多目标模型过程安全风险评估的基础.doc

多目标模型过程安全风险评估的基础 基于AHP - PSO 贾迈勒A.阿瓦德 计算机科学学院，学院马斯喀特，阿曼苏丹国 Elrasheed一，苏丹艾哈迈德和Noraziah 学院的计算机系统和软件工程，大学马来西亚彭亨州，关丹26300，马来西亚 Norafida Ithnan 计算机科学学院，大学科技大学，柔佛，马来西亚 A. H.求 学院的计算机系统和软件工程，大学马来西亚彭亨州，关丹26300，马来西亚 收稿日期：2011年1月22日接受日期：2011年3月28日作者：10.5539/mas.v5n3p246 摘要 如今，安全风险评估起到至关重要的作用，这是适用于整个信息生命周期 系统和通讯技术，但仍然使许多安全风险评估模型都是非实用， 因此，它应该是衡量和改进。在本文中，一种新的方法，在这种层次分析 法（AHP）和粒子群优化（PSO）可结合一些变化，呈现。该 方法包括：首先，对风险评估的层次分析结构构造和方法 PSO的综合判断是提高根据实际情况的信息安全。 其次，风险程度提出的是PSO估计的风险概率，风险影响的严重程度和风险 不可控性。最后，它给的例子，证明该方法的多目标规划 方法（MOPM）可以很好地应用到安全风险评估，并提供合理的数据 构成的信息系统的安全风险控制策略。根据风险评估结果， 有针对性的安全采取措施，风险转移和减少，这是在一个受控 可接受的范围。 关键词：风险评估，信息安全，PSO，层次分析法，多目标模型 1。简介 要访问信息系统安全，风险评估是非常重要的，甚至在不确定性的存在 系统。近年来，随着信息安全作为维护可持续发展和骨干 现代企业生存和保护信息通过一个实际的安全风险进行 评估（SRA），以确保信息系统的安全性。如果其中存在的潜在威胁 客观地攻击系统的漏洞，威胁和实际的负面影响威胁源引起的，那么 识别的信息安全风险的基础上的可能性威胁和负面影响的程度（王 英梅，王晟凯，程祥云，2007年）。对层次分析法 决策AHP / DM证据理论来处理系统的不确定性，与其他 方法，AHP方法已被广泛应用于安全风险评估这种方法，可以从改变使用 质量指标为定量指标。现实的风险评估涉及许多不确定因素，有些 其中甚至不明。 在以前的研究，风险程度是相对的概率和风险因素影响的严重性。风险 评估方法包括八度，层次分析法和动态事件树分析 方法（DETAM）等（ISO/IEC15408，1999年）（信息技术安全通用标准 评估，2005年）。所有这些方法都如OCTAVE是非线性的特殊要求，和迭代， 它要求威胁和漏洞型材目录应把风险评估向前或之后。 / MAS现代应用科学卷。 5，第3位; 2011年6月 出版的科学和教育中心247加拿大 肯德尔（M.肯德尔，1962）提出了一个地方工作重点是因为这仅仅是增加的因素使用的方法 在一起，然后取平均值作为多数的选择。这个方法是用来确定适用于关键 安全风险领域和用于缓解的选择，再加上广泛使用的风险的定性评估。 风险分析可以测量使用的概率理论估计的可能性和 后果的风险。在（Y.邓小平，WK石，杜楼，2004年）（F.杜，WK石和Y邓小平，2005年），这些 模型是效率不高由于计算时间用于执行复杂的模糊规定 数算术运算和执行语言近似的时间。 目前，信息安全风险评估的方法主要可分为三种类型： 定性评价方法，定量与定性考核与定量方法相结合 评估方法。常用的评估方法包括矩阵分析，决策树，并 概率分析等，以及大量的研究成果已被收购。 本文的信息安全风险评估的新方法的基础上结合起来PSO的AHP 算法，分析的可能性和风险的影响，使每个风险因素的风险程度来确定 和风险控制的建议，可以考虑。 AHP判断矩阵的设置层次建立后， 它由来自上下元素和风险分析PSO综合评价比较， 并提出了科学有效的方法来计算选定的信息系统最终的风险值。 信息系统风险分析的优点如下：（1）使开发安全 信息管理;（2）支持有效的信息安全政策的决策;（3） 建立组织的实际安全政策;（4）为未来的有价值的分析数据 估计。最后，研究结果表明该方法是有效的，易于操作。 本文的其余部分组织如下：必要的理论背景和PSO的AHP方法 介绍了拟议的新层次上的风险评估与PSO AHP相结合的基础 算法，此外，结果表明，以发展信息安全风险通过MOPM到 提高两个方法。 2。安全风险评估 安全性已被广泛认可为对采用的主要障碍之一。它被认为是一种重要的 在以上方面面临的挑战进行辩论。绩效评价需要一个模型，使我们能够 分析各种必要因素和相关的质量和性能标准。建议的模型 基于FI运营商和生产四项措施攻击的安全风险方面：直接内部攻击， 通信篡改分层环的攻击，攻击代码编程和拒绝服务攻击 层结构。我们的实验结果表明，直接攻击内部风险已经对电子银行产生很大的影响 安全性能。研究结果还证实，对电子银行的内部动态风险的直接攻击 网站是一倍，所有（王盈，王盛凯和郑祥云，2007年）等攻击。 风险评估模型是由结合的决策（DM）的方法来解决AHP方法 这些问题。不仅在AHP / DM方法结合二者的优点，而且还可以解决 更科学地确定问题。关于如何使用安全风险评估AHP / DM方法的样本 给予证明我们的方法（路司酶，张建林，2009）。 在互联互通，在过去几年的崛起，使计算机系统和网络更容易受到 因为它们是由一个用户数量不断增加（ISO/IEC15408，1999年）（通用标准的访问威胁 信息技术安全评估，2005年）。 背后徒劳的软件开发项目的主要理由之一是，它往往是来不及纠正 问题的时候，他们被发现。它清楚地表明有关（Y.潜在风险的预警需要 邓W.K.施，杜楼，2004年）。 3。方法风险评价信息 这些方法都有自己的比较优势和薄弱点。例如，矩阵的分析思路是 的发生和风险事件影响的可能性进行评估，然后再，风险程度 每个风险事件评估矩阵分析，这是比较直观，但比较简单，不够客观（F. 杜W.K.施和Y邓小平，2005）。 针对风险管理，信息安全风险评估的目标是，到互联网的威胁和 信息系统和自身的脆弱性，可分析的科学方法手段。此外， 由风险造成的损害程度可以评价，维护和改进措施，以可能的威胁应 提议捍卫和消除信息安全隐患，或控制在可接受的风险程度， 因此，互联网和信息安全是可以控制在最大程度上。风险评估是一种 / MAS现代应用科学卷。 5，第3位; 2011年6月 ISSN 1913至1844年E - ISSN 1913至1852年248 计算过程由风险分析平均风险值。目前，信息安全风险的方法 评价可主要分为三种类型：定性评价方法，量化考核 方法和定性与定量相结合的评估方法。此外，常用的评估 矩阵分析方法包括（1），决策（2）和概率分析（3）。 信息技术的发展和信息网络系统的普及使用，安全 信息系统变得特别重要。为确保信息系统的安全性，它是一个 关键点有风险评估。如果这是客观存在的潜在威胁攻击的系统漏洞， 会有风险而造成破坏和系统丢失。风险评估是一个过程，其中 风险分析和解释。 信息安全已成为维护可持续性和现代生存的支柱 通过组织和保护进行实际安全风险评估（SRA）的信息， 本文所述，应进行业务的基本组成部分之一。信息 这些都作为资产（赵冬梅，京红，2005）认为是暴露在组织各种风险 往往投入资源，以解决技术和程序的控制，以减轻这些风险，同时制定了 更实用的方法，SRA接受，因为在作出选择的复杂性关注较少 为适应风险管理方法（路司霉，张建林，2009）。 有安全风险评估这么多车型，但其中大部分都是非实用。一个有效的安全 风险管理过程使企业能够以最具成本效益的方式运作，并与已知 可接受水平的业务风险（马克J. Schniederjans A，添加文）。 随着全球信息技术和互联网普及的不断推进，越来越多的 组织将转向或扩大其业务到互联网环境的过程，因此重要性 信息系统安全是密切相关的商业机构都普遍关注。如何 衡量和评价信息系统的安全形势是由研究人员在一个值得深入研究。 风险评估是核心和信息系统安全的关键。通过风险评估，决策者 可以清楚地了解信息系统的安全局势，那里的风险来自于什么样的 措施可以进行。 该规划是一个优化问题，通常有一个以上的目标。这个优化问题 要解决不确定性下考虑它的局限性。这些问题的固有特点使其 复杂和难以解决的问题。为了找到一个解决办法，应该用一种算法，使我们比较 主要问题的不同目标。对这些存在的各种技术被称为“多属性 决策“（MADM）。分层分析法（AHP）是其中的一个提到的方法，这是 使用本文。在DM规划，对可供选择的最佳方案应该被发现。（马克J. Schniederjans A，添加文）。 该指数，其中不同的计划进行比较，是利用AHP方法。该指数包括了所有的 一个在策划人的角度做好规划的重要因素。因此，能有一个更好的答案，所有可用的 选择应考虑和决定因素应该准确地进行调整。 4。风险评估信息系统 层次分析法是一个有许多规则的决定方式处理变量是很难得到一个值 （信息技术安全评估，2005年通用标准）。它可以分解复杂 进入要容易得多层次结构的情况，以分析一步一步来。它可以表达和处理 人的主观判断在数量上，还应对一定的不确定因素，除了建议 无论人的主观判断是正确的。它落在AHP解决问题的四个步骤。图1 显示简单的系统规划层次分析法建立网络风险。在这个图里的Xij问题的风险。 在层次分析法和PSO将解决信息安全风险制度的思考四个阶段，第一步是建设 层次结构。第二步是建设使用的因素比较判断矩阵。第三 第一步是通过计算判断矩阵的因素相对权重。在最后一步，整个重量 在每一层因素的计算方法。本文的模型应用于弥补所有步骤的决定，其中风险 度，提出了模糊逻辑方法和使用（赵冬梅，京红，2005）。图2 显示了四个阶段，在这件事情的过程。共同执行活动是比较安全的因素，xij是可变的阶段。 5。多目标决策模型和层次分析法，以提高 层次分析法和多目标规划方法（MOPM）作出高风险的系统和辅助 低点成本，这些方法在ABC成本动因的选择提出申请。该信息 拟议的合并方法的疗效进行了讨论（赵冬梅，京红，2005） / MAS现代应用科学卷。 5，第3位; 2011年6月 加拿大出版的科学和教育中心249 （Omkarprasad S Vaidya，2006年）。本文的MOPM包含的最大两个目标，第一个目标 第二个保障体系和最低的成本计划。公式1和2是目前这两个目标。 此外，配方3，4和5是主观的模型。在层次分析法的应用MOPM是协助 决策的工具，已经与决策相关的所有应用。公式1和2 有目标，3，4和5是主观模型 1 2 3 4 05 0，0，0 01 其中： K =数疙瘩 N =号码第 M =数量单位 R =名称疙瘩 Xij =有效的风险变量的百分比 CIJ =成本的百分比 AIJ =各部分的力量我 bij =总容量为所有Xij TL =总容量为所有器Rl SI =每个Xij成本的百分比 6。结论 资讯安全风险评估是一个重要的问题今天的服务和客户继续 寻找连击系统的计划。在层次分析法和PSO可以结合使用MOPM得到更好的解决方案。 该方法包括：首先，对风险评估的层次分析结构构造和 PSO的综合评判方法是提高根据实际情况的信息 安全性。该MOPM模型可以得到最大的安全是取决于的风险是有限的 奶源，也该模型将选择成本较低的方法，使安全取决于风险。 参考文献 信息技术安全评估共同准则。 （2005年）。 V3.0，2005年6月。 赵冬梅，景红。 （2005年）。采用模糊逻辑和熵理论的风险评估 信息安全的第四届机器学习与控制论国际会议论文集， 广州，2005年。 F.杜W.K.邓世和Y。 （2005年）。广义模糊数的相似性的新措施，杂志 上海交通大学，第39卷，没有。 8，页614-617，2005。 ISO/IEC15408。 （1999年）。对于IT安全评估共同准则。 2.1版本。国际 标准化组织，1999年。 路司煤，张建林。 （2009年）。安全风险评估模型AHP / DS证据理论的基础上， 国际论坛上的信息技术与应用，2009。 M.肯德尔。 （1962年）。等级相关方法。第3版; 1962年。 NY。 马克J. Schniederjans A，添加文。采用层次分析法和多目标规划 为成本动因的选择基于活动的成本核算。 / MAS现代应用科学卷。 5，第3位; 2011年6月 ISSN 1913至1844年E - ISSN 1913至1852年250 Omkarprasad S Vaidya，Sushil库马尔。 （2006年）。层次分析法：一个应用程序的概述， 欧洲运筹学杂志169（2006）1-29。 王盈，王盛凯和郑祥云。 （20