1 引言
經過多年發展��,現代企業的生產和經營管理都已廣泛采用了計算機����、網絡�����、數據庫等信息技術�,實現了生產和經營的網絡化�,系統化管理�。但是�,隨著信息系統的不斷發展�����,內部人員的操作失誤�����、信息傳遞的失真����、黑客的惡意攻擊等問題也隨之而來�,而且���,隨著企業網絡和Internet的聯系愈加緊密�����,網絡自身的不安全性會給企業造成諸多安全隱患�����,并有可能對企業業務造成極大的破壞[1]��。為保障信息
安全�,國家制訂了《計算機信息系統安全保護等級劃分準則》(GB17859-
1999)強制性國家標準�,各行各業也制定了相應的安全防護標準����,但是這些標
準沒有給出具體的評價分析方法和模型��,這給實際的安全評估帶來了困難�����。
由于企業信息系統自身的復雜性�,對其信息安全的評估往往需要從多層次��、多渠道采用多種評估方法形成最終的評價結果���。在實際的評估操作過程中���,指標變量值既可能是用數值表述的精確變量���,也可能是用語言值表述的定性變量����,如“較好��,一般�����,較差”等����。因此��,如何合理地進行定量數值與定性概念之間的相互轉換��,形成專家定性意見的定量可比性[2]�����,是信息安全評估研究中一個重要課題����。
目前國內外對信息安全評價的主要方法有定性分析法和定量分析法兩大類[3]�。
常用的定性方法有德爾菲(Delphi)法����、功能系數評價法[4]等�。常用的定量分析方
法有:可靠性分析��、事故樹分析��、事件樹分析等�。這些方法在各自的適用領域有著不同的優勢���,卻在不確定性知識的表示方面存在一些不足���,突出表現在方法沒有體現出隨機性和模糊性的聯系���。
云模型是一種定性概念與其定量數值之間的不確定性轉換模型���,由李德毅院士于1995年提出���。云模型較好地把模糊性和隨機性集成到一起�����,目前已在數據挖掘���、模糊控制��、心理學�����、生態學��、語言學等多種工程領域內得到了廣泛應用[5]��。
因此�����,本文嘗試性地將云模型引入信息安全評價領域����,力圖克服傳統概率理論與模糊理論處理不確定性問題的不完整性和不徹底性�,從而提高評價結果信度����,為企業進行信息安全管理提供了一種新的思路���。
2 信息安全評價模型
2.1□信息安全評估指標云化
在給出的信息安全評價指標體系中�,對于語言值給出的評價值���,設有n個專家對某一指標給出n個定性評價值�,其一維綜合云可表[6]示為:
(1)
(2)
對于定量值的指標數據���,設定有n個專家對某一指標給出n個定量評價值:
其中���,對于無上下界約束的定量指標���,直接用逆向云發生器[7]獲取云模型的參數:
(3)
(4)
對于存在雙邊約束
的指標[6]���,可用以下公式近似:
(5)
(6)
對于單邊約束���,
可先根據測試數據的最大上限或下限確定其缺省邊界參數或期望值���,然后再參照上式計算云參數��。
He為常數��,可根據變量本身的模糊閾度來具體調整[2]���。
2.2□基于屬性相似度的信息安全指標權值確定
2.2.1□屬性相似度的計算方法
定義1 兩個狀態對象
���, 
是兩個對象空間的距離����,
是兩個對象空間第k維屬性空間的距離[8][9]�。
(7)
(8)
設有m個類別�,n個屬性����,類別間屬性j歸一化的距離
可表示為
(9)
屬性j歸一化的相似度用S(j)表示
(10)
2.2.2□各屬性j的權重的計算方法
(11)
2.2.3□評定當前狀態所屬等級云分類模型
(12)將當前狀態的各屬性值代入評定等級模型中獲得最大輸入�,既說明當前狀態的等級與Si相同 ��。
3 信息安全評價案例分析
3.1□指標體系的建立
在信息安全評估指標體系的建立中��,可以借鑒目前廣泛應用的ISO17799(BS7799)標準[10]��,它細分為兩層36個指標��。
3.2□參數值云化過程
按以上信息安全評價指標體系���,擬定評級為三等級:良好(S1)�,合格(S2)��,不合格(S3)����,抽取出不同狀態下各指標的專家給出的定性及定量評價值�����,抽取的樣本應有一定的樣本容量�,為便于計算和說明問題�����,在此只抽取人為因素的安全防范三項指標:工作說明及人力資源的安全(A1)���、信息系統使用者培訓(A2)�����、安全事故及故障響應(A3)����。根據指標值屬性類型�,選擇公式(1)~(6)可求得各等級下屬性一維綜合云(
)�,如表一所示:
表1□三個等級下屬性A1的一維綜合云
|
|
A1 |
A2 |
A3 |
|
S1 |
(0.811,0.033) |
(0.874,0.083) |
(0.925,0.025) |
|
S2 |
(0.605,0.0167) |
(0.675,0.025) |
(0.875,0.0417) |
|
S3 |
(0.3,0.1) |
(0.344,0.1) |
(0.375,0.125) |
以屬性A1為例�����,利用正向云發生器[5]用 Matlab仿真1000次生成其等級分類云如圖1所示:
圖1 屬性A1的等級分類云
3.3□基于屬性相似度的信息安全指標權值確定
由公式(7)��,(8)得:
���,�����,
由公式(9)得:
����,
�,
由公式(10)�,各屬性相似度
由公式(11)各屬性j的權重
�����。
由公式(12)即可獲得狀態所屬等級云分類模型
����。
設某電力企業各指標專家評測數據經云化處理后各屬性的綜合云為A1(0.68�����,0.572���,0.791)��,帶入上述等級云分類模型得
��,所以該企業的信息的安全狀態為良好����。
4 結 論
本文首次將云模型引入信息安全評價模型中����,拓展了研究信息安全評價模型的
思路�����。同時介紹了一種基于屬性相似度的賦權方法[9]��,并運用等級云判別法結
合實例說明了其在信息安全評價的運用��,從而證明了它的實用性和可操作性����。
本文所采用方法的特點:①指標云化法��,以云理論為基礎�,在定量定性概念的
轉換中綜合考慮了隨機性和模糊性的特點��,具有科學性����;②屬性相似度的賦權
方法��,具有先驗知識需求少和參數容易確定的優點[9]��;③等級云評判模型衡量
了某一狀態與各等級狀態的偏離程度��,它本身是個比較值�,無須另行給出校驗樣
本�����,具有自比性[6]���;④最后得出的是語言評判值����,具有直觀性[6]����。
參考文獻 (References)
[1]徐國強.電力信息系統安全問題探討[J].山西焦煤科技��,2008��,(9):32-33.
XU-Guoqiang.Discussion on the Security Problem of Electric Power Information System[J].
Shanxi Coking Coal Science and Technology���,2008����,(9):32-33.
[2]杜湘瑜�����,尹全軍��,黃柯棣�,梁甸農.基于云模型的定性定量轉換方法及其應用[J] .系統工程與電子技
術2008�����,30(4):772-776.
DU Xiang-yu�,YIN Quan-jun���,HUANG Ke-di,LIANG-Xunnong.Transformation between Qualitative Variables and Quantity Based on Cloud Models and Its Application[J].Systems Engineering and Electronics����,2008�,30(4):772-776.
[3]孔德玉.基于仿真采辦的武器裝備項目風險管理[D].北京:北京航空航天大學���,2009.
KONG-Deyu.Simulation-based Acquisition of Weapons Project Risk Management[D] .Beijing: University of Aeronautics and Astronautics�����,2009.
[4]張麗英.基于風險管理理念的電網安全管理研究[D].北京:華北電力大學�,2004.
ZHANG-Liyin.Study on Safety Management of Grid Based on Risk[D] .Beijing: North china electric Power University�,2004.
[5]李德毅�,史雪梅��,孟海軍.隸屬云和隸屬云發生器[J].計算機研究與發展��,1995���,32(6):15-20.
LI-Deyi����,SHI-Yuemei,MENG-Haijun.Mebership Clouds and Membership Cloudgenerators[J].
Computer Research and Development�,1995���,32(6):15-20.
[6]劉小龍�����,邱菀華.項目工程風險評估云判別模型設計[J].北京航空航天大學學報�,2008���,34(12) :1445-1447.
LIU-Xiaolong���,QIU-Wanhua.Model Design of Project Risk Assessment Based on Cloud Theory[J].
Journal of Beijing University of Aeronautics and Astronautics�,2008��,34(12) :1445-1447.
[7]劉常昱�,馮芒��,戴曉軍���,李德毅.基于云X信息的逆向云新算法[J] .系統仿真學報��,2004����,16(11)2417-2420.
LIU-Changyu��,FENG-Mang�,DAI-Xiaojun�����,LI-Deyi.A New Algorithm of Backward Cloud[J].Joural of System Simulation���,2004�,16(11):2417-2420.
[8]張國英��,沙云�,劉玉樹.高維云模型及其在多屬性評價中的應用[J] .北京理工大學學報�����,2004�,24(12) :1065-1069.
ZHANG-Guoying���,SHA-Yun����,LIU-Yushu.High Dimensional Cloud Model and Its Application in
Multiple Attribute Evaluation[J] .Transactions of Beijing Institute of Technology�����,2004�,24(12): 1065-1069.
[9]張 君�,張國英���,劉玉樹.基于屬性相似度云模型的網絡異常檢測[J] .吉林大學學報(工學版) .2006���,36(6) :954-957.
ZHANG-Jun���,ZHANG-Guoying��,LIU-Yushu.Network Anomaly Detection Based on Attributes Similarity and Cloud Model[J] .Journal of Jilin University (Engineering and Technology Edition) ���,2006�, 36(6):954-957.
[10]ISO/IEC17799-1��,Information technology Security techniques - Code of practice for information security management[s].
作者簡介:
胡婷婷(1986-)����,女�����,安徽合肥人�,北京航空航天大學信息管理與信息系統專
業在讀研究生�。09913
