任俊 孫亞丹

摘要： 隨著云計算、大數(shù)據(jù)、物聯(lián)網等技術的發(fā)展和興起，信息安全面臨嚴峻的問題，對安全風險進行評估和分析對信息系統(tǒng)的安全狀態(tài)和建設有很大幫助。該文是基于G1-層次分析法確定各風險指標的權重，然后對風險因素指標進行標準化處理，進而確定信息安全風險程度的大小，識別所面對和的威脅、漏洞以及風險，提前采取一定的措施，有效規(guī)避風險。

關鍵詞： G1；層次分析法；風險等級評估；業(yè)務流程

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2018）09-0010-02

隨著云計算、大數(shù)據(jù)、物聯(lián)網、移動應用、智能控制技術以及區(qū)塊鏈技術的發(fā)展和興起，人們的生活方式發(fā)生了顯著的變化，給工作生活以及學習帶來了便利和高效，但是也必須面對信息安全隱患所附帶的威脅以及挑戰(zhàn)，因此信息系統(tǒng)的信息安全的問題得到了用戶、公司、政府以及其他社會人員的廣泛關注[3]。在此情境下，信息系統(tǒng)的風險評估成為眾多學者關注和研究的重點。

1 信息安全風險評估

從信息安全的發(fā)展階段可知，信息安全從個體、單項技術逐步向多維的信息系統(tǒng)轉變，對對象、內容、技術三個維度進行評估，以更完善全面的角度對信息系統(tǒng)的安全進行評估。信息安全風險評估通過信息系統(tǒng)的日志、安全態(tài)勢感知以及某種風險評估系統(tǒng)等方式，使用相關的網絡拓撲圖、滲透測試以及安全基線配置檢查等方法識別信息資產面臨的漏洞和威脅。信息安全風險評估是對信息和信息處理設備所受到的威脅、影響、脆弱性以及發(fā)生事件后造成損失的評估，其中涉及對資產、威脅、漏洞和已有安全措施等風險要素的識別與評估。信息安全風險評估主要是通過訪問調查、網絡信息源、文獻搜索以及工具采集等方法進行對象采集。風險評估分析方法主要有：信息模型分析法、經驗分析法、定量分析、定性分析等。隨著信息化水平和技術的發(fā)展，各行業(yè)的信息系統(tǒng)的信息化程度逐步加深加強，與此同時，信息安全面臨嚴峻的問題，因此對安全風險進行評估和分析對信息系統(tǒng)的安全狀態(tài)和建設有很大幫助。[5]

2 基于業(yè)務流程的信息系統(tǒng)風險評估模型構建

2.1 基于業(yè)務流程的風險模型

信息資產主要包括位置固定資產（如計算機設備、網絡設備、安全設備、傳輸介質……）和位置變動資產（如業(yè)務信息、用戶信息、各種數(shù)據(jù)資料、系統(tǒng)文檔……）。業(yè)務流程中，對位置變動資產的識別可以在業(yè)務流程的初始階段來進行，而對位置固定資產的識別，則需要在每個業(yè)務節(jié)點逐一識別如圖。

當位置變動資產（數(shù)據(jù)信息）經過業(yè)務節(jié)點時，由位置固定資產的漏洞所形成的風險會使位置變動資產也處于相同的威脅之中，如果組織針對業(yè)務節(jié)點的風險所采取的防范措施不當很有可能會引發(fā)信息安全事件。通過識別業(yè)務流程中信息變動資產和信息固定資產所面對和的威脅、漏洞以及風險，同時及時采取相應的舉措，進而保證信息資產的保密性、完整性和可用性的安全。

2.2 信息系統(tǒng)風險等級權重的確定

為更全面確定信息系統(tǒng)的風險等級的權重，本文首先根據(jù)G1法和層次分析法分別確定影響風險等級的各項指標的權重，通過綜合分析法來確定各項指標的綜合權重，更客觀精準確定各指標的權重。

3）通過對層次分析法中單層次指標權重計算進行改進，若[ok]為理性賦值，：根據(jù)2）中[ok]的值確定第[m]個指標的權重，則[wk]為：

其中，[wk-1]表示第[k-1]個風險指標的權重值，[wk]表示第[k]個風險指標的權重值。

2. 3 基于業(yè)務流程的信息系統(tǒng)風險評估模型構建

根據(jù)信息系統(tǒng)中資產、威脅、漏洞和已有安全措施相互之間的依存關系，將風險等級劃分成5方面的因素：資產價值的吸引力、資產面臨的威脅、威脅利用資產漏洞造成的損失、資產的漏洞以及已有安全措施的風險的可控程度。根據(jù)信息系統(tǒng)的特性，將影響安全的因素分成三層，第一層為目標層：要進行評價的對象；第二層為準則層：衡量是否實現(xiàn)的標準；第三層為方案層：實現(xiàn)目標的方案、方法等。

1）對原始指標進行標準化處理

由于信息系統(tǒng)的安全水平的評價指標數(shù)據(jù)的存在一定的差異，為了利用影響因素的初始評價指標數(shù)據(jù)，需要對所有指標進行標準化處理，然后利用線性加權法來確定信息安全建設水平，具體見公式4：

其中，[ct'ij]表示第[i]個信息安全風險的第[j]項影響因素標準化后的值，[ctij]表示第[i]個信息安全風險的第[j]項影響因素原值，[minctij]，[maxctij]分別表示第[i]個信息安全風險的第[j]項影響因素的最小值和最大值。

2）信息系統(tǒng)安全風險程度大小

通過各影響因素的權重計算，以及各個信息安全標準化處理后的各項影響因素指標，通過求和得到信息系統(tǒng)信息安全風險綜合得分評價值，具體見公式5：

其中，[ctlij]表示第[i]個信息安全風險程度的大小，[ct'ij]表示第[i]個信息安全風險的第[j]項影響因素標準化后的值，[wij]第[i]個信息安全風險第[j]項影響因素的權重。[6]通過[ctlij]的數(shù)量值的大小確定各項風險等級的大小，提前制定相關的措施進而規(guī)避一定風險。

3 結束語

信息系統(tǒng)安全問題是企業(yè)和政府關注的重點，本文結合業(yè)務流程中的信息系統(tǒng)面臨的各項安全風險的因素，基于G1法和層次分析法的確定各安全風險因素的權重，對風險因素指標進行標準化處理，進而確定信息安全風險程度的大小，識別所面對和的威脅、漏洞以及風險，同時及時采取相應的舉措，有效規(guī)避風險，進而保證信息資產的保密性、完整性和可用性的安全。根據(jù)評估結果確定影響信息系統(tǒng)的安全的指標，提前采取一定的措施。

參考文獻：

[1] 許詩詩，程杰.關于計算機信息系統(tǒng)安全風險評估標準與方法的研究[J].數(shù)字通信世界，2017（2）：149-150.

[2] 柴繼文，王勝，梁暉輝，等.基于層次分析法的信息安全風險評估要素量化方法[J].重慶大學學報，2017，40（4）：44-53.

[3] 金力，譚紅春，丁大為，等.基于改進證據(jù)理論的信息安全風險評估模型[J].重慶理工大學學報，2017，31（5）：119-124.

[4] 鄒凱，向尚，張中青揚，等.智慧城市信息安全風險評估模型構建與實證研究[J].圖書情報工作， 2016，60（7）：19-24.

[5] 劉曙生.淺談信息安全風險評估與風險分析方法的應用[J].網絡空間安全，2017（4）：78-80.

[6] 王恩旭.基于G1-熵值的智慧旅游城市建設水平評價模型及實證研究[J].大連理工大學學報：社會科學版，2014，35（2）：68-73.