基于模糊MCDM方法的網絡安全技術風險評估

張玉娟 電科院

當前，在對國有企業的運行和管理的過程中，主要是依靠信息系統和網絡架構來進行，同時，也逐漸提升對網絡的依賴程度。對系統和平臺的穩定性進行測試的主要依據就是網絡信息安全。目前，大多數的企業管理人員只是對網絡信息安全的重要性有所了解，并建立信息安全管理系統（ISMS），但是針對ISMS 實施的有效辦法并沒有得到有效的落實，其主要過程就是對風險的評估。風險評估的有效應用，可以對公司資產的風險進行評估，針對工期風險減輕制定出相應的策略。但是，它沒有提供實現細節，也沒有在實現級別將其分配給用戶。因此，不同的用戶組具有不同的術語，這些術語在網絡風險評估的運營階段會產生不同的結果。為此，本文針對風險評估建立相關模型，并結合專家的意見進行充分考慮。相關專家知識存儲為監管數據庫，模糊邏輯用于獲取匯總值，作為管理公司網絡信息安全的參考。

一、方法論

目前，已經有很多行業應用多標準決策（MCDM），主要涉及到如下領域：電子商務開發、軟件開發、地下水污染、林業和衛生中心等。一般情況下采用衡量風險的影響方法，學者們還針對風險水平確定中所應用的方法的不同進行分析。相關學者使用概率，過程，層次，分析（AHP）和熵（Shannon）技術來評估網絡安全風險。模糊邏輯用于通過語言變量進行決策，而熵技術也適用于加權決策矩陣。對風險的優先級進行評定可利用熵技術進行確定[1]，并根據ISO17799 分類確定風險因素。假設AHP 方法中兩次比較中的風險確定為權重近似，在對各風險因素的可能性和嚴重性進行評估時可用專家意見進行評定。同時，可以認為單個信息資產對每個風險因素的脆弱性等同于影響的嚴重性以及專家和語言變量的相對價值[2]。

二、多準則決策模型的改進

作為決策表中的一種方法，多準則決策中每個決策選項的值均由專家確定。同樣，針對熵技術，如果閾值內的所有替代項都具有“Very High”值，則閾值權重將顯著降低。在工作進行的過程中，正在確定替代方案的當前值，并且應該使用“非常高”方案的相對值來確定TOPSIS 中替代方案的值。為此，如果將TOPSIS 技術用于風險評估，應用優先級對風險進行排序，并且無法實現評估目標。因此，模型中TOP-SIS 技術不能得到直接的應用。簡單權重增加（SAW）方法是做出多準則決策的最流行方法[3]，在這項技術中，決策表中準則的權重取決于受訪者的意見。任務的完成度一般是由決策表的值來決定的，或者由受訪者直接確定為雙重比較，或者由專家直接對權重予以確定。針對公司中的實際模型可以隨意進行選擇，為此在實際的實施過程中，采用SAW技術。

三、實際應用結果

為了驗證所介紹模型的性能，針對模型的具體應用進行分析。進行評估時，預先確定了81 個威脅和9 個區域。第一，對每一個領域的重要性予以確定，依據其管理水平的不同，專家提出針對性的意見，并依照公司業務流程與供應商之間的關系，對每個領域的重要性做出明確的說明[4]，確保結果的合理性。在操作級別上，將每個顯示區域中的可能性與影響因素作為目標，最后對風險級別進行計算。第二，專家將比較與威脅的機會和影響相關的標準，專家使用語言評估變量根據概率和影響標準評估威脅評估。建立模糊決策矩陣后，必須建立標準化的模糊決策矩陣，其中結果與總權重的模糊度有關。為此，對威脅的概率和影響值進行計算的過程中，應將每個標準所關聯的值進行相加。分兩步計算數字文檔的潛在威脅：通過將83.6 的威脅風險水平乘以價值數字風險，將每個潛在威脅和最終影響不確定性相乘，數字化文檔可以計算數字文檔字段中所有威脅的風險級別[5]。

四、結語

為了ISMS 的有效實施，第一步可以利用一種工具對企業內部的風險進行評估，同時提出了模糊的多準則決策專家系統，以評估信息系統的風險，使用模糊的技術將專家意見與語言變量相關聯，這些語言變量可以更準確地反映專家的意見。相比較之前的模型，此模型的優點是可以對各威脅帶來的可能性和影響因素進行確定，并考慮有效的度量標準。最后，專家們提出了他們對特定標準的看法，從而使得結果的準確性和可靠性得到提升，從而可以看出，本文提出的方法可以對網絡信息安全的風險進行有效的評估。