| 主权项 |
基于区间数和理想解的信息安全风险评估方法,其特征在于,所述方法包括如下步骤:第1步,计算威胁发生可能性:1)确定对待评估项造成影响的因素:f<sub>1</sub>,f<sub>2</sub>,...,f<sub>m</sub>;2)确定专家人选:h<sub>1</sub>,h<sub>2</sub>,...,h<sub>n</sub>;3)构造评价矩阵;a)建立区间数单因素评判矩阵X,矩阵的列为因素集{f<sub>1</sub>,f<sub>2</sub>,...,f<sub>m</sub>},行为专家集{h<sub>1</sub>,h<sub>2</sub>,...,h<sub>n</sub>},将第i位专家对第j个因素的区间数意见[a<sub>ij</sub>,b<sub>ij</sub>]填充到矩阵的第i行第j列元素x<sub>ij</sub>上:<img file="FDA0001100306710000011.GIF" wi="862" he="319" />b)对评判矩阵X进行规范化处理,得到评判矩阵X';规范化处理评判矩阵X,区分“效益型”因素和“成本型”因素,在X的变换过程中,每一列的最大值赋为1,最小值赋为‑1,其他值按与最值的比例进行到[‑1,1]的线性变换,将那些优于平均值<img file="FDA0001100306710000012.GIF" wi="51" he="78" />的x<sub>ij</sub>赋予正值,将那些劣于平均值<img file="FDA0001100306710000013.GIF" wi="50" he="79" />的x<sub>ij</sub>赋予负值;4)对专家意见进行排序,计算权重;a)构造正理想评价J<sup>+</sup>和负理想评价J<sup>‑</sup>;J<sup>+</sup>由x<sub>ij</sub>=max{b<sub>ij</sub>|1<i<n}(j=1,2,…,m)组成,J<sup>‑</sup>由x<sub>ij</sub>=min{a<sub>ij</sub>|1<i<n}(j=1,2,…,m)组成;b)计算各专家给出的评价向量与正、负理想评价的关联系数<img file="FDA0001100306710000014.GIF" wi="196" he="63" /><img file="FDA0001100306710000015.GIF" wi="1285" he="231" />ρ为分辨系数,一般取ρ=0.5,L<sub>ij</sub>(k)为海明距离;c)计算各专家给出的评价与正负理想评价间的关联度ε<sup>+</sup>、ε<sup>‑</sup>;<img file="FDA0001100306710000021.GIF" wi="1238" he="111" />d)计算综合关联度ε,依据关联度对专家意见进行排序,得到专家意见的重要程度ε,归一化处理后计算出专家意见的权重向量W;<img file="FDA0001100306710000022.GIF" wi="1238" he="134" />5)计算因素的综合评价区间数向量R。因素的综合评价区间数<img file="FDA0001100306710000023.GIF" wi="254" he="53" />6)确定因素的权重A,采用层次分析法确定各因素权重;7)计算总体评价,m维向量A、R间采用加权平均值法M(·,⊕)计算得到总体评价区间数B;<img file="FDA0001100306710000024.GIF" wi="1229" he="62" />第2步,计算风险发生可能性P:1)根据风险评估模型的因素分层结构图,风险发生可能性受三个因素影响:资产脆弱性、威胁发生可能性、已有安全措施等级,威胁发生可能性在第1步中已经采用模糊综合评价计算出,将其标记为a<sub>2</sub>,资产脆弱性和已有安全措施等级的评价结果可以重复第1步的步骤计算得出,将其标记为a<sub>1</sub>,已有安全措施等级的区间数评价为a<sub>3</sub>;2)计算因素影响权重V,同样采用层次分析法,计算出资产脆弱性、威胁发生可能性、已有安全措施等级对风险发生可能性的影响权重V;3)计算风险发生可能性P:P=V*(a<sub>1</sub>,a<sub>2</sub>,a<sub>3</sub>);第3步,计算风险影响值I:从影响因素的角度评估风险发生造成的影响,其计算过程重复第1步的过程即可;第4步计算风险综合值:风险综合值=R(P,I)=P*I (公式1)公式(1)中R表示安全风险计算函数,P表示风险事件发生可能性,I表示风险影响值,按照公式(1),计算风险综合值,从而得到最终风险评估结果。 |
