晏 燕，王万军

1.兰州理工大学 电气工程与信息工程学院，兰州 730050

2.兰州理工大学 计算机与通信学院，兰州 730050

3.兰州文理学院 数字媒体学院，兰州 730000

1 引言

随着互联网与移动通信技术的迅猛发展，云计算、大数据、物联网、车联网、智慧城市、智能家居等新兴技术层出不穷，用户能够随时、随地、随身的对信息进行访问、查询和跟踪。同时，大量的数字化信息存在于网络空间、云平台和移动终端，使得用户的隐私信息面临威胁[1]。隐私信息的泄露不仅影响到人们的财产和生命安全，甚至威胁社会稳定与国家安全。因此，如何有效防止用户隐私信息的泄露已经成为全社会共同关注的焦点和亟待解决的重要问题[2]。进行隐私信息风险评估、降低隐私信息泄露发生率，对提高隐私信息的安全性具有重要而现实的意义。

目前，国内外关于隐私保护规则和相关算法的研究已经取得不少成果[3-8]。但是，对隐私风险评估的研究相对较少。文献[9]总结了国内外信息系统安全风险评估的常用方法，研究了信息系统安全风险的分布规律，提出了适用于信息系统安全风险评估的一般方法。文献[10]使用模糊集理论对信息系统的风险因素进行分析，构造了各种因素所对应的隶属度矩阵，采用熵权系数法确定因素权重以减少传统权重确定方法的主观偏差。Saripaui等[11]采用Delphi法将搜集到的信息进行归纳、修改、汇总，并对隐私风险进行定量评估研究。任丹丹等[12]研究了车载自组织网络中的位置隐私风险，通过布尔函数对隐私泄露攻击目标建立攻击树模型，并对各攻击树节点多属性赋值进行分析。张秋瑾[13]和Wang等[14]研究并建立了云计算隐私评估的指标体系，运用信息熵、模糊集和马尔科夫链等理论对云计算的隐私风险进行评估建模。文献[15]将多元联系数集对分析理论应用于航空维修风险评估，运用不确定层次分析法确定各评估指标的权重区间。综合分析目前已经报道的各种评估方法，定量方法大多是建立在Fuzzy数学、Vague理论、灰理论、贝叶斯理论、粗糙集理论或直觉模糊理论等基础上的。虽然这些方法起到了一定的评估效果，但仍然存在诸多缺陷和不足[14]。例如，对评估指标中信息临界边值的指派、确定-不确定信息的集成、不同评估方法中权重的取值等，都直接影响评估结果的准确与否。

本文在分析隐私风险评估指标的基础上，提出新的隐私风险态势评估方法。利用集对分析理论中的偏联系数[16-17]方法，对风险指标计算偏阶联系数的态势并分析趋势变化，从而实现隐私风险的评估。为了克服人为因素对评估结果的影响，风险指标的权重采用最小二偏方法进行科学计算，从而有效消除了评估过程中不确定因素对结果的干扰和影响。

2 隐私风险评估

隐私风险评估是对隐私系统风险进行的全面、系统的估计和衡量。导致隐私风险的因素包罗万象，其中既有人为因素，亦有客观原因；既有技术因素，亦有设备原因；既有内因，亦有外因；既有系统自身的脆弱性因素，亦有保密泄露的原因；既有系统的不完备性因素，亦有人为蓄意攻击的可能。总而言之，隐私风险就是隐私数据泄露发生的可能性及其负面影响。隐私风险评估就是对隐私风险发生的可能性及其负面影响进行识别和评价。

本文在研究国内外大量隐私泄露事件风险评估方法的基础上，通过详细总结、分类和筛选，并结合ITSEC（Information Technology Security Evaluation Criteria）的定义[18]及文献[10]和文献[13]建立了如表1所示的隐私风险评估指标体系。

表1 隐私风险评估指标体系

3 基于偏联系数的隐私风险态势评估方法

3.1 联系数

联系数[16]是集对分析理论（Set Pair Analysis，SPA）中刻画两个集合之间相互联系、制约、影响并反映属性的同（同一、肯定或支持）、异（不确定）、反（对立、否定或反对）关系的表达式。

定义1设X为非空集合，则A={＜x,aA(x),bA(x),cA(x)＞|x∈X}的联系数为：

其中aA(x),bA(x),cA(x)分别表示X中元素x属于A的支持（同）度，不确定（异）度和对立（反）度。aA(x):x→[0,1]，bA(x):x→[0,1]，cA(x):x→[0,1]满足归一化条件aA(x)+bA(x)+cA(x)=1。其中i∈[-1,1]，称为不确定度系数；j为对立度系数，通常情况可取 j=-1。

3.1.1 偏联系数

式（1）中含有同、异、反三个元素，因此又称为同异反联系数或三元联系数。多元联系数是将三元联系数中的不确定项bi进一步拓展得到的一般形式：

当n=3时，称式（2）为五元联系数，记为：

式（3）中a为同一度，b为同差异偏同分量，c为同差异中立分量，d为同差异偏反分量，e为对立度，i,j,k,l分别为b,c,d,e∈[0,1]的系数，且满足归一化条件：a+b+c+d+e=1。

定义2[15，19]在五元联系数μ中，一阶偏联系数为：

其中

定义3在五元联系数μ中，二阶偏联系数为：

其中偏联系数是在一阶偏联系数上进行的偏离趋向变化。

定义4在五元联系数μ中，三阶偏联系数为：

其中

定义5在五元联系数μ中，四阶偏联系数为：

其中

偏联系数是描述偏离趋向变化高低的函数，它反映了同异反联系状态的发展趋势和变化。在r阶偏联系数中，当∂(r)μ＞0时，本次联系分量相对上次联系分量而言，朝正方向层次迁移，呈现提高趋势；当∂(r)μ＜0时，本次联系分量相对上次联系分量而言，朝负方向层次迁移，呈现下降趋势；当∂(r)μ=0时，本次联系分量相对上次联系分量而言，朝不确定方向层次迁移，呈现中介不确定趋势。

3.1.2 势与偏势

定义6[15]在三元联系数 μ=a+bi+cj中，当c≠0时，联系数的势为：

shi(μ)＞1 时称为同势；shi(μ)=1 时称为均势；shi(μ)＜1时称为反势。

当c=0时，三元联系数降为二元联系数，其势值可以用同一度a进行度量。当a＞b时，称为不确定同一势；当a≤b时，称为不确定-不确定势。

定义7五元联系数μ的势为：

其对应的一阶、二阶、三阶偏联系数分别为：

在隐私风险评估中，“同势”表明隐私风险评估与理想标准风险趋于同一变化状态，即处于隐私评估的“低风险”；“均势”表明隐私风险评估与理想标准风险趋于势均力敌状态，即处于隐私评估的“中等风险”；“反势”表明隐私风险评估与理想标准风险趋于反向状态，即处于隐私评估的“高风险”。进一步而言，“一阶同偏联系数势”表明隐私风险评估与理想标准风险趋于低风险发展趋势，继续发展仍然处于低风险发展趋势；“一阶均偏联系数势”表明隐私风险评估与理想标准风险趋于中间风险发展趋势，继续发展仍然处于中间风险发展趋势；“一阶反偏联系数势”表明隐私风险评估与理想标准风险趋于高风险发展趋势，继续发展仍然处于高风险发展趋势。二阶和三阶偏联系数势的同、均、反偏联系数含义与一阶偏联系数势类似，反映了上一阶发展趋势进一步继续发展以后风险趋势的变化。

3.1.3 记分函数与精确函数

定义8五元联系数μ的记分函数为：

其对应的一阶、二阶、三阶偏联系数记分函数分别为：

定义9五元联系数μ的精确函数为：

其对应的一阶、二阶、三阶偏联系数精确函数分别为：

在隐私风险评估中，记分函数S(μ)和精确函数H(μ)相当于数理统计中的均值和方差[20]，记分函数越大，隐私潜在风险越高；记分函数越小，隐私潜在风险越低。当记分函数相同时，精确函数越大，隐私潜在风险越高；精确函数越小，隐私潜在风险越低。因此，利用记分函数和精确函数可以对隐私潜在风险进行等级排序评估和预测分析。表2给出了9标度语义与记分函数的关系。

表2 9标度语义与记分函数关系

3.2 最小二偏赋权

权重是隐私风险评估中对各待评指标影响程度的反映和体现，权重系数的确定直接决定评估结果的优劣。权重的确定方法主要有三类[13]：主观赋权法、客观赋权法和综合赋权法。主观赋权通常根据决策者的经验方法进行给定，评估的科学性和有效性很大程度上受到主观人为因素和个人偏好程度的影响。客观赋权根据待评估指标信息计算权重系数，但有时客观赋权过于强调计算而脱离实际，无法给出合理的解释。综合赋权是将各种赋权方法根据实际问题结合的一种方法。本文结合主观赋权和客观赋权的方法，提出一种五元偏联系数势的最小二偏赋权方法。

对隐私风险属性Gi，其r阶偏联系数势矩阵为：

对于两个不同的r阶偏联系数势矩阵其偏差用ω)表示：

式（22）只是权重重要程度相同时的情况，但在多数情况下，隐私风险指标的权重重要程度是不同的。在不同权重向量Wi=(w1i,w2i,…,wmi)T构成的评估指标中，为了评估结果的合理，构建最小二偏函数：

为了求解式（23），建立如下最小二偏目标函数：

构造Lagrange函数对式（24）进行求解，最后得到一般的最小h偏赋权公式：

在实际问题中，通常采用二偏赋权(h=2)求权重即可。

4 应用分析

根据表1构建的隐私风险评估指标体系，由专家对隐私风险资产、隐私风险威胁和隐私风险脆弱性等指标给出如表3所示的评估意见。

隐私风险评估的步骤如下：

步骤1计算隐私风险指标的权重。将表3中定性的隐私风险指标转化为对应的偏联系数势矩阵，结合式（21）～（25）计算得到各风险指标的权重为：

表3 隐私风险评估表

步骤2隐私风险态势计算分析。根据式（3）～（20）计算结果如表4所示。

对表4分析可知：在三级指标中，除了数据隔离T12、网络监控T42、身份验证T52，规章制度T81的态势为“反势”外，其他指标的态势均为“同势”。整个三级指标中的隐私风险态势基本处于“同势”级别，这表明系统处于隐私泄露的低风险状态。如果要提高防范，可以考虑从上述四个“反势”指标着手处理。

为了对相同级别的态势进行有效区分，采用联系数势值、记分函数和精确度函数反映各态势的变化情况。势值越大，隐私风险越小；势值越小，隐私风险越大。一般情况下，当势值大于1时，隐私风险处于安全状态，可以不考虑防范处理；当势值等于1时，隐私风险处于临界状态，隐私安全需要进一步观察分析；当势值小于1时，隐私风险处于危险状态，必须考虑采取防范手段进行处理。当势值相同时，采用记分函数和精确函数进一步区分。同势值记分函数值越大，隐私风险越小，反之亦然。当势值和记分函数均相同时，通过精确函数来区分态势大小，此时精确函数值越大，隐私风险就越小；反之，精确函数值越小，隐私风险就越大。

进一步分析隐私系统的风险发展趋势，从表4中得知：在一阶潜在发展趋势上，各隐私趋势走向状态为“提

高”，风险态势均处于“同势”，这表明隐私系统风险情况良好，而且最小同势值为5.208（恶意攻击T41），其值大于1，隐私风险处于安全状态，因此不需要考虑防范处理风险问题。

表4 隐私风险计算结果

续表4

对二阶潜在发展趋势分析可知：数据保密T14、数据备份T21、数据销毁T22、风险识别T32、恶意攻击T41、漏洞处理T43、内部人员T51、操作失误T53、法律遵守T62、服务锁定T71、访问控制T72、隐私处理T82等指标趋势走向为“下降”。这表明隐私系统的风险由上一层良好状态开始逐渐减弱。而且除恶意攻击T41的势态保持“同势”外，其余均为“反势”，且势态值均小于1，说明隐私系统的风险处于危险状态。因此对恶意攻击T41进行关注而不采取保护措施，对其他指标进行保护。保护的优先级别根据势值大小进行，由高到低依次为：漏洞处理T43、服务锁定T71（势值0.916）→数据销毁T22（势值0.875）→数据备份T21（势值0.851）→风险识别T32（势值0.850）→数据保密T14、访问控制T72、隐私处理T82（势值0.775）→内部人员 T51、操作失误 T53、法律遵守T62（势值0.626）。

对三阶潜在发展趋势分析可知：漏洞处理T43、内部人员T51、操作失误T53、法律遵守T62、服务锁定T71、规章制度T81趋势走向为“提升”，表明这些指标的隐私风险由上一层状态开始逐渐增强。虽然状态有所好转，但内部人员T51、操作失误T53、法律遵守T62态势为“反势”，说明趋势好转的同时这些指标处于危险状态，仍需对这些指标采取保护措施。而漏洞处理T43、服务锁定T71、规章制度T81的态势为“同态”，处于安全状态，可以关注但无需保护。

通过对上述态势、势值、记分函数、精确函数的计算和分析，说明本文提出的隐私风险态势评估方法能够科学有效地对风险指标和趋向变化进行动态预测，大大降低了隐私风险的发生。

5 结束语

本文针对隐私保护风险评估问题，采用集对分析五元偏联系数中的势值、记分函数、精确函数和态势概念及赋权理论，建立了一种最小二偏赋权的五元联系数隐私风险评估方法。该方法能够较好地对隐私风险评估指标进行动态描述，消除了隐私风险评估过程中随机、模糊、不确定等因素的干扰和影响。本文研究中采用加权平均值方法对风险指标进行处理，在完全未知的条件下对权重信息进行隐私风险评估模型的建立和求解，这给实际问题的解决带来一定局限性。如何建立多指标情况下的权重不完全问题的求解，是下一步研究的重点。

：

[1]王元卓，范乐君，程学旗.隐私数据泄露行为分析-模型、工具与案例[M].北京：清华大学出版社，2014.

[2]晏燕，郝晓弘，王万军.一种隐私保护度量的集对分析方法[J].武汉大学学报：工学版，2015，48（6）：884-891.

[3]方滨兴，贾焰，李爱.大数据隐私保护技术综述[J].大数据，2016（1）：1-18.

[4]王璐，孟小峰.位置大数据隐私保护研究综述[J].软件学报，2014，25（4）：693-712.

[5]Jiang Qi，Khurram K M，Lu Xiang.A privacy preserving three-factor authentication protocol for e-health clouds[J].Journal of Supercomputing，2016，72（10）：3826-3849.

[6]Kairouz P，Oh S，Viswanath P.The composition theorem for differential privacy[J].Computer Science，2015：1376-1385.

[7]Seidl D E，Jankowski P，Tsou M H.Privacy and spatial pattern preservation in masked GPS trajectory data[J].International Journal of Geographical Information Science，2016，30（4）：785-800.

[8]Soohyung K，Hyukki L，Dohn C Y.Privacy-preserving data cube for electronic medical records：an experimental evaluation[J].International Journal of Medical Informatics，2017，97：33-42.

[9]吴晓平，付钰.信息系统安全风险评估理论与方法[M].北京：科学出版社，2011.

[10]付钰，吴晓平，叶清，等.基于模糊集与熵权理论的信息系统安全风险评估研究[J].电子学报，2010，38（7）：1489-1494.

[11]Saripalli P，Walters B.QUIRC：a quantitative impact and risk assessment framework for cloud security[C]//IEEE International Conference on Cloud Computing，2010.

[12]任丹丹，杜素果.一种基于攻击树的VANET位置隐私安全风险评估的新方法[J].计算机应用研究，2011，28（2）：728-731.

[13]张秋瑾.云计算隐私安全风险评估[D].昆明：云南大学，2015.

[14]Wang H，Liu F，Liu H.A method of the cloud computing security management risk assessment[M]//Advances in computer science and engineering.[S.l.]：Springer，2012：609-618.

[15]施志坚，王华伟，王祥.基于多元联系数集对分析的航空维修风险态势评估[J].系统工程与电子技术，2016，38（3）：588-593.

[16]赵克勤.集对分析及其初步应用[M].杭州：浙江科学技术出版社，2000.

[17]王万军.一种基于集对决策的偏联系数方法[J].甘肃联合大学学报：自然科学版，2009，23（3）：43-45.

[18]ITSEC.Information technology security evaluation criteria，version1.2[S].Office for Official Publications of the European Communities，1991-06.

[19]吴亭.五元联系数在学生成绩发展趋势分析中的应用[J].数学的实践与认识，2009，39（5）：53-59.

[20]徐泽水.直觉模糊信息集成理论及应用[M].北京：科学出版社，2008.