基于风险因子的信息安全风险评估方法研究.doc

中 国 矿 业 大 学信息安全管理报告报告题目： 基于风险因子的信息安全风险评估方法研究 组 长： 负责专题： 组 员： 负责专题： 2016 年 4 月 徐州摘 要在当前信息安全问题频发的时代，信息安全风险评估是一个保障信息安全问题的重要手段。目前已经提出了相当多的信息安全评估方法，比如定性分析法、定量分析法、综合分析法等。本文主要叙述信息安全风险的相关基础概念以及信息安全风险评估的基本流程，并介绍基于风险因子的信息安全评估方法，提出风险因子的概念和风险因子的基本要素，并对风险因子的基本要素进行定义和解释说明，并在此基础上实现基于风险因子的风险评估模型。此模型将系统风险分解为若干风险因子，由专家对风险因子的基本要素进行评价，计算风险因子的风险度，对风险度进行二次模糊化后构造风险度的隶属矩阵，并利用熵系数法求出各个风险因子的权重，从而计算出风险等级。最后结合实例来实现该模型。 该论文有图5幅，表8个，参考文献13篇。关键词：风险评估；风险因子；熵系数；风险度；二次模糊化目 录1 绪论11.1 研究背景11.2 国内外研究概况11.3论文研究意义31.4 小结32 信息安全风险评估42.1 信息安全风险评估基本概念42.2 信息安全风险评估要素42.3 信息安全风险评估过程52.4 小结113 基于风险因子的信息安全风险评估123.1 基于风险因子的信息安全风险评估方法概述123.2 基于风险因子的信息安全风险评估方法中的基本概念123.3 基于风险因子的信息安全风险评估方法的特点123.4 基于风险因子的信息安全风险评估模型153.5 小结184 信息安全风险评估案例194.1 风险度的隶属矩阵的计算194.2 熵系数的计算204.3风险计算214.4结果分析224.5小结225结论23参考文献24附录 Matlab模型构建的内容25信息安全管理报告1 绪论 1.1 研究背景1.1.1 论文研究背景信息技术日益发展，并且为整个世界的前进和上升贡献了自己的一份力量，同时带动各行各样的改革和创新。而随着信息技术的进步，人类对信息技术的依赖程度越来越高，而信息安全问题也随着依赖程度的增加而日益明显。这些安全问题成为严重制约信息技术发展的因素，影响人类社会的进步。重视信息系统安全，保障网络及信息系统安全，已经是发展信息技术的重要环节。随着信息系统的发展，系统复杂性的增加，传统信息安全技术目前已经显露出了严重的局限性。为了应对目前出现的信息系统的各种安全问题，并且使人们对系统安全性有更详尽的认识，需要对信息系统进行一个相对全面的、正确的安全风险评估。信息安全风险评估是完善信息系统安全性的一个重要环节。1.2 国内外研究概况1.2.1 国外研究现状 信息安全的研究始于军事领域，而后信息安全的研究在各行各业的其他领域也开始发展，并逐渐发展成一门学科。在有过信息安全风险评估经验的国家中，时间最长且经验最丰富的国家当属美国。而随着各种领域对信息安全的需求的增大，安全事件的驱动和信息安全技术、信息安全概念不断发展，致使他们逐步加深了对信息风险评估的认识。从最初关注计算机保密性到目前关注的信息系统基础设施的信息保障，大体上有以下三个阶段1： 第一阶段（6070年代）以计算机为对象的保密阶段1。1967年针对计算机安全问题，美国国防科学委员会委托兰德公司、迈特公司以及其他和国防工业有关的一些公司对当时的大型机、远程终端进行风险评估，经过了两年半的时间，他们终于完成了这项较大规模的任务1。20世纪七八十年代，针对信息安全标准，美苏两国几乎同时开展相关的建设工作，其中美国的成果更为突出。在70年代完成了TEMPEST对抗标准的制定，在80年代制定了密码标准，联邦信息处理标准，国家计算机安全标准等一系列安全标准。这一阶段的特点是重点针对计算机系统的保密性问题提出要求1。第二阶段（8090年代）将网络作为对象进行信息保护1。1988年到1989年，计算机系统网络应用的开展使得黑客行为出现在美国军方的计算机。据美国官方统计，在这一年的时间里又出现了多起计算机网络重大事件。在这样的大背景下，美国开始专注于研究风险评估标准，形成了早期的一套比较完整的从理论到方法的有关信息安全评估的准则1。第三阶段（90年代末21世纪初）以信息基础设施为对象的信息安全保障阶段1。2000年前后，关键基础设施的核心是计算机网络系统。大规模黑客攻击出现在国际范围内，这促使信息战的理论走向成熟。此时美国对信息系统展开了新一轮的评估和研究以确保其信息基础设施的安全。在此期间信息安全保障对象、安全属性、保障能力等进一步明确1。美国近年来高度重视网络空间的安全部署，直至目前，美国从未中断过对信息安全的研究。众多学者对信息安全研究开始进入新的阶段，进入各个细节和方向的研究。欧洲信息技术的发展不比美国成熟，他们的信息安全管理实践是在充分利用美国科技成果上发展起来的，利用“趋利避害”的策略防范在信息化发展进程中的安全风险2。而亚洲国家方面，在信息技术领域主要是处于发展中国家阶段，这些国家大多抢占信息技术的发展机遇。拿韩国举例，为了把信息安全风险管理工作发展得更好，韩国参照美国的主要政策和做法，成立了相关的专门信息安全机构，大力推进风险管理的做法；而日本在信息安全风险评估结合了美国和英国实践经验，建立了“安全管理体系评估体系”作为日本标准，引导政府和民间信息安全风险管理的实践；新加坡则参照英国在信息安全风险评估的做法，并向邻国输出信息安全风险管理的专业知识和服务2。1.2.2 国内研究现状 在二十一世纪之前，我国信息安全风险的发展经历了一个曲折的过程。早期是采用边改边进行的方式来开展信息安全工作的。而计算机在我国上世纪八十年代应用后，应用的范围不断扩大，计算机所存在的安全问题出现，虽然进行了安全检查工作，但由于风险相关意识缺乏，找不到一个合理且合适的方案解决问题3。我国对于信息安全风险评估进入正式研究的时间实在2000年前后，随着人们对信息安全问题的认识逐步深入相关研究不断发展4。我国信息系统风险评估的研究目前主要集中于组织架构和业务体系的建立，相应的标准体系和技术体系还处于研究阶段，但随着电子政务、电子商务的蓬勃发展，信息系统风险评估领域和以该领域为基础和前提的信息系统安全工程在我国已经得到政府、军队、企业、科研机构的高度重视，具有广阔的研究和发展空间5。无论是国外还是国内，在信息系统的风险评估中，安全模型的研究、标准的选择、要素的提取、评估方法的研究、评估实施的过程、一直都是研究的重点5。 目前针对信息系统安全风险评估的研究中，各种模型层出不穷。当今主流风险评估方法分为定性、定量和综合法三种，定性全面、深入，但是主观性太强，对于评估者的要求太高。定量评估直观、明显、对比性强，但是简单化、模糊化、比较容易造成误解。很多专家学者提出了一些综合分析法来解决二者的不足之处，比如著名的综合评估方法有概率风险评估、动态概率风险评估、层次分析法、模糊综合等。综合法集中了定性和定量的部分有点，但也并非尽善尽美，仍需不断改进6。上述的这些方法各有利弊。1.3 论文研究意义信息安全风险评估就是在进行充分风险分析的基础上对信息安全系统进行有效地评估，了解在未来可能会存在的风险和威胁，并能够及时、准确地掌握可能造成的威胁程度，以方便人们对症下药并采取一定的措施从而将风险降低到最小。本文在研究熵系数模糊综合法、层次分析法等综合分析法的基础上，抓住风险评估的实质内容提出了基于风险因子的风险评估方法RARF（risk assessment method based on the risk factors）,建立了以风险因子为核心的风险计算模型，通过风险度计算、二次模糊化、熵系数计算和综合计算等步骤对信息系统的安全进行风险评估。这种风险评估模型可以较好地减少风险评估时存在的误差，对后期信息安全管理起到一个良好的指引作用6。1.4 小结 本章主要叙述了本篇报告的叙述背景和目前的信息安全风险评估的研究现状，并结合目前的情况论述了基于风险因子的信息安全评估方法的研究意义，并简短地叙述了该模型的主要过程和基本概念。2 信息安全风险评估2.1 信息安全风险评估基本概念 首先我们对信息安全风险评估的几个基本概念7进行介绍。 信息安全风险评估是风险管理的基础和关键环节，开展信息安全风险评估，可以对信息系统的资产价值、潜在威胁、薄弱环节、防护措施等方面进行分析，根据分析结果找出信息系统中存在的主要安全问题，并设计出具体的解决方案，从而有针对性的进行管理。信息安全是指网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损信息资产的重要性而对机构造成的影响。信息安全风险评估是指依据国家风险评估相关的管理要求和技术标准，对由信息系统存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。信息安全风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言，存在风险并不意味着不安全，只要风险控制在可接受的范围内，就可以达到系统稳定运行的目的。风险评估的结果为保障信息系统的安全建设、稳定运行提供了技术参考。在信息安全保障体系中，信息安全风险评估是重要的评价方法和决策机制，如果风险评估没有及时进行或评估的结果不够准确，使得各个机构无法对其信息安全的状况做出准确的判断。因为任何信息系统都会有安全风险，信息安全建设的宗旨之一就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的范围内。 2.2 信息安全风险评估要素 风险评估的基本要素包括资产、脆弱性及威胁1。 资产是企业、机构直接赋予了价值因而需要保护的东西。以多种形式存在，有形或无形。通常信息资产的机密性、完整性和可用性是公认的能够反映资产安全特性的是哪个要素。资产具有很强的时间特性，它的价值和安全属性会随着时间的推移而变化，故应该根据时间变化的频度制定资产相关的评估和安全策略的频度。威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。威胁是一个客观存在的事物，是风险评估的重要因素之一。脆弱性是可以被威胁利用、引起资产或商业目标的损害。脆弱性包括物理环境、机构、过程、人员、管理、配置、软件和信息等各种资产的脆弱性。脆弱性是资产本身固有的，但本身并不会造成损失。2.3 信息安全风险评估过程2.3.1 评估整体流程 我国的信息安全风险评估工作8的开展是依据标准GB/T 20984-2007信息安全技术 信息安全风险评估规范中提出的信息安全风险评估的实施流程来实现的。其主要流程如下图：评估范围界定脆弱性评估信息资产评估威胁评估建立威胁脆弱性关联风险确定分析（依据一定的风险评估方法，分析风险级别）风险是否接受 是 否评估范围界定残余风险是否接受 否 是风险管理图1信息安全风险评估流程 在图1中，信息安全风险评估过程第一步是评估范围界定；第步是识别和评估关键的资产、威胁、脆弱性并对其进行相应的评估；第三步是确定资产、脆弱性与威胁之间的联系，并建立威胁脆弱性关联；第四步是按照一定的信息安全风险评估方法对信息系统进行风险评估（本报告中采用的是基于风险因子的信息安全风险评估方法），分析出风险的大小或级别，写出分析报告。第五步是根据分析结果提出风险控制目标和应当措施，并给出相应的风险处理意见。第六步是实施风险管理。2.3.2 资产、威胁和脆弱性评估 （1）资产识别和资产计算 依据GB/T 20984-2007，资产识别这一工作可根据实际情况不同而制定不同的分类策略。比如可以按照资产的自然形态进行分类，即按照系统组成成分和服务内容来分类，如分成“数据、软件、硬件、服务、人员、其他”等六大类，表1即为按照自然形态分类举例。除此之外，还可以选择其他资产分类方式，比如按照信息形态来分类，即按照信息论、系统论的观点，将资产分为“信息、信息载体和信息环境”三大类。图2即为按照信息形态分类的举例。图2 资产分类举例（信息形态）表 1 资产分类举例（自然形态）分类示例对应体系信息及信息载体专属信息及信息载体信息（数据）资产业务信息：如客户信息、交易信息等用户信息：如内网各种设备口令、账户等系统管理信息：如内网安全审计日志、IP地址、VLAN划分、设备配置信息等技术体系应用资产如子系统专属的应用系统及相关软件系统资产如操作系统、数据库系统等系统软件硬件资产如子系统专属服务器及相关硬件设备公共信息及信息载体信息（数据）资产业务信息：如企业形象 、业务介绍等用户信息：如外网及门户网站口令、账户等系统管理信息：如外网及门户网站日志、IP地址、设备配置信息等应用资产如应用协议及软件系统资产如操作系统、数据库系统等系统软件网络资产如网络协议、通信协议及其硬件资产如终端设备、网络通讯设备、安全防护设备、传输介质、存储介质信息环境硬环境如机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。软环境如国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。管理体系依据GB/T 20984-2007，“资产的价值应根据资产的保密性、完整性和可用性（CIA）三个属性通过综合评定得出资产的重要性等级。在进行综合评定时，根据实际需要既可以选择资产CIA三个属性中最重要的那个属性的赋值作为资产的最终赋值。（2）威胁的获取和赋值获取威胁的方法有很多，如用户面谈、安全事件文档、分析入侵检测系统收集的信息以及人工分析等方法。威胁赋值可以根据以往的安全事件记录或报告来对出现过的威胁及其发生频率进行统计，也可以通过入侵检测系统获得威胁发生的统计数据，除此之外还可以根据专家经验和近年来权威机构发布的数据确定。（3）脆弱性的识别和赋值脆弱性的识别主要从技术和管理两个方面进行分析9。脆弱性识别将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋相对等级值。在进行脆弱性识别时，提供的数据应该来自于这些资产的所有者或使用者，来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。脆弱性识别所采用的方法主要为：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。参考 信息安全风险评估方法与应用。2.3.3 风险评估中各要素的关系风险评估是信息安全等级保护工作的基础，同时也是信息系统安全风险管理的重要环节。风险评估的过程主要为：正确识别信息资产，准确分析风险，管理风险，控制风险。对系统进行风险评估的目的是保护信息资产免受威胁的侵害9。资产的所有者可以通过分析信息资产的脆弱性来确定威胁最可能的攻击点，也就是最可能利用哪个弱点来破坏资产安全性，要对信息资产进行保护最有效的信息风险评估，对资产相关要素的关系进行识别以判断资产面临的风险及风险大小4。 风险评估是以资产、威胁、脆弱性和安全措施等基本要素为中心开展，需要全面考虑业务战略、资产价值、安全需求、安全事件等各类属性3。图中，矩形部分包含内容表示风险评估中的基本要素；椭圆部分包含内容表示与这些要素相关的属性。风险评估就是要对这些要素进行评估，评估时要注意充分考虑评估要素的相关属性，这些基本要素包括业务战略、安全事件、残留风险、资产价值以及安全需要等，一般来讲对评估要素考虑的越周全评估结果越准确4。下面讨论基本风险要素及其属性之间的关系：业务战略具有依赖暴露资产价值资产脆弱性 未被满足成本增加形成利用导出风险增加威胁安全需求抵御降低残留演变被满足安全措施残余风险安全事件未控制可能诱发图3 风险评估各要素间的关系a. 业务战略的实现依赖于资产，这种依赖型的程度越高，业务战略的风险就越小；b. 资产具有价值，资产的价值大小与组织的业务战略对资产的依赖程度成正比，即依赖程度越高，资产价值就越大；c. 原则上，资产价值越大其面临的风险就越大；d. 威胁引发风险，资产面临的威胁越多风险越大，并可能导致安全事件；e. 组织的脆弱性是由组织中未被满足的安全需求形成的，脆弱性一旦被威胁利用将危害资产安全而造成风险；f. 弱点越多，脆弱性越可能被威胁利用从而越大可能的引发安全事件；g. 安全需求源于风险的客观存在及对风险的认识；h. 结合价值考虑实施安全措施的成本，以适度满足安全需求；i. 安全措施可以减小安全事件发生的可能性，降低安全事件造成的影响，实际上安全措施可以在一定程度上抵御威胁；j. 风险不可能也没有必要减小为零，安全措施不能抵御全部风险，要认识到残余风险的存在。残余风险的存在可能来自安全措施实施不当或无效也可能是考虑到安全成本与效益后未去控制的风险，这部分风险应当是可以接受的k. 要注意监视残余风险，以免其将来诱发新的安全事件对组织造成影响。2.3.4 风险分析原理我们用图来体现风险分析原理4。如图所示：威胁识别威胁出现安全事件的可能性风险值脆弱性的严重程度脆弱性识别安全事件的损失资产价值资产识别图4 风险分析和原理图资产、威胁、脆弱性都是风险分析设计的基本要素。由于各个要素都具有其各自的属性，因此风险分析的主要内容要与这些属性相关。资产、威胁、脆弱性三者的属性分别是资产价值，威胁主体、影响对象、出现频率、动机等，资产弱点的严重程度。具体内容为：a. 识别资产并对其价值进行赋值；b. 识别和描述威胁及其属性并对威胁出现的频率赋值；c. 识别资产的脆弱性并对具体资产脆弱性严重赋值；d. 利用威胁及威胁所利用的弱点的难易程度判断安全事件发生的可能性；e. 利用脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；f. 依据安全事件发生的可能性以及安全事件的损失计算风险值。2.4 小结 本章主要介绍了信息安全风险评估的相关基本概念，包括信息安全、休息安全风险、信息安全风险评估。除此之外，还对信息安全风险评估的三要素：资产、威胁和脆弱性进行了介绍，并对其的识别和赋值都进行了简单地介绍。然后我们还对信息安全风险评估中各要素的关系给出了一个整体的、较为详细的介绍，并通过图来体现。最后对风险分析原理给出了一个整体上的介绍，并用图来体现。3 基于风险因子的信息安全风险评估3.1 基于风险因子的信息安全风险评估方法概述基于风险因子的信息安全风险评估方法RARF(risk assessment method based on the risk factors)是在参考风险评估的基本要素的定义下，提出风险因子的概念并将其作为基本要素。对风险因子的基本要素进行了定义和解释说明。该系统将系统风险分解为若干个风险因子，由多个专家对风险因子的基本要素进行评价，并根据实际情况灵活地计算出风险因子的风险度。然后由此求风险度隶属矩阵（二次模糊化），并同时运用熵系数法求出各个风险因子的权重。根据权重求出风险等级6。3.2 基于风险因子的信息安全风险评估方法中的基本概念3.2.1 评判集评价集是某个因素所能选取的评审等级，组成评语的模糊集合10。3.2.2 隶属度 由于并不涉及到模糊数学的相关运算，我们这里进行简单地介绍。所谓隶属函数11是指:给定论域U上的一个模糊子集A,对于任意uU,都确定了一个数A(u),0A(u)1,那么A(u)叫做u对A的隶属程度,A(u)叫做A的隶属函数。对普通集合，或者有uU 或者有u不U。而对模糊数学，则不同，如高个子的集合，1.8m个子的隶属程度可能是0.9，而1.7m个子的隶属程度可能是0.5，1.1m个子的隶属程度可能是0。3.3 基于风险因子的信息安全风险评估方法的特点3.3.1 提出风险因子及风险因子的基本要素风险因子是RARF模型进行风险评估时的基本单位，是影响风险等级的核心因素。风险因子是制约风险等级的多要素的综合体，把风险评估时的要素分为风险因子可以兼顾到风险评估时候的重要要素。风险度的计算需要对风险因子的3个基本要素进行定义和描述。在这里提出了风险因子的三个基本要素： 暴露度：风险因子对于资产的可能造成的损失。赋值及意义如下表。表2 风险因子的暴露度 符号等级赋值描述L1高5资产被完全损坏，或十分严重L2较高4资产的损坏程度很大L3中等3资产的损坏程度中等L4较低2资产损坏程度很小L5低1资产几乎没有任何损坏 容易度：风险因子的威胁利用脆弱的程度。赋值及意义如下表。表3 风险因子的容易度符号等级赋值描述C1高5发生容易度高C2较高4发生容易度较高C3中等3发生容易读中等C4较低2发生容易读较低C5低1发生容易度低 措施度：控制措施对因子起作用的程度。赋值及意义如下表。表4 风险因子的措施度符号等级赋值描述W1高5表示控制措施十分有效W2较高4表示控制措施很大程度上有效W3中等3表示控制措施基本有效W4较低2表示控制措施有一定的作用W5低1表示控制措施几乎无效风险度：风险因子对系统的安全的危害程度。计算风险度的公式为r=f(L,C,W)=LI(C,W)=LI (1)式（1）的具体计算可以根据实际系统进行调整，具有较大的灵活性。其中r表示风险度的值，L为暴露度的值，W为措施度的值，I为概率度6。在这里个人将概率度理解为在控制措施对因子起一定作用的情况下，该风险因子的威胁利用脆弱的程度，即容易度和措施度之间有某种关系存在，这里用I这个函数来表示。风险因子的等级说明入下表所示。表5 风险因子等级说明符号等级值范围描述r1高41-50表示风险因子对系统造成的危害高r2较高31-40表示风险因子对系统造成危害较高r3中等21-30表示风险因子对系统造成危害中等r4较低11-20表示风险因子对系统造成危害较低W5低0-10表示风险因子对系统造成的危害低3.3.2 熵系数法首先我们对熵12进行解释。假设样本空间（Sample space）X有n个基本事件（events），其基本事件wi的概率为pi，i=1,2，n。我们记为（X;p1,p2,，pn）。当然，我们有i=1npi=1,pi0，i=1,2，n。我们要定义一个函数H它的定义域是所有的样本空间，它在样本空间（X；p1，pn）的值，我们用H（p1，pn）来表示。我们要拿H（p1，pn）来刻画具有概率分别为p1，p2，pn的事件w1,w2，wn的样本空间的不确定度。H（p1，pn）若要精确地反应实验结果的不确定度，似乎必须满足下列三个基本条件7：（i） 对固定n来说，H是（p1，pn）的连续函数；（ii） 若Pi=1n，i=1,2，n，则对应的H（1n，1n）应当是n的单调递增函数。（iii） 若某一试验分解成多个相继的试验，则原先的H值应为相应的各个H值之加权和（weighted sum）。满足条件（i）、（ii）和（iii）的函数H恰好具有形式 Hp1,pn=-Ki=1npilogpi (2)其中K为某个固定正常数7。 在这里的n个基本事件我们理解为系统的n种不同状态6。除此之外，我们介绍以下几条熵的性质6：（1） 非负性：H（x）0。（2） 可加性：系统的熵等于各个状态的熵的和。（3） 确定性：当出现Pi=1时，有H（p1，p2，pn）=0并且系统的状态已经确定。（4） 极值性：当Pi=1/n（i=1,2，n）时，系统熵值最大，大小为H（p1，p2，pn）=ln n。而当熵满足以下三个条件时：H（p1，p2，pn）ln n；H（p1，p2，pn）= H（p1，p2，pn，0）；H（XY）=H（X）+H（Y/X），则有唯一形式Hp1,pn=-i=1npilogpi （3）现在我们来介绍一下熵系数是如何确定的：得到风险因子的隶属矩阵（风险度模糊化之后） ,对于每一个风险因子Ri而言，当各个支持度Pij相差的越大，则说明各个专家的对该风险因子的评价越接近统一，如大部分都认为危害低或者危害较低等，则该风险因子在评价中的作用就越大。相反，如果对于每一个风险因子Ri而言，各个支持度Pij都相等，则可以理解为每个专家对该风险因子危害程度的大小都不相等，在这种情况下我们就难以确定该风险因子的危害程度到底是多少，所以评价没有什么实质性的作用，该风险因子的作用无法判断，可以标记此时的熵权为零。根据信息熵的计算公式Hi=-j=1mpijlogpij （4）可以得知系统的有序程度。当pi趋近于相等时，对风险因子的把握程度最小，故系统的不确定性最大，pi=1/m，此时熵的最大值为ln m，利用ln m,对公式进行归一化处理，其中m是评价集中的元素的个数，即风险因子Ri的相对重要熵值为Ei=-1lnmj=1mpijlogpij (5) 熵值最大时，风险因子对于风险评估的作用最小，则我们可以用1-Ei来度量风险因子的权，则归一化的风险因子Ri的权值Qi为 Qi=1-Ein-i=1nEi (6)式中0Qi1，i=1nQi=1。则由上述式子我们可以计算出各个风险因子的权值。3.3.3 二次模糊化基于风险因子的风险评估模型共有两次模糊化，第一次模糊化是由专家对风险因子的基本要素进行评估，对基本要素赋值，这是第一次模糊化。第二次模糊化在风险因子的风险度计算完之后，对已经计算好的各个风险因子的风险度值进行第二次模糊化，即统计属于各个评价集的等级的风险度值的个数，并进行赋值。3.4 基于风险因子的信息安全风险评估模型3.4.1 评估基本流程（1）专家对风险评估系统进行分析，综合意见取出风险因子。（2）对风险因子的基本要素暴露度、容易度、措施度进行评估，并赋值，这是第一次模糊化。（3）利用基本要素的值根据具体情况确定公式计算每一个风险因子的风险度，每位专家的评价都要进行计算。并根据企业的业务战略和信息系统的特点和实际情况13，确定评价集中的个数和其权重。（4）根据所得的风险因子的风险度进行映射后进行二次模糊化，计算并构建隶属矩阵。（5）利用熵系数法计算各个风险因子的熵系数，然后利用模糊综合计算的风险值。以下是风险评估模型的示意图。风险熵系数法、模糊综合法计算风险度并模糊化风险因子风险因子措施度子容易度子暴露度措施度子容易度子暴露度图5 风险评估模型3.4.2详细评估步骤步骤1，专家给出风险因子的基本要素，由（1）式计算出风险度值表。步骤2，风险因子的基本要素及风险度和风险等级都有一个评判集，为了叙述上的方便统一标记为V=（v1，v2，v3，v4，v5），评判集中包含的是“低、较低、中等、较高、高”这五个等级，这五个等级分别有具体的范围。依据这表中的的对应关系，可以对风险度值表根据表中的值得到相应的对应关系。并对每一行进行映射。 映射步骤如下： 第一列标注为等级“低”，第二列标注为等级“较低”，第三列标注为等级“中等”，第四列标注为等级“较高”，第五列标注为等级“高”。（即v1=“低”，v2=“较低”，v3=“中等”，v4=“较高”，v5=“高”） 统计每一行属于各个等级的个数，记为vj ，j=1,2，5。其中vj代表该行（即对该风险因子）属于j等级的个数。 构造风险度的隶属矩阵。在这里用P代表风险矩阵r11r12r1mr21r22r2mrn1rn2rnm P =开始对风险隶属矩阵赋值，rij=vj/n （8）其中n代表专家的个数。即可完成二次模糊化，得到风险度的隶属矩阵。步骤3，根据风险隶属矩阵中的值计算熵系数。对每一个风险因子计算其熵系数，由式（4）、（5）、（6）得到熵系数Qi，即得到各个风险因子的权重A=（a1，a2，an），（Qi即为其中的ai），对评判集中的各个元素赋予相应的权重，得到评判集的权向量B=（b1，b2，bn），其中n为风险度评判集中元素的个数。则可计算风险值R=APBT P为风险度的隶属矩阵。在这里给出风险值和等级的对应关系。表6 风险等级R0-0.20.2-0.40.4-0.60.6-0.80.8-1等级低较低中等较高高3.4.3 Matlab构建风险评估模型构建模型的编程思路： 构建初始矩阵Initial_matrix存储风险因子的风险度。 构建一个空的风险度的隶属矩阵P，然后使用循环分别对每一行的数值进行统计，将各个等级中的风险值的个数存入到这个空的风险度的隶属矩阵中。统计方法是对初始矩阵中的数减1再除以10取整，如果是0则为低，是1则为较低，是2则为中等，是3则为较高，4则为高。 对风险隶属矩阵P中的值求熵，按行求，新建一个空矩阵H（行数为风险因子数，列数为1）用于存储每一个风险因子的熵系数。并对这个矩阵做归一化处理，然后用1-这个矩阵中的值覆盖这个矩阵。 新建一个权值矩阵Q（行数为风险因子数，列数为1），用来存储每个风险因子的权值。对H矩阵求和（矩阵中所有值的和），然后H矩阵除以这个和后的数值存入权值矩阵中。 新建一个评价集权重矩阵B，用于存储评价集的权重。 用RESULT变量存出结果，将Q矩阵和P矩阵和B矩阵的乘积存入RESULT变量中即为结果。3.5 小结本章对基于风险因子的信息安全风险评估模型做了一个详细的介绍。从整体流程到部分细节及概念都在这里进行了详细介绍。其中包括风险因子和风险因子的基本要素、风险因子的风险值的计算方法、二次模糊化的方法、熵系数法求权值、模糊计算求风险值等多方面都进行了介绍，可以令读者对基于风险因子的信息安全风险评估有一个全面、准确的了解。最后，还介绍了用Matlab实现此模型的思路。4 信息安全风险评估案例试验的系统为某高校网上学生管理系统，我们以该系统为例，讲解评估模型的基本流程。一共选取了5位安全和管理方面的专家作为风险评估的评估人员。风险评估小组人员确定以后，由这5位专家经过调研、分析、集体讨论整合意见后提取出系统的7个风险因子，分别为：内部人员失误，数据错误，数据篡改，网络事故，黑客攻击，硬件或者供电失效，系统缺陷，在这里分别标记为r1，r2，r7。首先由式r=f(L,C,W)=LI(C,W)=LI计算各个风险因子的风险度。得到各个风险因子的风险度如表7所示。表7 风险度值r专家1专家2专家3专家4专家522815182432r31518242818r41818211624r51618162124r61816152118r78101516214.1 风险度的隶属矩阵的计算然后我们进行二次模糊化。首先对表7中的数据找到相应的等级。如表8所示。表8 对应等级r专家1专家2专家3专家4专家5r1较高中等中等较高较低r2中等较低较低中等较高r3较低较低中等中等较低r4较低较低中等较低中等r5较低较低较低中等中等r6较低较低较低中等较低r7低低较低较低中等根据此矩阵由式rij=vj/n求风险隶属度矩阵可得。V矩阵 低 较低 中等 较高 高01220022100320003200032000410022100 V =得到风险度的隶属矩阵：00.20.40.4000.40.40.2000.60.40000.60.40000.60.40000.80.2000.40.40.200 P =4.2 熵系数的计算依据公式Hi=-j=1mpijlogpij然后进行熵系数的计算。H1=-(0.2*ln 0.2+0.4*ln 0.4+0.4*ln 0.4)=1.05492H2=-(0.4*ln 0.4+0.4*ln 0.4+0.2*ln 0.2)=1.05492H3=-(0.6*ln 0.6+0.4*ln 0.4)=0.67301H4=-(0.6*ln 0.6+0.4*ln 0.4)=0.67301H5=-(0.6*ln 0.6+0.4*ln 0.4)=0.67301H6=-(0.8*ln 0.8+0.2*ln 0.2)=0.50040H7=-(0.4*ln 0.4+0.4*ln 0.4+0.2*ln 0.2)=1.05492然后利用式Ei=-1lnmj=1mpijlogpij计算Ei和1-Ei。E1=H1/ln 5 =0.6555 1-E1=0.3445E2=H2/ln 5 =0.6555 1-E2=0.3445E3=H3/ln 5 =0.4182 1-E3=0.5818E4=H4/ln 5 =0.4182 1-E4=0.5818E5=H5/ln 5 =0.4182 1-E5=0.5818E6=H6/ln 5 =0.3109 1-E6=0.6891E7=H7/ln 5 =0.6555 1-E7=0.3445最后利用Qi=1-Ein-i=1nEi计算权值Qi。n-i=1nEi=i=1n1-Ei=i=17(1-Ei)=0.3445+0.3445+0.5818+0.5818+0.5818+0.6891+0.3445=3.468Q1=(1-E1)/3.468=0.3445/3.468=0.0993Q2=(1-E2)/3.468=0.3445/3.468=0.0993Q3=(1-E3)/3.468=0.5818/3.468=0.1678Q4=(1-E4)/3.468=0.5818/3.468=0.1678Q5=(1-E5)/3.468=0.5818/3.468=0.1678Q6=(1-E6)/3.468=0.6891/3.468=0.1987Q7=(1-E7)/3.468=0.3445/3.468=0.0993得到各个风险因子的权重为A=（0.0993,0.0993,0.1678,0.1678,0.1678,0.1987,0.0993）4.3 风险计算在这里我们确定评价集各个指标的权重，得到权重向量B=（1/15，2/15,2/15,1/3,1/3）。则风险值为R=APBT=0.1426对应表6，得到该风险等级为低。4.4 结果分析 根据计算结果，我们可以知道该系统的风险等级为低，但由于接近0.2，所以仍需要采取一定的安全措施，预防安全事件的发生。可以看出专家人员的选取和数量也是影响风险评估时的因素，需要多少人数才可以达到评估的要求仍是下一步的研究工作之一。4.5 小结本章结合实例对基于风险因子的信息安全风险评估模型进行了详细的介绍和计算，对每一步的计算和解释都有详细给出（包括风险隶属矩阵的求解以及熵法求解权值和风险度的求解），并简单地对结果进行了分析5 结论目前我国信息技术迅速崛起，相关产业也在蓬勃发展，但与之而来的就是信息安全问题的出现，好在我国相关机构和相关研究人员都已经认识到了问题的严重性，已经开始了信息安全的相关研究。信息安全风险评估是信息安全管理的基础，是分级防护和突出重点的具体体现。本课程实验报告主要对基于风险因子的风险评估模型进行了相关介绍，并介绍了信息安全相关的概念、风险评估要素和风险评估过程等，还简单地介绍了定性方法、定量方法和综合评估三种方法。使读者可以对信息安全风险评估有一个基本的认识，并且在这个基础上引进了风险因子和风险因子的三要素，以这三要素为基础进行基于风险因子的信息安全风险评估。基于风险因子的信息安全风险评估主要是利用二次模糊化和熵系数法来求解一个系统的风险值，并可以得到相应的风险等级以采取相应的措施降低系统的风险，达到可以接受的风险为止。概括起来，本报告主要叙述了以下几个方面：（1） 信息安全风险评估的发展现状（国内和国外）（2） 信息安全风险评估的相关概念（3） 基于风险因子的信息安全风险评估方法研究的整体概况和细节（4） 对实例以基于风险因子的信息安全风险评估方法进行评估并对结果进行分析。参考文献1 范红，冯登国，吴亚非.信息安全风险评估方法与应用M.