基于信息熵與三角模糊數的信息安全風險評估研究

付 沙,肖葉枝

(湖南財政經濟學院 信息技術與管理學院,湖南 長沙 410205)

人類邁入信息社會,網絡信息無處不在、無時不有,各行各業及人們的日常工作和生活都依賴于信息網絡,離不開信息網絡。人們在利用信息網絡進行生產、生活、交流和管理等過程活動的同時,信息網絡對人類社會的正常生活與生產秩序進行了有效的保護,改善或提高了人類的整體素質和生活質量,也促進了人類社會的交流和進步。然而,信息網絡的開放互聯性及軟、硬件固有的脆弱性會給信息的存儲、傳輸和使用帶來潛在的安全風險[1]。

信息安全風險評估作為預防和控制信息安全風險的重要手段,對解決信息安全問題起著至關重要的作用。風險評估涉及眾多復雜的評價要素,各因素之間存在相互作用關系;此外,風險評估的要素較難量化,致使信息安全風險評估工作具有一定的主觀性[2]。在原有理論的基礎上又涌現出許多優秀的研究成果,高志方[3]提出一種基于妥協率法的信息安全風險評估方法,運用妥協率方法對方案進行排序,該方法不僅考慮了方案與正、負理想點之間的距離,還探究了相對距離的重要性。黃慧萍[4]提出了一種基于攻擊防御樹和博弈論的信息安全評估方法。柴繼文[5]對現有風險評估模型進行分層細化,改進風險評估標準中各要素的識別與定量計算方法,減少風險計算所涉及要素之間的耦合。陳卓[6]提出一種可以包含更多信息的評判矩陣形式,評判矩陣最大限度地保留了評判過程中涉及到的信息。此外,引入與理想解的關聯度這項指標,使用逼近理想解法對專家意見進行分析排序。高凱[7]從風險來源視角,識別智慧城市信息安全主要風險源,通過分析指標間的相互依存關系,構建網絡層次分析法結構模型。王萍[8]研究了信息安全風險評估及其應用,提出了基于模糊綜合評估法的信息安全風險評估模型,結合信息安全風險評估流程,設計開發了一套適用于中小型企業的信息安全風險評估平臺。基于上述方面的考慮,本文提出將三角模糊數與信息熵理論應用于信息安全風險評估中的研究。

1 理論基礎

1.1 信息安全風險評估原理

依據2007年正式發布實施的國家標準《信息安全技術信息安全風險評估規范》(GB/T 20984-2007),風險評估就是利用資產識別、脆弱性識別、威脅識別與評估結果以及已有安全措施識別,對資產面臨的風險進行分析與評價。由于安全風險總是以威脅利用脆弱性導致一系列安全事件的形式體現出來的,風險的大小由安全事件產生后的損失及其發生的可能性決定,因此風險評估的主要任務是分析當前環境下安全事件的可能性和影響,然后使用特定方法來計算風險[3]。風險評估原理圖,如圖1所示。

圖1 風險評估原理圖

1.2 三角模糊數及其運算規則

|xU-yU|

(1)

(2)

(3)

稱s(X,Y)為決策方案X與Y的相似度。

(4)

(5)

1.3 確定相似度的相對比率

對決策方案集進行排序,使決策方案Ai與正理想決策方案之間的相似度越大越好,而決策方案與負理想決策方案的相似度越小越好。然而,當某個決策方案接近正理想決策方案時,它不一定會遠離負理想決策方案。為了解決上述問題,使用相對比率Rs(Ai)來表示接近正理想決策方案且遠離負理想決策方案的備選決策方案之間的相對差異。

(6)

2 基于信息熵與三角模糊數的風險評估方法

2.1 問題描述

2.2 決策步驟

針對上述問題,不確定多屬性決策的相似規劃模型具體步驟描述如下:

步驟1 構造三角模糊數形式的決策信息矩陣,分析確定的安全風險事件,針對m個方案,選擇n項指標,邀請專家組對信息安全風險狀況進行評估,經整理統計后得到三角模糊數決策信息矩陣R。

步驟2 規范化決策矩陣。對于成本型指標,將最大值賦值0,最小值賦值1,中間值按在[0,1]中的比例賦值,然后將區間前后互換;對于效益型指標,將最大值賦值1,最小值賦值0,中間值按在[0,1]中的比例賦值。最終可得到規范化決策矩陣R′。

步驟3 確定指標權重。首先,根據規范化決策矩陣R′確定各指標的信息熵Hj[12]。

(7)

信息熵的確定分為兩部分,分別是指標的重心點bij和三角模糊數的方差Vij。其中,ρ為決策者的判斷系數,0≤ρ≤1。

根據信息熵理論及公式(7),確定各指標的權重wj。

(8)

步驟5 通過公式(2)和公式(3),求解每個決策方案分別與正理想決策方案之間的相似度Sω(Ai,C+*),以及與負理想決策方案之間的相似度Sω(Ai,C-*)。

步驟6 根據公式(6),計算各決策方案Ai與理想決策方案C*的相似度在決策方案集中的相對比率Rs(Ai),并按照Rs(Ai)大小對方案進行排序,其值越大則方案越優。

3 實例分析

在質量工程獎項評估過程中,信息安全風險是評估基礎設施的一個重要方面。為申報省級質量工程獎項,某市質量技術監督局組織來自北京、上海、質量發展研究院的多位風險評估專家,在與當地五家知名公司(A1,A2,…,A5)網絡信息部門的相關管理和技術人員進行深入溝通,并詳細獲知其網絡信息系統近三年的技術和運營狀況后,主要考慮以下7個指標:保密性(C1) 、完整性(C2) 、可用性(C3) 、嚴重程度(C4) 、難易程度(C5) 、發生頻率(C6)和發生概率(C7)。專家組根據上述方面對5家公司的信息安全風險進行評估,得到各公司每項風險指標評價信息組成的決策信息矩陣,各公司在各指標下的評價值以三角模糊數形式給出,如表1所示。

表1 決策信息矩陣

1) 將專家組給出的決策信息矩陣進行規范化處理,其中,指標C1、C2和C3為風險評估的成本型指標,指標C4、C5、C6和C7為風險評估的效益型指標。

依據步驟2,規范化處理決策信息矩陣,得到規范化決策矩陣R′,如表2所示。

2)確定指標權重。首先,根據規范化決策矩陣R′確定各指標的信息熵Hj。

令決策者判斷系數ρ=0.5,計算各指標的信息熵Hj,即:

H1=0.9347,H2=0.9419,H3=0.9248,H4=0.9665,H5=0.8512,H6=0.9144,H7=0.9511,

然后,根據信息熵理論及公式(7),求得各指標的權重wj,即:

w1=0.1266,w2=0.1128,w3=0.1459,w4=0.0650,w5=0.2887,w6=0.1661,w7=0.0949

3)確定規范化決策矩陣的三角模糊數正、負理想決策方案。

根據公式(4)和公式(5),三角模糊數正理想決策方案C+*為:

C+*={[0.072,0.099,0.127],[0.075,0.103,0.113],[0.082,0.119,0.146],[0.022,0.043,0.065],[0.115,0.202,0.289],[0.111,0.138,0.166],[0.014,0.068,0.095]}

三角模糊數負理想決策方案C-*為:

C-*={[0.000,0.027,0.045],[0.000,0.047,0.066],[0.000,0.036,0.064],[0.000,0.014,0.036],[0.000,0.029,0.058],[0.000,0.042,0.097],[0.000,0.027,0.068]}

4)通過公式(2)和公式(3),求解各決策方案Ai分別與正、負理想決策方案之間的相似度。

Ai與正理想決策方案的相似度Sω(Ai,C+*)為:

Sω(A1,C+*)=0.958,Sω(A2,C+*)=0.971,Sω(A3,C+*)=0.967,Sω(A4,C+*)=0.948,Sω(A5,C+*)=0.946

Ai與負理想決策方案的相似度Sω(Ai,C-*)為:

Sω(A1,C-*)=0.966,Sω(A2,C-*)=0.953,Sω(A3,C-*)=0.956,Sω(A4,C-*)=0.976,Sω(A5,C-*)=0.977

5)依據公式(6),計算Ai與C*的相似度在決策方案集中的相對比率Rs(Ai)。

Rs(A1)=-0.0266,Rs(A2)=0,Rs(A3)=-0.0073,Rs(A4)=-0.0474,Rs(A5)=-0.0503

根據Rs(Ai)值的大小對各備選方案進行排序,可得到最終的排序結果為A2?A3?A1?A4?A5,可確定最優方案為A2,其評價結果能為該組織決策者提供科學依據。對風險評估實例的分析表明,運用該風險評估模型能夠有效地量化風險評估因素的影響,在考慮已有安全措施成本的同時,為選擇有效的安全控制措施提供客觀、準確的擇優排序,也進一步提高了信息安全風險評估的準確性。

4 結束語

本文采用三角模糊數的形式建立信息安全風險評估矩陣,運用信息熵理論確定評價指標的權重,基于相似度關系理論,建立了三角模糊數不確定多屬性決策的相似規劃模型,并對實現步驟進行了詳細探討。采用本文模型和計算方法所得到的資產風險評估結果,為信息安全保障工作提供了客觀、準確的決策依據,也為后期風險控制提供了更加確切合理的建議。