基于AHP的信息安全项目风险评价

基于AHP的信息安全项目风险评价 摘 要 本文引入AHP方法来为信息系统构建安全风险评估体系，得出信息系统安全等级及对应分值，实现对信息系统的安全性评价。 【关键词】层次分析法 信息安全 一致性校正 1 引言 随着信息安全技术的发展，当前已经出现了不少风险评估方法，在信息安全管理中发挥着作用，但是这些方法往往无法实现定量分析，也难以将安全体系作为一个完整的系统进行分析和评估。本文引入AHP方法来为信息系统构建安全风险评估体系，具有比较好的理论价值与实践意义。 2 风险评价指标的构建 结合德尔菲原理，最终构建出基于分层结构的信息安全评价指标体系，如表1所示。层次分析法的基础便是判断矩阵的构建，也是进行安全风险评估的关键性步骤。判断矩阵能够以阵阵的形式量化体现出本层的所有元素对于上一层指标的相关性与重要程度，判断矩阵的构建思路是：对处于同一层次的全部影响因素ai与aj两两比较，形成判断矩阵： 。 其中： 数字1、3、9的含义是aij的标度。aij取值不同，含义也不同：取值为1时，表示ai与aj同样重要，取值为3时，表示ai与aj相比，重要程度稍高；取值为5时，表示ai比aj重要，取值为7时，表示ai比aj重要得多，取值为9时，表示ai比aj绝对重要。 考虑到无论是专家还是技术人员对所有指标的重要性程度进行比较时，其判断一般而言不尽一致，因此在得到判断矩阵之后，接下来还需要对矩阵的逻辑一致性进行评估。结合层次分析法，对一致性进行判断的指标算法是 ；在得到CI的值以后，与平均随机一致性 进行运算，取，RI的含义是一致性比例，若满足 ，则认为该片段矩阵的一致性处于可接受范围。平均随机一致性的取值可通过查表获得。结合以上的分析，在得到所有元素的权重向量之后，接着进行每一个元素对于评价目标的权重的具体序列。本文将指标的上一层命名为A层，设该层次共有m个评估指标元素，表示为 。由此，将A层的下一层命名为B层，设该层次共有 n个元素，表示为 ，B层权重便可表示为 。由此可知B层的一致性比例可以表示为：CR0.1，假若满足 ，便能够认为结果处于可接受范围。 2.1 判断矩阵的构建 结合前文所阐述的判断方法，聘请被评估机构的16位信息安全专家进行指标的评估，结合专家的意见得到判断矩阵。然后对数据进行初步处理，去除一些偏离过大的数值，得到专家群体判断矩阵。此处结合信息安全评价指标体系准则层，给出判断矩阵A如下： 再以指标层的数据安全为例，给出判断矩阵B1如下： 篇幅所限，其他的矩阵略。引入MATLAB，对所有得出的判断矩阵进行归一化计算，得到所有矩阵的权重向量。依旧以指标体系准则层判断矩阵A以及指标层的数据安全判断矩阵B1为例，其权重向量分别是： 结合准则层判断矩阵A的权重向量，得到其最大特征值，由此有， ， 故可以通过一致性检验。同理可对其余的所有指标进行权重向量的求取和一致性检验，均通过，此处不再赘述。最终得到综合权重向量如表1所示。 3 实例分析 结合以上的指标构建以及综合权重向量的计算，便可以对具体机构的信息安全风险进行评估。将信息安全的风险情况分为五个级别，分别为：A级：信息系统安全性良好；B级：信息系统较为安全；C级：信息系统安全性一般；D级：安全性比较低；E级：安全风险较大。以百分制进行级别的对应，其关系为：A级：90100分；B级：8089分；C级：7079分；D级：6069分；E级：低于60分。 由此，聘请该机构的技术人员，以及安全管理专家对所有的指标项目进行打分，并对每一位专家的分数进行加权综合计算，最终得出其具体的安全风险分数为88.13分，由此可知该机构的安全风险级别是B，表示“信息系统较为安全”。结合每一个指标分值的分析，可知其安全程度最好的项目为硬件，稍差的项目是管理安全项。由此可以给出该机构在安全风险管理方面的目标应该加强安全管理机制的建立，以及执行的力度和落实的程度。 4 结束语 本文引入AHP法，结合具体案例，对信息安全风险评估进行了指标的构建于实例分析，并结合评估的指标建立了量化层次模型，在此基础上给出了具体的计算方法，通过实例验证了算法的准确性。 层次分析法是一种实用的多准则决策方法，能对一些复杂的难以精确定量描述的决策问题进行量化分析，本文对信息安全风险考评的研究就是多指标评价的例子，将层次分析法应用于信息安全风险评估中，有利于从定量角度分析安全管理水平。 参考文献 1陈朝阳，路文杰，俞会新.基于群体AHP方法的销售团队凝聚力分析J.河北科技大学学报，2009，30（3）：271-274. 2许敏，宋亚欣.基于层次分析法的知识型员工绩效考核体系设计J.河北科技大学学报，2009，30（4）：365-369. 3许福永，申健，李剑英.网络安全综合评价方法