電子政務系統(tǒng)信息安全風險的綜合評價模型

李軍偉　姜學東

摘 要： 信息安全風險是一種影響電子政務系統(tǒng)推廣的關建因素，而高精度的信息安全風險評價結(jié)果是保證電子政務系統(tǒng)正常工作的基礎，為了減少電子政務系統(tǒng)的信息安全風險，設計了一種新型的電子政務系統(tǒng)信息安全風險綜合模型。根據(jù)電子政務系統(tǒng)的脆弱性、威脅等要素建立信息安全評價指標體系，采用因子分析法對評價指標體系進行處理，得到比較重要的評價指標，最后通過支持向量機建立電子政務系統(tǒng)信息安全風險模型，并在Matlab 2014平臺上進行風險評價測試，該模型獲得了較優(yōu)的電子政務系統(tǒng)風險評價精度。

關鍵詞： 電子政務； 信息安全； 風險評價模型； 入侵檢測

中圖分類號： TN915.08?34； TP181 文獻標識碼： A 文章編號： 1004?373X（2017）07?0074?04

Comprehensive evaluation model for information security risk of e?government system

LI Junwei， JIANG Xuedong

（Faculty of Mathmatics and Computer Science， Hebei Normal University for Nationalities， Chengde 067000， China）

Abstract： The information security risk is a key factor to influence on the promotion of the e?government system， and its high?precision evaluation result is the foundation to ensure the normal work of the e?government system. In order to reduce the information security risk of the e?government system， a new comprehensive evaluation model for information security risk of the e?government system was designed. The evaluation indicator system of the information security was established according to the factors such as the e?government system′s vulnerability and weakness ulnerable to threat， and processed with the factor analysis method to get the important evaluation indicator. The information security risk evaluation model of the e?government system was established with the support vector machine. The risk evaluation model was tested on the Matlab 2014. This model has high accuracy for risk assessment of the e?government system.

Keywords： e?government affair； information security； risk assessment model； intrusion detection

0 引 言

政府是信息的最大擁有者和使用者，電子政務系統(tǒng)是政府使用信息的平臺，是信息技術和行政管理的結(jié)合。我國的電子政務系統(tǒng)剛起步不久，目前仍然有許多問題有待解決，如信息安全問題。信息安全風險評價有利于保障電子政務系統(tǒng)的正常運行[1?2]。

電子政務系統(tǒng)安全是由多方面因素造成的，如網(wǎng)絡自身不足，缺乏風險意識，專業(yè)人才短缺等，設計性能優(yōu)異的評價模型十分緊迫[3]。為此，有學者對電子政務系統(tǒng)安全存在的問題進行研究，當前主要可以劃分為信息安全風險等級分類和信息安全風險態(tài)勢估計兩種模型[4]。信息安全風險等級分類是指采用一定的技術和規(guī)則，將信息安全風險劃分為不同的等級，并根據(jù)分類結(jié)果采取相應的防范措施[5]。信息安全風險態(tài)勢估計實際是建立一種信息安全風險預測模型，這兩類預測模型有各自的優(yōu)缺點，均有各自的應用范圍[6]。然而無論哪一種電子政務系統(tǒng)信息安全風險評價模型，都要分析那些直接影響電子政務系統(tǒng)的安全性因素[7?9]。當前選擇哪些影響因素即指標，對電子政務系統(tǒng)信息安全風險進行評價沒有統(tǒng)一的指導理論，都是根據(jù)自身的經(jīng)驗進行選擇，這樣使得電子政務系統(tǒng)信息風險評價結(jié)果不穩(wěn)定，通用性差，而且評價結(jié)果帶有一定的盲目性[10?11]。因子分析法可以確定每一個因素（指標）對電子政務系統(tǒng)信息風險評價結(jié)果的貢獻[12]。

為了減少電子政務系統(tǒng)的風險，設計了一種新型的電子政務系統(tǒng)信息安全風險綜合模型。本文模型提高了電子政務系統(tǒng)信息安全風險評價的精度，可以為電子政務信息安全風險控制提供有價值的參考意見。

1 因子分析法和支持向量機

1.1 因子分析法

設電子政務信息安全風險的原始指標有[p]個，從中選擇[m]個因子表示原始指標所包含的信息，那么可以得到：

[Ti=ωi1X1+ωi2X2+…+ωimXm+εi] （1）

式中：[εi]為獨特因子；[ωij]為因子載荷。

因子分析法的具體執(zhí)行步驟如下：

（1） 由于電子政務信息安全風險指標的單位各不相同，導致收集數(shù)據(jù)的值可能差別比較大，為此必須對電子政務信息安全風險的原始指標值[tij]進行預處理，得到它們的相關系數(shù)[rij]矩陣判斷。

[R=（rij）p×prij=k=1n（tki-ti）（tkj-tj）k=1n（tki-ti）2（tkj-tj）2，i，j=1，2，…，p] （2）

（2） 對[λI-R=0]進行求解，可以得到特征值[λi，]方差貢獻率和累積方差貢獻率的計算公式具體如下：

[λik=1pλk， i=1，2，…，p] （3）

[k=1iλkk=1pλk， i=1，2，…，p] （4）

（3） 對累計貢獻率進行分析，采用前面[m]個指標作為因子分析的結(jié)果以描述電子政務信息安全風險的原始指標。

（4） 對電子政務信息安全風險的指標實行旋轉(zhuǎn)，得到其因子載荷矩陣為：

[A=（aij）m×paij=λilij，i，j=1，2，…，p] （5）

（5） 將電子政務信息安全風險指標進行線性組合，可以得到：

[Xi=li1T1+li2T2+…+lipTp，i=1，2，…，m] （6）

1.2 支持向量機

支持向量機是一種為了解決神經(jīng)網(wǎng)絡需要大樣本數(shù)據(jù)問題的現(xiàn)代統(tǒng)計學習算法，采用結(jié)構(gòu)風險最小化原則避免了過學習、過擬合等不足，泛化能力更優(yōu)，設電子政務信息安全風險評價的樣本數(shù)據(jù)為：[D=（x1，y1），…，（xl，yl）?Rd×R，]那么支持向量機的解析函數(shù)為：

[f（x）=i=1laik（xi，x）+b] （7）

式中：參數(shù)[ai，b，i=1，2，…，l]值的求解可以變換為如下形式進行求解：

[min12W2+Ci=1l（ξi+ξ*i）s.t. yi-W，Φ（x）-b≤ε+ξiW，Φ（x）+b-yi≤ε+ξ*iξi，ξ*i≥0] （8）

式中：[ε]為誤差界限；[ξi，ξ*i]為松弛變量。

為了簡化式（8）問題的求解，得到如下的對偶形式：

[max-12i，j=1l（αi-α*i）（αj-α*j）k（xi，xj）-εi=1l（αi+α*i）+i=1lyi（αi-α*i）] （9）

相應的限制條件為：

[i=1l（αi-α*i）=0，αi，α*i∈0，C] （10）

當[f（x）]滿足[yi=f（xi）+υi]條件時，就可以認為系統(tǒng)有噪聲；采用核函數(shù)進行特征映射，本文選擇RBF核函數(shù)，其定義為：

[k（x，x）=exp-x-x22σ2] （11）

式中[σ2]表示超參數(shù)。

由于[W=i=1l（ai-a*i）Φ（xi）]，那么插值函數(shù)可以變?yōu)椋?/p>

[f（x）=W，Φ（x）+b=i=1l（ai-a*i）Φ（xi），Φ（x）+b=i=1l（ai-a*i）k（xi，x）+b] （12）

式（8）中的松弛變量計算公式為：

[ξ*i=0， yi-W，Φ（x）-b≤εyi-W，Φ（x）-b-ε， otherwise] （13）

2 電子政務系統(tǒng)信息安全風險的綜合評價模型

2.1 風險評價指標

為了準確、全面、客觀地對電子政務系統(tǒng)信息安全風險進行評價，根據(jù)資產(chǎn)、威脅、脆弱性以及制度等建立如圖1所示的層次結(jié)構(gòu)安全風險評價指標體系。

2.2 電子政務系統(tǒng)信息安全風險評價模型的工作思想

信息安全風險是影響電子政務系統(tǒng)推廣的關建因素，而信息安全風險評價的好壞是保證電子政務系統(tǒng)正常工作的基礎，本文提出了一種新型的電子政務系統(tǒng)信息安全風險綜合模型，其基本工作思想為：首先建立電子政務系統(tǒng)信息安全評價的指標體系，然后采用因子分析法選擇比較重要的評價指標，并消除一些不重要的指標，最后建立電子政務系統(tǒng)信息安全風險模型，電子政務系統(tǒng)信息安全風險的評價流程如圖2所示。

3 電子政務系統(tǒng)信息安全風險評價的實證研究

3.1 數(shù)據(jù)源

根據(jù)圖1中的電子政務系統(tǒng)信息安全風險評價指標收集數(shù)據(jù)，以入侵的次數(shù)作為電子政務系統(tǒng)信息安全風險輸出，入侵次數(shù)的變化曲線如圖3所示。

3.2 因子分析法確定重要指標

采用DPS軟件下的因子分析法對原始電子政務系統(tǒng)信息安全風險評價指標進行分析，它們的累計貢獻率如表1所示。從表1可以清楚地看出，隨著指標數(shù)的增加，累計貢獻率不斷增加，尤其當開始累計貢獻率增加的幅度相當快，指標數(shù)超過7個時，累計貢獻率達到了86%以上，此時指標為主要電子政務系統(tǒng)信息安全風險評價指標，其他指標可以當作噪聲忽略不計。

3.3 評價結(jié)果

根據(jù)表1所得的重要電子政務系統(tǒng)信息安全風險評價指標對原始樣本進行處理，減少了原始樣本數(shù)據(jù)規(guī)模，驗證樣本的電子政務系統(tǒng)信息安全風險評價結(jié)果如圖4所示。從圖4可知，本文模型的電子政務系統(tǒng)信息安全風險評價結(jié)果好，能夠保障電子政務系統(tǒng)的正常工作。

采用當前經(jīng)典的信息風險模型進行對比測試，它們的電子政務系統(tǒng)信息安全風險評價精度如表2所示，從表2可知，相對當前經(jīng)典的電子政務系統(tǒng)信息安全風險評價模型，本文模型的電子政務系統(tǒng)信息安全風險評價精度更高，提高了電子政務系統(tǒng)信息安全風險評價的準確性，評價結(jié)果更加可靠、合理，可以為電子政務系統(tǒng)管理員提供更好的參考信息，以便制定更好的管理措施。

4 結(jié) 語

風險評價是保證電子政務系統(tǒng)正常工作的基礎，如何提高電子政務系統(tǒng)信息安全風險評價的準確性，一直是人們關注的焦點，為了保證電子政務系統(tǒng)的信息安全，防止非法用戶進入系統(tǒng)竊取重要信息，設計了一種新型的電子政務系統(tǒng)信息安全風險評價模型，并通過實例驗證了其可行性和優(yōu)越性。

參考文獻

[1] 郭曉武.電子政務的信息安全問題與對策[J].信息網(wǎng)絡安全，2006（7）：6?8.

[2] BODIN L D， GORDON L A， LOEB M P. Information security and risk management [J]. Communications of the ACM， 2008， 51（4）： 64?68.

[3] 陳亮.信息系統(tǒng)安全風險評估模型研究[J].中國人民公安大學學報（自然科學版），2007（4）：50?53.

[4] 戴航，賈斌，慕德俊.基于模糊評判法的信息安全風險評估模型[J].信息安全與通信保密，2006（10）：133?134.

[5] 范紅，馮登國，吳亞非.信息安全風險評估方法與應用[M].北京：清華大學出版社，2006.

[6] 馮登國，張陽，張玉清.信息安全風險評估綜述[J].通信學報，2004（7）：10?18.

[7] 林夢泉，王強民，陳秀真，等.基于粗糙集的網(wǎng)絡信息系統(tǒng)安全評估模型研究[J].控制與決策，2007，22（8）：951?955.

[8] 馬麗儀，張露凡，楊宜，等.基于模糊神經(jīng)網(wǎng)絡方法的信息系統(tǒng)安全風險評價研究[J].中國安全科學學報，2012，22（5）：164?169.

[9] 尤馬彥，凌捷，郝彥軍.基于Elman神經(jīng)網(wǎng)絡的信息安全風險估計模型[J].計算機科學，2012，39（6）：61?76.

[10] 孟錦，馬馳，何加浪，等.基于HHGA?RBF神經(jīng)網(wǎng)絡的信息安全風險估計模型[J].計算機科學，2011，38（7）：71?75.

[11] 付鈺，吳曉平，宋業(yè)新.模糊推理與多重結(jié)構(gòu)神經(jīng)網(wǎng)絡在信息系統(tǒng)安全風險評估中的應用[J].海軍工程大學學報，2011，23（1）：10?15.

[12] 李方偉，鄭波，朱江，等.一種基于RBF神經(jīng)網(wǎng)絡的信息安全風險估計模型[J].重慶郵電大學學報（自然科學版），2014，26（5）：576?583.