基于模糊評估的等級保護(hù)風(fēng)險評估模型

劉一丹，董碧丹，崔中杰，李永立，2

(1.中國航天工程咨詢中心，北京100037;2.哈爾濱工業(yè)大學(xué)管理學(xué)院，黑龍江哈爾濱150001)

0 引言

信息系統(tǒng)風(fēng)險評估是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提［1］。信息安全風(fēng)險評估規(guī)范［2］中明確了信息系統(tǒng)風(fēng)險評估的基本工作形式是自評估與檢查評估。根據(jù)國家有關(guān)管理規(guī)定，基礎(chǔ)性、重要的信息系統(tǒng)采用等級保護(hù)標(biāo)準(zhǔn)進(jìn)行防護(hù)和測評。信息系統(tǒng)使用單位應(yīng)結(jié)合自身情況，依照國家標(biāo)準(zhǔn)，開展風(fēng)險評估工作。

目前，信息系統(tǒng)的復(fù)雜性和動態(tài)性給風(fēng)險評估帶來了很大困難，評估工作多是由專家根據(jù)定性的評價指標(biāo)進(jìn)行評估。因此，最終的評估結(jié)果易受主觀因素的影響，具有模糊性和不確定性。學(xué)術(shù)界已有一些針對網(wǎng)絡(luò)風(fēng)險評估中不確定性問題的研究:Fu等運用層次分析法 (AHP)和模糊綜合評價法 (FCE)，建立風(fēng)險評估的量化模式［3］;Huang等以灰色評估模型為基礎(chǔ)，在權(quán)重的選擇過程中引入模糊層次分析法，弱化了評價的主觀性［4］;Gao等人應(yīng)用灰色關(guān)聯(lián)決策算法，給出了評估值缺失的先驗估計，能夠有效地處理參數(shù)評估值的不確定性問題［5］;Huang等人利用不確定推理技術(shù)推導(dǎo)由脆弱性可能引發(fā)的系統(tǒng)安全事件并計算損失大小和風(fēng)險值［6］。

證據(jù)理論作為對貝葉斯概率方法的推廣，是一種重要的不確定性推理方法，能夠較好地解決目標(biāo)問題中的模糊性和不確定性［7-12］。已有的相關(guān)工作存在以下問題:一方面，沒有規(guī)范的評估體系和恰當(dāng)?shù)脑u價準(zhǔn)則;另一方面，缺少對評估中模糊值的處理。本文建立了基于等級保護(hù)標(biāo)準(zhǔn)的層次化評估體系，將等級保護(hù)和風(fēng)險評估有機(jī)地結(jié)合在一起;提出了以證據(jù)理論為基礎(chǔ)的模糊風(fēng)險評估模型，增加了對模糊值的處理，使其能夠更廣泛地應(yīng)用于信息系統(tǒng)風(fēng)險評估中。

1 基于等級保護(hù)的層次化評估體系

信息系統(tǒng)風(fēng)險評估是對系統(tǒng)中存在的安全風(fēng)險進(jìn)行識別、分析和評價。鑒于信息系統(tǒng)的復(fù)雜性，需要將風(fēng)險因素按照規(guī)律和特點進(jìn)行分類識別。本文依據(jù)我國《信息系統(tǒng)安全等級保護(hù)基本要求》［13］提取出其中主要的風(fēng)險因素并分為目標(biāo)層、準(zhǔn)則層和指標(biāo)層三層。各層的內(nèi)容如下:

(1)目標(biāo)層為風(fēng)險評估的目標(biāo)，即保障信息系統(tǒng)安全;

(2)準(zhǔn)則層為信息的三個安全屬性，即保密性、完整性和可用性［2］;

(3)指標(biāo)層分為兩級，第一級是等級保護(hù)要求中定義的系統(tǒng)安全的十個類別，由五個技術(shù)要求，五個管理要求構(gòu)成;第二層是各類別包含的主要風(fēng)險因素。

風(fēng)險評估層次化結(jié)構(gòu)體系如圖1所示，限于篇幅原因，指標(biāo)層中只列出了技術(shù)部分的風(fēng)險因素。

圖1 基于等級保護(hù)的層次化評估體系

2 基于證據(jù)理論的模糊評估方法

2.1 證據(jù)理論［14］

D-S證據(jù)理論是由Dempster和Shafer提出的一種處理不確定性的理論，能滿足比概率更弱的公理系統(tǒng)。該理論通過證據(jù)的積累不斷縮小假設(shè)集，能夠處理由隨機(jī)和模糊導(dǎo)致的不確定性。本文對證據(jù)理論的相關(guān)函數(shù)定義如下:

定義2 信度函數(shù)Bel和似然函數(shù)Pls:設(shè)Θ為識別框架，m為識別框架Θ上的基本可信度分配函數(shù)，若函數(shù)Bel:2Θ→［0，1］和 Pls:2Θ→［0，1］滿足

則稱函數(shù)Bel為Θ上的信度函數(shù)，函數(shù)Pls為Θ上的似然函數(shù)。Bel(A)表示對A為真的信任程度，Pls(A)表示對A為非假的信任程度。由此可得，區(qū)間 ［Bel(A)，Pls(A)］表示A的不確定區(qū)間，|Pls(A)-Bel(A)|表示對A的不確定程度。

定義3 D-S合成法則:設(shè)mi∈{mi|1 i n}為同一識別框架Θ上的n個基本可信度分配，若K =則可按照下述規(guī)則合成這n個信度

2.2 權(quán)重系數(shù)與合成法則修正

由于各風(fēng)險因素對系統(tǒng)安全有不同的影響，因此風(fēng)險因素的重要程度由相應(yīng)的權(quán)重系數(shù)體現(xiàn)，定義權(quán)重向量且滿足:

通過關(guān)聯(lián)權(quán)重向量，得到修正的D-S合成法則。設(shè)wmax=max(w1，w2，…wn)，令1 － αi=wi/wmax，則稱 αi為 wi的“折扣率”。利用“折扣率”，可按下述方法調(diào)整識別框架內(nèi)所有命題的基本可信度:

將調(diào)整后的基本可信度值 mi＇(Ak)，mi＇(Θ)代入式(3)，形成修正后的D-S合成法則［8］。

2.3 模糊評語集合

評語集合是對信息系統(tǒng)中各種風(fēng)險因素可能作出的評價集合，在證據(jù)理論中被視為識別框架。本文依據(jù)信息安全風(fēng)險評估規(guī)范［2］把度量等級分為5個等級，設(shè)S為評語集合，S={s1(很低風(fēng)險)，s2(低風(fēng)險)，s3(中等風(fēng)險)，s4(高風(fēng)險)，s5(很高風(fēng)險)}。

在實際風(fēng)險評估中，由于評估者對問題認(rèn)識的模糊性和局限性，給出的評估信息會有不精確、不完整的情況，可能會出現(xiàn)以下3種情況:

(1)V=si:評估值為精確值，表示評估者確定評估值對應(yīng)于某一風(fēng)險等級;

(2)V=*:評估值為缺失值，表示評估者無法確定評估值，利用證據(jù)理論計算時，可將缺失值視為對各風(fēng)險等級具有相同的信任度，即信任整個識別框架S;

(3)V=［si，sj］，i＜ j:評估值為模糊值，表示評估者無法精確確定評估值，認(rèn)為其值介于等級si和sj的區(qū)間中，鑒于評估區(qū)間一般不會跨越多個等級，令j=i+1。

本文將模糊性引入評語集合S，保持原有si定義不變，定義S*如下

2.4 基于模糊評估的等級保護(hù)風(fēng)險評估模型

以證據(jù)理論為模糊評估方法，建立基于模糊評估的等級保護(hù)風(fēng)險評估模型R={X，W，W*，S*，M}。

X={Xi|1 i n}，Xi對應(yīng)于圖1中指標(biāo)層里十個系統(tǒng)風(fēng)險類別，本文選取技術(shù)部分的五類安全事件進(jìn)行評估，即n=5。Xi={xij|1 j lXi}，xij為Xi包含的風(fēng)險因素，lXi為xij的個數(shù)，圖1中列出了本文使用的所有風(fēng)險因素。

風(fēng)險類別權(quán)重向量 W=(w1，w2，…，wn)，wi為 Xi的權(quán)重;風(fēng)險因素權(quán)重矩陣W*={wij|1 i n，1 j lXi}，wij為xij的權(quán)重。

S*為模糊評語集合，引用2.3節(jié)式 (6)中定義。

M為評估矩陣:mij(sk)表示風(fēng)險因素xij處于風(fēng)險等級sk的基本可信度，由評估者賦值;mij＇(sk)為調(diào)整后xij處于風(fēng)險等級sk的基本可信度，由mij(sk)通過折扣率計算得出;mi＇(sk)表示風(fēng)險類別xi處于風(fēng)險等級sk的基本可信度，由 mij＇(sk)經(jīng) D-S 合成法則合成得到;mi＇(sk)為調(diào)整后 xi處于風(fēng)險等級sk的基本可信度，由mi＇(sk)通過折扣率計算得出;最終，可求得信息系統(tǒng)處于風(fēng)險等級sk的基本可信度m(sk)，通過計算信度函數(shù)和似然函數(shù)，得到評估結(jié)果。

3 實證研究

本文給出一個信息系統(tǒng)風(fēng)險評估的實例，運用證據(jù)理論量化評估并對等級保護(hù)標(biāo)準(zhǔn)框架下的系統(tǒng)安全狀況進(jìn)行判斷。

步驟1 分別確定風(fēng)險類別Xi和風(fēng)險因素xij，由層次分析法得到權(quán)重W和W*。建立評估矩陣M，由專家評判基本可信度mij(sk)。

步驟2 對于每一類風(fēng)險類別，確定關(guān)鍵因素wmax，得到折扣率，代入式 (4)和式 (5)計算調(diào)整后的基本可信度 mij＇(sk)。

表1為經(jīng)步驟1和步驟2計算得到完整的評估矩陣M。不難發(fā)現(xiàn)，專家的評判結(jié)果既有精確值 (表中si列所示)，也有缺失值 (表中［si，si+1］列所示)和模糊值 (表中S*列所示)，具有很大的不確定性;而經(jīng)步驟2后，表中S*列增大說明，利用式 (4)和式 (5)可以使證據(jù)間的沖突歸于識別框架內(nèi)的不確定性［10］。

步驟3 利用式 (3)對各Xi內(nèi)的mij＇(sk)進(jìn)行證據(jù)合成，得到mi＇(sk)，重復(fù)步驟2，計算調(diào)整后的基本可信度mi＇(sk)，如表2 所示。同理，繼續(xù)利用式 (3) 對 mi＇(sk)進(jìn)行證據(jù)合成，得到信息系統(tǒng)處于風(fēng)險等級sk的基本可信度m(sk)，表3為合成結(jié)果。

步驟4 由表3中的結(jié)果，根據(jù)式 (1)、式 (2)計算信息系統(tǒng)處于不同風(fēng)險等級的信任度和似然度，得到評估結(jié)果，如表4所示。

由表2、表3可以看出，權(quán)重較高、可信度較高、專家普遍支持的評語等級 (風(fēng)險等級)經(jīng)合成后可信度變得更高，而權(quán)重較低、可信度較低、專家意見分歧較大的評語等級經(jīng)合成后可信度更低;評估中存在的模糊性和不確定性亦隨著合成進(jìn)行，逐漸降低至可接受范圍內(nèi)。由表4可得，該信息系統(tǒng)處于風(fēng)險等級s3(中等風(fēng)險)的信任度為0.762，遠(yuǎn)遠(yuǎn)高于其它等級，不確定度為0.001，因此可以判定該信息系統(tǒng)處于中等風(fēng)險。

表1 評估矩陣M

表2 風(fēng)險因素合成后的評估矩陣M

表3 風(fēng)險類別合成后的評估矩陣M

表4 評估結(jié)果

4 結(jié)束語

本文針對信息系統(tǒng)風(fēng)險評估易受主觀因素的影響，存在模糊性和不確定性等問題，提出了一個新的風(fēng)險評估模型。通過建立基于等級保護(hù)的層次化評估體系，并運用基于證據(jù)理論的模糊評估方法處理評估中存在的模糊值，最終量化評估結(jié)果。實證結(jié)果表明，該模型能夠減小風(fēng)險評估中的模糊性和不確定性，可以較好地解決信息系統(tǒng)風(fēng)險評估的實際困難和問題。不過，完整的信息系統(tǒng)風(fēng)險評估是對資產(chǎn)、脆弱性和威脅的整體評價，下一步應(yīng)考慮細(xì)化評估體系。

［1］FENG Dengguo，ZHANG Yang，ZHANG Yuqing.Survey of information security risk assessment［J］.Journal on Communications，2004，25(7):10-18(in Chinese).［馮登國，張陽，張玉清.信息安全風(fēng)險評估綜述 ［J］.通信學(xué)報，2004，25(7):10-18.］

［2］GB/T 20984-2007 Information security technology-Risk assessment specification for information security［S］.Beijing:Stan-dards Press of China，2007(in Chinese).［GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 ［S］.北京:中國標(biāo)準(zhǔn)出版社，2007.］

［3］FU S，ZHOU H J.The information security risk assessment based on AHP and fuzzy comprehensive evaluation［C］//International Conference on Risk Management ＆ Engineering Management.Beijing:IEEE，2008:404-409.

［4］HUANG Jianxiong，DING Jianli.Evaluation model for information system risk based on fuzzy analysis［J］.Computer Engineering and Design，2012，33(4):1285-1289(in Chinese).［黃劍雄，丁建立.基于模糊分析的信息系統(tǒng)風(fēng)險灰色評估模型［J］.計算機(jī)工程與設(shè)計，2012，33(4):1285-1289.］

［5］GAO Yang，LUO Junzhou.Information security risk assessment based on grey relational decision-making algorithm ［J］.Journal of Southeast University:Natural Science Edition，2009，39(2):225-229(in Chinese).［高陽，羅軍舟.基于灰色關(guān)聯(lián)決策算法的信息安全風(fēng)險評估方法 ［J］.東南大學(xué)學(xué)報 (自然科學(xué)版)，2009，39(2):225-229.］

［6］HUANG Hong，LIU Zengliang，YU Datai.A new uncertainty evolution inference model for classified evaluation of information system［J］.Transactions of Beijing Institute of Technology，2010，30(5):537-542(in Chinese).［黃洪，劉增良，余達(dá)太.一種新的系統(tǒng)等級測評不確定性演化推理模型［J］.北京理工大學(xué)學(xué)報，2010，30(5):537-542.］

［7］HUA Z，GONG B，XU X.A DS-AHP approach for multi-attribute decision making problem with incomplete information［J］.Expert Systems with Applications，2008，34(3):2221-2227.

［8］ZHANG X L，ZHANGX.Research on e-government security risk assessment based on improved D-Sevidence theory and entropy weight AHP ［C］//International Conference on Computer，Mechatronics，Control and Electronic Engineering.Changchun:IEEE，2010:93-96.

［9］LIU Jia，XU Guoai，GAO Yang，et al.The algorithm of power system security detection comprehensive decision based on dempster-shafer theory improved combination rule［J］.Transactions of China Electrotechnical Society，2011，26(7):247-255(in Chinese).［劉嘉，徐國愛，高洋，等.基于證據(jù)理論改進(jìn)合成法則的電力系統(tǒng)安全檢驗綜合判定算法 ［J］.電工技術(shù)學(xué)報，2011，26(7):247-255.］

［10］GAO Huisheng，ZHU Jing.Security risk assessment model of network based on D-S evidence theory［J］.Computer Engineering and Applications，2008，44(6):157-159(in Chinese).［高會生，朱靜.基于D-S證據(jù)理論的網(wǎng)絡(luò)安全風(fēng)險評估模型［J］.計算機(jī)工程與應(yīng)用，2008，44(6):157-159.］

［11］LI Yibing， ZHANG Zongzhi， GAO Zhenguo.Improved DS evidence theory application in cooperative spectrum sensing ［J］.Computer Engineering and Design，2011，32(10):3292-3295(in Chinese).［李一兵，張宗志，高振國.改進(jìn)的證據(jù)理論在合作頻譜感知中的應(yīng)用 ［J］.計算機(jī)工程與設(shè)計，2011，32(10):3292-3295.］

［12］FENG N，XIE J.A hybrid approach of evidence theory and rough sets for ISS risk assessment［J］.Journal of Networks，2012，7(2):337-343.

［13］GB/T 22239-2008 Information security technology-baseline for classified protection of information system ［S］.Beijing:Standards Press of China，2008(in Chinese).［GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求［S］.北京:中國標(biāo)準(zhǔn)出版社，2008.］

［14］DUAN Xinsheng.Evidence theory and decision-making，artificial intelligence［M］.Beijing:China Renmin University Press，1993:14-64(in Chinese).［段新生.證據(jù)理論與決策、人工智能［M］.北京:中國人民大學(xué)出版社，1993:14-64.］