電子政務系統信息安全風險的綜合評價模型

李軍偉　姜學東

摘 要： 信息安全風險是一種影響電子政務系統推廣的關建因素，而高精度的信息安全風險評價結果是保證電子政務系統正常工作的基礎，為了減少電子政務系統的信息安全風險，設計了一種新型的電子政務系統信息安全風險綜合模型。根據電子政務系統的脆弱性、威脅等要素建立信息安全評價指標體系，采用因子分析法對評價指標體系進行處理，得到比較重要的評價指標，最后通過支持向量機建立電子政務系統信息安全風險模型，并在Matlab 2014平臺上進行風險評價測試，該模型獲得了較優的電子政務系統風險評價精度。

關鍵詞： 電子政務； 信息安全； 風險評價模型； 入侵檢測

中圖分類號： TN915.08?34； TP181 文獻標識碼： A 文章編號： 1004?373X（2017）07?0074?04

Comprehensive evaluation model for information security risk of e?government system

LI Junwei， JIANG Xuedong

（Faculty of Mathmatics and Computer Science， Hebei Normal University for Nationalities， Chengde 067000， China）

Abstract： The information security risk is a key factor to influence on the promotion of the e?government system， and its high?precision evaluation result is the foundation to ensure the normal work of the e?government system. In order to reduce the information security risk of the e?government system， a new comprehensive evaluation model for information security risk of the e?government system was designed. The evaluation indicator system of the information security was established according to the factors such as the e?government system′s vulnerability and weakness ulnerable to threat， and processed with the factor analysis method to get the important evaluation indicator. The information security risk evaluation model of the e?government system was established with the support vector machine. The risk evaluation model was tested on the Matlab 2014. This model has high accuracy for risk assessment of the e?government system.

Keywords： e?government affair； information security； risk assessment model； intrusion detection

0 引 言

政府是信息的最大擁有者和使用者，電子政務系統是政府使用信息的平臺，是信息技術和行政管理的結合。我國的電子政務系統剛起步不久，目前仍然有許多問題有待解決，如信息安全問題。信息安全風險評價有利于保障電子政務系統的正常運行[1?2]。

電子政務系統安全是由多方面因素造成的，如網絡自身不足，缺乏風險意識，專業人才短缺等，設計性能優異的評價模型十分緊迫[3]。為此，有學者對電子政務系統安全存在的問題進行研究，當前主要可以劃分為信息安全風險等級分類和信息安全風險態勢估計兩種模型[4]。信息安全風險等級分類是指采用一定的技術和規則，將信息安全風險劃分為不同的等級，并根據分類結果采取相應的防范措施[5]。信息安全風險態勢估計實際是建立一種信息安全風險預測模型，這兩類預測模型有各自的優缺點，均有各自的應用范圍[6]。然而無論哪一種電子政務系統信息安全風險評價模型，都要分析那些直接影響電子政務系統的安全性因素[7?9]。當前選擇哪些影響因素即指標，對電子政務系統信息安全風險進行評價沒有統一的指導理論，都是根據自身的經驗進行選擇，這樣使得電子政務系統信息風險評價結果不穩定，通用性差，而且評價結果帶有一定的盲目性[10?11]。因子分析法可以確定每一個因素（指標）對電子政務系統信息風險評價結果的貢獻[12]。

為了減少電子政務系統的風險，設計了一種新型的電子政務系統信息安全風險綜合模型。本文模型提高了電子政務系統信息安全風險評價的精度，可以為電子政務信息安全風險控制提供有價值的參考意見。

1 因子分析法和支持向量機

1.1 因子分析法

設電子政務信息安全風險的原始指標有[p]個，從中選擇[m]個因子表示原始指標所包含的信息，那么可以得到：

[Ti=ωi1X1+ωi2X2+…+ωimXm+εi] （1）

式中：[εi]為獨特因子；[ωij]為因子載荷。

因子分析法的具體執行步驟如下：

（1） 由于電子政務信息安全風險指標的單位各不相同，導致收集數據的值可能差別比較大，為此必須對電子政務信息安全風險的原始指標值[tij]進行預處理，得到它們的相關系數[rij]矩陣判斷。

[R=（rij）p×prij=k=1n（tki-ti）（tkj-tj）k=1n（tki-ti）2（tkj-tj）2，i，j=1，2，…，p] （2）

（2） 對[λI-R=0]進行求解，可以得到特征值[λi，]方差貢獻率和累積方差貢獻率的計算公式具體如下：

[λik=1pλk， i=1，2，…，p] （3）

[k=1iλkk=1pλk， i=1，2，…，p] （4）

（3） 對累計貢獻率進行分析，采用前面[m]個指標作為因子分析的結果以描述電子政務信息安全風險的原始指標。

（4） 對電子政務信息安全風險的指標實行旋轉，得到其因子載荷矩陣為：

[A=（aij）m×paij=λilij，i，j=1，2，…，p] （5）

（5） 將電子政務信息安全風險指標進行線性組合，可以得到：

[Xi=li1T1+li2T2+…+lipTp，i=1，2，…，m] （6）

1.2 支持向量機

支持向量機是一種為了解決神經網絡需要大樣本數據問題的現代統計學習算法，采用結構風險最小化原則避免了過學習、過擬合等不足，泛化能力更優，設電子政務信息安全風險評價的樣本數據為：[D=（x1，y1），…，（xl，yl）?Rd×R，]那么支持向量機的解析函數為：

[f（x）=i=1laik（xi，x）+b] （7）

式中：參數[ai，b，i=1，2，…，l]值的求解可以變換為如下形式進行求解：

[min12W2+Ci=1l（ξi+ξ*i）s.t. yi-W，Φ（x）-b≤ε+ξiW，Φ（x）+b-yi≤ε+ξ*iξi，ξ*i≥0] （8）

式中：[ε]為誤差界限；[ξi，ξ*i]為松弛變量。

為了簡化式（8）問題的求解，得到如下的對偶形式：

[max-12i，j=1l（αi-α*i）（αj-α*j）k（xi，xj）-εi=1l（αi+α*i）+i=1lyi（αi-α*i）] （9）

相應的限制條件為：

[i=1l（αi-α*i）=0，αi，α*i∈0，C] （10）

當[f（x）]滿足[yi=f（xi）+υi]條件時，就可以認為系統有噪聲；采用核函數進行特征映射，本文選擇RBF核函數，其定義為：

[k（x，x）=exp-x-x22σ2] （11）

式中[σ2]表示超參數。

由于[W=i=1l（ai-a*i）Φ（xi）]，那么插值函數可以變為：

[f（x）=W，Φ（x）+b=i=1l（ai-a*i）Φ（xi），Φ（x）+b=i=1l（ai-a*i）k（xi，x）+b] （12）

式（8）中的松弛變量計算公式為：

[ξ*i=0， yi-W，Φ（x）-b≤εyi-W，Φ（x）-b-ε， otherwise] （13）

2 電子政務系統信息安全風險的綜合評價模型

2.1 風險評價指標

為了準確、全面、客觀地對電子政務系統信息安全風險進行評價，根據資產、威脅、脆弱性以及制度等建立如圖1所示的層次結構安全風險評價指標體系。

2.2 電子政務系統信息安全風險評價模型的工作思想

信息安全風險是影響電子政務系統推廣的關建因素，而信息安全風險評價的好壞是保證電子政務系統正常工作的基礎，本文提出了一種新型的電子政務系統信息安全風險綜合模型，其基本工作思想為：首先建立電子政務系統信息安全評價的指標體系，然后采用因子分析法選擇比較重要的評價指標，并消除一些不重要的指標，最后建立電子政務系統信息安全風險模型，電子政務系統信息安全風險的評價流程如圖2所示。

3 電子政務系統信息安全風險評價的實證研究

3.1 數據源

根據圖1中的電子政務系統信息安全風險評價指標收集數據，以入侵的次數作為電子政務系統信息安全風險輸出，入侵次數的變化曲線如圖3所示。

3.2 因子分析法確定重要指標

采用DPS軟件下的因子分析法對原始電子政務系統信息安全風險評價指標進行分析，它們的累計貢獻率如表1所示。從表1可以清楚地看出，隨著指標數的增加，累計貢獻率不斷增加，尤其當開始累計貢獻率增加的幅度相當快，指標數超過7個時，累計貢獻率達到了86%以上，此時指標為主要電子政務系統信息安全風險評價指標，其他指標可以當作噪聲忽略不計。

3.3 評價結果

根據表1所得的重要電子政務系統信息安全風險評價指標對原始樣本進行處理，減少了原始樣本數據規模，驗證樣本的電子政務系統信息安全風險評價結果如圖4所示。從圖4可知，本文模型的電子政務系統信息安全風險評價結果好，能夠保障電子政務系統的正常工作。

采用當前經典的信息風險模型進行對比測試，它們的電子政務系統信息安全風險評價精度如表2所示，從表2可知，相對當前經典的電子政務系統信息安全風險評價模型，本文模型的電子政務系統信息安全風險評價精度更高，提高了電子政務系統信息安全風險評價的準確性，評價結果更加可靠、合理，可以為電子政務系統管理員提供更好的參考信息，以便制定更好的管理措施。

4 結 語

風險評價是保證電子政務系統正常工作的基礎，如何提高電子政務系統信息安全風險評價的準確性，一直是人們關注的焦點，為了保證電子政務系統的信息安全，防止非法用戶進入系統竊取重要信息，設計了一種新型的電子政務系統信息安全風險評價模型，并通過實例驗證了其可行性和優越性。

參考文獻

[1] 郭曉武.電子政務的信息安全問題與對策[J].信息網絡安全，2006（7）：6?8.

[2] BODIN L D， GORDON L A， LOEB M P. Information security and risk management [J]. Communications of the ACM， 2008， 51（4）： 64?68.

[3] 陳亮.信息系統安全風險評估模型研究[J].中國人民公安大學學報（自然科學版），2007（4）：50?53.

[4] 戴航，賈斌，慕德俊.基于模糊評判法的信息安全風險評估模型[J].信息安全與通信保密，2006（10）：133?134.

[5] 范紅，馮登國，吳亞非.信息安全風險評估方法與應用[M].北京：清華大學出版社，2006.

[6] 馮登國，張陽，張玉清.信息安全風險評估綜述[J].通信學報，2004（7）：10?18.

[7] 林夢泉，王強民，陳秀真，等.基于粗糙集的網絡信息系統安全評估模型研究[J].控制與決策，2007，22（8）：951?955.

[8] 馬麗儀，張露凡，楊宜，等.基于模糊神經網絡方法的信息系統安全風險評價研究[J].中國安全科學學報，2012，22（5）：164?169.

[9] 尤馬彥，凌捷，郝彥軍.基于Elman神經網絡的信息安全風險估計模型[J].計算機科學，2012，39（6）：61?76.

[10] 孟錦，馬馳，何加浪，等.基于HHGA?RBF神經網絡的信息安全風險估計模型[J].計算機科學，2011，38（7）：71?75.

[11] 付鈺，吳曉平，宋業新.模糊推理與多重結構神經網絡在信息系統安全風險評估中的應用[J].海軍工程大學學報，2011，23（1）：10?15.

[12] 李方偉，鄭波，朱江，等.一種基于RBF神經網絡的信息安全風險估計模型[J].重慶郵電大學學報（自然科學版），2014，26（5）：576?583.