文档介绍:第第期计算机技术与发展. .
年月闭’匮.
基于熵权系数法的信息安全模糊风险评估
罗佳,杨世平
贵州大学计算机科学与技术学院,贵州贵阳
摘要:信息安全风险分析中存在大量模糊、不确定性影响因素,以往的信息安全风险综合分析方法如分析法需要收
集到精确全面的评估数据,通过故障树分析信息系统被攻击的原因,建立风险计算模型定量计算系统风险,此方法过于繁
琐,不易对信息系统风险进行准确的量化。针对此问题,文中通过对信息系统风险影响因素的识别与分析,构建反映信息
安全风险影响因素及它们相互关系的风险评估指标体系,并应用多级模糊综合评判法对风险评估指标进行多层量化评
估,同时利用信息熵定量计算各风险影响因素的权重,克服了直接赋值的主观性。该方法能较好地量化评估信息系统风
险,方便计算出信息系统总的风险值。
关键词:信息安全;风险评估指标体系;安全事件;模糊综合评判;熵权系数;风险分析
中图分类号: 文献标识码: 文章编号:———
‘‘
,—
,,,
: ,
。,.—
,,
. , ,
—,—
, ,·
.
。
.
:; ;;;——
;
引言化评估风险的前提。目前,还未建立比较全面的信息
信息安全风险评估是信息安全等级保护管理的基安全风险评估指标体系,许多风险评估指标体系未对
础工作,是信息安全风险管理的重要环节。通过开展风险的本质、结构及构成要素做出客观的描述。一些
信息安全风险评估,对网络与信息系统的资产价值,潜评估指标体系,仅把资产、威胁、脆弱性作为评估指标,
在的安全威胁、薄弱环节、防护措施等进行分析,可以实际上它们也受多种因素影响,需要分层细化。另一
发现信息系统中存在的主要安全问题,并找到解决这些把系统常见的几种威胁、脆弱性种类作为威胁、脆弱
些问题的方法,有针对性地进行管理。一个内容全性的下层评估指标。由于信息系统的复杂性,其面临
面、逻辑清晰的信息安全风险评估指标体系是有效量的风险会随着客观条件的变化而变化,当然威胁源、威
胁行为、脆弱性也随之改变,所以不能准确地量化评估
风险。信息安全风险由安全事件发生的可能性及其产
收稿日期:——;修回日期:一—
生的影响两个指标来衡量。量化风险的重点是量化
基金项目:贵州省科学技术基金项目黔科合字号
作者简介:罗佳一,女,贵州毕节人,硕士研究生,研究方向安全事件发生的频率及发生后的影响。文中通过对
为网络与信息安全;杨世平,教授,研究方向为计算机网络安全。安全事件发生可能性及其产生影响的因素集进行全面
· · 计算机技术与发展第卷
的分析,分层细化,分别建立安全事件发生可能性及其
产生影响的评估指标体系,应用模糊综合评判法分层
量化评估它们的值,最终计算出系统风险值。
信息安全风险分析及其计算方法
. 信息安全风险分析
风险分析中要涉及资产、威胁、脆弱性等基本要
素。每个要素有各自的属性,资产的属性是资产价
值;威胁的属性可以是威胁主体,出现的频率、动机等;
脆弱性的属性是被威胁利用的难易程度。风险分析的
主要内容为:
对资产识别,并对资产的价值赋值。威胁源的行为动机
威胁源的技术力量