黄玉洁,唐作其,梁 静

(贵州大学 计算机科学与技术学院,贵阳 550025)

0 概述

信息安全风险评估是解决信息系统安全问题的有效手段,近年来已经取得一定的研究成果,其中，不仅有完善的国际标准以及符合各国国情的国家标准,还包括在标准的基础上提出的各种评估模型、评估方法、评估体系。文献[1]提出了一种基于攻击防御树和博弈论的评估方法。文献[2]利用模糊认知图获取资产间关系并通过模糊认知图推理过程计算系统风险值。文献[3]把贝叶斯网络和有序加权平均算子(OWA)结合应用于信息安全威胁评估模型。文献[4]提出了基于Petri网的CPS信息安全风险评估方法。

风险评估过程是对模糊信息综合评价的过程,因此出现了基于层次分析法[5]、层次模糊综合法[6]、灰色综合评价法[7]、人工神经网络[8]、逼近理想解排序法(Technique for Order Preference by Similarity to an Ideal Solution,TOPSIS)[9]等信息安全风险评估方法。这些方法在处理模糊信息的过程中都有一定的优势。其中，TOPSIS方法是一种决策方法,其区间数可充分利用原有信息数据,对每个评价对象进行优劣排序,为专家评估时的权威性问题提供解决方案,因此能很好地应用到信息安全风险评估领域[10]。然而实际案例中对某些取值会有一定的偏好,造成有效信息流失,最终导致评价结果出现偏差。因此,需要一种能充分利用所有信息的区间方法。国内外已有众多学者对三参数形式的区间进行研究,如文献[11]研究了以三参数区间数形式给出的有限方案决策问题,用3个参数区间全面覆盖信息从而在一定程度避免信息的缺失,这类方法在文献[12]研究下得到进一步改进。针对上述研究的不足,本文提出了将三参数区间数以及信息熵理论运用到信息安全风险评估中的方法,通过信息熵确定指标权重,并采用三参数区间得到评价权重,对权重进行分析得到风险评估结果。

1 信息安全风险评估

国标GB/T 20984-2007[13]中规定风险评估是通过对风险资产、威胁、脆弱性的识别以及赋值,最终得到信息系统的安全保护等级。通过对国标的详细解读,本文在基本原理的基础上将资产、威胁、脆弱性按照国标的内容分解到更小的指标中,具体如图1所示。

图1 风险分析原理

从图1可以看出，需要从资产保密性、完整性等7个指标评估一个信息安全事件的安全风险等级。因此,风险计算公式可以表示为:

R=f(A1,A2,A3,V1,V2,V3,T1)

(1)

其中,f表示计算风险值的函数。

解决多指标评价问题有多种解决方式,比如AHP、灰色理论等,但无论是哪种方式都需要构造评价矩阵,根据评价矩阵采用某种方式综合所有评价者的意见,分析评价矩阵计算得到最终结果,这种方式避免了单人评价带来的人为主观性。通常传统型评价矩阵采用对多个单因素等级打分的形式,评估者采用单数值表达打分程度,然后采用层次分析法、熵权法等综合计算得到各单因素的相对权重,最终求得风险等级。但这种形式忽略了评价者自身的权威性,将所有评价者等同对待,导致信息被利用不完全;同时考虑评价者在信息判定时存在模糊不确定的情况,文献[10]提出一种新的矩阵评价形式的方法,即区间数评价矩阵。不仅考虑专家评价者的权威性,还采用区间形式表达专家对某个指标打分的不确定与模糊性,从而增加结果的准确性。

本文在上述研究基础上提出将三参数区间数形式的评价矩阵应用到信息安全风险评估中。国标中采用5个等级表达危害严重程度,评估风险等级的目的是确定安全事件一旦发生可能对系统造成的危害程度,然后根据是否可接受进而采取对策和整改措施。由此可知,等级是确定相对危害程度的度量值,因此本文采用9个等级表达危害严重程度。一方面为了方便三参数区间表达,另一方面,1～9是人们习惯的数量表达方式。同样采用区间的形式可表达每个等级的取值范围。

安全事件确定以后,各专家对上述分析的7个指标进行打分,包含分值的上下限以及可能性最高的值。确定三参数区间形式的评价矩阵Z,通过矩阵确定指标的权重R以及评价者的权重W,从而确定风险事件的风险等级。

Risk=R∘Z∘W

(2)

其中,符号“∘”表示运算法则。

最终得到的风险等级结果是三参数形式的区间数,不仅反映最终结果的区间范围,更反映风险事件等级最可能的值,使得最终风险等级结果更明确。

2 理论基础

2.1 三参数区间数

定义1设r=[a,b,c]为r取值的三参数区间数形式,其中,a、c分别是区间的上限与下限,b为区间中取值概率最大的数,称为区间重心，a≤b≤c。

定义2设r1=[a1,b1,c1],r2=[a2,b2,c2],则r1与r2之间的三维欧式距离为:

(3)

定义3设三参数形式的区间数r1=[a1,b1,c1],r2=[a2,b2,c2],其中m(r1)=(a1+c1)/2,m(r2)=(a2+c2)/2,l(r1)=c1-a1,l(r2)=c2-a2,则r1大于r2的可能性记为[12]:

(4)

定义4设A=([aA1,bA1,cA1],[aA2,bA2,cA2],…,[aAn,bAn,cAn]),B=([aB1,bB1,cB1],[aB2,bB2,cB2],…,[aBn,bBn,cBn])为2个三区间形式的向量,则向量A与向量B的关联综合距离为[12]:

(5)

其中,i∈(1,2,…,n),wi表示第i个评价指标权重。

在区间决策方法中,通过检测评价对象与最优解以及最劣解之间的距离来判定评价对象的相对优劣程度。

假设有一个三参数区间评价矩阵Z:

那么,在求矩阵Z的最优解与最劣解之前需要将矩阵规范化。首先需要区分成本型指标与效益型指标,按照不同的处理方法对数据规范化。成本型指标表示评价值与指标值成反比变化,而效益型指标成正比变化[10]。

假设矩阵Z是经过规范化处理的，那么正理想解也即最优解为[12]:

(6)

负理想解也即最劣解为:

(7)

其中,ri由式(4)求得。

在决策方法TOPSIS中,通过评价矩阵与正负理想数求得两者之间的综合关联度,并根据综合关联度对评价者的重要度进行排序即区间排序,进而确定评价者的权重。

2.2 信息熵

在信息安全风险评估中，确定风险因素的相对权重通常采用层次分析法。该方法是定性与定量方法相结合的多准则决策方法,通过对指标之间进行两两比较,量化分析风险评估过程中各指标相对重要程度。然而这种方法对参与者的专业知识以及经验水平都有较高的要求。除了层次分析法,信息熵也能够应用于指标权重的确定,在一定程度上减弱人为主观因素的影响。文献[14-17]将信息熵理论应用到权重的确定中,表明信息熵能很好地应用于指标权重确定。

信息熵用来描述随机事件不确定性的程度,是测量不确定性的量,根据指标变异性的大小可以确定对象的权重,具体信息熵概念如下[18]:

设信息系统处于n种不同的状态,其中，Si表示系统处于i(i∈(1,2,…,n))种状态下,pi表示系统处于状态Si的概率,则信息熵记为:

(8)

指标的变异程度与信息熵成反比,与指标权重成正比。因此,信息熵越大,指标的权重值越小,具体计算如下:

(9)

(10)

2.3 基于三参数区间数与信息熵的风险评估流程

采用本文方法的前提是需要对信息系统的资产、脆弱性、威胁进行统计分析,哪些威胁能利用哪些资产的脆弱性,分析三者之间的关联关系,进而确定信息系统存在的风险事件。然后采用三参数区间数和信息熵的方式对每个风险事件进行分析,确定风险等级。信息安全风险评估的目的是根据风险评估确定信息系统中存在哪些安全事件,是否在能接受的范围内。该方法的具体风险评估流程如下:

步骤1构建三参数区间形式的评价矩阵。

分析确定的安全风险事件,选定n个指标,请m个专家进行评价,综合评价结果,整理统计三参数区间评价矩阵Z。

步骤2规范化矩阵。

确定各指标的类型,对其分别处理。对于成本型指标,将最大值赋值0、最小值赋值1、中间值按在[0,1]中的比例赋值,然后将区间前后互换。对于效益型指标,将最大值赋值1、最小值赋值0、中间按占[0,1]中的比值赋值。最终得到规范化的评价矩阵Z。

步骤3计算指标权重。

首先依据规范化的评价矩阵Z确定属性j的熵值:

(11)

熵值的确定分为两部分,分别是指标的重心点bij以及三参数形式的区间数的方差Vij。其中,ρ为决策者的判断系数,0≤ρ≤1。

根据信息熵的理论及式(8)～式(10),确定指标权重:

(12)

步骤4确定评价矩阵的正负理想解。

由式(6)和式(7)分别确定评价矩阵Z的正理想解、负理想解。

步骤5计算评价向量与正负理想解之间的综合距离。

由式(5),结合确定的评价矩阵的正负理想解,求得正负综合距离:

(13)

(14)

其中,i∈(1,2,…,m),j∈(1,2,…,n)。

步骤6计算评价向量与正负理想解的贴近度。

综合评价矩阵与正负理想解之间的综合距离,求各评价向量与正负理想解之间的贴近度,即:

(15)

其中,i∈(1,2,…,m),j∈(1,2,…,n)。

步骤7确定评价者的相对权重。

综合评价向量与理想解之间的贴近度,得到评价者的相对权重,即:

(16)

步骤8计算最终风险的区间形式。

通过式(2),得到风险事件三区间形式的各等级得分区间值。

步骤9分析结果,确定风险等级。

通过上述求得的风险事件的区间形式,分析得到风险事件风险发生的可能性等级。

3 实例分析

下面以某城市应急管理系统为例展示风险值计算过程。经过分析,该系统面临几个风险事件,包括计算机病毒事件、蠕虫事件、其他有害程序事件、拒绝服务攻击事件、漏洞攻击事件、信息丢失事件等。本文以计算机信息丢失事件E1为例,分别采用文中提到的方法与传统二区间形式的评价矩阵对其进行风险安全等级的评估。

3.1 信息安全风险评估

风险安全等级评估方法如下：

1)确定影响E1的安全等级因素

通过前文分析,这里选定资产的保密性(f1)、完整性(f2)、可用性(f3)、技术实现的难易程度(f4)、弱点的流行程度(f5)、已有安全措施(f6)、脆弱性发生的频率(f7)作为风险因素指标。

2)构造三参数形式的评价矩阵

假设有5位行业专家,分别用p1～p5表示。请每位专家对E1的7个影响因素给出评价,综合给出的评语建立评价矩阵,如表1所示。

表1 专家评价矩阵Z

3)规范化矩阵

通过7个指标等级高低分别对安全事件风险等级的影响进行分析,确定f1、f2、f3、f5、f7为“效益性”因素,f4、f6为“成本型”因素。依据上述评估流程讲述的对于不同的因素类型采用不同的处理方式得到规范化评价矩阵Z：

4)计算指标权重

首先令ρ=0.6,计算各指标的信息熵以及指标权重,通过式(11)和式(12)计算得到结果如表2所示。

表2 指标信息熵以及权重

5)确定评价矩阵的正负理想型解

根据式(6)和式(7)计算得到评价矩阵Z的正负理想解,分别如下:

正理想型解:{[0.33,0.66,1],[0.66,1,1],[0.66,0.66,1],[0.75,0.75,1],[0.66,1,1],[0.875,0.875,1],[0.5,0.5,1]}。

负理想型解:{[0,0.33,0.66],[0,0.33,0.66],[0,0.33,0.33],[0.5,0.5,0.75],[0,0.33,0.66],[0,0.25,0.25],[0,0.25,0.5]}。

6)确定专家相对权重

根据式(13)和式(14)计算得到评价矩阵与正负理想解的综合距离,如表3所示。

表3 评价矩阵与正负理想解的综合距离

根据式(15)得到每个专家评价与理想矩阵的贴近度,即:

C=[0.590 9,0.453 9,0.416 8,0.388 6,0.383 8]T

根据式(16)得到专家的相对权重,即:

R=[0.264 4,0.203 1,0.186 5,0.173 9,0.171 7]T

7)确定风险事件风险

通过式(2),综合专家权重、指标权重,得到风险安全事件E1的安全等级区间为:

Risk=[5.427,6.320,7.080]

从结果可以看出,风险事件E1的风险等级在区间[5,7]之间,且等级为6的概率相对较大,因此可以判定风险事件E1的风险等级为6。其他风险事件等级评估方式同理。

3.2 二区间形式评估方法

采用文献[10]中的方法计算风险值,根据上文中评价矩阵Z,得到2个参数区间形式的评价矩阵,即:

正负理想解构造采用如下方式:

正理想型：J+={[aj,cj]|1≤j≤n},其中，aj、cj分别为第j个因素下所有专家评分的下限平均值、上限平均值。

负理想型：J-={[aj，cj]|max(|aij-J+(aj)|+|cij-J+(cj)|)},其中，1≤i≤m,1≤j≤n,aij为评价矩阵中第i个专家对第j个指标的评价。

依照上述方法得到结果为:

正理想解为:{[0.33,0.86],[0.33,0.93],[0.4,0.8],[0.35,0.85],[0.4,0.93],[0.2,0.4],[0.25,0.8]}。

负理想解为:{[0,0.66],[0,0.66],[0,0.33],[0,0.5],[0,0.66],[0.87,1],[0,0.5]}。

将评价矩阵中每个评价区间与正负理想解对比,计算得到每个区间的关联系数:

ξ+=

ξ-=

通过关联系数,计算关联度以及综合关联度,得到专家意见的排序,即:

将综合关联度归一化得到专家的相对权重,即:

R= [0.11 0.24 0.23 0.21 0.18]T

最终风险等级区间为:

Risk=R∘Z∘W=[5.73,7.44]

因此,可以判定安全事件E1的风险等级大于5小于7,但具体偏向哪个等级结果不确定。

3.3 结果对比

通过2种不同表示方法与计算方式得到结果对比如表4所示。

表4 2种区间方法对比结果

由表4可以看出,采用一般区间形式得到的结果是区间形式的,可能性值会扩大,而三区间形式的评估结果虽然也是区间形式,但有一个最大可能的值,因此缩小了取值范围。

4 结束语

本文采用三参数区间数的形式构建信息安全风险评价矩阵,分析信息熵理论得到评价指标的权重,通过决策方法TOPSIS计算评估专家的权重,结合评价矩阵给出系统安全事件的风险等级。该方法整合并充分利用评估者的全部有用信息,以减弱结果的模糊性。实验结果表明，与一般区间形式方法相比，三参数区间形式的评估方法在确定最终风险等级时能够缩小范围,使得结果更准确。