基于风险因子的信息安全

1、基于风险因子的信息安全风险评估方法(RARF)研究风险评估方法1.定性法全面、深入，但是主观性太强，对于评估者的要求太高。2.定量法直观、明显、对比性强，但是简单化、模糊化、比较容易造成误解。3.综合法 集中了定性和定量的部分优点。 有概率风险评估、动态概率风险评估、层次分析法、 模糊综合等。基于风险因子的信息安全风险评估方法风险计算风险度并模糊化熵系数法、模糊综合法风险因子风险因子.措施度容易度暴露度暴露度容易度措施度基于风险因子的评估模型风险评估模型的基本流程提取风险因子对基本要素赋值计算风险度确定评判集各个标准权重构造隶属矩阵计算熵系数求风险值二次模糊化熵系数法模糊综合法风险因子风险因子

2、是RARF模型进行风险评估的核心问题该模型将系统风险分解为若干风险因子，如内部人员失误、数据错误等风险因子的基本要素暴露度、容易度和措施度风险因子的基本要素暴露度：风险因子对于资产的可能造成的损失。风险因子的暴露度风险因子的暴露度符号符号等级等级赋值赋值描述描述L1高5资产被完全损坏，或者十分严重L2较高4资产的损坏程度很大L3中等3资产的损坏程度中等L4较低2资产损坏程度很小L5低1资产几乎没有任何损坏风险因子的基本要素容易度：风险因子的威胁利用脆弱的程度。风险因子风险因子的容易度的容易度符号符号等级等级赋值赋值描述描述C1高5发生容易度高C2较高4发生容易度较高C3中等3发生容易度中等C4

3、较低2发生容易度较低C5低1发生容易度低风险因子的基本要素措施度：控制措施对风险因子起作用的程度。风险因子风险因子的措施度的措施度符号符号等级等级赋值赋值描述描述W1高1表示控制措施十分有效W2较高2表示控制措施很大程度上有效W3中等3表示控制措施基本有效W4较低4表示控制措施有的一定作用W5低5表示控制措施几乎无效风险因子的风险度计算风险度：风险因子对于系统的安全的危害程度。计算风险度的公式为：（，）（，） 其中表示风险度的值，为暴露度的值，C为容易度的值， 为措施度的值，为概率度。风险因子的风险度计算风险因子的风险度等级风险因子的风险度等级符号符号等级等级值范围值范围描述描述r1高41-5

4、0表示风险因子对系统造成的危害高r2较高31-40表示风险因子对系统造成危害较高r3中等21-30表示风险因子对系统造成危害中等r4较低11-20表示风险因子对系统造成危害较低r5低0-10表示风险因子对系统造成危害低关于评判集评判集是某个因素所能选取的评审等级，组成评语的模糊集合。确定评判集中各个标准的权重风险因子的基本要素以及风险度和风险等级都有一个评判集。在实例中统一标记为 V= (,)。本实例中V=（低，较低，中等，较高，高）。本模型中需要对这5个元素赋予相应的权重。用评判集权重向量B向量来表示。B=(b1,b2,bn) n为评判集元素个数例：B=（1/10,1/10,1/5,1/5,

5、2/5)构建隶属矩阵rij=vj/nvj-n个专家中给风险因子的基本要素打分后计算出风险度值属于此风险度的个数 n-专家的个数91516211-101-1011-2011-2021-3021-3031-4031-40低低较低较低中中好好低低较低较低 较低较低中中1/52/51/505个专家评判集中4个元素熵的定义熵表示系统不确定性的度量假如系统可能出现n种不同状态下的概率为p1，p2，pn，0pi1，其中 pi=1，则熵可以表述为 H=-k pilnpi熵的性质熵有如下性质：（1）非负性（2）可加性（3）确定性：当出现Pi=时，有H (p1，p2，pn)=0并且系统的状态已经确定。(4)极值性

6、：当Pi=1/n (=1，2，）时，系统熵值最大，大小为H (p1，p2，pn)= lnn。当熵满足以下3个条件时： H (p1，p2，pn)= lnn； H (p1，p2，pn)= H (p1，p2，pn,0)；H(XY)=H(X)+H(Y/X)，则有唯一形式H (p1，p2，pn)=- pilnpi熵系数对于每个风险因子而言，专家会给出不同的评价（低，较低，中，较高，高）。这些评价相当于系统不同的状态。可以利用求熵的方式得到该风险因子的不确定度。并可用其来衡量风险因子的权值。熵系数风险因子的隶属矩阵表现了该风险因子对各个评价集中的元素的隶属度。对于同一个风险因子，如果支持度Pij （隶属矩

7、阵i行j列的元素）相差越大，则可以理解为这个风险因子在评价中的作用越大；但如果一个因子对评价集中的每个指标的支持度都相等，则信息熵最大，不确定度最大，则这个风险因子没有什么实质性作用。低较低中较高高00.20.40.4000.40.40.2000.60.40000.60.40000.60.40000.80.2000.40.40.200熵系数 风险因子Ri的相对重要性： Hi=- pijlnPij熵系数由熵的极值性可知，熵的最大值为ln m进行归一化处理： Ei=Hi/ln m当熵值最大时，风险因子对于风险评估的作用最小，所以可以用1-Ei来度量风险因子的权，则归一化的风险因子Ri的权值Qi为

8、Qi=(1-Ei)/(n- Ei) 式中0Qi1， Qi=1.风险值风险值的计算： QQ=(Q1,Q2,Qn)权值向量B=(b1,b2,bn) T评判集权重向量举例我们对某高校网上学生管理系统进行信息安全风险评估5位专家7个风险因子（内部人员失误，数据错误，数据篡改，网络事故，黑客攻击，硬件或者供电失效，系统缺陷，分别标记为1，2，7）计算后的风险度值表r专家专家1专家专家2专家专家3 专家专家4 专家专家522815182432r31518242818r41818211624r51618162124r61816152118r78101516210-1011-2021

9、-3031-4041-50低较低中等较高高r专家1 专家2 专家3 专家4 专家5r1较高中等中等较高较低r2中等较低较低中等较高r3较低较低中等中等较低r4较低较低中等较低中等r5较低较低较低中等中等r6较低较低较低中等较低r7低低较低较低中等低较低中等较高高01/5rij=vj/n2/52/5002/52/51/503/502/5003/502/5003/502/5004/501/5002/52/51/500vj-n个专家中给风险因子的基本要素打分后计算出风险度值属于此风险度的个数 n-专家的个数得到隶属矩阵H1=-(0.2ln 0.2+0.4ln 0.4+0.4ln 0.4) =1.05

10、492H2=-(0.2ln 0.2+0.4ln 0.4+0.4ln 0.4 )=1.05492H3=-(0.4ln 0.4+0.6ln 0.6)=0.67301H4=-(0.4ln 0.4+0.6ln 0.6)=0.67301H5=-(0.4ln 0.4+0.6ln 0.6)=0.67301H6=-(0.8ln 0.8+0.2ln 0.2)=0.50040H7=-(0.2ln 0.2+0.4ln 0.4+0.4ln 0.4) =1.05492E1=H1/ln 5=0.6555 1-E1=0.3445Ei=Hi/ln mE2=H2/ln 5=0.6555 1-E2=0.3445E3=H3/ln

11、5=0.4182 1-E3=0.5818E4=H4/ln 5=0.4182 1-E4=0.5818E5=H5/ln 5=0.4182 1-E5=0.5818E6=H6/ln 5=0.3109 1-E6=0.6891E7=H7/ln 5=0.6555 1-E7=0.3445Q1=(1-E1)/3.468=0.0993Q2=(1-E2)/3.468=0.0993Q3=(1-E3)/3.468=0.1678Q4=(1-E4)/3.468=0.1678Q5=(1-E5)/3.468=0.1678Q6=(1-E6)/3.468=0.1987Q7=(1-E7)/3.468=0.0993得到风险因子的权值向量Q=(0.0993,0.0993,0.1678,0.1678,0.1678,0.19