基于灰色模糊理論的信息系統安全風險評估研究

付沙楊 波李博

〔摘要〕針對信息系統安全風險中信息不完全性和概念不明確性的特點，運用灰色模糊理論探索信息系統的評估問題，在分析信息系統風險因素的基礎上，建立一套較為全面的指標體系對其進行綜合評估。以灰色系統理論和模糊集理論為依據，將隸屬度和灰度綜合到評估過程中，構建信息系統安全風險的灰色模糊綜合評價模型，計算信息系統的風險等級。通過實例分析證明該模型在其應用中的可行性與有效性。

〔關鍵詞〕灰色系統理論；模糊集理論；信息系統；風險評估；指標體系

DOI：10.3969/j.issn.1008-0821.2013.07.007

〔中圖分類號〕TP393；O159〔文獻標識碼〕A〔文章編號〕1008-0821（2013）07-0034-04

Information System Security Risk Assessment Based on Grey Fuzzy TheoryFu ShaYang BoLi Bo

（Hunan University of Finance and Economics，Changsha 410205，China）

〔Abstract〕With the informations incomplete and concepts is not clear of information systems security risk，used grey fuzzy theory to explore the assessment problem of information systems，and on the basis of information systems risk factors analysis，created a more comprehensive index system to give comprehensive assessment.Based on grey system theory and fuzzy set theory，and integrate degree of membership and gray in evaluation process，this paper built the grey fuzzy comprehensive evaluation model of information system security risk，calculated the risk level of the information system.The case analysis proved the feasibility and effectiveness of the model in its application.

〔Key words〕grey system theory；fuzzy set theory；information system；risk assessment；index system

當今，伴隨全球化信息時代的深入，信息的觸角已延伸至國家與社會的各個角落。人們在享受信息所帶來的諸多便利時，亦承受著史無前例的影響與控制。隨著信息技術的飛速發展，以網絡為載體、視信息資源為核心的信息系統規模不斷擴大，緊跟其腳步的信息戰與網絡攻擊事件逐步升級，信息系統所面臨的安全風險及威脅日趨嚴峻。如何為信息系統長期在安全與正常狀態的運行中處于較高水平提供有力保障是當前亟需解決的問題，而解決該問題的有效途徑之一則是對其進行有效的安全風險評估。

信息系統風險評估中，存在著許多模糊不確定因素，亦面臨著評估者對信息掌握的不完全以及收集資料不充分的問題，導致其精確評估困難重重，這就要求在評估過程中綜合考慮模糊性與灰色性兩方面的影響[1]。……