覃德泽

贺州学院计算机科学与工程系 广西 542800

0 引言

网络安全风险评估是针对安全风险的三个关键元素：资产、脆弱性与威胁，从信息安全风险的角度来衡量并保障连接在网络上的信息系统的安全性。在众多的网络安全风险评估方法中较有代表性的是：基于概率论的方法、层次分析法、模糊综合评判法，等等。模糊综合评判法是一种较传统的评估方法，对解决风险评估问题较适用，但模糊评判中也存在明显的缺点：第一、对各风险因素权重的确定一般采取专家主观评定方法，因而具有较大的主观随意性；第二、评估过程中要通过隶属函数构建关系模糊矩阵，而隶属函数的选择相当困难；第三、不能彻底解决评估过程存在大量的不确定性、随机性和模糊性问题.。本文运用云理论，对传统的网络安全风险模糊综合评价法进行改进，首先用云模型建立风险等级评语集，再对各风险因素的评语用云模型描述，并对这些评语的期望值进行修正，最后求出系统综合风险云模型，通过与评语集对照确定风险级别。云模型的引入，解决了评语本身的不确定性、随机性和模糊性问题；本模型方法不再使用隶属函数，解决了传统模糊综合评价法难以确定隶属函数的问题；风险因素权重的确定采用公式法，减少了主观因素影响。因此，评估过程将更科学，评估结果更客观、准确。

1 模糊综合评价法

传统的模糊综合评价法的基本步骤如下：

(1) 确定评估因素集

文献[4]提出风险分析中要涉及威胁、漏洞和资产三个基本要素，据此，网络安全风险模糊综合评价法把这三个要素作为评估因素。设 U 为各单项因素的集合，则 U=｛U1，U2，U3｝= (威胁，漏洞，资产)，称为评估因素集。

(2) 确定评价集

设 V 为风险级别的集合，如果把风险级别分为五个档次，可取V={v1,v2,v3,v4,v5}＝ (低, 较低, 中, 较高, 高)，它们由低到高表示了系统的风险程度，称V为评价集。

(3) 确定隶属函数

为了确定模糊运算，需要为每一个评估因素确定一种隶属函数。例如对于威胁评估因素，若评估其风险级别为某一等级，这并不能意味威胁的风险级别 100%地为该等级，实际也有隶属于比该级别较低和较高的可能性。因此，可定义如下的威胁隶属函数体现这一因素：当威胁风险级别为3时，威胁隶属二级的程度为10%，隶属三级的程度为80%，隶属四级的程度为10%。漏洞和资产因素也可完全根据评估对象和具体情况进行定义。

(4) 建立关系模糊矩阵

在对各单项因素进行风险级别评估取得每个单项因素的等级值后，通过各自的隶属函数分别求出每个单项因素对评价集V中5个风险级别的隶属度，得出一组5个数.同样漏洞和资产因素也分别得出一组5个数，就可组成3×5关系模糊矩阵R。

(5) 建立权重模糊矩阵

本栏目主要刊载反映医学影像领域研究进展及学术动态的研究论文。按不同的论文格式和内容分为论著、技术应用、临床观察、影像诊断、实验研究、病例报告、综述等子栏目。

一般来说，风险级别比较高的因素对于综合风险的影响也是较大的，因此应赋予较大的权重。设每个单项因素的权重值为βt，得到一个模糊矩阵，就是权重模糊矩阵 B={β1β2β3}。

(6) 模糊综合评价算法

将步骤(5)得到的权重模糊矩阵 B 和步骤(4)得到的关系模糊矩阵R相乘，就得到网络系统风险的模糊综合评价结果。设所得结果为Y，则Y=B*R，Y为一个1×5的矩阵，即Y={y1y2y3y4y5}，该结果代表最后的综合评估结果隶属于第i个风险级别的程度(i=1,2…,5)。而系统风险的数值表示可取上述结果的加权和，即 PI=1*y1+2*y2+3*y3+4*y4+5*y5，作为系统风险的数值结果。

由上述步骤可见，传统的模糊综合评价法在建立关系模糊矩阵时，必须事先确定各评估因素对评判集的隶属函数，而隶属函数的合理选择是相当困难的事情，这是由风险级别评语本身的模糊性引起的，因此，本文引入云模型描述评语较好地解决了该问题；另外，模糊综合评价法在建立权重模糊矩阵时，各因素的权重由专家直接给出，势必渗入大量的主观因素，本文各因素权重的确定采用公式法，减少了主观因素影响。

2 云理论

2.1 云模型

云模型是用语言值描述的某个定性概念与其数值表示之间的不确定性转换模型。以云模型表示自然语言中的基元——语言值，用云的数字特征——期望Ex，熵En和超熵He表示语言值的数学性质。因此，云模型通常用SC(Ex,En,He)表示。

期望值 Ex是云的重心位置，因而代表了模糊概念的信息中心值，是最能代表这个定性概念的值；熵 En反映定性概念的不确定性，是定性概念模糊度的度量，熵越大，概念所接受的数值范围(Ex-3En，Ex+3En)也越大，则概念越模糊，随机性也越大；超熵 He是熵的熵，即熵的不确定性度量，由熵的随机性和模糊性共同决定，它反映了云滴的离散程度，超熵的大小间接地反映了云滴厚度，超熵越大，云滴离散度越大，隶属度的随机性也越大。

2.2 虚拟云理论

虚拟云是按照某种应用目的，对各个基云的数字特征进行计算，将得到的结果作为新的数字特征构造成一个新的云。例如对于语言变量T，可以通过基云定义为T{ T1( Ex1, En1, He1) , T2( Ex2, En2, He2) ,…, Tn( Exn, Enn, Hen) }。

对于各个基云( T1, T2, …, Tn)，进行逻辑运算——软“ADN”或软“OR”得到新的云，即虚拟云T ( Ex ,En ,Ee ) 。根据软“ADN”或软“OR”的不同，常见的虚拟云有浮动云和综合云两种方式。

对于网络风险评估来说，也可以看做是虚拟云的一种。假设最终风险评估结果的云模型为T=SC(Ex,En,He)，则各单项因素的云模型Ti=SC(Exi, Eni, Hei)即为T的各个基云。通过对 Ti 的逻辑运算即可求出最终评估结果的云模型 T。考虑本文关于网络风险评估中各单项因素之间有较大联系，拟采用虚拟云中综合云的算法：

式中，Ai为单项因素的权重；(Exi, Eni, Hei)为各单项因素的云模型数字特征值；n为单项因素的个数。

3 基于云模型的网络风险综合评判法

根据文献[9]，只要是最终的评价结果取决于多个权重不同的分指标上的评语的情况都可以使用该文献所提出的评价模型。显然，在网络风险评估中，可以把系统风险度作为目的指标，威胁、漏洞和资产作为分指标。设U0表示目的指标，U1、U2和U3表示各分指标：威胁、漏洞和资产，则有指标集 U={U0，U1，U2，U3}=(系统风险度，威胁，漏洞，资产)。传统模糊综合评价算法已清楚告诉我们，目的指标(系统风险度)既与分指标(单因素)的权重有关，又与各分指标在评价集上的隶属度有关，亦即与各分指标的风险评语有关。因此，我们完全可以把文献[9]提出的基于云模型的综合评判模型应用到网络风险评估，并进行适当改造，以更贴近网络实际，这就是本文提出的基于云模型的网络风险综合评判法。其基本步骤如下：

(1) 用云模型描述评价集

对于评价集 V={v1,v2,v3,v4,v5}＝ (低, 较低, 中, 较高,高)中的评语，因为它们都是模糊概念，所以可以采用一维正态云来描述每个评语。对存在双边约束的评语[λmin,λ max]，如较低、中和较高，可用期望值为约束条件的中值，主要作用区域为双边约束区域的云来近似这个评语，云的数字特征用以下公式计算：

式中，k为常数，可根据评语本身的模糊程度来具体调整。

对于只有单边约束λm in或λmax的评语，如低和高可先确定其缺省边界参数或缺省期望值，然后再参照(2)、(3)式计算该评语的数字特征值，用半升半降云来描述。

设风险度为λ，并设λ随风险提升而单调增加，且λ∈[0,100]，又设各评语(低，较低，中，较高，高)对应的云为(SCv1,SCv2,SCv3 ,SCv4,SCv5)，为各个评语构造云模型如下：SCv1(0，10,0.5)|x≥Ex(半降云)、SCv2(37.5，2.5,0.2)、SCv3(50，1.67,0.2)、SCv4(62.5，2.5,0.2)、SCv5(100，10,0.5)|x≤Ex。(半升云)；对应的风险度区间分别为：低[0,30)，较低[30,45)，中[45,55)，较高[55,70), 高[70,100]。

(2) 用云模型描述各分指标的评语

假定专家对各分指标(威胁，漏洞，资产)风险度的评估结果是(较低，较低，较高)，并设这三个评语对应的云模型分别为SC1、SC2、和SC3，则有SC1=SC2=SC v2=SC(37.5，2.5,0.2)，SC3=SCv4=SC(62.5，2.5,0.2)。

(3) 确定各分指标的权重

权重的确定方法有很多，如特尔菲法、AHP法、环比法和区间估计法、PC-LINMAP耦合法等。这些方法各有优点，为了消除部分人为因素的影响，这里用以下公式确定权重：

其中W 1=1

上式中的n 为指标数，i 为排队等级，i=1，2，…，m(m≤n)。(注：排队等级是对指标按其重要程度所作的一个排列，重要程度高的指标排在前，相应的i取较小值；不同指标可以处于同一等级，若认为某几个指标同等重要则它们处于同一等级，i取相同值)。

再将W i归一化处理即可得到权重W i*。

依公式(4)求得W i，如表1所示。

表1 各分指标的排队等级及权重W i

将Wi归一化后得到三个分指标的权重Wi*为：

(4) 修正各分指标评语云的期望值

(5) 确定网络系统风险级别

根据已求出的网络系统三个分指标的权重W i*= (W, W, W)=( 0.283，0.283，0.435)，步骤(4)确定的系统风险度云模型[0.2,0.2,0.2])，由(1)式可求得系统风险度云模型的数字特征值Ex=53.50,En=7.50,He=0.2，该云模型的主要覆盖范围为(Ex-3En ,Ex+3En)，即(31，76)，因此，结合步骤(1)建立的风险等级评语云SCv1,SCv2,SCv3 ,SCv4,SCv5对应的风险度区间，可得到如图1所示的评定网络系统风险级别示意图。

图1 评定网络系统风险级别示意图

由图1可知，系统风险度云模型的云滴主要落在“中”区间内，且该云模型的期望值(Ex=53.5)也处在此区间内，该期望值与“中”云模型期望值的差值较与其它风险级别云模型期望值的差值小得多，换句话说，它更接近“中”云模型期望值。因此可以认为该网络系统风险级别为“中”。但是由图1可以看出，云滴除了大部分落在区间“中”之外，其余主要落在区间“较高”内，表明网络系统风险度对于“较高”的隶属度也相对较高，因此更为恰当的说法是：系统风险级别为中等偏上。

4 结束语

实例表明，基于云模型的网络风险综合评价模型是可行的。该模型相对传统的模糊综合评价法来说，由于引入云模型描述评语，不再使用隶属函数，使评估过程更科学、可信；同时，风险因素权重的确定采用公式法，减少了主观因素影响。因此，最终结果更客观、准确。本模型方法的不足之处是系统最终风险级别的确定依赖于系统风险度云模型与风险等级评语云的对照与分析，而这种对照与分析则依赖专家的知识和经验。

[1]ISO/IEC 17799 (BS ISO/IEC 17799∶ 2000).ISO Standard [S/OL].[2006-01-26].http∶//asia.bsi-glob-al.com/Taiwan+About/ BSINews/ISO17799_trans-lation.pdf.

[2]魏红国.用模糊综合评价方法进行网络安全风险评估[J].科技信息(学术版).2006.

[3]Ji S, Li X, Ma Y, et al.Optimal tolerance allocation based on fuzzy comprehensive evaluation and genetic algorithm[J].The International Journal of Advanced Manufacturing Technology.2000.

[4]茆意宏,蛛晓欢,黄水清.信息安全管理标准BS 7799信息安全风险评估方法OCTAVE的比较研究[J].网络天地.2005.

[5]桂若柏.信息安全风险评估模型的研究及其应用[J].网络安全与应用.2004.

[6]Li D, Han J, Shi X, Chan M.Know ledge representation and discovery based on linguistic atoms.Know ledge-Based System.1998.

[7]李德毅,杜鹢.不确定性人工智能[M].北京∶国防工业出版社.2005.

[8]罗胜,刘广社,张保明,郭海涛.基于云模型的数字影像产品质量综合评价[J].测绘科学技术学报.2008.

[9]范定国,贺硕,段富,牛保宁.一种基于云模型的综合评判模型[J].科技情报开发与经济.2003.

[10]刘曙阳,程万祥.C3I系统开发技术[M].北京∶国防工业版社.2000.