随着社会的持续发展和国家信息化步伐的加快，信息安全问题对国家安全的影响日益增加与突出。为了对安全性进行高效地评估，达到提高信息系统安全性的目的，文中提出了一种基于模糊综合评判理论的信息系统安全风险评估模型和方法。模型采用多层结构，引入了关系矩阵描述各个评价因素之间的相互影响关系，并提出了安全性评估指标体系，使用定性和定量的评估方法对安全性进行评估。对模糊综合得出的结果提出了分析方法来获得信息系统的综合风险评价，改变了传统将信息系统看成“黑盒”来评估的方法，是对以往安全性评估方法的补充。

　　论文关键词：信息安全；模糊综合；评估

　　0引言
　　信息和信息安全在人类社会的生存发展中变得越来越重要了，信息给人类社会创造了无限的财富，以至于信息和信息安全已经毫无争议地成为一个组织、一个国家资产的一部分，而且还是重要的资产；但是，如同人类历史上某些先进技术，它也是一把双刃剑，在造福于人类社会的同时，也给人类社会带来损失和危害。
　　不管是从通信保密到计算机网络安全，还是从信息安全到信息保障，人们越来越多地意识到信息和信息安全的重要性，正在逐步完善对信息和信息安全的全面认识。因此信息安全风格评估在这其中就占有举足轻重的地位。加强信息安全评估工作是当前信息安全工作的客观需要和紧迫要求。信息安全问题由于信息的应用环境、应用领域以及处理信息敏感度的不同，在安全需求上有很大差别。
　　信息安全评估具有如下作用：
　　(1)明确信息的安全现状：进行信息安全评估后可以准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰安全需求。
　　(2)确定信息的主要安全风险：在对信息进行安全评估后，可以确定信息的主要安全风险，并选择合理的风险处置措施，如避免风险、降低风险或接受风险。
　　(3)指导信息安全技术体系与管理体系的建设：进行信息安全评估后，可以制定信息的安全策略及安全解决方案，从而指导信息安全技术体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统等)与管理体系(安全管理制发、安全培训机制等)的建设。

　　1信息安全风险因素
　　信息安全系统开发过程是一个包括人、开发工具和应用背景等非常复杂且动态的过程。在一些信息安全关键系统中，一些安全性失效可能引起设计功能无法正常完成，甚至导致整个系统瘫痪。因此非常有必要进行信息系统安全性的影响因素分析，最终进行软件产品的安全性评估。
　　安全性因素对软件安全性的影响程度与信息系统的安全性水平关系密切J。一是因为这些因素取自于安全事件发生的本质原因，可以从不同方面反映安全性受其影响；二是因为这些因素对信息系统安全性的影响程度的轻重与否可以通过软件安全性的高低表现出来。因此，文中对安全性评估的影响因素作出了定义和分析，计算影响因素对信息系统安全性的综合影响程度，然后再评估信息系统的安全性。

　　2信息安全风险综合评估指标体系
　　2．1信息安全评估的概念
　　信息的安全风险，是指由于信息系统本身存在的脆弱性，人为或自然的威胁导致安全事件发生造成影响。信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息的脆弱性、信息面临的威胁以及脆弱性被威胁源利用后所产生的负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息的安全风险。
　　在已有的研究的基础上，构建了信息安全风险综合评估指标体系，如图l所示。

该体系分为四级：第一级是评估的目标即安全事件风险等级；第二级从安全事件发生可能性和安全事件危害性这两个大的方面对安全风险进行大的评估；第三级列出了安全事件发生可能性和安全事件危害性的考虑因素(威胁性、脆弱性和资产价值)；第四级则是影响安全风险的每一个属性的若干因素，它是细化了的安全风险影响因素。根据这些因素对信息安全风险的影响程度，可采用类似于很高、高、中、低和很低等的度量元。根据影响的高低程度，可以知道安全风险分别隶属于与之对应的很高、高、中、低和很低的程度。信息系统安全风险受影响的等级程度越高，其安全性就越低。由于影响安全风险的因素很多，各因素问又有主、次之分，所以可通过权重分配，突出主要因素的影响，做到轻重有别。
　　2．2威胁性识别
　　安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。即使安全性级别再高的信息系统，安全威胁始终是存在的。威胁分类的方式有很多种，威胁的来源主要是环境因素和人为因素两大类，人为因素又分恶意人员和非恶意人员。依据威胁来源和表现形式可将威胁分为9类：
　　软硬件故障：设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障和开发环境故障等；
　　无作为或操作失误：维护错误、操作失误等；
　　恶意代码：网络病毒、间谍软件、窃听软件、蠕虫、陷门等；
　　越权或滥用：非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等；
　　网络攻击：网络探测和信息采集、漏洞探测、嗅探、用户身份伪造和欺骗、用户或数据业务的窃取和破坏、系统运行的控制和破坏等；
　　物理攻击：物理接触、物理破坏和盗窃等；　
　　泄密：内部信息泄露、外部信息泄露等：
　　篡改：篡改网络配置信息、系统配置信息、安全配置信息、用户身份或业务数据信息等；
　　抵赖：原发抵赖、接收抵赖和第三方抵赖等。

　　2．3脆弱性识别
　　脆弱性是资产本身存在的，如果不被相应的威胁利用，单纯的脆弱性本身不会对系统造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件的发生进而带来损失。威胁总是利用资产的脆弱性才能造成伤害。
　　脆弱性识别数据应来自与资产的所有者、使用者以及相关业务领域和软硬件方的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工：核查、文档审阅、渗透性测试等。脆弱性的识别主要从技术和管理两个方面进行，其主要因素分为技术脆弱性和管理脆弱性，进一步细分则又可以划分为：物理环境、网络结构、系统软件、数据库软件、应用中问件应用系统、技术管理和组织管理等方面。
　　脆弱性严重程度可以采用类似威胁性的度量元进行等级化处理，不同的等级代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。
　　2．4资产识别
　　风险评估需要对资产的价值进行识别，因为价值不同将导致风险值不同。风险评估中资产的价值不仅仅是以资产的经济价值来衡量，还与资产的机密性(Confidentiality)、完整性(Integrity)和可用性(Avail—ability)这三个安全属性有关。资产在CIA三性上的要求不同，则资产的最终价值也是不同。根据《信息安全风险评估规范》中给出的基于表现形式的资产分类方式，将资产分为6类：
　　(1)数据资产：包括保存在信息存储介质上的各种数据资料，如源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等。
　　(2)硬件资产：包括网络设备、计算机设备、存储设备、传输线路、保障设备、安全保障设备等。
　　(3)软件资产：系统软件、应用软件和源程序等。
　　(4)服务资产：办公服务、网络服务和信息服务等。
　　(5)文档资产：传真、电报、财务报告、发展计划等。
　　(6)人员资产：主机维护主管、网络维护主管和应用项目经理等。

　　3模糊综合安全风险分析评估方法
　　3．1模糊综合安全风险分析评估方法概述
　　采用AHP的方法来构造判断矩阵，按照1—9比例标度对安全风险因素的重要性程度赋值，采用专家打分的方法构造出影响因素的两两比较评判矩阵。为了使得到的评判矩阵满足一致性条件，对评判矩阵进行一致性检验。通过一致性检验后，得到其评判矩阵的最大特征根和特征向量w，将得到的特征向量归一化后就能够得到权重集．即可以得到信息系统的安全风险评估等级。
　　3．2安全事件发生可能性
　　安全事件发生可能性的实质就是威胁成功利朋资产存在的脆弱性导致安全事件发生的概率。可以使用以下的范式说明安全事件发生可能性的原理：
　　Mp二F(T,C)
　　其中：Mp表示安全事件发生的可能性，T表示信息存在的威胁性，C表示信息的脆弱性，F表示安全事件发生可能性计算的函数。
　　令威胁性和脆弱性的评语集V={很高(V5)、高(V4)、中(V3)、低(V2)、很低(V)}。假设威胁性和脆弱性各有八个影响因素，分别为(R1，R2，R3，R4，R5R6，R7，R8)和(R9，R10，Rl1，R12，R13，Rl4，R15，R16)则其威胁性的评判矩阵为：
 

　　3。4安全事件风险等级
　　对于图1中的位于第一级的安全事件风险等级的计算，同样使用AHP方法得到位于第二级的安全事件发生可能性和安全事件危害性对于安全事件风险等级的权重集(w，w)，如上可以得到安全事件风险等级为：