模糊综合评价法在风险评估中的应用

模糊综合评价法在风险评估中的应用宋晓莉,余静,孙海传，王付明（解放军信息工程大学电子技术学院，河南郑州450004）摘要：在风险评估过程中究竟使用何种方法来进行评估，对整个评估过程和评估结论起着举足轻重的作用。本文介绍了模糊综合评价的基本思想和方法，给出了模糊综合风险评估法的实施过程，并举例说明了该方法的应用。关键词：信息安全；风险评估；模糊综合评价中图法分类号：TP393文献标识码：A0引言信息安全风险评估是一个复杂的过程，而在评估过程中使用何种方法对评估起着举足轻重的作用。评估方法的选择直接影响到评估过程中的每个环节，甚至可以左右评估结果[1]。风险评估的方法有多种，如德尔菲法、回归分析法、失效树法、层次分析法等。这些方法概括起来可分为三大类：定性方法、定量方法、定性与定量相结合的方法。定性方法可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、更深刻，但主观性太强，往往受评估者本身的知识、经验、教训等因素的影响。定量方法则是用直观的数据来表述评估的结果，看起来一目了然，但也可能使本来比较复杂的事物简单化，失去其主要的因素，甚至有的因素还可能被误解和曲解[2]。因此，采用定性与定量相结合的方法最能体现出评估的科学性与客观性。在实际风险评估过程中，评估对象往往受到各种不确定性因素影响，其中模糊性是最主要的，而在以往常用的综合评估方法中，对于因素的模糊性都没有做更深入的考虑。模糊综合评价法则是针对评估项的模糊性而采取的最好的评估方法，利用模糊综合评价法对信息安全风险程度进行全面准确的评估是提高信息安全防护能力的一种行之有效的方法。本文介绍了模糊综合评价法的基本思想和实施过程，并运用该方法对信息安全系统的风险程度进行综合评价。1模糊综合评价法的概述模糊综合评价法是建立在模糊数学理论基础上的一种预测和评价方法。它的特点在于其评价方式与人们的正常思维模式很接近，用程度语言描述对象[3]。它特别适合于用来解决那些只能用模糊的、非定量的、难以明确定义的实际问题。1.1基本思想模糊综合评价法的基本思想是：在确定评价因素、因子的评价等级标准和权值的基础上，运用模糊集合变换原理，以隶属度描述各因素及因子的模糊界线，构造模糊评价矩阵，通过多层的复合运算，最终确定评价对象所属等级[4]。关键点是模糊评价矩阵的计算。1.2评价过程信息安全风险评估是一个由多因素决定的复杂过程，因素之间有层次之分，我们称这类问题为多层次问题。对于多层次问题，需要按照评价因素所属的类别，先分层进行评价，然后再对总体进行综合评价，这就是多层次模糊综合评价。(1)建立系统评价指标体系建立系统评价指标体系的指导思想是：指标体系要真实地反映系统的性能。设计评价指标体系的原则有：①一致性。既要使评价指标与评价目标一致,又要使下一层次的指标与上一层次的指标一致。②可测性。评价指标系统中末级指标(最低层次指标)要用可操作化的语言加以界定,它所规定的内容可直接测量,以获得明确结论。③可比性。评价指标必须反映评价对象的共同属性,同时还能进行比较。④独立性。在指标体系内同一层次的指标必须各自独立,指标间不能相互重叠和包含,不能存在因果关系,不能从一项指标导出另一项指标。⑤可行性。设计评价指标的数量和评价标准的高低都要适中。有足够的信息、人力、物力和切实可行的量化方法可利用[5]。(2)确定因素集根据所建立的评价指标体系来确定因素集U。由于因素分有不同的层次，不能等同对待，要按它们各自所属层次分别处理。(3)模糊权重集的确定在实际评价工作中，各评价因素的重要程度往往是不相同的，考虑到这个客观存在的事实，必须确定各因素集的模糊权重。常用的确定权重方法有：统计实验法、分析推理法、专家测评法和层次分析法。在确定了各层相关因素之间的权重后便得到模糊权重集A。(4)评语集的确定确定评语集V。评语集是评价者对评价对象可能做出的各种总的评价结果所组成的集合。评语集的确定要根据实际需求而定，一般等级的划分在3级到7级之间，即评语集V={V1，V2，…，Vm}（3≤m≤7）。(5)模糊评价矩阵的建立先由专家填写评价卡，根据所评因素的具体情况，给出相应的等级；然后统计评价情况，列出评价结果统计表；由评价结果统计表求出各因素属于不同等级评语的隶属度，建立模糊评价矩阵R。(6)计算综合评价结果多层综合评价的原则是：先从最低层开始进行评价，并将每层的评价结果视为上一层单因素评价集，组成高一层的单因素评价矩阵，再对高一层的进行综合评价，直到最高层的评价结束。根据指标体系的建立原则可知：各层中所考虑的因素必须满足独立性，即同层各因素之间是相互独立的，不存在依赖关系。（至于如何在构建指标体系时能够使同一层的因素达到独立，由于篇幅的限制，这里不再详细叙述，具体方法可参看文献[6][7]中有关模糊关系及模糊聚类分析的内容。）因此每一层的评价算法应该是相同的，即模糊综合评价模型是：RABο=其中“ο”是模糊综合运算符，在模糊数学中称为模糊算子。模糊算子有多种形式，其中最常用的情况是“取大取小算子”和“乘与和算子”。经过多层模糊运算，最终得到了模糊集B=(b1,b2,…,bn)，归一化后得),,,(''2'1'nbbbBΚ=，其中∑==niijjbbb1'(j=1,2,…,m)。(7)给出评价报告最后的评估结论可根据总体评判'B和一定的评价原则来确定，常用的评价原则有：最大隶属度原则，最小代价原则，置信度原则，评分原则等。2信息安全风险评估实例以某组织的信息系统为例。(1)确定因素集确定因素集首先应给出该组织的评价指标体系，根据ISO17799的信息安全层次模型可知，系统的安全状况从十个方面来衡量，如图1所示。每一个方面又包含多个指标，为便于计算，我们只取其部分指标进行评价。确定的因素集U如表1所示。图1ISO17799的信息安全层次模型表1因素层次划分表(2)确定权重集专家测评法虽计算简单，但对各因素重要程度的考虑受专家们的主观因素影响太大，从而影响科学性。特别目标第一层第二层第三层管理信息论坛(U111)信息安全协调(U112)信息安全基础设施(U11)……第三方访问的风险控制(U121)第三方合同中的安全要求(U122)第三方访问的安全(U12)……组织安全(U1)…………访问控制的业务需要(U21)用户责任(U22)操作系统访问管理(U23)应用程序访问控制(U24)……访问控制(U2)…………系统风险状况(U)………………系统风险状况安全策略组织安全资产管理人事安全物理安全运行管理访问控制系统开发与维护业务连续性管理符合性是当某一因素集中出现所有的专家都一致认为其中一个因素是重要的，而其它因素为0时，则在评价过程中会夸大这一个因素而忽略了其它因素的影响。为了弱化该影响，我们采用美国著名运筹学家A.L.Saaty在70年代初提出的层次分析法来确定指标权值，该方法只需请专家给出指标两两之间的相对重要性比较，就可以计算出权值。Saaty所进行的各种标度方法的合理性实验表明[8]，采用1～7比率标度法表示任意两指标之间的相对重要程度比较合理。该方法将调查结果用1～7表示，根据层次分析原理就可以构造判断矩阵。采用方根方法近似求出各指标的权值并归一，计算一致性检验，所求权值如果不符合一致性要求，就适当调整判断矩阵，直到符合要求为止。最终确定的结果为第一层的模糊权重集A=(0.41,0.59)，第二层模糊权重集A1=(0.75,0.25)，A2=(0.11,0.36,0.09,0.44)，第三层模糊权重集A11=(0.38,0.62)，A12=(0.68,0.32)。(3)确定评语集令V={V1,V2,V3,V4,V5}，分别代表{安全，较安全，安全性一般，较危险，危险}，它们由高到低表示了因素的安全程度。(4)确定模糊综合评价矩阵请30位专家，根据划分的五个等级分别对表1中所列的最后一层的因素进行评价，即U111，U112，U121，U122，U21，U22，U23，U24这8个因素，而它们上一层的因素可通过它们的评价结果与相应的权重计算出来。这8个因素的评价结果统计见表2所示。表2评价结果统计表等级因素安全较安全安全性一般较危险危险U1111051050U112520500U1210151050U122051555U21520500U22002550U2310101000U24005205专家评价后，分别计算出各因素的隶属度。以U111为例，30名专家中有10人认为是“安全”，5人认为是“较安全”，10人认为是“安全性一般”，5人认为是“较危险”，没有人认为是“危险”。则U111在“安全”级的隶属度为1/3；“较安全”级的隶属度为1/6；“安全性一般”级的隶属度为1/3；“较危险”级的隶属度为1/6；“危险”级的隶属度为0。则对U111的评价为)0,,,,(61316131111=u。同理，可得到)0,0,,,(613261112=u；)0,,,,0(613121121=u；),,,,0(61612161122=u；)0,0,,,(61326121=u；)0,,,0,0(616522=u；)0,0,,,(31313123=u；),,,0,0(61326124=u。(5)模糊综合评价从最低层开始进行评价。评价算法依据综合评价模型RABο=来进行。这里的“ο”采用“乘与和算子”，就是普通的矩阵乘法。第三层模糊评价：)0,07.0,23.0,47.0,23.0(000)62.0,38.0(6132616131613111211111111111=⎥⎦⎤⎢⎣⎡=⎥⎦⎤⎢⎣⎡==οοοuuARAB)05.0,23.0,38.0,39.0,0(000)32.0,68.0(6161216161312112212112121212=⎥⎦⎤⎢⎣⎡=⎥⎦⎤⎢⎣⎡==οοοuuARAB分别归一化后，得)0,07.0,23.0,47.0,23.0('11=B，)05.0,22.0,36.0,37.0,0('12=B第二层模糊评价：)01.0,11.0,26.0,45.0,17.0(05.022.036.037.00007.023.047.023.0)25.0,75.0('12'111111=⎥⎦⎤⎢⎣⎡=⎥⎦⎤⎢⎣⎡==οοοBBARAB)08.0,36.0,42.0,10.0,05.0(000000000)44.0,09.0,36.0,11.0(6132613131316165613261242322212222=⎥⎥⎥⎥⎦⎤⎢⎢⎢⎢⎣⎡=⎥⎥⎥⎥⎦⎤⎢⎢⎢⎢⎣⎡==οοοuuuuARAB分别归一化后，得)01.0,11.0,26.0,45.0,17.0('1=B，)08.0,36.0,41.0,10.0,05.0('2=B。第一层模糊评价：)05.0,26.0,35.0,24.0,10.0(08.036.041.010.005.001.011.026.045.017.0)59.0,41.0('2'1=⎥⎦⎤⎢⎣⎡=⎥⎦⎤⎢⎣⎡==οοοBBARAB归一化后，得)05.0,2.0,35.0,24.0,10.0('=B。(6)求出最优解，给出评价报告最终的评价结果通过使用评分原则来确定。评分原则就是对评语集数性化，即分别用一组适当的数字来表示评语集，并划分科学合理的等级，然后对评价指标加权求和，进而得出结论。在本例中，设定的评语集为V={V1,V2,V3,V4,V5}，分别代表{安全，较安全，安全性一般，较危险，危险}，这里将其量化为V={V1,V2,V3,V4,V5}={9,8,5,3,2}。对于最终的结果P，假定当[]9,8∈P时，对应的评价结果为“安全”；当[]8,7∈P时，评价结果为“较安全”；当[]7,5∈P时，评价结果为“安全性一般”；当[]5,3∈P时，评价结果为“较危险”；当[]3,2∈P时，评价结果为“危险”。对于本例中[]7,527.5205.032.0535.0824.0910.051'∈=×+×+×+×+×=×=∑=iiivbP。于是，评价报告为：该组织的信息系统的安全状况为“安全性一般”。3结论一个信息系统的安全