张玉娟 电科院

当前，在对国有企业的运行和管理的过程中，主要是依靠信息系统和网络架构来进行，同时，也逐渐提升对网络的依赖程度。对系统和平台的稳定性进行测试的主要依据就是网络信息安全。目前，大多数的企业管理人员只是对网络信息安全的重要性有所了解，并建立信息安全管理系统（ISMS），但是针对ISMS 实施的有效办法并没有得到有效的落实，其主要过程就是对风险的评估。风险评估的有效应用，可以对公司资产的风险进行评估，针对工期风险减轻制定出相应的策略。但是，它没有提供实现细节，也没有在实现级别将其分配给用户。因此，不同的用户组具有不同的术语，这些术语在网络风险评估的运营阶段会产生不同的结果。为此，本文针对风险评估建立相关模型，并结合专家的意见进行充分考虑。相关专家知识存储为监管数据库，模糊逻辑用于获取汇总值，作为管理公司网络信息安全的参考。

一、方法论

目前，已经有很多行业应用多标准决策（MCDM），主要涉及到如下领域：电子商务开发、软件开发、地下水污染、林业和卫生中心等。一般情况下采用衡量风险的影响方法，学者们还针对风险水平确定中所应用的方法的不同进行分析。相关学者使用概率，过程，层次，分析（AHP）和熵（Shannon）技术来评估网络安全风险。模糊逻辑用于通过语言变量进行决策，而熵技术也适用于加权决策矩阵。对风险的优先级进行评定可利用熵技术进行确定[1]，并根据ISO17799 分类确定风险因素。假设AHP 方法中两次比较中的风险确定为权重近似，在对各风险因素的可能性和严重性进行评估时可用专家意见进行评定。同时，可以认为单个信息资产对每个风险因素的脆弱性等同于影响的严重性以及专家和语言变量的相对价值[2]。

二、多准则决策模型的改进

作为决策表中的一种方法，多准则决策中每个决策选项的值均由专家确定。同样，针对熵技术，如果阈值内的所有替代项都具有“Very High”值，则阈值权重将显著降低。在工作进行的过程中，正在确定替代方案的当前值，并且应该使用“非常高”方案的相对值来确定TOPSIS 中替代方案的值。为此，如果将TOPSIS 技术用于风险评估，应用优先级对风险进行排序，并且无法实现评估目标。因此，模型中TOP-SIS 技术不能得到直接的应用。简单权重增加（SAW）方法是做出多准则决策的最流行方法[3]，在这项技术中，决策表中准则的权重取决于受访者的意见。任务的完成度一般是由决策表的值来决定的，或者由受访者直接确定为双重比较，或者由专家直接对权重予以确定。针对公司中的实际模型可以随意进行选择，为此在实际的实施过程中，采用SAW技术。

三、实际应用结果

为了验证所介绍模型的性能，针对模型的具体应用进行分析。进行评估时，预先确定了81 个威胁和9 个区域。第一，对每一个领域的重要性予以确定，依据其管理水平的不同，专家提出针对性的意见，并依照公司业务流程与供应商之间的关系，对每个领域的重要性做出明确的说明[4]，确保结果的合理性。在操作级别上，将每个显示区域中的可能性与影响因素作为目标，最后对风险级别进行计算。第二，专家将比较与威胁的机会和影响相关的标准，专家使用语言评估变量根据概率和影响标准评估威胁评估。建立模糊决策矩阵后，必须建立标准化的模糊决策矩阵，其中结果与总权重的模糊度有关。为此，对威胁的概率和影响值进行计算的过程中，应将每个标准所关联的值进行相加。分两步计算数字文档的潜在威胁：通过将83.6 的威胁风险水平乘以价值数字风险，将每个潜在威胁和最终影响不确定性相乘，数字化文档可以计算数字文档字段中所有威胁的风险级别[5]。

四、结语

为了ISMS 的有效实施，第一步可以利用一种工具对企业内部的风险进行评估，同时提出了模糊的多准则决策专家系统，以评估信息系统的风险，使用模糊的技术将专家意见与语言变量相关联，这些语言变量可以更准确地反映专家的意见。相比较之前的模型，此模型的优点是可以对各威胁带来的可能性和影响因素进行确定，并考虑有效的度量标准。最后，专家们提出了他们对特定标准的看法，从而使得结果的准确性和可靠性得到提升，从而可以看出，本文提出的方法可以对网络信息安全的风险进行有效的评估。