基于自適應(yīng)專家權(quán)重的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型

盧 賽，莊 毅

(南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106)

0 引 言

隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，人類進(jìn)入了信息化時(shí)代。信息系統(tǒng)作為信息在網(wǎng)絡(luò)環(huán)境中的載體，承擔(dān)了不可或缺的角色，其價(jià)值也日益增加，各行各業(yè)都涌現(xiàn)出了大量的信息系統(tǒng)。與此同時(shí)，信息系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn)也越來越高，信息安全事件層出不窮。以惡意程序?yàn)槔?017年席卷全球的WannaCry勒索病毒在幾天內(nèi)便感染了150個(gè)國家/地區(qū)的23萬多臺(tái)計(jì)算機(jī)[1]，攻擊者以恢復(fù)數(shù)據(jù)為由勒索大量贖金，對(duì)個(gè)人、企業(yè)以及政府造成了巨大損失。根據(jù)卡巴斯基實(shí)驗(yàn)室安全報(bào)告[2]，2019年檢測(cè)到2461萬個(gè)獨(dú)立的惡意對(duì)象，4.6萬個(gè)加密勒索軟件，同時(shí)近226萬臺(tái)計(jì)算機(jī)受到了礦工軟件的攻擊,19.8%的用戶計(jì)算機(jī)在過去一年中至少遭受過一次惡意軟件的網(wǎng)絡(luò)攻擊。此外，信息系統(tǒng)還面臨從物理層面、網(wǎng)絡(luò)層面、管理層面等各方面的安全威脅。因此，如何準(zhǔn)確地識(shí)別信息系統(tǒng)的風(fēng)險(xiǎn)因素，評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)，保障信息安全成為了不容忽視的研究內(nèi)容[3]。

作為識(shí)別和分析風(fēng)險(xiǎn)的有效方法，風(fēng)險(xiǎn)評(píng)估在各個(gè)領(lǐng)域得到了廣泛應(yīng)用。評(píng)估方法主要分為定性評(píng)估方法、定量評(píng)估方法以及定性與定量相結(jié)合的綜合評(píng)估方法[4]。定性評(píng)估方法是早期風(fēng)險(xiǎn)評(píng)估應(yīng)用最廣泛的評(píng)估方法。其優(yōu)點(diǎn)是能得到更為全面和深刻的評(píng)估結(jié)果，但評(píng)估過程相對(duì)簡(jiǎn)單。該方法缺點(diǎn)比較明顯，評(píng)估效果依賴于評(píng)估專家的專業(yè)知識(shí)和經(jīng)驗(yàn)，因此評(píng)估結(jié)果有較強(qiáng)的主觀性。定量評(píng)估方法采用直觀具體的數(shù)值指標(biāo)進(jìn)行風(fēng)險(xiǎn)評(píng)估，用具體的風(fēng)險(xiǎn)值表示評(píng)估結(jié)果。其優(yōu)點(diǎn)是用直觀的數(shù)據(jù)表示評(píng)估結(jié)果，相對(duì)而言具有較好的科學(xué)性。由于完全量化的風(fēng)險(xiǎn)評(píng)估實(shí)現(xiàn)較困難，因此該方法通常采用數(shù)學(xué)模型描述風(fēng)險(xiǎn)，將復(fù)雜問題簡(jiǎn)化，但也造成了一定的誤差。定性和定量相結(jié)合的評(píng)估方法是目前廣泛應(yīng)用的方法，通過定性評(píng)估方法建立評(píng)估指標(biāo)體系，再利用數(shù)學(xué)模型計(jì)算定量的風(fēng)險(xiǎn)值。

隨著信息系統(tǒng)規(guī)模的擴(kuò)大，信息安全風(fēng)險(xiǎn)評(píng)估也日益復(fù)雜化。目前風(fēng)險(xiǎn)評(píng)估過程中如何合理設(shè)置專家權(quán)重仍面臨以下挑戰(zhàn)：1)由于信息系統(tǒng)的日益復(fù)雜化，風(fēng)險(xiǎn)評(píng)估指標(biāo)體系呈現(xiàn)出跨領(lǐng)域的特點(diǎn)，專家對(duì)各領(lǐng)域的知識(shí)量的不同導(dǎo)致評(píng)分可能存在不合理；2)專家群體權(quán)重往往以權(quán)重向量的形式表現(xiàn)，粒度較粗無法適應(yīng)復(fù)雜信息系統(tǒng)的評(píng)估；3)風(fēng)險(xiǎn)評(píng)估過程中，專家權(quán)重一般根據(jù)以往經(jīng)驗(yàn)靜態(tài)賦值或采用等值法，主觀性強(qiáng)，不具備針對(duì)具體評(píng)估過程中專家表現(xiàn)情況動(dòng)態(tài)調(diào)整的能力，缺乏自適應(yīng)性和魯棒性。雖然近年來已有研究為專家賦予后驗(yàn)權(quán)重來調(diào)節(jié)主觀性和客觀性，但總體權(quán)重粒度較粗。

針對(duì)以上問題，本文開展了基于自適應(yīng)權(quán)重調(diào)整的風(fēng)險(xiǎn)評(píng)估模型研究。主要工作如下：1)設(shè)計(jì)一種安全風(fēng)險(xiǎn)指標(biāo)描述模型，給出風(fēng)險(xiǎn)指標(biāo)危險(xiǎn)量化方法，可實(shí)現(xiàn)細(xì)粒度的風(fēng)險(xiǎn)指標(biāo)描述；2)構(gòu)建基于自適應(yīng)專家權(quán)重的適用于復(fù)雜信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估模型SAEW-ISRA(Information System Risk Assessment Model Based on Self-Adaptive Expert Weight)，給出完整的風(fēng)險(xiǎn)評(píng)估框架；3)提出一種細(xì)粒度專家權(quán)重自適應(yīng)調(diào)整方法，采用后驗(yàn)調(diào)整因子依據(jù)專家在評(píng)估中體現(xiàn)出的知識(shí)量水平和個(gè)體評(píng)分偏離度動(dòng)態(tài)調(diào)整后驗(yàn)權(quán)重，根據(jù)綜合調(diào)整因子平衡專家個(gè)體權(quán)威和客觀表現(xiàn)，可實(shí)現(xiàn)專家權(quán)重的自適應(yīng)調(diào)整。基于模糊層次分析法給出安全風(fēng)險(xiǎn)指標(biāo)體系中的權(quán)重計(jì)算方法，可避免層次分析法中的一致性驗(yàn)證困難問題。

本文根據(jù)上述工作編碼實(shí)現(xiàn)了風(fēng)險(xiǎn)評(píng)估模型，進(jìn)行某信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)驗(yàn)，并給出結(jié)果分析。

1 相關(guān)研究

信息安全風(fēng)險(xiǎn)評(píng)估作為識(shí)別風(fēng)險(xiǎn)、保障信息安全的重要手段，一直是研究熱點(diǎn)。文獻(xiàn)[5]使用層次分析法實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估。Wang等[6]將層次分析法與D-S證據(jù)理論相結(jié)合，以簡(jiǎn)化評(píng)估問題，提升評(píng)估精度。類似的基于層次分析法進(jìn)行研究的還有Tao等[7]、Kokangül等[8]和彭道剛等[9]學(xué)者的工作。Li等[10]提出了一種基于改進(jìn)的模糊層次分析法的信息安全風(fēng)險(xiǎn)評(píng)估新方法，并引入細(xì)化指標(biāo)和直覺模糊集，以減少傳統(tǒng)風(fēng)險(xiǎn)評(píng)估中的主觀判斷因素。Huang等[11]將模糊集引入證據(jù)理論，提出了一種基于改進(jìn)模糊證據(jù)理論的方法，提高了評(píng)估的有效性。Wu等[12]提出了一種基于D-S證據(jù)理論和改進(jìn)TOPSIS的評(píng)估方法，可減少專家評(píng)估結(jié)果的不確定性，提高信息安全風(fēng)險(xiǎn)評(píng)估的客觀性和準(zhǔn)確性。文獻(xiàn)[13]提出了將熵理論與TOPSIS結(jié)合的評(píng)估模型，使用熵理論計(jì)算指標(biāo)的客觀權(quán)重，對(duì)TOPSIS改進(jìn)以用于分析評(píng)估數(shù)據(jù)和指標(biāo)權(quán)重。弭乾坤等[14]考慮到網(wǎng)絡(luò)攻防對(duì)抗過程，利用不完全信息下的貝葉斯攻防博弈建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型，能夠克服現(xiàn)有的采用完全信息博弈模型的缺點(diǎn)。文獻(xiàn)[15]提出了一種基于灰色綜合測(cè)度的兩階段決策模型的信息安全風(fēng)險(xiǎn)評(píng)估方法，結(jié)合德爾菲法和相鄰準(zhǔn)則比較法確定評(píng)估標(biāo)準(zhǔn)權(quán)重，利用灰色聚類理論計(jì)算出統(tǒng)一的灰色聚類系數(shù)，為信息安全風(fēng)險(xiǎn)評(píng)估提供了新思路。

在群體多屬性決策過程中如何合理設(shè)置風(fēng)險(xiǎn)指標(biāo)權(quán)重和專家權(quán)重是一個(gè)影響決策結(jié)果的重要因素。針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估中的權(quán)重調(diào)整技術(shù)目前已有一些研究成果。如文獻(xiàn)[16]提出了根據(jù)距離測(cè)度求權(quán)重的方法來確定指標(biāo)權(quán)重，構(gòu)建了基于決策者相互評(píng)價(jià)和群體意見一致性下的主客觀綜合賦權(quán)模型確定決策者權(quán)重。Duan等[17]提出了一種結(jié)合不確定性主客觀權(quán)重的新型網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，考慮評(píng)估數(shù)據(jù)的不確定性，通過不確定性度量將其轉(zhuǎn)化為客觀權(quán)重；通過將評(píng)估標(biāo)準(zhǔn)的主觀權(quán)重和評(píng)估數(shù)據(jù)的客觀權(quán)重相結(jié)合獲得最終權(quán)重。Yu等[18]基于D-S證據(jù)理論給出了風(fēng)險(xiǎn)評(píng)估中指標(biāo)權(quán)重確定方法。此外，由于熵權(quán)法能較好地體現(xiàn)客觀性，依據(jù)該方法計(jì)算權(quán)重也有一些研究，如Tao等[7]、Kokangul等[8]、Huang等[11]、Wang等[13]以及Hamid等[19]。雖然在權(quán)重調(diào)整方面已有較多研究，但是上述研究僅考慮了風(fēng)險(xiǎn)指標(biāo)的權(quán)重問題，忽略了專家權(quán)重，一些研究則采用等權(quán)法，難以反映專家的差異性和領(lǐng)域?qū)I(yè)性；另一方面，一些研究采用傳統(tǒng)的權(quán)重向量，粒度較粗，不能較好地適應(yīng)復(fù)雜的風(fēng)險(xiǎn)指標(biāo)體系，因此，有必要研究新的權(quán)重計(jì)算方法以應(yīng)對(duì)復(fù)雜信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。

近年來，隨著機(jī)器學(xué)習(xí)技術(shù)的發(fā)展，已有不少國內(nèi)外學(xué)者將其引入信息安全風(fēng)險(xiǎn)評(píng)估過程。如文獻(xiàn)[20]建立了基于支持向量機(jī)的信息安全風(fēng)險(xiǎn)評(píng)估模型,通過對(duì)不同的核函數(shù)進(jìn)行比較和分析，得到徑向基核函數(shù)可以最大程度地減少訓(xùn)練誤差，提升評(píng)估結(jié)果準(zhǔn)確性的結(jié)論。Gao等[21]提出了使用人工魚群算法的基于支持向量機(jī)的信息安全風(fēng)險(xiǎn)評(píng)估模型AFSA_SVM，通過對(duì)人工魚群算法的懲罰系數(shù)和核函數(shù)參數(shù)進(jìn)行優(yōu)化從而達(dá)到更高的準(zhǔn)確性和更快的收斂速度。Wang等[22]將動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)應(yīng)用于風(fēng)險(xiǎn)評(píng)估模型，相較于靜態(tài)貝葉斯網(wǎng)絡(luò)能夠不斷提高評(píng)估結(jié)果的準(zhǔn)確性，有效地降低推理的不確定性。文獻(xiàn)[23]以層次分析法為基礎(chǔ)，提出了一種與風(fēng)險(xiǎn)判斷矩陣相對(duì)應(yīng)的神經(jīng)網(wǎng)絡(luò)模型，為自動(dòng)評(píng)估技術(shù)提供了良好的基礎(chǔ)。Song等[24]提出了一種基于遺傳算法和BP神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估模型，使用遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的閾值和權(quán)重，具有較好的擬合效果。區(qū)別于文獻(xiàn)[24]，李森宇等[25]提出了利用改進(jìn)的布谷鳥算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估模型ICS-BPNN，可解決BP神經(jīng)網(wǎng)絡(luò)收斂速度慢、容易陷入局部最小值的缺點(diǎn)。類似地，Dong等[26]也結(jié)合布谷鳥算法和BP神經(jīng)網(wǎng)絡(luò)提出了評(píng)估模型CS-BPNN。文獻(xiàn)[27]則將隱馬爾可夫模型(HMM)應(yīng)用到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中，并優(yōu)化了HMM的觀測(cè)序列，通過學(xué)習(xí)算法改進(jìn)模型參數(shù)，可及時(shí)、直觀地反映網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀態(tài)。雖然上述基于機(jī)器學(xué)習(xí)的研究取得了較多進(jìn)展及應(yīng)用，然而由于風(fēng)險(xiǎn)評(píng)估的特殊性，風(fēng)險(xiǎn)數(shù)據(jù)往往涉及公司機(jī)密，相關(guān)數(shù)據(jù)集較少；另一方面，由于信息系統(tǒng)的差異性，基于單一信息系統(tǒng)數(shù)據(jù)訓(xùn)練的風(fēng)險(xiǎn)評(píng)估模型往往不具備通用性，難以應(yīng)用到其他場(chǎng)景，因此已有方法存在訓(xùn)練困難、魯棒性差等問題。

綜上所述，雖然國內(nèi)外風(fēng)險(xiǎn)評(píng)估已有較多的研究成果，但由于近年來信息系統(tǒng)的復(fù)雜程度提高，現(xiàn)有研究工作可能存在專家權(quán)重不合理等問題，導(dǎo)致評(píng)估結(jié)果準(zhǔn)確性偏低。而新興的基于機(jī)器學(xué)習(xí)的評(píng)估模型通常有局限性，不具備通用性?？紤]到上述研究的不足，本文提出一種新的基于自適應(yīng)專家權(quán)重的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型SAEW-ISRA，詳細(xì)給出復(fù)雜信息系統(tǒng)環(huán)境下的風(fēng)險(xiǎn)評(píng)估流程。針對(duì)評(píng)估過程中專家權(quán)重可能存在設(shè)置不合理，無法滿足復(fù)雜信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的問題，借鑒后驗(yàn)權(quán)重的思想，提出一種細(xì)粒度專家權(quán)重自適應(yīng)調(diào)整方法，引入專家知識(shí)量水平和個(gè)體相對(duì)重要度動(dòng)態(tài)計(jì)算專家群體權(quán)重矩陣，以克服專家權(quán)重靜態(tài)賦值、粒度粗等缺點(diǎn)，旨在為復(fù)雜信息系統(tǒng)環(huán)境下的風(fēng)險(xiǎn)評(píng)估提供合理的權(quán)重設(shè)置，從而提高評(píng)估結(jié)果的準(zhǔn)確性。

2 基于自適應(yīng)專家權(quán)重的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型

復(fù)雜信息系統(tǒng)通常包含數(shù)量龐大、種類繁多的若干子系統(tǒng)，并且子系統(tǒng)之間存在復(fù)雜的非線性關(guān)聯(lián)關(guān)系。此類信息系統(tǒng)的安全風(fēng)險(xiǎn)具有數(shù)量多、復(fù)雜程度高的特點(diǎn)，并且隨著信息系統(tǒng)復(fù)雜性進(jìn)一步提高，系統(tǒng)面臨的安全風(fēng)險(xiǎn)出現(xiàn)跨專業(yè)領(lǐng)域的趨勢(shì)。為了應(yīng)對(duì)復(fù)雜信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，本文首先分析用于詳細(xì)描述安全風(fēng)險(xiǎn)指標(biāo)屬性的安全風(fēng)險(xiǎn)指標(biāo)模型。在此基礎(chǔ)上提出基于自適應(yīng)專家權(quán)重的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型SAEW-ISRA，并設(shè)計(jì)風(fēng)險(xiǎn)評(píng)估框架。

2.1 風(fēng)險(xiǎn)指標(biāo)的計(jì)算方法

在評(píng)估初期，首先由專家通過分析信息系統(tǒng)安全要素，識(shí)別系統(tǒng)中潛在的風(fēng)險(xiǎn)因素，形成風(fēng)險(xiǎn)指標(biāo)，然后根據(jù)風(fēng)險(xiǎn)指標(biāo)建立信息系統(tǒng)風(fēng)險(xiǎn)指標(biāo)體系，在此基礎(chǔ)上對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。由此可見，風(fēng)險(xiǎn)指標(biāo)直接影響最終的評(píng)估結(jié)果。針對(duì)復(fù)雜信息系統(tǒng)中潛在的安全漏洞多、安全風(fēng)險(xiǎn)大、設(shè)備數(shù)量多、復(fù)雜程度高以及跨領(lǐng)域的特點(diǎn)，根據(jù)風(fēng)險(xiǎn)指標(biāo)的性質(zhì)，考慮復(fù)雜環(huán)境下的風(fēng)險(xiǎn)評(píng)估特點(diǎn)，本文提出如下安全風(fēng)險(xiǎn)指標(biāo)描述模型。

定義1 一個(gè)安全風(fēng)險(xiǎn)指標(biāo)可以用式(1)所示的四元組描述：

risk=

(1)

其中，t={(tl,tm,tu)|0

為了使專家在復(fù)雜安全風(fēng)險(xiǎn)指標(biāo)體系下的評(píng)分更合理，在安全風(fēng)險(xiǎn)指標(biāo)描述模型中，t、v、m均采用模糊理論中三角模糊數(shù)的形式表示，根據(jù)三角模糊數(shù)的結(jié)構(gòu)，tl表示風(fēng)險(xiǎn)指標(biāo)的威脅度的下界值，tm表示風(fēng)險(xiǎn)指標(biāo)威脅度的最可能的值，tu則表示風(fēng)險(xiǎn)指標(biāo)的威脅度的上界值。vl、vm、vu、ml、mm、mu的意義類似。

三角模糊數(shù)的定義如下：

定義2α=(αl,αm,αu)為三角模糊數(shù)，如果它的隸屬函數(shù)為μα(x):R→[0,1]，即如式(2)[28]所示。

(2)

式(2)中，x∈R,αl≤αm≤αu，等號(hào)成立時(shí)表示該三角模糊數(shù)退化為精確數(shù)。特別地，當(dāng)0<αl≤αm≤αu<1時(shí)，稱α是規(guī)范三角模糊數(shù)。

為了適應(yīng)評(píng)估過程中的專家權(quán)重計(jì)算方法，本文依據(jù)三角模糊數(shù)幾何意義上的模糊程度，定義三角模糊數(shù)正模糊度和負(fù)模糊度。設(shè)三角模糊數(shù)為α，那么α的正模糊度計(jì)算方法如式(3)所示，負(fù)模糊度計(jì)算方法如式(4)所示。

α+=αu-αm

(3)

α-=αm-αl

(4)

為了描述風(fēng)險(xiǎn)指標(biāo)對(duì)信息系統(tǒng)的危險(xiǎn)程度，量化風(fēng)險(xiǎn)值，結(jié)合風(fēng)險(xiǎn)指標(biāo)描述模型，本文定義風(fēng)險(xiǎn)指標(biāo)危險(xiǎn)度的概念如下：

定義3 一個(gè)風(fēng)險(xiǎn)指標(biāo)risk的危險(xiǎn)度drisk用于描述該指標(biāo)對(duì)信息系統(tǒng)造成安全風(fēng)險(xiǎn)的危險(xiǎn)程度，提出的危險(xiǎn)度計(jì)算方式如式(5)、式(6)所示：

(5)

(6)

(7)

2.2 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估屬于群體多屬性決策問題，決策模型一般由專家群體E={e1,e2,…,ek}，評(píng)語集S={s1,s2,…,sm}和評(píng)價(jià)指標(biāo)集R={r1,r2,…,rn}構(gòu)成。通過專家對(duì)評(píng)價(jià)指標(biāo)集R逐項(xiàng)評(píng)分從而計(jì)算風(fēng)險(xiǎn)值。在上文安全風(fēng)險(xiǎn)指標(biāo)模型的基礎(chǔ)上，本文提出的自適應(yīng)專家權(quán)重的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型SAEW-ISRA如下：

定義4 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型SAEW-ISRA描述為式(8)所示的四元組。

FRAM=

(8)

基于SAEW-ISRA的風(fēng)險(xiǎn)評(píng)估機(jī)制框架如圖1所示，評(píng)估包含4個(gè)階段：準(zhǔn)備階段、風(fēng)險(xiǎn)指標(biāo)計(jì)算階段、權(quán)重計(jì)算階段和系統(tǒng)風(fēng)險(xiǎn)計(jì)算階段。

圖1 SAEW-ISRA框架圖

1)準(zhǔn)備階段。該階段主要確定需要風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)，根據(jù)信息系統(tǒng)的功能、特點(diǎn)遴選相關(guān)領(lǐng)域的專家群體E作為評(píng)估者集合。

2)風(fēng)險(xiǎn)指標(biāo)計(jì)算階段。該階段首先構(gòu)建風(fēng)險(xiǎn)指標(biāo)體系，并計(jì)算得到模糊評(píng)分集A，即威脅度矩陣AT、脆弱性矩陣AV以及措施程度矩陣AM。首先由專家群體從多角度深入分析該信息系統(tǒng)可能面臨的安全風(fēng)險(xiǎn)，識(shí)別風(fēng)險(xiǎn)因素，建立安全風(fēng)險(xiǎn)指標(biāo)體系，得到安全風(fēng)險(xiǎn)指標(biāo)體系R。接著專家群體使用三角模糊數(shù)對(duì)R中安全風(fēng)險(xiǎn)指標(biāo)逐項(xiàng)評(píng)分，形成模糊評(píng)分集A。

3)權(quán)重計(jì)算階段。該階段計(jì)算專家群體的權(quán)重矩陣及安全風(fēng)險(xiǎn)指標(biāo)權(quán)重向量。首先根據(jù)專家學(xué)術(shù)水平、工作經(jīng)驗(yàn)等先驗(yàn)知識(shí)計(jì)算專家先驗(yàn)權(quán)重；接著利用上一階段的專家模糊評(píng)分集A，綜合考慮本次評(píng)分中體現(xiàn)出的知識(shí)量水平和個(gè)體評(píng)分偏離度計(jì)算專家后驗(yàn)權(quán)重，最終形成用于本次評(píng)估過程的專家綜合權(quán)重；最后根據(jù)模糊層次分析法計(jì)算安全風(fēng)險(xiǎn)指標(biāo)和安全風(fēng)險(xiǎn)類別的權(quán)重。

4)系統(tǒng)風(fēng)險(xiǎn)計(jì)算階段。根據(jù)定義3，使用式(5)計(jì)算R中各個(gè)安全風(fēng)險(xiǎn)指標(biāo)的危險(xiǎn)度；按類別集結(jié)安全風(fēng)險(xiǎn)指標(biāo)危險(xiǎn)度分別計(jì)算安全風(fēng)險(xiǎn)類別C1,C2,…,Cc的危險(xiǎn)度，從而定量地計(jì)算信息系統(tǒng)整體風(fēng)險(xiǎn)評(píng)估分值，結(jié)合評(píng)語集S定性的確定安全風(fēng)險(xiǎn)等級(jí)。

3 SAEW-ISRA中的權(quán)重自適應(yīng)計(jì)算機(jī)制

風(fēng)險(xiǎn)評(píng)估過程中，如何合理地設(shè)置權(quán)重是目前仍需解決的問題。本文給出了SAEW-ISRA中的專家權(quán)重以及安全風(fēng)險(xiǎn)指標(biāo)體系中安全風(fēng)險(xiǎn)指標(biāo)和安全風(fēng)險(xiǎn)類別權(quán)重的計(jì)算方法。

3.1 細(xì)粒度專家權(quán)重自適應(yīng)調(diào)整方法

考慮現(xiàn)有權(quán)重向量及其計(jì)算方法的不足，本文提出一種細(xì)粒度專家權(quán)重自適應(yīng)調(diào)整方法，將傳統(tǒng)的專家權(quán)重向量調(diào)整為專家權(quán)重矩陣集，為每一個(gè)安全風(fēng)險(xiǎn)指標(biāo)設(shè)置一組專家權(quán)重向量。利用三角模糊數(shù)代替專家評(píng)分中的精確值，以提高專家評(píng)分的容錯(cuò)性，同時(shí)可體現(xiàn)專家的知識(shí)量。利用專家評(píng)分的知識(shí)量水平和個(gè)體評(píng)分偏離度為每一個(gè)風(fēng)險(xiǎn)指標(biāo)構(gòu)建專家后驗(yàn)權(quán)重。最后，結(jié)合先驗(yàn)權(quán)重得到專家綜合權(quán)重，形成專家權(quán)重矩陣集。

2)根據(jù)風(fēng)險(xiǎn)指標(biāo)體系構(gòu)造專家威脅度模糊評(píng)分矩陣AT={tkij}K×N、脆弱性模糊評(píng)分矩陣Av={vkij}K×N和措施程度模糊評(píng)分矩陣Am={mkij}K×N。其中tkij、vkij和mkij分別表示專家ek對(duì)于風(fēng)險(xiǎn)指標(biāo)riskij的威脅度、脆弱性和措施度的評(píng)分。

(9)

(10)

(11)

假設(shè)專家ek對(duì)指標(biāo)riskij的專業(yè)領(lǐng)域越熟悉，其評(píng)分越精確。模糊度體現(xiàn)了專家ek對(duì)指標(biāo)riskij的評(píng)分的不精確程度，從而反映了專家ek對(duì)指標(biāo)riskij所代表的專業(yè)領(lǐng)域的知識(shí)量水平。參數(shù)μ∈[0,1]表示對(duì)系統(tǒng)風(fēng)險(xiǎn)的悲觀態(tài)度，取值越高說明越看重專家的風(fēng)險(xiǎn)模糊度。

(12)

(13)

5)專家后驗(yàn)權(quán)重合成，計(jì)算本次評(píng)估中專家ek對(duì)指標(biāo)riskij的后驗(yàn)權(quán)重。θ∈[0,1]表示后驗(yàn)調(diào)整因子，值越大表示后驗(yàn)權(quán)重傾向于考慮專家ek本次評(píng)估中體現(xiàn)出的個(gè)體客觀知識(shí)量水平，否則傾向于專家群體整體評(píng)估的一致性。后驗(yàn)權(quán)重的計(jì)算方法見式(14)。

(14)

6)計(jì)算專家ek關(guān)于指標(biāo)riskij的綜合權(quán)重wkij。δ∈[0,1]表示綜合調(diào)整因子，取值越大表示權(quán)重傾向于專家歷史個(gè)體權(quán)威，否則表示傾向于專家本次評(píng)價(jià)客觀表現(xiàn)。其計(jì)算方法見式(15)。

(15)

7)得到最終專家群體在安全類別Ci下的權(quán)重矩陣Wi。以此類推，可以得到專家群體在所有安全類別下的權(quán)重矩陣，從而為每一個(gè)安全風(fēng)險(xiǎn)指標(biāo)提供了專家權(quán)重向量。

提出的細(xì)粒度專家權(quán)重自適應(yīng)調(diào)整算法的偽代碼如算法1所示。

算法1 專家權(quán)重自適應(yīng)計(jì)算算法

輸入：專家群E，風(fēng)險(xiǎn)指標(biāo)集R

輸出：專家權(quán)重矩陣集{W1,W2,…,Wc}

1.generateWf

2.forCi(1≤i≤c) inR

3.for riskij(1≤j≤N) inCi

4.forek(1≤k≤K) inE

5.generateek’ scoret,wandmfor riskij;

6.end for

7.end for

8.generateAT、AV、AM

9.for riskij(1≤j≤N) inCi

10.forek(1≤k≤K) inE

13.end for

14.end for

15.generateWiand normalize it by column

16.end for

最后可以得到專家群體的權(quán)重矩陣集{W1,W2,…,Wc}，充分結(jié)合了專家的個(gè)體權(quán)威和客觀表現(xiàn)，在體現(xiàn)專家專業(yè)性的同時(shí)為每一個(gè)風(fēng)險(xiǎn)指標(biāo)都提供一組權(quán)重向量，能較好地應(yīng)對(duì)復(fù)雜的風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。

3.2 安全風(fēng)險(xiǎn)指標(biāo)體系中的權(quán)重計(jì)算方法

在風(fēng)險(xiǎn)指標(biāo)體系中不同風(fēng)險(xiǎn)指標(biāo)對(duì)信息系統(tǒng)的威脅程度不同，因此需要對(duì)風(fēng)險(xiǎn)指標(biāo)賦予權(quán)重。Van Laarhoven等[28]最先提出了將層次分析法與模糊理論相結(jié)合。本文使用文獻(xiàn)[30]提出的模糊層次分析法計(jì)算風(fēng)險(xiǎn)指標(biāo)權(quán)重，通過引入模糊一致判斷矩陣，可克服層次分析法中判斷矩陣的一致性驗(yàn)證困難問題。

模糊一致判斷矩陣通常表示對(duì)象論域U中第i個(gè)對(duì)象ui與第j個(gè)對(duì)象uj的相對(duì)重要性(或相對(duì)優(yōu)越性)程度。假設(shè)本文風(fēng)險(xiǎn)指標(biāo)體系中在安全類別Ci下一層次中的安全風(fēng)險(xiǎn)指標(biāo)riski1,riski2,…,riskin有聯(lián)系，則模糊一致性判斷矩陣可以表示為F={rjz}n×n，其中rjz表示riskij和riskiz之間的相對(duì)重要程度，使用0.1～0.9標(biāo)度[30]定量描述安全風(fēng)險(xiǎn)指標(biāo)之間的相對(duì)重要性程度。

評(píng)估者使用0.1～0.9標(biāo)度完成對(duì)風(fēng)險(xiǎn)指標(biāo)比較后，得到模糊判斷矩陣F={rij}n×n，模糊判斷矩陣的一致性反映了專家評(píng)估時(shí)判斷的一致性，當(dāng)矩陣F滿足以下條件時(shí)，稱F為模糊一致性矩陣。

rjz=rjk-rzk+0.5,j,z,k=1,2,…,n

(16)

由于信息系統(tǒng)的復(fù)雜性和人們認(rèn)知的片面性使得構(gòu)建的模糊判斷矩陣不一致時(shí)，需要對(duì)F中的元素進(jìn)行一致性轉(zhuǎn)換。計(jì)算方法見式(17)。

(17)

(18)

4 實(shí)驗(yàn)與結(jié)果分析

4.1 實(shí)驗(yàn)設(shè)計(jì)

為了驗(yàn)證SAEW-ISRA在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的效果，本文選取圖2所示的信息系統(tǒng)作為實(shí)驗(yàn)對(duì)象，邀請(qǐng)5位專家對(duì)該信息系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)估。

圖2 信息系統(tǒng)結(jié)構(gòu)圖

通過風(fēng)險(xiǎn)因素識(shí)別、已有安全措施確認(rèn)等步驟，本文建立了如圖3所示的風(fēng)險(xiǎn)指標(biāo)體系。該體系將系統(tǒng)風(fēng)險(xiǎn)分為6個(gè)安全類別：管理風(fēng)險(xiǎn)、物理風(fēng)險(xiǎn)、設(shè)備風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)及人員風(fēng)險(xiǎn)。設(shè)置了設(shè)備管理等23個(gè)風(fēng)險(xiǎn)指標(biāo)。

圖3 風(fēng)險(xiǎn)指標(biāo)體系圖

根據(jù)專家意見，將風(fēng)險(xiǎn)等級(jí)定性地分為5級(jí)，即S={很低，低，中等，高，很高}，安全等級(jí)定量取值范圍如表1所示。

表1 風(fēng)險(xiǎn)等級(jí)及取值范圍

4.2 實(shí)驗(yàn)結(jié)果與分析

4.2.1 評(píng)估結(jié)果及分析

本文分別利用文獻(xiàn)[13]的基于熵理論和改進(jìn)TOPSIS的風(fēng)險(xiǎn)評(píng)估模型、文獻(xiàn)[32]的基于模糊熵權(quán)和AHP的評(píng)估模型以及本文提出的SAEW-ISRA對(duì)IS進(jìn)行風(fēng)險(xiǎn)評(píng)估。經(jīng)過多次實(shí)踐結(jié)果分析，設(shè)SAEW-ISRA中參數(shù)μ=0.5，后驗(yàn)調(diào)整因子θ=0.75，綜合調(diào)整因子δ=0.3。

3種風(fēng)險(xiǎn)評(píng)估模型的評(píng)估結(jié)果如表2所示。文獻(xiàn)[13]中的方法給出了風(fēng)險(xiǎn)等級(jí)“中等”的結(jié)果。文獻(xiàn)[32]中的方法得到了等級(jí)“低”的評(píng)估結(jié)果。文獻(xiàn)[13]、文獻(xiàn)[32]中的方法沒有考慮到專家權(quán)重問題，評(píng)估結(jié)果受專家主觀性影響較大。本文方法則得到了系統(tǒng)風(fēng)險(xiǎn)等級(jí)為“很低”的結(jié)果，符合該系統(tǒng)近年來的實(shí)際運(yùn)行情況，因此本文的SAEW-ISRA模型可以滿足評(píng)估需求。

表2 風(fēng)險(xiǎn)等級(jí)及取值范圍

風(fēng)險(xiǎn)指標(biāo)體系的危險(xiǎn)度如圖4所示，可以發(fā)現(xiàn)，風(fēng)險(xiǎn)指標(biāo)中硬件設(shè)施和數(shù)據(jù)保密性兩者危險(xiǎn)度較大，因此物理風(fēng)險(xiǎn)和數(shù)據(jù)風(fēng)險(xiǎn)相對(duì)風(fēng)險(xiǎn)較大，需要引起管理人員注意。

圖4 風(fēng)險(xiǎn)指標(biāo)危險(xiǎn)度

4.2.2 權(quán)重分析

1)風(fēng)險(xiǎn)指標(biāo)權(quán)重。

3種模型中的風(fēng)險(xiǎn)指標(biāo)權(quán)重如圖5所示，文獻(xiàn)[13]、文獻(xiàn)[32]沒有建立層次結(jié)構(gòu)，權(quán)重差異度較小。隨著信息系統(tǒng)復(fù)雜性提高，風(fēng)險(xiǎn)指標(biāo)數(shù)量繼續(xù)增長時(shí)，上述方法得到的風(fēng)險(xiǎn)指標(biāo)權(quán)重將逐步趨于平緩。本文單獨(dú)考慮風(fēng)險(xiǎn)指標(biāo)在安全類別下的權(quán)重，因此風(fēng)險(xiǎn)指標(biāo)間的權(quán)重差異度較大，可幫助管理人員更清晰地了解風(fēng)險(xiǎn)指標(biāo)重要性的差異情況。

圖5 風(fēng)險(xiǎn)指標(biāo)權(quán)重

2)專家權(quán)重。

圖6展示了“設(shè)備管理”風(fēng)險(xiǎn)指標(biāo)下的專家權(quán)重調(diào)整過程。例如，雖然專家3先驗(yàn)權(quán)重較低，但通過后驗(yàn)權(quán)重調(diào)整后，其綜合權(quán)重得到提升，說明專家3在該領(lǐng)域的專業(yè)能力更高。本文提出的專家權(quán)重自適應(yīng)調(diào)整方法可動(dòng)態(tài)地調(diào)整專家的綜合權(quán)重。

圖6 設(shè)備管理風(fēng)險(xiǎn)指標(biāo)專家權(quán)重

圖7顯示了專家在各風(fēng)險(xiǎn)指標(biāo)下的綜合權(quán)重變化趨勢(shì)，可以看出，專家在不同風(fēng)險(xiǎn)指標(biāo)下的綜合權(quán)重有一定的差異，體現(xiàn)了專家的領(lǐng)域性。如專家1在物理風(fēng)險(xiǎn)和設(shè)備風(fēng)險(xiǎn)相關(guān)指標(biāo)下權(quán)重較高，表明該專家在物理安全和主機(jī)設(shè)備安全領(lǐng)域具有較多經(jīng)驗(yàn)。專家群體在安全類別下的權(quán)重如圖8所示，可以觀察到，通過風(fēng)險(xiǎn)指標(biāo)下的權(quán)重推導(dǎo)出的專家權(quán)重仍然保持了專家領(lǐng)域性差異，實(shí)驗(yàn)結(jié)果與實(shí)際情況相符，因此，本文的專家權(quán)重調(diào)整方法是有效的。文獻(xiàn)[13]以及文獻(xiàn)[32]中沒有設(shè)計(jì)專家權(quán)重計(jì)算過程，因此這里沒有比較分析。

圖7 專家綜合權(quán)重變化趨勢(shì)

圖8 安全類別下的專家權(quán)重

5 結(jié)束語

信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估是保障信息安全的重要手段，通過風(fēng)險(xiǎn)評(píng)估可以幫助管理人員全面深入地掌握信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，從而采取相應(yīng)的安全措施降低風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生后對(duì)系統(tǒng)造成的損害?？紤]近年來信息系統(tǒng)的復(fù)雜性逐漸提高，風(fēng)險(xiǎn)評(píng)估過程中可能存在專家權(quán)重不合理、評(píng)估結(jié)果受專家主觀性影響導(dǎo)致準(zhǔn)確度降低的問題，本文提出了一種自適應(yīng)專家權(quán)重的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型SAEW-ISRA。給出了一種細(xì)粒度專家權(quán)重自適應(yīng)調(diào)整方法。引入三角模糊數(shù)對(duì)風(fēng)險(xiǎn)指標(biāo)屬性評(píng)分，根據(jù)專家評(píng)分模糊度描述專家知識(shí)量，結(jié)合與專家群體評(píng)分的距離構(gòu)建后驗(yàn)權(quán)重，可使專家權(quán)重自適應(yīng)調(diào)整；使用模糊層次分析法構(gòu)建風(fēng)險(xiǎn)指標(biāo)權(quán)重；使用提出的信息系統(tǒng)風(fēng)險(xiǎn)指標(biāo)危險(xiǎn)度量化方法計(jì)算風(fēng)險(xiǎn)值；實(shí)例表明，所提模型能適應(yīng)復(fù)雜信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過程，在一定程度上克服了專家權(quán)重不合理的不足，達(dá)到了更高的評(píng)估準(zhǔn)確性。