基于信息系統(tǒng)安全風(fēng)險綜合評估的灰色預(yù)測模型研究

摘要:該文提出了基于信息系統(tǒng)若干歷史時期的風(fēng)險度的灰色預(yù)測模型，它充分利用灰色系統(tǒng)理論少數(shù)據(jù)建模的特點，根據(jù)已有風(fēng)險數(shù)據(jù)對信息系統(tǒng)的安全風(fēng)險價值的整體情況進行了客觀的預(yù)測，從而實現(xiàn)對信息系統(tǒng)安全風(fēng)險的有效的管理和控制。

關(guān)鍵詞:信息系統(tǒng);風(fēng)險評估;模糊綜合評判;灰色預(yù)測

中圖分類號:TP311文獻標(biāo)識碼:A文章編號:1009-3044(2009)36-10290-02

An Research of a Grey Prediction Model Based on Comprehensive Risk Evaluation of Information System Security

CAI Shu-zhen

(School of Information Science， Nanjing Audit University， Nanjing 210029， China)

Abstract: This article proposes a grey prediction model based on the risk degree of a information system in some stages. According to the characteristics of the grey system theory which can use a little datum to build the model and the existing risk data， It will predicate impersonally the holistic complexion of information system security risk value， so it will manage and control effectually the risk of information system security.

Key words: information system; risk analysis; fuzzy comprehensive evaluation; grey prediction

當(dāng)今社會被超大規(guī)模的信息網(wǎng)絡(luò)環(huán)境籠罩著，盡管各種安全保護措施層出不窮，但無論如何風(fēng)險都是仍然存在的，因而對信息安全風(fēng)險進行分析和評估在近幾年被越來越多的人所重視。到目前為止，關(guān)于風(fēng)險的分析方法、風(fēng)險評估方法以及風(fēng)險分析和評估建模方法、甚至于信息系統(tǒng)風(fēng)險的綜合評估模型的研究報道陸陸續(xù)續(xù)涌出。通過運用模糊綜合評估方法，結(jié)合層次分析法，采用Delphi精度分析的定性和定量相結(jié)合的信息系統(tǒng)安全風(fēng)險綜合評估模型，可以確定一個信息系統(tǒng)某個時期的風(fēng)險度量，但信息系統(tǒng)是復(fù)雜的，影響系統(tǒng)安全因素也是多樣的，從而希望能基于若干時期的風(fēng)險度建立一個安全風(fēng)險預(yù)測模型。

1 基于綜合評估模型的信息系統(tǒng)安全風(fēng)險的度量

風(fēng)險事件發(fā)生概率記為PS，風(fēng)險事件發(fā)生后果影響程度記為CS，那么風(fēng)險度量計算公式為RS=PS?誗CS[1]。

PS和CS的綜合評估步驟:

① 建立因素集U

記U={u1，u2，...，um}，其中ui(i=1，2，...，m)分別代表各影響因素。

風(fēng)險事件發(fā)生的影響因素和風(fēng)險事件發(fā)生后果的影響程度層次分析表如表1。……