層次分析法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用_第1頁(yè)
層次分析法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用_第2頁(yè)
層次分析法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用_第3頁(yè)
層次分析法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用_第4頁(yè)
層次分析法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余1頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、.層次分析法在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用0. 引言信息化的快速發(fā)展在推動(dòng)社會(huì)進(jìn)步的同時(shí),產(chǎn)生的信息安全問(wèn)題也帶來(lái)了新的威脅。傳統(tǒng)事后被動(dòng)防護(hù)方法缺乏系統(tǒng)考慮,缺乏預(yù)防措施。只有按系統(tǒng)觀綜合實(shí)施保障手段,進(jìn)行信息安全風(fēng)險(xiǎn)管理,才能取得較好的效果。其中,信息安全風(fēng)險(xiǎn)評(píng)估是首要環(huán)節(jié),是進(jìn)行信息安全風(fēng)險(xiǎn)管理的第一步,而風(fēng)險(xiǎn)評(píng)估中指標(biāo)之間的權(quán)重分配是進(jìn)行評(píng)估的一個(gè)關(guān)鍵問(wèn)題,直接影響了風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性。層次分析法(the analytical hierarchy process,簡(jiǎn)稱AHP)是美國(guó)運(yùn)籌學(xué)家T.L.Satty在20世紀(jì)70年代初提出的。它是處理多目標(biāo)、多準(zhǔn)則、多因素、多層次的復(fù)雜問(wèn)題,進(jìn)行決策

2、分析、綜合評(píng)價(jià)的一種簡(jiǎn)單、實(shí)用而有效的方法,是一種定性分析與定量分析相結(jié)合的系統(tǒng)分析方法。它能簡(jiǎn)化系統(tǒng)分析和計(jì)算,把一些定性的因素進(jìn)行量化,是分析多目標(biāo)、多準(zhǔn)則、多因素復(fù)雜系統(tǒng)的有力工具,它具有思路清晰、方法簡(jiǎn)便、適用面廣,系統(tǒng)性強(qiáng)等特點(diǎn)。利用層次分析法,建立層次結(jié)構(gòu)模型,對(duì)影響信息安全的各種因素的權(quán)重進(jìn)行評(píng)估,判斷出影響信息安全的主要因素所在,從而有針對(duì)性地加強(qiáng)風(fēng)險(xiǎn)管理。1. 基本概念、方法和軟件介紹1.1 信息的安全屬性息一般來(lái)講,信息安全的基本屬性主要表現(xiàn)在以下5個(gè)方面:(1)機(jī)密性(Confidentiality):即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者;(2)完整性(Integr

3、ity)即保證信息從真實(shí)的發(fā)信者傳送到真實(shí)的收信者手中,傳送過(guò)程中沒(méi)有被非法用戶添加、刪除、替換等;(3)可用性(Availability)即保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者提供服務(wù),保證合法用戶對(duì)信息和資源的使用不會(huì)被不合理的拒絕;(4)可控性(Controllability)即出于國(guó)家和機(jī)構(gòu)的利益和社會(huì)管理的需要,保證管理者能夠?qū)π畔?shí)施必要的控制管理,以對(duì)抗社會(huì)犯罪和外敵侵犯;(5)不可否認(rèn)性(Non-Repudiation)即人們要為自己的信息行為負(fù)責(zé),提供保證社會(huì)依法管理需要的公證、仲裁信息證據(jù)。盡管國(guó)內(nèi)外對(duì)信息安全的定義存在一定差異,但對(duì)于信息安全內(nèi)容的認(rèn)識(shí)卻是基本一致的,那就是信息

4、安全的基本服務(wù)內(nèi)容包括機(jī)密性、完整性和可用性。保證信息安全即要保證信息的安全屬性不被破壞,為信息安全風(fēng)險(xiǎn)評(píng)估提供了標(biāo)準(zhǔn)和依據(jù)。1.2層次分析法層次分析法的基本思路與人對(duì)一個(gè)復(fù)雜決策問(wèn)題的思維、判斷過(guò)程大體一致。利用層次分析法分析問(wèn)題時(shí),首先將所要分析的問(wèn)題層次化,根據(jù)問(wèn)題的性質(zhì)和所要達(dá)到的總目標(biāo),將問(wèn)題分解為不同的組成因素,并按照這些因素間的相互關(guān)聯(lián)影響轉(zhuǎn)化為最底層相對(duì)最高層的比較優(yōu)劣的排序問(wèn)題,借助這些排序,最終可以對(duì)所分析的問(wèn)題作出評(píng)價(jià)或決策。層次分析法不僅適用于存在不確定性和主觀信息的情況,還允許以合乎邏輯的方式運(yùn)用經(jīng)驗(yàn)、洞察力和直覺(jué)進(jìn)行決策。其分析過(guò)程可以概括為4個(gè)步驟:圖1 層次模型

5、結(jié)構(gòu)圖建立層次結(jié)構(gòu)模型。對(duì)于一般的系統(tǒng),層次分析法的層次結(jié)構(gòu)大體分為三層:目標(biāo)層、準(zhǔn)則層、方案層,如圖1所示。構(gòu)造成判斷矩陣。每個(gè)層次之中進(jìn)行要素間的兩兩比較,依據(jù)一定的決策準(zhǔn)則,確定要素間的優(yōu)劣差異。判斷矩陣的作用是在上一層某一元素的約束條件下,對(duì)同層次的元素之間的相對(duì)重要性兩兩進(jìn)行比較,根據(jù)心理學(xué)家提出的“人區(qū)分信息等級(jí)的極限能力為7士2”的研究結(jié)論,AHP方法在對(duì)評(píng)估指標(biāo)的相對(duì)重要程度進(jìn)行測(cè)量時(shí),引入了九分位的相對(duì)重要的比例標(biāo)度,構(gòu)成一個(gè)判斷矩陣。本文用了1-9的比率標(biāo)度法來(lái)表示,如下表所示。表1 1-9的比率標(biāo)度法甲與乙相比極重要很重要略重要重要同等重要略不重要不重要很不重要極不重要取

6、值975311/31/51/71/9說(shuō)明:8,4,2,1/2,1/4,1/6,1/8為上述評(píng)價(jià)值的中間值, =1,=1/,=1,2,N.各要素間根據(jù)表1比較所得的數(shù)值,可以構(gòu)造判斷矩陣:;其中,元素(=1,2,N)是第個(gè)要素的重要性與第個(gè)要素的重要性之比,矩陣A形成一個(gè)互反矩陣。計(jì)算權(quán)重向量并做一致性檢驗(yàn)。對(duì)判斷矩陣進(jìn)行數(shù)學(xué)計(jì)算,求其主特征值及其相應(yīng)的主特征向量,該向量即為層次權(quán)重向量。計(jì)算組合權(quán)重向量并做組合一致性檢驗(yàn)。通過(guò)歸一化和層層加總,計(jì)算各層元素對(duì)系統(tǒng)目標(biāo)的合成權(quán)重,完成綜合判斷,進(jìn)行總排序,確立層次結(jié)構(gòu)圖中最底層各個(gè)元素在總目標(biāo)中的重要程度。通過(guò)求解判斷矩陣的最大特征根及其對(duì)應(yīng)的特

7、征向量,進(jìn)行一致性檢驗(yàn)。1.3 Expert Choice軟件簡(jiǎn)介ExpertChoice是基于AHP方法的一個(gè)決策軟件,它容易操作的圖形化界面讓任何人皆容易上手,它能幫助用戶構(gòu)建常規(guī)或非常規(guī)的層次圖,并且方便用戶在準(zhǔn)則層中加入判斷矩陣,層次圖用來(lái)組織所有相關(guān)的準(zhǔn)則,以邏輯化和系統(tǒng)化的方式解決決策問(wèn)題,即,從目標(biāo)層到準(zhǔn)則層最后選擇方案這一過(guò)程,用戶必須自己定義問(wèn)題并且在層次圖中輸入所有的相關(guān)信息。在Expert Choice決策過(guò)程結(jié)束之后,決策者可借由容易了解的結(jié)果明白決策是如何產(chǎn)生的。AHP的求解過(guò)程中涉及大量的矩陣運(yùn)算,當(dāng)層次結(jié)構(gòu)復(fù)雜、元素較多時(shí)計(jì)算量是非常驚人的。因此,AHP的實(shí)際中常

8、常借助計(jì)算機(jī)軟件輔助決策。這里,我們利用Expert Choice公司的AHP分析軟件Expert Choice 2000進(jìn)行評(píng)估。2. 利用Expert Choice進(jìn)行AHP方案構(gòu)造與評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估中設(shè)計(jì)的目標(biāo)往往是多個(gè)(例如機(jī)密性、可用性和完整性),是比較典型的多目標(biāo)決策問(wèn)題,而評(píng)估過(guò)程中的目標(biāo)和準(zhǔn)則又通常沒(méi)有統(tǒng)一的計(jì)量單位。安全風(fēng)險(xiǎn)評(píng)估的這些特征正是層次分析法的優(yōu)勢(shì)所在。利用層次分析法,確定現(xiàn)階段各項(xiàng)技術(shù)手段對(duì)信息安全總體風(fēng)險(xiǎn)的影響,找出那些風(fēng)險(xiǎn)較大的薄弱環(huán)節(jié),重點(diǎn)解決。2.1 構(gòu)造信息安全評(píng)估的AHP層次結(jié)構(gòu)模型層次模型的構(gòu)造是基于分解法的思想,進(jìn)行對(duì)象的系統(tǒng)分解。我們將目標(biāo)層

9、設(shè)為信息安全總體風(fēng)險(xiǎn),是進(jìn)行層次分析的最終目標(biāo);準(zhǔn)則層設(shè)為信息安全的三個(gè)基本屬性:機(jī)密性、完整性、可用性,是評(píng)估信息安全的準(zhǔn)則;方案層設(shè)為實(shí)現(xiàn)信息安全的各種技術(shù)手段,例如:網(wǎng)絡(luò)邊界、內(nèi)網(wǎng)監(jiān)控、漏洞掃描、病毒防范、補(bǔ)丁管理、數(shù)據(jù)備份,是保障信息安全的具體措施。根據(jù)信息安全有關(guān)理論,和本文應(yīng)用的實(shí)際情況,可建立如圖2所示的AHP層次結(jié)構(gòu)模型。圖2 信息安全評(píng)估AHP層次結(jié)構(gòu)模型圖3為利用Expert Choice實(shí)現(xiàn)圖2所示的信息安全風(fēng)險(xiǎn)評(píng)估AHP層次結(jié)構(gòu)模型。由上圖可知,每個(gè)因素均與上一層有關(guān)系,這是一個(gè)完全層次關(guān)系模型。圖3 Expert Choice構(gòu)建模型2.2 填寫問(wèn)卷資料,獲取判斷矩陣

10、按照1-9的比率標(biāo)度法制作每一層的調(diào)查問(wèn)卷,并分發(fā)至多個(gè)專家和技術(shù)人員。圖4為準(zhǔn)則層相對(duì)目標(biāo)層的調(diào)查問(wèn)卷;圖5為方案層相對(duì)準(zhǔn)則層的調(diào)查問(wèn)卷(以機(jī)密性為例)。信息安全總體風(fēng)險(xiǎn)機(jī)密性可用性完整性機(jī)密性1可用性1完整性1圖4 準(zhǔn)則層相對(duì)目標(biāo)層的重要性調(diào)查問(wèn)卷機(jī)密性網(wǎng)絡(luò)邊界內(nèi)網(wǎng)監(jiān)控漏洞掃描病毒防范補(bǔ)丁管理數(shù)據(jù)備份網(wǎng)絡(luò)邊界1內(nèi)網(wǎng)監(jiān)控1漏洞掃描11病毒防范1補(bǔ)丁管理1數(shù)據(jù)備份1圖5 方案層相對(duì)于機(jī)密性的重要性問(wèn)卷調(diào)查將上述問(wèn)卷調(diào)查結(jié)果錄入軟件,得到圖6所示結(jié)果。圖6 問(wèn)卷結(jié)果錄入軟件2.3權(quán)重計(jì)算和一致性判斷利用Expert Choice進(jìn)行AHP分析,權(quán)重計(jì)算與一致性判斷是與矩陣的錄入同步進(jìn)行的。如果一

11、致性檢驗(yàn)指標(biāo)C.I.不符合要求(如:大于0.1),則需要修改判斷矩陣,直至符合要求。計(jì)算結(jié)果如圖7所示(以機(jī)密性為例)。圖7 各種措施相對(duì)機(jī)密性所占權(quán)重3最終結(jié)果及分析3.1 最終結(jié)果當(dāng)所有比較矩陣的值輸入完畢且均通過(guò)一致性檢驗(yàn)后,Expert Choice自動(dòng)生成權(quán)重和一致性判斷的結(jié)果,如圖8所示??梢钥闯觯诒疚乃邮盏降膶<覇?wèn)卷資料基礎(chǔ)上,對(duì)信息安全總體風(fēng)險(xiǎn),網(wǎng)絡(luò)邊界權(quán)重為0.224,內(nèi)網(wǎng)監(jiān)控權(quán)重為0.103,漏洞掃描權(quán)重為0.131,病毒防范權(quán)重為0.348,補(bǔ)丁管理權(quán)重為0.069,數(shù)據(jù)備份權(quán)重為0.125.圖8 各種措施所占權(quán)重3.2結(jié)果分析從圖8可以看出,在本文的信息安全風(fēng)險(xiǎn)的AHP分析中,依據(jù)所接收的問(wèn)卷調(diào)查,一致性指標(biāo)Inconsistency=0.020.1,一致性較好,滿足要求。所得結(jié)果表明,病毒防范在信息安全總體風(fēng)險(xiǎn)所占權(quán)重為0.348,說(shuō)明防范電腦病毒,是保證信息安全的主要措施,網(wǎng)絡(luò)邊界、漏洞掃描、數(shù)據(jù)備份也占了較大比例,為信息總體安全起了較大作用。因此,下一階段的技術(shù)和資金投入重點(diǎn)應(yīng)側(cè)重于:病毒防范、網(wǎng)絡(luò)邊界、漏洞掃描和數(shù)據(jù)備份。4.結(jié)語(yǔ)信息安全風(fēng)險(xiǎn)評(píng)估是確保信息安全的重要環(huán)節(jié),而其評(píng)估內(nèi)容復(fù)雜,沒(méi)有統(tǒng)一度量,很難定性分析或建立數(shù)學(xué)模型,而層次分析法可以對(duì)多層次問(wèn)題提供定性和定量相結(jié)合的方法,為信息安全風(fēng)險(xiǎn)評(píng)估提供了新思路。通過(guò)制定層次結(jié)構(gòu),輸入判斷矩

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論