摘要：针对信息系统安全风险分析的准确性问题，提出一种基于改进模糊综合评价方法的信息系统安全风险分析方法。该方法结合一种模糊一致矩阵来求得各风险因素的权重。并在此基础上采用多级模糊方法对风险进行评估，通过风险评估模型的指标数据，得到风险评估安全级别，为今后信息系统安全风险评估提供了一定的帮助。

关键词：信息安全；风险分析；模糊；风险评估

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）28-6402-04

目前，信息安全是非常重要的，在各单位和部门进行的信息系统安全风险评估实践中，必须全面考虑各种涉及安全风险因素的影响。由于系统本身的复杂性，其风险因素涉及面广，且存在着诸多具有模糊性和不确定性的影响因素；同时有关风险因素影响的历史数据也非常有限，很难利用概率统计方法来量化风险。[1]因此，信息系统的安全风险评估，往往需要依靠有关专家的判断来进行。对于上述问题，模糊综合评判法是一种行之有效的解决方法。模糊综合判断法是建立在模糊数学理论基础上的一种风险评估方法，其应用模糊关系进行的合成原理，对一切边界不清、不易定量等描述的风险因素采取定量化方法，然后对系统的安全风险进行综合评估。

在应用模糊综合评判法对信息系统进行风险评估时，其关键问题是各风险因素的权重如何分配。对于采用传统的方法对风险因素赋值，忽略了专家主观判断的不确定性和模糊性，难以对一致性和矩阵性差异的判断，而且一致性检验还缺少科学依据等问题。

本文针对传统方法的不足问题，对信息系统每一层风险因素使用了模糊一致判断矩阵来表示。用模糊一致矩阵中的排序方法求解各风险因素的权重。[2]在此基础上运用多级模糊综合评判法来对信息系统的安全风险进行综合评估，得出系统的安全风险等级。

1 建立评估指标体系的层次结构模型

信息系统安全风险评估涉及很多因素，为了能够深入分析问题，需要对影响评估结果的风险因素进行整体分析和评估。因次，需建立按照一定层次结构的体现指标体系的结构模型，如图1所示。建立是层次结构模型可以对信息系统的评估指标进行深入的分析，结构模型主要包括目标层、准则层和指标层三个层次关系，各层之间存在一定的关系，其中，目标层是最高层，代表是风险评估的总体目标，中间层是准则层，主要设定对系统进行风险评估的准则，对风险评估的总目标进行分解，然后获得若干个准则，并用多个元素分别表示。为了能更准确的表示，在准则层可以在划分子准则层。指标层处在于最底层，是进行系统安全风险评估的具体评估指标，表示影响目标实现的各种因素，如指标不能完全表达意思，可以继续划分子层，称为二级评估指标，风险指标体系如图2所示。

2 模糊一致判断矩阵的构造和排序

定义1：若模糊矩阵R=[（rij）nxn]能够满足条件：[rij]+[rji]=1，i，j=1，2，...，n，则称R为模糊互补矩阵。

定义2 ：若模糊互补矩阵R=[（rij）nxn]能够满足条件：[rij=rik-rjk+0.5，i，j，k=1，2…，n]，则称R为模糊一致矩阵。

模糊一致矩阵的性质有如下三点：

3）如果R满足中分传递性，即当[λ≥0.5]时，若[rij] [≥λ]， [rjk] [≥λ]，则有[rik] [≥λ]；当

[λ≤] 0.5时，若[rij] [≤λ]， [rjk] [≤λ]，则有[rik] [≤λ]。

根据模糊一致矩阵的性质，得出了人们的决策思维的习惯，对其合理性解释如下：

1）[rij]是元素[i]与[j]相对重要性的度量，如果[rij]越大，那么元素[i]与[j]越重要，[rij] >0.5

表示[i]比[j]重要；反之，[rij]<0.5表示[j]比[i]重要，[rij]=0.5表示元素与其自身相比较是同等重要的。

2）[rij]表示元素[i]比[j]重要的隶属度，那么1-rij表示[i]不比[j]重要的隶属度，即[j]比[i]重

要的隶属度，即[rji]=1-[rij]，R是模糊互补矩阵。

3）如果元素[i]与[j]相比较，前者比后者重要，同时元素[j]比k也重要，则元素[i]一定比元素k重要；反之，如果元素[i]不比[j]重要，且元素[j]不比k重要，那么元素[i]一定不比元素k重要。

另外，模糊一致矩阵的构造采用“0.1～0.9”标度法，使得模糊判断矩阵的一致性也基本反映出人类思维的一致性，即可以反映人在判断过程中存在的不确定性和模糊性。[3]由此可见，模糊一致矩阵符合人类的思维特征，与人类对复杂决策问题的思维、判断过程是一致的，通过构造模糊一致矩阵可以在一定程度上反映群体专家判断的模糊性。

在决策者进行模糊判断的时候，构造的判断矩阵通常是模糊互补矩阵而不是模糊一致矩阵，由模糊互补矩阵构造模糊一致矩阵的方法如下：

对模糊互补判断矩阵R=[（fij）nxn]按行求和，记为[ri=j=1nfij，（i=1，2…，n）]，对其进行以下数学变换：

[rij=ri-rj2n+0.5] （1）

则由此建立的矩阵R=[（rij）nxn]是模糊一致矩阵。

模糊一致矩阵排序的方法由式（2） 给出，若模糊矩阵R=（rij）nxn是模糊一致矩阵，那么排序值可由公式2计算：

[wi=1n-12α+1nαj=1nrij] （2）

在上式中 满足：[α]≥ [n-12]，且当[α]越大时，权重之间的差异越小；[α]越小，权重之间的差异则越大；当[α]=[n-12] 时，权重之间的差异达到最大。

由上可知，可以利用对参数[α]的不同取值来进行权重结果的灵敏度分析，有助于决策者做出正确的权重判断。

如若邀请n位专家（视具体情况而定）对信息系统进行安全风险评估。主要分为以下几个步骤，第一，采用相互比较法构造判断矩阵[Α′]。第二，使用0.1-0.9标度法（见表1）来表示两元素比较的值，从而可以判断矩阵的元素取值范围是0.1，0.2，…，0.9。判断矩阵[A′=（aij）nxn]，其元素值[aij]反映了专家对各风险因素相对重要性的认识。

3 多级模糊综合判断

1）确定因素集U和评语集V

信息系统安全风险评估的层次结构模型建立后，因素集U就确定了。评语集的确定要根据实际需要而定，一般将评语等级划分为3-7级，如采用很危险、危险、中等、安全、很安全。

2）单因素模糊判断，确定评判矩阵R

单因素模糊评判是对单个因素[ui] （i=1，2，...，n）的评判，得到V上的模糊集[Ri=（ri1，ri2，…rim）]，其中[rij]对评语集中的元素[vj]的隶属度。单因素模糊评判是为了确定因素集U中各因素在评语集V中的隶属度，建立一个从U到V的模糊关系，从而导出隶属度矩阵R=[（rij）nxm]。

3）模糊综合评判

初级模糊评判主要是对U上权重集W=（W1，W2，...WK）和评判矩阵R的合成，评判结果通常用B表示。

[B=w∘R=（w1，w2，…，wk）∘r11r21⋮rk1r12r22⋮rk2……⋮…r1mr2m⋮rkm=（b1，b2，…，bm）] （4）

其中，“。”为模糊合成算子，为综合考虑个评估因素的影响并保留单因素评估的全部信息，对模糊合成算子采用M（·，⊕）算子。当权重集和隶属度均具有归一性时M（·，⊕）即为矩阵乘法运算，并且此时B也是归一化的。

多级模糊综合评判：对于多层次系统而言，需要从最底层开始评判，并将每层的评判结果作为上层的输入，组成上层的评判矩阵，直到最高层的评判结束。二级模糊综合评判如图3所示。

4 评估结果的判定

利用多级模糊综合评判得到的最终向量B对评估结果作出判定，在判断准则使用情况基本分为两种：最大隶属度准则和加权平均准则。

最大隶属度准则：取评估结果中最大隶属度所对应的安全等级作为系统安全风险评估的最终结果。

加权平均准则：根据实际情况对评估结果向量惊醒等级赋值，即赋予不同等级评语vj规定值[βj]，以隶属度[bj]为权数，被评估信息系统的风险综合评分值为：

结合表3安全风险隶属等级划分标准，即可判定信息系统当前的安全风险等级，

5 结论

本文针对信息系统安全风险评估中因素多、难度大等问题，在引入模糊一致判断矩阵方法的基础上运用了多级模糊综合评判法，对信息系统安全风险进行了综合评估，得到了科学的、合理的安全风险等级，从而为管理员实施安全管理控制策略提供科学的依据。

参考文献：

[1] 李鹤田，刘云，何德全.信息系统安全风险评估研究综述[J].中国安全科学学报，2006，16（1）：108-113.

[2] 吴晓平，付钰，秦艳琳.信息安全风险评估研究[J].哈尔滨工业大学学报，2006，38（增刊）：611-614.

[3] 吴晓平，汪玉.舰船装备系统综合评估的理论与方法[M].北京：科学出版社，2007.

[4] 刘仁山，孟祥宏.基于层次分析法的信息系统安全评价研究[J].河北工业科技大学学报.2013，30（1）：15-19.