14，u15，u16}，u2={u21，u22}，u3={u31，u32}，u4={u41，u42，u43}，u5={u51，u52，u53}，u6={u61，u62}。

表1 信息安全风险评估指标体系

3.3 评判指标权重的确立[5]

在多层次评估中，各个评估指标的重要程度通常是不同的，权重的确定是否合理、科学，直接影响着评价的准确性。权重的构造通过AHP法来确定。可以将人的主观判断用数量形式表达和处理，可以同时处理可定量和不易定量因素，也可以提示人们对问题的主观判断是否一致。可分为4个步骤：(1)建立问题的递阶层次结构；(2)构造两两比较判断矩阵；(3)由判断矩阵计算被比较元素的相对权重；(4)计算各层元的组合权重。先对第二层次的要素以第一层为准则进行两两比较并根据评定尺度确定其相对重要度，建立判断矩阵：

其中，n为判断矩阵的阶数。当CI＜0.1时，表明矩阵一致性成立，各项权重无逻辑错误。通过AHP法可以计算出一级指标，二级指标权重向量。

3.4 信息系统风险评价等级和评分标准[6]

按照《GB/T 20984-2007信息安全技术信息安全风险评估规范》的要求，结合安全保护等级的分级和国际危机管理的分级惯例，将风险的评价等级分为五级，即很高、高、中、低、很低，为将定性指标转换为定量指标，应相应地对各个指标赋值。按照5分制原则确定各等级的赋分，则 5 个评定等级分数分别为 5、4、3、2、1，指标等级介于两者之间的相应的评分为 4.5、3.5、2.5、1.5、0.5各值。

3.5 评价样本矩阵及评价灰类的确定[7]

3.5.1评价样本矩阵的确定

设有n位专家参与评价，dti表示第t位专家对第i=(1，2，…，m)个指标给出的评分，这样全部专家对评价指标的评价数据构成评价样本矩阵：

3.5.2确定评价灰类

由于专家水平的局限性及认识角度上的差异，只能给出一个灰数的白化值。为了真正反映属于某类的程度，需要确定评价灰类，即：要确定评价灰类的等级数、灰类的灰数及白化权函数。评价灰类要根据评价等级，通过定性分析确定。这里设有5个评价灰类分别是很高、高、中、低、很低。第 1 类：j=1，⊗∈[5，∞)，第 2 类：j=2，⊗∈(0，4，8)，第 3 类：j=3，⊗∈(0，3，6)，第 4 类：j=4，⊗∈(0，2，4)，第 5 类：j=5，⊗∈(0，1，2)。 以灰类的样本dij为横坐标，以灰数确认度f为纵坐标的最少信息图像，称为灰类的白化权函数，各类的白化权函数分别设为：f1(dti)，f2(dti)，f3(dti)，f4(dti)，f5(dti)，根 据 白 化 权 函 数 定 义可设5个白化权函数分别为：

3.6计算灰色评价系数

3.7 综合计算灰色模糊评价结果[8]

信息系统风险是安全事件发生概率及其后果的函数，若已知安全事件发生概率及后果的函数，则关于风险的计算为：

可求得风险值：R=Lp×Lc。

灰色模糊综合评判法是将灰色理论与模糊综合评价法结合起来，并将定性与定量计算相结合的一种方法。由于信息系统风险的灰色模糊性，通过识别分析信息系统风险要素的相互关系和层次结构，建立一种信息系统灰色模糊多层风险综合评估模型，量化评估系统资产面临安全事件发生的可能性及安全事件发生产生的后果，该方法可以减少评估的主观性，使系统风险量化评估结果更客观，从而采取相应的措施来降低风险，使风险降低到一个可接受的水平。

[1]范红，冯登国，吴亚非.信息安全风险评估方法与应用[M].北京：清华大学出版社，2006.

[2]王英梅，王胜开，程湘云.信息安全风险评估[M].北京：电子工业出版社，2007.

[3]吴亚非，李新友，禄凯.信息安全风险评估[M].北京：清华大学出版社，2006.

[4]胡勇.信息系统风险量化评估指标体系[J].四川大学学报(自然科学版)，2006，43(5)：1048-1052.

[5]史简，郭山清，谢立.一种实时的信息安全风险评估方法[J].计 算 机 工 程 与 应 用 ，2006(1)：109-110.

[6]冯建湘，唐嵘，王双维.软件质量的灰色关联分析及其应用[J].计算机工程，2004，30(9)：91-92.

[7]刘思峰，方志耕.灰色系统理论及其应用[M].北京：科学出版，1991.

[8]梁保松，曹殿立．模糊数学及其应用[M].北京：科学出版社，2007．

[9]范红，冯登国.信息安全风险评估实施教程[M].北京：清华大学出版，2006.