CN43-1258/TP 计算机工程与科学2011年第33卷第5j饲ISSN 1007-130X COMPUTER ENGINEERING Vol . SCIENCE . 33,No. 5,2011 文章编号:10 07-130X( 2011 )05-0009-05 基于博弈论的综合赋权法的信息安全风险评估活A Comprehensive Weight Method Based on the Game Theory for Information Security Risk Assessment 吴叶科宋如)1困\陈波z1 1 WU Ye-ke,SONG Ru-shun,CHEN B02 (1.南京师范大学数学科学学院,江苏南京210046;2.南京师范大学计算机科学与技术学院,江苏南京210046)(1. School of Mathematics Sciences, Nanjing Normal University, Nanjing 210046; 2. School of Computer Science and Technology, Nanjing Normal University, Nanjing 210046,China) 摘要:为了合理确定风险评估中风险因素的权重,对信息安全风险进行科学的许价,在确定风险因素权重时,本文应用基于博弈论的综合赋权法将主、客观权重集成为风险因素的综合权重。并利用该方法对信息系统进行了实例分析,说明了该方法所得的评估结果科学合理,为信息系统风险评估提供了一个新的忠、路。Abstract: 1n order to determine the weights of risk factors reasonably in information security risk as sessment and scientifically evaluate information security risk. the weights of risk factors are calculated by a comprehensive weight method based on the game theory. Finally. an instance of risk assessment is given to show the rationality and feasibility of the results by analyzing an information system. 1t pro›vides a new method for information system risk assessment. 关键词:煽;G法;博弈论;综合赋权;信息安全风险坪估1Key words: entropy; Gmethod; game theory; comprehensive weight; information security risk as 1 sessment doi: 10. 3969/j. issn. 1007-130X. 2011. 05. 002 中图分类号:TP309文献标i只码:A采用合理的分析方法可以使风险评估结果更具科学性,目前国内外许多学者在这方面做了大量1 引言研究工作II斗]。然而,由于风险因素的不确定性,随着信息技术的迅猛发展,信息安全问题越来采用模糊综合评判法占有很重要的地位。但是,模越多地受到人们的关注。风险评估能够提供信息糊评判中各因素权重的计算往往采用专家主观赋系统当前的安全状态,为信息系统安全体系的构建值法,这种方法容易受专家的知识经验影响,主观提供依据,进而提升信息系统的生存能力。随意性很强。为了提高评判结果的科学性,文献收稿日期:2010-06-25;修订日期:2010-10-09基金项目:江苏省自然科学基金资助项目(2003101SBRB231);国家"211工程"建设项目(181070H901) 通讯地址:210046江苏省南京市南京师范大学数学科学学院Address,School 01 Mathematics Sciences,;\Ianjing Normal University, Nanjing,]iangsu 210046,P. R. China 9
[4J提出了一个将神经网络技术与模糊综舍评价法将风险因素U,相对于某评价准则IJ(或目标)的结合的评估模型;文献[5,6J利用信息'脑方法,通过重要性程度进行排序,若风险因素Ui相对于某评定量计算来确定各风险因素的权重。虽然这些方价准则(或目标)的重要性程度大于(或不小于)矶法的评估结果比主观赋值法更准确,但他们都忽略时,则记为U,>-U。J了评估过程中评估专家的主观导向作用o若风险因素U[,屿,…,Um相对于某评价准则在实际评价工作中,评价指标的重要性差异是(或目标)具有关系式:客观存在的,并受到决策者的主观意愿影响。合理U; >-U2’ >- >-U; (3) 的方法是将主观赋权法和客观赋权法有机结合起则称风险因素屿,酌,…,Um之间按">-"确立了序来,使确定的权重系数同时体现主观和客观信息。关系。这里Ui'表示{u;}按序关系">"排定顺序本文先利用信息'脑理论和序关系分析法分别后的第i个风险因素(i= 1,2,…,m)。为书写方确定风险因素的主客观权重,再利用基于博弈论的便且不失一般性,仍记式(3)为:综合赋权法确定风险因素的综合权重,以期使评价Ul >-U2 >- >-U(4) m 的结果更合理,更符合实际情况。(2)给出Uk~-l与Uk间的相对重要性程度的比较判断。2 风险因素权重的确定设专家关于风险因素U是l与构的重要性程度之比叫11wk的理性判断分别为:(Wk~~l Iw走)= r走,走m,m一1,…,2(5) 运用信息蜻确定风险因素的客观权重其中,rk的赋值可参考表10信息情H=~ 2...: PilnP,是系统不确定性的表1r,的赋值r, 定义度量。由惰的极值性可知,Pi越接近相等,情值越 风险因素问-~1与u,同等重要大,风险因素对系统风险评估的不确定性就越大, 风险因素Uk-j比u,稍微重要因此可用信息恼计算各风险因素的权值。用信息 风险因素Uk-l比问明显重要'脑理论计算风险因素的原理如下「飞 风险因素的1比的强烈重要对风险因素矶的相对重要性进行归一化处理 风险因素Uk-l比u,极端重要后,由下述信息'脑表示为:(3)权重系数W走的计算。若专家给出川的理性赋值,则Wm为:阶;-上>;rii lnr" (1) mm j"": 肌二(1+2...:IIrir1(6) 当rij(j = 1,2,…,m)取值相等时,情值e,最大为是=2i=k 1,所以e,满足O~ei~ 1 。由于1摘值最大时,此风Wk--1几Wk'走m,m~l,…,3,2(7) 险因素矶的权值可以由1~e,度量。因此,对其进由此可依次计算得Wk(走1,2,…,m)的权行归一化处理得到风险因素矶的权值也为:重。 运用博弈论综合赋权法确定风险因素的综合ω, = (1κ) I (n ~ 2...: e(2) , ) 权重该方法首先分别确定主观权重和客观权重,然其中,O~ωzζ1 ,且有三ω=1 0 后通过博弈论的方法将主观权重和客观权重综合 运用序关系分析法(G1法)确定风险因素的起来,其基本思想是在不同的权重之间寻找一致或主观极重妥协,使理想的综合权重与各主、客观权重的偏差层次分析法[7J是一种应用较广泛的主观赋权极小化,尽可能保留各主、客观权重值的信息。基方法,但该方法存在着一定的不足之处:要求判断于博弈论的综合赋权法的具体理论如下问:矩阵必须是一致阵,被比较元素个数较多时,判断记m个权重向量WT的线性组合为:的准确性难以保证等。而G1法是在层次分析法(8) w=匀αiW;,αi>O的基础上进行改进的一种方法,无需进行一致性检G[8:验,计算过程较简便。1法的原理如下因此,寻找最满意的权向量可归结为对式(8)中的(1)确定序关系。m个线性组合系数比进行优化,优化目标是使W10
与各个W,T的离差极小化。由此,导出了下面的对(6 )将各评价等级赋予具体分值5策模型2( .1'1肉,…,儿n),计算综合评价值为Z= B X ST 0 min II艺α,W;-W; II "j 1,2, ,m (9) 4 风险计算上面模型是一组包含有多个目标函数的交叉规划模型,求解该模型能够获得一个和多种权重赋根据信息安全风险评估规范[11:风险计算的值方法在整体意义上相协调、均衡一致的综合权重形式化表示为:结果。风险值=R(A, T,V) = 根据矩阵的微分性质,可得出式(9)最优化的R(L(T,V),F(Ia,Va )) 一阶导数条件为:其中,R表示安全风险计算函数d表示资产;了表示威胁厅表示脆弱性Ia表示安全事件所作用的L:Q,W)W; = W)W; (10) J=] 资产价值;Va表示脆弱性严重程度;L表示威胁利式(10)对应下面的线性方程组:用资产的脆弱性导致安全事件发生的可能性;F表rwW; W11Wi WW:nl IαII IW1 1Wn 示安全事件发生后产生的损失。1W ~Wr W2W]…W2W;~ IIα21 IW2Wf I 安全事件发生的可能性L由各因素相应的权向量Wp、风险因素相对于频率等级的隶属度矩阵Iw",w; W",Wl…Wmw;~J 比,JIWmw~J 陀、可能性等级的具体评价值V确定,即:p(11) L = W PR V{, (12 ) 求出t述方程解αJ并代入式(的,即可求出安全事件发生后产生的损失F由各因素相应的权综合权重向量W。向量W1、风险因素相对于影响等级的隶属度矩阵乱、影响等级的具体评价值V确定,即:13 模糊综合评判法F = W1RNT (13) 最终计算信息系统面临的风险值R=LxF。模糊综合评判法[l()J是对多种因素影响的事物作出全面评估的→种有效的多因素决策方法。在5 案例分析确定评价因素、评价等级和权值的基础上,构造模糊评价矩阵,确定评价对象所属等级,然后利用模应用基于博弈论的综合赋权法对Z市劳动与糊变换原理对各指标进行综合。其基本步骤如下:社会保障局医疗保险信息管理系统实施安全风险(1)根据评价对象的特点,确定综合评价的因评估。结合该信息系统的实际情况,经讨论,最终素集U= {UJ'酌,…,u,,}0 确定某内部信息系统的威胁因素集U={Ul'屿'(2)制定评语等级集。评语等级集为专家对评屿,U4,杭州川,其中Ul,U2’ , U6分别为黑客窃取价对象的评价结果等级集合,每二个等级可对应一用户或业务数据及病毒等恶意代码侵害、非授权访个模糊子集V= {Vl'屿,…,Vm}。问系统资源或滥用权限修改系统数据、系统管理员(3)建立单因素隶属度矩阵,如果第i(i 1, 操作失误、安全管理无法落实、火灾等物理环境威2,…,n)个评判因素矶,其单因素评判结果为R胁。建立威胁因素发生的可能性和影响的等级定={川,ri2, ,rim} ,其中rij为因素Uj对评判集中义评判集V={叭,叫,V川叭,V,,},其含义分别如表η评语川的支持程度。则个评判因素的评判隶属2和表3所示。度矩阵为R= (r,))川表2威胁发生的可能性等级定义(4)确定评价因素的权向量,模糊权向量W=可能性描述等级{c屿,W2,…,吼,},其中W,为第1个因素所对应的Vl很低威胁几乎不可能发生权重。V,低威胁发生的可能性较小.一般不太口I能发生(5)用模糊权向量W将不同的行进行综合,就V3中威胁发生的可能性中等,在某种情况下可能发生可得到该被评价事物从总体上来看对各等级模糊叫高威胁发生的可能性较高,在大多数情况下很有可能发生子集的隶属程度,即模糊综合评价结果向量B=问很高威胁发生的可能性很高.在大多数情况下几乎不可避免W. R = (仇,仇,…,b)。m11
表3威胁发生的影响等级定义按式(2)计算出风险事件发生的可能性为:影响等级L = W pRpVJ = 描述资产损失可忽略,对业务基本无损害,只有轻微的财务损[ 1 1&低失等O. 1 O. 2 O. 2 O. 3 O. 1 叫低可以造成资产较小损失并可以主即控制、较小财务损失等O. 1 O. 1 O. 3 O. 3 O. 2 O. 3 叫中可以造成资产损失、业务受到损害、中等财务损失等O. 1 O. 2 O. 3 O. 1 = 切V4高可以造成资产重大损失、业务中断、较大财务损失等 O. 1 O. 2 。.7U5很高可以造成资产全部损失、持续业务中断、巨大财物损失等 O. 1 O. 9 采用Delphi法,请10名专家组成评估小组, 对风险因素U进行可能性评价,每个专家对各个利用上述问样的方法,按式(13)可计算出风险风险因素确定其风险可能性为{很低、低、中、高、很事件发生的影响为:高}中的一种。结合各个专家的评定意见,计算各F = WRVT = 11风险因素隶属于各指标的可能性,则可得到隶属度[ 矩阵风,对风险因素进行影响评定,得到隶属度矩 O. 2 O. 3 O. 2 20 阵丸,定义可能性等级的评价值Vρ=[,, O. 2 O. 3 O. 2 40 ,,0.町,影响等级的评价值V1= [20,40, O. 1 O. 3 O. 2 O. 1 60 1= 60,80,100J。O. 2 O. 1 O. 2 O. 3 O. 2 80 O. 2 O. 2 O. 3 O. 2 O. 2 O. 2 O. 1 100 O. 1 O. 2 O. 1 O. 2 O. 3 O. 3 O. 1 最终可以得到风险值R=L祷F=~ Rρ= O. 1 O. 2 O. 4 O. 1 O. 2 40。根据影响等级的评价值,说明该信息系统的风01 O. 3 O. 1 O. 4 险度比较低,系统处于比较安全的状态。该结果与 O. 2 O. 3 O. 3 O. 2 专家的估计一致,验证了本文所提出的评估方法的O. 1 O. 2 O. 3 O. 2 O. 2 可行性 O. 3 O. 3 O. 2 O. 1 6 结束语R= O. 1 O. 2 O. 2 O. 1 O. 2 O. 4 O. 2 O. 1 本文在确定风险因素的权重时既考虑了风险O. 1 O. 1 O. 5 O. 2 O. 1 因素的客观权重,又考虑了评估专家在评估过程的对于安全事件发生的可能性,评估小组认为风主导作用,利用基于博弈论的综合赋权法确定风险险因素Ul1U2'酌,叭,比,U6之间的重要性程度具因素的综合权重。通过实例验证了该方法的可行有序关系:U] >-Uz >-U, >-Us >-U4 >-U6 ,且给出性,与文献[12J提出的信息系统安全风险综合分析了r2= l. 4, r:J = l. 2, r4 = l. 2,η= l. 2 ,r6 = 1。方法相比,运用本文提出的方法将主观权重和客观利用序关系法,由式(6)和式(7)可得到各风险权重有机结合,得出的评估结果更加合理地反应了因素的主观权重W= [ 4, 7, 9, 1信息系统实际的安全状况,有较好的实际应用价 7, 6, 7J。值。本文为信息系统的安全性评价提供了一个新再利用情权系数法,由式(2)计算出各风险因的思想和方法。二素的客观权重W[, 4, 4,0. z参考文献:166 2,, 5J。按式(11)求出主观权重W]和客观权重W[lJ John M G. Fuzzy Set Computational Processes in Risk Anal zysis[J]. JEEE丁ransactionson Engineering Management, 的系数分别为α=O. 502 7,卢= 1,归一化1991, 38(2),177-178. 得:α= 2,卢=[2J David R. George G. Risk, A Practical Guide for Deciding 利用基于博弈论的综合赋权法,由公式(8)计What’s Really Safe and What"s Dangerous in the World A 算出综合权重W=[ 8, 9, 4, pround You [D J. New York: Houghton Mifflin Company, ,,。2002. 12
[3J Whitman M E, Herbert]. Principles of Information Sccurity [12J 宋如顺信息、系统安全风险综合分析方法[J].计算机工程.[M]. Canada: GEX Publishing Services. 2003. 2000,26(12):33-34 [4J 刘海燕,王维峰,蔡红柳.…个基于神经网络的信息系统安全性综合评估模型11].计算机工程与科学,2008. 30 ( 11 ) : 16 吴叶科0985-).男,江苏盐城人,硕18. 士,研究方向为信息网络安全控制和风险[5J 刘勇,林奇,孟坤.一种基于信息娟的企业信息系统的安全风评估。E-mail:险定量评估方法[J].计算机科学,2010,37(5): Ye-ke, born in 1985, MS, his re-[6J 汤永利,徐国爱,钮心忻.等基于信息娟的信息安全风险分search interests include information net›析模型[J].北京邮电大学学报.2008,31(2) ,50-53. 醒黯黯踵譬霆韶事草草[7J Saaty T L. The Analysis Hierarchy Process[MJ. Mc Graw work security control. and risk assessment. Hill lnc. 1980. [8J 郭亚军,综合评价理论、方法及应用[MJ北京:科学出版社,宋如顺0953-),男,江苏南京人,教2007. 授,研究方向为信息网络安全保密技术和[9J 王书吉,费良军,雷雁斌,等.两种综合赋权法在灌区评价中教育技术软件。E-mail:05085@njnu. edu. 的应用研究[J].西安理工大学学报,(2), [IOJ 杨宏字,李勇,陈创希基于模糊理论的信息系统风险计算SONG Ru-shun, born in 1953, profes [J].计算机工程,2007,33(16),44-46. sor, his research interests include information network目[IIJ GB/T20984-2007信息安全技术信息安全风险评估规范[S]. curity tcchnology, and education technology softwarc. 、‘'、,、,、4户、'、,、,、、,、,、、'、,、,、、,、,、、,、、、'、,、,、、,、,、,白、'、f、,、、,、,、---、‘'、,、J、、'、,、---‘、,、,、,卢、'、、、、,、,、,句、'、,、,、可、,、,、,‘、第十五届全国科学计算与信息化会议暨高能物理核物理信息化论坛全国科学计算与信息化会议是中国电子学会、中国核学会核电子学与核探测技术分会主办的学术年会,主要面向全国科学研究人员以及计算机专家与工程技术人员,搭建一个沟通交流平台,探讨科学研究需求、实际工作经验以及新技术发展与应用,以更好的提升计算机与信息技术在现代科学研究的应用水平o会议时间:2011年7月4日~7日会议地点.四川成都主办羊位:中国科学院高能物理研究所(中国电子学会、中国核学会核电子学与核探测技术分会挂靠单位)协办单位:成都九龙公司征文范因:(征文范围包括但不局限于如下议题.详见征文通知): 网格计算与豆计算;硬件环境与基础设施;数据处理与分析;计算方法与软件技术;网络与信息安全;协同工作环境重要日期:论文摘要接收截止日期:2011年4月30日论文全文接收截止日期:2011年6月10日?早期注册截止日期:2011年3月15日至6月1日有关会议的详细信息,请浏览会议网站:. cn 吴春珍中科院高能所计算中心办公电话:010-88236039 办公传真:010-88236839 电子邮件:wucz@ihep. ac. cn 13