多目標(biāo)模型過程安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ).doc

多目標(biāo)模型過程安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ) 基于AHP - PSO 賈邁勒A.阿瓦德 計(jì)算機(jī)科學(xué)學(xué)院，學(xué)院馬斯喀特，阿曼蘇丹國 Elrasheed一，蘇丹艾哈邁德和Noraziah 學(xué)院的計(jì)算機(jī)系統(tǒng)和軟件工程，大學(xué)馬來西亞彭亨州，關(guān)丹26300，馬來西亞 Norafida Ithnan 計(jì)算機(jī)科學(xué)學(xué)院，大學(xué)科技大學(xué)，柔佛，馬來西亞 A. H.求 學(xué)院的計(jì)算機(jī)系統(tǒng)和軟件工程，大學(xué)馬來西亞彭亨州，關(guān)丹26300，馬來西亞 收稿日期：2011年1月22日接受日期：2011年3月28日作者：10.5539/mas.v5n3p246 摘要 如今，安全風(fēng)險(xiǎn)評(píng)估起到至關(guān)重要的作用，這是適用于整個(gè)信息生命周期 系統(tǒng)和通訊技術(shù)，但仍然使許多安全風(fēng)險(xiǎn)評(píng)估模型都是非實(shí)用， 因此，它應(yīng)該是衡量和改進(jìn)。在本文中，一種新的方法，在這種層次分析 法（AHP）和粒子群優(yōu)化（PSO）可結(jié)合一些變化，呈現(xiàn)。該 方法包括：首先，對(duì)風(fēng)險(xiǎn)評(píng)估的層次分析結(jié)構(gòu)構(gòu)造和方法 PSO的綜合判斷是提高根據(jù)實(shí)際情況的信息安全。 其次，風(fēng)險(xiǎn)程度提出的是PSO估計(jì)的風(fēng)險(xiǎn)概率，風(fēng)險(xiǎn)影響的嚴(yán)重程度和風(fēng)險(xiǎn) 不可控性。最后，它給的例子，證明該方法的多目標(biāo)規(guī)劃 方法（MOPM）可以很好地應(yīng)用到安全風(fēng)險(xiǎn)評(píng)估，并提供合理的數(shù)據(jù) 構(gòu)成的信息系統(tǒng)的安全風(fēng)險(xiǎn)控制策略。根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果， 有針對(duì)性的安全采取措施，風(fēng)險(xiǎn)轉(zhuǎn)移和減少，這是在一個(gè)受控 可接受的范圍。 關(guān)鍵詞：風(fēng)險(xiǎn)評(píng)估，信息安全，PSO，層次分析法，多目標(biāo)模型 1。簡介 要訪問信息系統(tǒng)安全，風(fēng)險(xiǎn)評(píng)估是非常重要的，甚至在不確定性的存在 系統(tǒng)。近年來，隨著信息安全作為維護(hù)可持續(xù)發(fā)展和骨干 現(xiàn)代企業(yè)生存和保護(hù)信息通過一個(gè)實(shí)際的安全風(fēng)險(xiǎn)進(jìn)行 評(píng)估（SRA），以確保信息系統(tǒng)的安全性。如果其中存在的潛在威脅 客觀地攻擊系統(tǒng)的漏洞，威脅和實(shí)際的負(fù)面影響威脅源引起的，那么 識(shí)別的信息安全風(fēng)險(xiǎn)的基礎(chǔ)上的可能性威脅和負(fù)面影響的程度（王 英梅，王晟凱，程祥云，2007年）。對(duì)層次分析法 決策AHP / DM證據(jù)理論來處理系統(tǒng)的不確定性，與其他 方法，AHP方法已被廣泛應(yīng)用于安全風(fēng)險(xiǎn)評(píng)估這種方法，可以從改變使用 質(zhì)量指標(biāo)為定量指標(biāo)?，F(xiàn)實(shí)的風(fēng)險(xiǎn)評(píng)估涉及許多不確定因素，有些 其中甚至不明。 在以前的研究，風(fēng)險(xiǎn)程度是相對(duì)的概率和風(fēng)險(xiǎn)因素影響的嚴(yán)重性。風(fēng)險(xiǎn) 評(píng)估方法包括八度，層次分析法和動(dòng)態(tài)事件樹分析 方法（DETAM）等（ISO/IEC15408，1999年）（信息技術(shù)安全通用標(biāo)準(zhǔn) 評(píng)估，2005年）。所有這些方法都如OCTAVE是非線性的特殊要求，和迭代， 它要求威脅和漏洞型材目錄應(yīng)把風(fēng)險(xiǎn)評(píng)估向前或之后。 / MAS現(xiàn)代應(yīng)用科學(xué)卷。 5，第3位; 2011年6月 出版的科學(xué)和教育中心247加拿大 肯德爾（M.肯德爾，1962）提出了一個(gè)地方工作重點(diǎn)是因?yàn)檫@僅僅是增加的因素使用的方法 在一起，然后取平均值作為多數(shù)的選擇。這個(gè)方法是用來確定適用于關(guān)鍵 安全風(fēng)險(xiǎn)領(lǐng)域和用于緩解的選擇，再加上廣泛使用的風(fēng)險(xiǎn)的定性評(píng)估。 風(fēng)險(xiǎn)分析可以測(cè)量使用的概率理論估計(jì)的可能性和 后果的風(fēng)險(xiǎn)。在（Y.鄧小平，WK石，杜樓，2004年）（F.杜，WK石和Y鄧小平，2005年），這些 模型是效率不高由于計(jì)算時(shí)間用于執(zhí)行復(fù)雜的模糊規(guī)定 數(shù)算術(shù)運(yùn)算和執(zhí)行語言近似的時(shí)間。 目前，信息安全風(fēng)險(xiǎn)評(píng)估的方法主要可分為三種類型： 定性評(píng)價(jià)方法，定量與定性考核與定量方法相結(jié)合 評(píng)估方法。常用的評(píng)估方法包括矩陣分析，決策樹，并 概率分析等，以及大量的研究成果已被收購。 本文的信息安全風(fēng)險(xiǎn)評(píng)估的新方法的基礎(chǔ)上結(jié)合起來PSO的AHP 算法，分析的可能性和風(fēng)險(xiǎn)的影響，使每個(gè)風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)程度來確定 和風(fēng)險(xiǎn)控制的建議，可以考慮。 AHP判斷矩陣的設(shè)置層次建立后， 它由來自上下元素和風(fēng)險(xiǎn)分析PSO綜合評(píng)價(jià)比較， 并提出了科學(xué)有效的方法來計(jì)算選定的信息系統(tǒng)最終的風(fēng)險(xiǎn)值。 信息系統(tǒng)風(fēng)險(xiǎn)分析的優(yōu)點(diǎn)如下：（1）使開發(fā)安全 信息管理;（2）支持有效的信息安全政策的決策;（3） 建立組織的實(shí)際安全政策;（4）為未來的有價(jià)值的分析數(shù)據(jù) 估計(jì)。最后，研究結(jié)果表明該方法是有效的，易于操作。 本文的其余部分組織如下：必要的理論背景和PSO的AHP方法 介紹了擬議的新層次上的風(fēng)險(xiǎn)評(píng)估與PSO AHP相結(jié)合的基礎(chǔ) 算法，此外，結(jié)果表明，以發(fā)展信息安全風(fēng)險(xiǎn)通過MOPM到 提高兩個(gè)方法。 2。安全風(fēng)險(xiǎn)評(píng)估 安全性已被廣泛認(rèn)可為對(duì)采用的主要障礙之一。它被認(rèn)為是一種重要的 在以上方面面臨的挑戰(zhàn)進(jìn)行辯論?？冃гu(píng)價(jià)需要一個(gè)模型，使我們能夠 分析各種必要因素和相關(guān)的質(zhì)量和性能標(biāo)準(zhǔn)。建議的模型 基于FI運(yùn)營商和生產(chǎn)四項(xiàng)措施攻擊的安全風(fēng)險(xiǎn)方面：直接內(nèi)部攻擊， 通信篡改分層環(huán)的攻擊，攻擊代碼編程和拒絕服務(wù)攻擊 層結(jié)構(gòu)。我們的實(shí)驗(yàn)結(jié)果表明，直接攻擊內(nèi)部風(fēng)險(xiǎn)已經(jīng)對(duì)電子銀行產(chǎn)生很大的影響 安全性能。研究結(jié)果還證實(shí)，對(duì)電子銀行的內(nèi)部動(dòng)態(tài)風(fēng)險(xiǎn)的直接攻擊 網(wǎng)站是一倍，所有（王盈，王盛凱和鄭祥云，2007年）等攻擊。 風(fēng)險(xiǎn)評(píng)估模型是由結(jié)合的決策（DM）的方法來解決AHP方法 這些問題。不僅在AHP / DM方法結(jié)合二者的優(yōu)點(diǎn)，而且還可以解決 更科學(xué)地確定問題。關(guān)于如何使用安全風(fēng)險(xiǎn)評(píng)估AHP / DM方法的樣本 給予證明我們的方法（路司酶，張建林，2009）。 在互聯(lián)互通，在過去幾年的崛起，使計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)更容易受到 因?yàn)樗鼈兪怯梢粋€(gè)用戶數(shù)量不斷增加（ISO/IEC15408，1999年）（通用標(biāo)準(zhǔn)的訪問威脅 信息技術(shù)安全評(píng)估，2005年）。 背后徒勞的軟件開發(fā)項(xiàng)目的主要理由之一是，它往往是來不及糾正 問題的時(shí)候，他們被發(fā)現(xiàn)。它清楚地表明有關(guān)（Y.潛在風(fēng)險(xiǎn)的預(yù)警需要 鄧W.K.施，杜樓，2004年）。 3。方法風(fēng)險(xiǎn)評(píng)價(jià)信息 這些方法都有自己的比較優(yōu)勢(shì)和薄弱點(diǎn)。例如，矩陣的分析思路是 的發(fā)生和風(fēng)險(xiǎn)事件影響的可能性進(jìn)行評(píng)估，然后再，風(fēng)險(xiǎn)程度 每個(gè)風(fēng)險(xiǎn)事件評(píng)估矩陣分析，這是比較直觀，但比較簡單，不夠客觀（F. 杜W.K.施和Y鄧小平，2005）。 針對(duì)風(fēng)險(xiǎn)管理，信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)是，到互聯(lián)網(wǎng)的威脅和 信息系統(tǒng)和自身的脆弱性，可分析的科學(xué)方法手段。此外， 由風(fēng)險(xiǎn)造成的損害程度可以評(píng)價(jià)，維護(hù)和改進(jìn)措施，以可能的威脅應(yīng) 提議捍衛(wèi)和消除信息安全隱患，或控制在可接受的風(fēng)險(xiǎn)程度， 因此，互聯(lián)網(wǎng)和信息安全是可以控制在最大程度上。風(fēng)險(xiǎn)評(píng)估是一種 / MAS現(xiàn)代應(yīng)用科學(xué)卷。 5，第3位; 2011年6月 ISSN 1913至1844年E - ISSN 1913至1852年248 計(jì)算過程由風(fēng)險(xiǎn)分析平均風(fēng)險(xiǎn)值。目前，信息安全風(fēng)險(xiǎn)的方法 評(píng)價(jià)可主要分為三種類型：定性評(píng)價(jià)方法，量化考核 方法和定性與定量相結(jié)合的評(píng)估方法。此外，常用的評(píng)估 矩陣分析方法包括（1），決策（2）和概率分析（3）。 信息技術(shù)的發(fā)展和信息網(wǎng)絡(luò)系統(tǒng)的普及使用，安全 信息系統(tǒng)變得特別重要。為確保信息系統(tǒng)的安全性，它是一個(gè) 關(guān)鍵點(diǎn)有風(fēng)險(xiǎn)評(píng)估。如果這是客觀存在的潛在威脅攻擊的系統(tǒng)漏洞， 會(huì)有風(fēng)險(xiǎn)而造成破壞和系統(tǒng)丟失。風(fēng)險(xiǎn)評(píng)估是一個(gè)過程，其中 風(fēng)險(xiǎn)分析和解釋。 信息安全已成為維護(hù)可持續(xù)性和現(xiàn)代生存的支柱 通過組織和保護(hù)進(jìn)行實(shí)際安全風(fēng)險(xiǎn)評(píng)估（SRA）的信息， 本文所述，應(yīng)進(jìn)行業(yè)務(wù)的基本組成部分之一。信息 這些都作為資產(chǎn)（趙冬梅，京紅，2005）認(rèn)為是暴露在組織各種風(fēng)險(xiǎn) 往往投入資源，以解決技術(shù)和程序的控制，以減輕這些風(fēng)險(xiǎn)，同時(shí)制定了 更實(shí)用的方法，SRA接受，因?yàn)樵谧鞒鲞x擇的復(fù)雜性關(guān)注較少 為適應(yīng)風(fēng)險(xiǎn)管理方法（路司霉，張建林，2009）。 有安全風(fēng)險(xiǎn)評(píng)估這么多車型，但其中大部分都是非實(shí)用。一個(gè)有效的安全 風(fēng)險(xiǎn)管理過程使企業(yè)能夠以最具成本效益的方式運(yùn)作，并與已知 可接受水平的業(yè)務(wù)風(fēng)險(xiǎn)（馬克J. Schniederjans A，添加文）。 隨著全球信息技術(shù)和互聯(lián)網(wǎng)普及的不斷推進(jìn)，越來越多的 組織將轉(zhuǎn)向或擴(kuò)大其業(yè)務(wù)到互聯(lián)網(wǎng)環(huán)境的過程，因此重要性 信息系統(tǒng)安全是密切相關(guān)的商業(yè)機(jī)構(gòu)都普遍關(guān)注。如何 衡量和評(píng)價(jià)信息系統(tǒng)的安全形勢(shì)是由研究人員在一個(gè)值得深入研究。 風(fēng)險(xiǎn)評(píng)估是核心和信息系統(tǒng)安全的關(guān)鍵。通過風(fēng)險(xiǎn)評(píng)估，決策者 可以清楚地了解信息系統(tǒng)的安全局勢(shì)，那里的風(fēng)險(xiǎn)來自于什么樣的 措施可以進(jìn)行。 該規(guī)劃是一個(gè)優(yōu)化問題，通常有一個(gè)以上的目標(biāo)。這個(gè)優(yōu)化問題 要解決不確定性下考慮它的局限性。這些問題的固有特點(diǎn)使其 復(fù)雜和難以解決的問題。為了找到一個(gè)解決辦法，應(yīng)該用一種算法，使我們比較 主要問題的不同目標(biāo)。對(duì)這些存在的各種技術(shù)被稱為“多屬性 決策“（MADM）。分層分析法（AHP）是其中的一個(gè)提到的方法，這是 使用本文。在DM規(guī)劃，對(duì)可供選擇的最佳方案應(yīng)該被發(fā)現(xiàn)。（馬克J. Schniederjans A，添加文）。 該指數(shù)，其中不同的計(jì)劃進(jìn)行比較，是利用AHP方法。該指數(shù)包括了所有的 一個(gè)在策劃人的角度做好規(guī)劃的重要因素。因此，能有一個(gè)更好的答案，所有可用的 選擇應(yīng)考慮和決定因素應(yīng)該準(zhǔn)確地進(jìn)行調(diào)整。 4。風(fēng)險(xiǎn)評(píng)估信息系統(tǒng) 層次分析法是一個(gè)有許多規(guī)則的決定方式處理變量是很難得到一個(gè)值 （信息技術(shù)安全評(píng)估，2005年通用標(biāo)準(zhǔn)）。它可以分解復(fù)雜 進(jìn)入要容易得多層次結(jié)構(gòu)的情況，以分析一步一步來。它可以表達(dá)和處理 人的主觀判斷在數(shù)量上，還應(yīng)對(duì)一定的不確定因素，除了建議 無論人的主觀判斷是正確的。它落在AHP解決問題的四個(gè)步驟。圖1 顯示簡單的系統(tǒng)規(guī)劃層次分析法建立網(wǎng)絡(luò)風(fēng)險(xiǎn)。在這個(gè)圖里的Xij問題的風(fēng)險(xiǎn)。 在層次分析法和PSO將解決信息安全風(fēng)險(xiǎn)制度的思考四個(gè)階段，第一步是建設(shè) 層次結(jié)構(gòu)。第二步是建設(shè)使用的因素比較判斷矩陣。第三 第一步是通過計(jì)算判斷矩陣的因素相對(duì)權(quán)重。在最后一步，整個(gè)重量 在每一層因素的計(jì)算方法。本文的模型應(yīng)用于彌補(bǔ)所有步驟的決定，其中風(fēng)險(xiǎn) 度，提出了模糊邏輯方法和使用（趙冬梅，京紅，2005）。圖2 顯示了四個(gè)階段，在這件事情的過程。共同執(zhí)行活動(dòng)是比較安全的因素，xij是可變的階段。 5。多目標(biāo)決策模型和層次分析法，以提高 層次分析法和多目標(biāo)規(guī)劃方法（MOPM）作出高風(fēng)險(xiǎn)的系統(tǒng)和輔助 低點(diǎn)成本，這些方法在ABC成本動(dòng)因的選擇提出申請(qǐng)。該信息 擬議的合并方法的療效進(jìn)行了討論（趙冬梅，京紅，2005） / MAS現(xiàn)代應(yīng)用科學(xué)卷。 5，第3位; 2011年6月 加拿大出版的科學(xué)和教育中心249 （Omkarprasad S Vaidya，2006年）。本文的MOPM包含的最大兩個(gè)目標(biāo)，第一個(gè)目標(biāo) 第二個(gè)保障體系和最低的成本計(jì)劃。公式1和2是目前這兩個(gè)目標(biāo)。 此外，配方3，4和5是主觀的模型。在層次分析法的應(yīng)用MOPM是協(xié)助 決策的工具，已經(jīng)與決策相關(guān)的所有應(yīng)用。公式1和2 有目標(biāo)，3，4和5是主觀模型 1 2 3 4 05 0，0，0 01 其中： K =數(shù)疙瘩 N =號(hào)碼第 M =數(shù)量單位 R =名稱疙瘩 Xij =有效的風(fēng)險(xiǎn)變量的百分比 CIJ =成本的百分比 AIJ =各部分的力量我 bij =總?cè)萘繛樗蠿ij TL =總?cè)萘繛樗衅鱎l SI =每個(gè)Xij成本的百分比 6。結(jié)論 資訊安全風(fēng)險(xiǎn)評(píng)估是一個(gè)重要的問題今天的服務(wù)和客戶繼續(xù) 尋找連擊系統(tǒng)的計(jì)劃。在層次分析法和PSO可以結(jié)合使用MOPM得到更好的解決方案。 該方法包括：首先，對(duì)風(fēng)險(xiǎn)評(píng)估的層次分析結(jié)構(gòu)構(gòu)造和 PSO的綜合評(píng)判方法是提高根據(jù)實(shí)際情況的信息 安全性。該MOPM模型可以得到最大的安全是取決于的風(fēng)險(xiǎn)是有限的 奶源，也該模型將選擇成本較低的方法，使安全取決于風(fēng)險(xiǎn)。 參考文獻(xiàn) 信息技術(shù)安全評(píng)估共同準(zhǔn)則。 （2005年）。 V3.0，2005年6月。 趙冬梅，景紅。 （2005年）。采用模糊邏輯和熵理論的風(fēng)險(xiǎn)評(píng)估 信息安全的第四屆機(jī)器學(xué)習(xí)與控制論國際會(huì)議論文集， 廣州，2005年。 F.杜W.K.鄧世和Y。 （2005年）。廣義模糊數(shù)的相似性的新措施，雜志 上海交通大學(xué)，第39卷，沒有。 8，頁614-617，2005。 ISO/IEC15408。 （1999年）。對(duì)于IT安全評(píng)估共同準(zhǔn)則。 2.1版本。國際 標(biāo)準(zhǔn)化組織，1999年。 路司煤，張建林。 （2009年）。安全風(fēng)險(xiǎn)評(píng)估模型AHP / DS證據(jù)理論的基礎(chǔ)上， 國際論壇上的信息技術(shù)與應(yīng)用，2009。 M.肯德爾。 （1962年）。等級(jí)相關(guān)方法。第3版; 1962年。 NY。 馬克J. Schniederjans A，添加文。采用層次分析法和多目標(biāo)規(guī)劃 為成本動(dòng)因的選擇基于活動(dòng)的成本核算。 / MAS現(xiàn)代應(yīng)用科學(xué)卷。 5，第3位; 2011年6月 ISSN 1913至1844年E - ISSN 1913至1852年250 Omkarprasad S Vaidya，Sushil庫馬爾。 （2006年）。層次分析法：一個(gè)應(yīng)用程序的概述， 歐洲運(yùn)籌學(xué)雜志169（2006）1-29。 王盈，王盛凱和鄭祥云。 （20