模糊綜合評(píng)價(jià)法的整體安全評(píng)估

2019-06-19 02:33王雙李志平辛倩顧兆軍

現(xiàn)代電子技術(shù) 2019年11期

關(guān)鍵詞：模糊綜合評(píng)價(jià)粗糙集評(píng)價(jià)指標(biāo)

王雙李志平辛倩顧兆軍

摘 ?要：為提高民航重要信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的準(zhǔn)確性，提出模糊綜合評(píng)價(jià)法的整體安全評(píng)估。該方法通過(guò)確定影響整體測(cè)評(píng)結(jié)果的10個(gè)單元測(cè)評(píng)項(xiàng)，建立整體安全指標(biāo)評(píng)價(jià)體系，得到評(píng)價(jià)指標(biāo)集，劃分五個(gè)評(píng)價(jià)等級(jí)，運(yùn)用粗糙集對(duì)單元評(píng)價(jià)指標(biāo)進(jìn)行權(quán)重系數(shù)調(diào)整，再利用可拓關(guān)聯(lián)函數(shù)得到隸屬度矩陣，將評(píng)價(jià)指標(biāo)的權(quán)重和各個(gè)評(píng)價(jià)指標(biāo)對(duì)評(píng)價(jià)等級(jí)的隸屬度模糊合成，得到模糊評(píng)價(jià)結(jié)果。實(shí)驗(yàn)結(jié)果表明，該方法采用粗糙集權(quán)重系數(shù)調(diào)整，將10個(gè)單元評(píng)價(jià)指標(biāo)更好地為整體評(píng)估提供支撐，實(shí)驗(yàn)結(jié)果與常權(quán)等測(cè)評(píng)結(jié)果對(duì)比，更符合民航重要信息系統(tǒng)的現(xiàn)狀，具有更好的應(yīng)用性。

關(guān)鍵詞：評(píng)價(jià)指標(biāo); 粗糙集; 權(quán)重; 隸屬度; 整體測(cè)評(píng); 模糊綜合評(píng)價(jià)

中圖分類(lèi)號(hào)： TN918?34; TP393.08 ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? 文章編號(hào)： 1004?373X（2019）11?0082?05

Abstract： In order to improve the accuracy of grade protection evaluation of civil aviation important information system， the overall safety assessment of fuzzy comprehensive evaluation method is put forward. By determining the ten unit evaluation items affecting the overall evaluation result， the overall security index evaluation system is established， the evaluation index set is obtained， and five evaluation grades are divided. The rough set is used to adjust the weight coefficient of the unit evaluation indexes， and then the extension association function is adopted to get the membership degree matrix. The evaluation index weight and evaluation indexes are used to perform the membership degrees fuzzy synthesis for the evaluation grades to obtain the fuzzy evaluation results. The results show that the rough set used to adjust the weight coefficients of ten unit evaluation items can provide a strong support for the overall evaluation. The experimental results of the proposed method are compared to the results of constant weight and other evaluation methods， which show that the method is more in line with the status of the important information system of civil aviation， and has high applicability.

Keywords： evaluating indicator; rough set; weight; membership degree; overall assessment; fuzzy comprehensive evaluation

0 ?引 ?言

自《網(wǎng)絡(luò)安全法》頒布實(shí)施，國(guó)家從法律層面開(kāi)始對(duì)網(wǎng)絡(luò)安全重視，明確規(guī)定對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施定期開(kāi)展評(píng)估，評(píng)估信息系統(tǒng)已經(jīng)成為各國(guó)重點(diǎn)研究?jī)?nèi)容，等級(jí)保護(hù)測(cè)評(píng)是國(guó)內(nèi)網(wǎng)絡(luò)安全主要的測(cè)評(píng)方式之一。文獻(xiàn)[1?2]說(shuō)明安全評(píng)估是國(guó)家保障信息系統(tǒng)安全的主要措施之一。文獻(xiàn)[3]將信息安全的重點(diǎn)放在管理上，研究和探索不同的管理角色和活動(dòng)。文獻(xiàn)[4]提出信息安全評(píng)估的風(fēng)險(xiǎn)分析模型，將事件樹(shù)與模糊理論相結(jié)合分析風(fēng)險(xiǎn)。文獻(xiàn)[5]概述幾種信息安全風(fēng)險(xiǎn)評(píng)估的方法，在分析其評(píng)估方法不足的同時(shí)也提出幾種改進(jìn)的綜合評(píng)估方法。文獻(xiàn)[6]使用信息熵計(jì)算安全評(píng)價(jià)指標(biāo)的權(quán)重，使模糊合成中的權(quán)重更加客觀，評(píng)估結(jié)果更加合理、可信。

目前等級(jí)保護(hù)測(cè)評(píng)方法中，整體測(cè)評(píng)在單元測(cè)評(píng)定權(quán)的情況下確定，而在實(shí)際情況中，不同的單元層面對(duì)信息系統(tǒng)的影響不同，這樣整體測(cè)評(píng)的結(jié)果也會(huì)有差異。針對(duì)上述問(wèn)題，本文提出模糊綜合評(píng)價(jià)法的整體安全評(píng)估模型。首先利用單元安全值數(shù)據(jù)具有粗糙集決策表的特點(diǎn)，運(yùn)用粗糙集的屬性重要度計(jì)算各單元安全值的指標(biāo)權(quán)重，再利用可拓關(guān)聯(lián)函數(shù)確定隸屬度矩陣，最后綜合指標(biāo)權(quán)重和隸屬度矩陣模糊合成整體測(cè)評(píng)結(jié)果。

1 ?模糊綜合評(píng)價(jià)法的整體安全評(píng)估

按照等級(jí)測(cè)評(píng)標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448?2012）對(duì)一個(gè)信息系統(tǒng)進(jìn)行總體綜合評(píng)價(jià)，是以信息安全五個(gè)特性與信息系統(tǒng)的各個(gè)單元為評(píng)價(jià)指標(biāo)，信息系統(tǒng)整體安全為評(píng)估對(duì)象，建立整體安全評(píng)估指標(biāo)體系，如圖1所示。

圖1 ?整體安全指標(biāo)評(píng)價(jià)體系

模糊綜合評(píng)價(jià)法利用模糊理論中的模糊關(guān)系合成原理對(duì)研究對(duì)象進(jìn)行綜合性評(píng)價(jià)。它適用于模糊的評(píng)價(jià)環(huán)境下，通過(guò)多種評(píng)價(jià)指標(biāo)的影響，對(duì)研究對(duì)象進(jìn)行綜合決策[7?9]。利用模糊綜合評(píng)價(jià)法對(duì)信息系統(tǒng)整體層面進(jìn)行安全評(píng)估，從而得到信息系統(tǒng)的整體安全值。模糊綜合評(píng)價(jià)法將評(píng)價(jià)指標(biāo)的權(quán)重和各個(gè)評(píng)價(jià)指標(biāo)對(duì)評(píng)價(jià)等級(jí)的隸屬度模糊合成，得到模糊評(píng)價(jià)結(jié)果。所以確定評(píng)價(jià)指標(biāo)權(quán)重[10]以及各個(gè)評(píng)價(jià)指標(biāo)對(duì)評(píng)價(jià)等級(jí)的隸屬度是模糊綜合評(píng)價(jià)法的關(guān)鍵，對(duì)評(píng)估結(jié)果有直接影響。前序工作包括構(gòu)建評(píng)價(jià)指標(biāo)集和確定評(píng)價(jià)等級(jí)，再采用粗糙集屬性重要度計(jì)算指標(biāo)權(quán)重，以及可拓關(guān)聯(lián)函數(shù)來(lái)描述事物的量變和質(zhì)變，得到被評(píng)價(jià)事物不同指標(biāo)對(duì)評(píng)價(jià)集的隸屬度。并通過(guò)模糊運(yùn)算將權(quán)重向量和隸屬度矩陣進(jìn)行合成得到綜合評(píng)價(jià)結(jié)果。

1.1 ?前序工作

1.1.1 ?構(gòu)建評(píng)價(jià)指標(biāo)集

根據(jù)提出的整體安全指標(biāo)評(píng)價(jià)體系，對(duì)信息系統(tǒng)進(jìn)行整體安全評(píng)估，影響信息系統(tǒng)的整體安全狀況的二級(jí)指標(biāo)包括10個(gè)單元，分別是物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。針對(duì)這10個(gè)評(píng)價(jià)單元構(gòu)建一個(gè)評(píng)價(jià)指標(biāo)集，記為[C={c1，c2，…，cm}， ?m=1，2，…，10]。

1.1.2 ?確定評(píng)價(jià)等級(jí)

根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求，將評(píng)價(jià)等級(jí)分為五個(gè)等級(jí)，記[V={v1，v2，…，vn}]，如表1所示。

表1 ?評(píng)價(jià)等級(jí)區(qū)間取值表

1.2 ?確定指標(biāo)權(quán)重

在對(duì)信息系統(tǒng)進(jìn)行整體評(píng)價(jià)的過(guò)程中，各個(gè)單元指標(biāo)對(duì)評(píng)價(jià)對(duì)象的影響程度不同，通常用權(quán)重表示指標(biāo)的重要性，所以指標(biāo)權(quán)重會(huì)直接影響評(píng)價(jià)結(jié)果的準(zhǔn)確性。粗糙集屬性重要度屬于客觀賦權(quán)法，通過(guò)實(shí)際數(shù)據(jù)利用嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)理論得到較為客觀的指標(biāo)權(quán)重，避免了主觀方法確定權(quán)重的嚴(yán)重缺陷，使指標(biāo)權(quán)重更具有科學(xué)性和說(shuō)服力。

本節(jié)采用具有屬性重要性特點(diǎn)的粗糙集確定指標(biāo)權(quán)重，通過(guò)刪除某項(xiàng)指標(biāo)來(lái)判斷對(duì)評(píng)價(jià)結(jié)果影響的大小，從而反映該指標(biāo)在評(píng)價(jià)體系中的重要性，以此得到指標(biāo)權(quán)重。粗糙集屬性重要性計(jì)算指標(biāo)權(quán)重的步驟如下：

step1：評(píng)價(jià)指標(biāo)作為條件屬性，其集合為[C={c1，c2，…，cm}];將整體安全值[y]視為決策屬性，其集合為[D={y}]。第[k]個(gè)信息系統(tǒng)的的單元安全值和整體安全值構(gòu)成一條信息，即知識(shí)系統(tǒng)中的一條信息，表示為[uk=（c1k，c2k，…，cmk，yk）]，從而論域?yàn)閇U=（u1，u2，…，un）]，則由[uk]構(gòu)成的二維信息表就是關(guān)于要評(píng)價(jià)對(duì)象的知識(shí)表達(dá)系統(tǒng)。

1.3 ?確定隸屬度矩陣

模糊理論的隸屬度反映了各評(píng)價(jià)指標(biāo)的相對(duì)狀態(tài)，確定隸屬度的方法分為主觀和客觀兩種?？陀^地確定隸屬度可以增加對(duì)模糊性的識(shí)別精度，選用可拓關(guān)聯(lián)函數(shù)[11?12]得到隸屬度矩陣[13]，從而各單元安全值歸屬于各個(gè)評(píng)價(jià)等級(jí)的程度作為各個(gè)評(píng)價(jià)指標(biāo)的隸屬度。

1.4 ?模糊綜合評(píng)價(jià)

由各個(gè)評(píng)估指標(biāo)的權(quán)重向量[W]與隸屬度矩陣模糊合成得到整體安全評(píng)估模糊向量[P]：

通過(guò)模糊合成得到向量[P]，但是該向量不能直觀地反映信息系統(tǒng)的整體安全值。同時(shí)為了綜合向量[P]的所有信息，將評(píng)價(jià)等級(jí)和向量[P]進(jìn)行綜合，得到一個(gè)具體數(shù)值，使得評(píng)價(jià)結(jié)果更符合實(shí)際。設(shè)[n]個(gè)安全等級(jí)量化為[T=（t1，t2，…，tn）]，即為每個(gè)評(píng)價(jià)等級(jí)區(qū)間取值的最大值，模糊綜合評(píng)估向量[P=（p1，p2，…，pn）]，最后得到整體安全值[F=T?PT]。

2 ?民航某信息系統(tǒng)整體安全評(píng)估

2.1 ?數(shù)據(jù)收集

民航一些信息系統(tǒng)已經(jīng)列為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，根據(jù)民航空管某信息系統(tǒng)等級(jí)測(cè)評(píng)項(xiàng)目，收集專(zhuān)家現(xiàn)場(chǎng)測(cè)評(píng)的數(shù)據(jù)，確定信息系統(tǒng)各個(gè)單元的安全值。

表2 ?知識(shí)表達(dá)系統(tǒng)

2.2 ?安全評(píng)估

2.2.1 ?確定權(quán)重

1）對(duì)知識(shí)表達(dá)系統(tǒng)進(jìn)行離散型處理

由于表2中條件屬性和決策屬性的值域?yàn)檫B續(xù)值，所以在運(yùn)用粗糙集屬性重要度計(jì)算之前，必須將其進(jìn)行離散化處理，（0，60]—1;（60，70]—2;（70，80]—3;（80，90]—4;（90，100]—5。如表3所示。

表3 ?知識(shí)表達(dá)系統(tǒng)簡(jiǎn)化表

2）指標(biāo)依賴(lài)程度

利用1.2節(jié)中的公式，結(jié)合表2中的數(shù)據(jù)，計(jì)算得到各個(gè)評(píng)價(jià)指標(biāo)的依賴(lài)程度：

3）評(píng)價(jià)指標(biāo)權(quán)重

將各個(gè)指標(biāo)的依賴(lài)度進(jìn)行歸一化處理，得到各個(gè)評(píng)價(jià)指標(biāo)的重要性，即權(quán)重。

2.2.2 ?確定隸屬度矩陣

本文以評(píng)估民航某空管信息系統(tǒng)為例，表2中第一行就是此系統(tǒng)各個(gè)單元的安全值。利用1.3節(jié)中的可拓關(guān)聯(lián)函數(shù)，并利用其各個(gè)單元的安全值，計(jì)算得到每個(gè)評(píng)價(jià)指標(biāo)對(duì)于評(píng)價(jià)等級(jí)的從屬程度，從而利用多個(gè)評(píng)價(jià)指標(biāo)對(duì)評(píng)價(jià)等級(jí)的隸屬度構(gòu)造出一個(gè)隸屬度矩陣[R]，即：

2.2.3 ?量化結(jié)果

綜合各個(gè)單元指標(biāo)的權(quán)重和單元安全值相對(duì)于評(píng)價(jià)等級(jí)的隸屬度矩陣，得到信息系統(tǒng)的整體安全向量。

為了直觀地表達(dá)安全評(píng)估的結(jié)果，需要將得到的向量量化成數(shù)值的形式，使得評(píng)價(jià)結(jié)果更加符合實(shí)際。

2.3 ?結(jié)果分析

利用模糊綜合評(píng)價(jià)方法計(jì)算民航空管某等級(jí)保護(hù)三級(jí)信息系統(tǒng)的整體安全值，與常權(quán)測(cè)評(píng)方法（即GB/T 20844標(biāo)準(zhǔn)測(cè)評(píng)方法）整體測(cè)評(píng)結(jié)果進(jìn)行對(duì)比，如表4所示。

從表4可以看出，兩種方法得到的結(jié)果相差僅為5.52分，但兩個(gè)整體評(píng)估結(jié)果分別屬于不同的安全評(píng)價(jià)等級(jí)。模糊綜合評(píng)價(jià)法的整體測(cè)評(píng)結(jié)果屬于較低安全等級(jí)，說(shuō)明其面臨較高的安全風(fēng)險(xiǎn)，而常權(quán)等級(jí)保護(hù)測(cè)評(píng)得到的整體安全值屬于低安全等級(jí)，說(shuō)明其面臨最高的安全風(fēng)險(xiǎn)，評(píng)價(jià)結(jié)果直接影響對(duì)信息系統(tǒng)安全方面的投入。模糊綜合評(píng)價(jià)方法對(duì)空管某信息系統(tǒng)具有可用性及穩(wěn)定性，更符合信息系統(tǒng)的實(shí)際情況。

表4 ?安全評(píng)估結(jié)果對(duì)比

3 ?結(jié) ?論

為克服目前等級(jí)保護(hù)測(cè)評(píng)方法中各個(gè)單元測(cè)評(píng)項(xiàng)對(duì)整體測(cè)評(píng)結(jié)果同等重要的現(xiàn)狀，以及減少專(zhuān)家打分對(duì)系統(tǒng)的主觀影響，本文提出模糊綜合評(píng)價(jià)方法。首先利用粗糙集改進(jìn)權(quán)重，再引入可拓關(guān)聯(lián)函數(shù)確定隸屬度矩陣，模糊合成單元指標(biāo)權(quán)重和隸屬度矩陣，定性定量地得到信息系統(tǒng)的整體安全結(jié)果，適應(yīng)空管信息系統(tǒng)的實(shí)際安全需求。

參考文獻(xiàn)

[1] 高妮，高嶺，賀毅岳，等.基于貝葉斯攻擊圖的動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估模型[J].四川大學(xué)學(xué)報(bào)（工程科學(xué)版），2016，48（1）：111?118.

GAO Ni， GAO Ling， HE Yiyue， et al. Dynamic security risk assessment model based on Bayesian attack graph [J]. Journal of Sichuan University （Engineering Sciences）， 2016， 48（1）： 111?118.

[2] 伍瀏陽(yáng).因子分析和支持向量機(jī)的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)[J].微電子學(xué)與計(jì)算機(jī)，2016，33（2）：144?148.

WU Liuyang. Risk analysis of the information system by using factor analysis and support vector machine [J]. Microelectronics & computer， 2016， 33（2）： 144?148.

[3] SULTAN N. Knowledge management in the age of cloud computing and Web 2.0： experiencing the power of disruptive innovations [J]. International journal of information management， 2013， 33（1）： 160?165.

[4] DE GUSM?O A P H， SILVA L C， SILVA M M， et al. Information security risk analysis model using fuzzy decision theory [J]. International journal of information management， 2016， 36（1）： 25?34.

[5] 陳燕.計(jì)算機(jī)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與方法研究[D].青島：中國(guó)海洋大學(xué)，2015.

CHEN Yan. Computer network security risk assessment standard and method of research [D]. Qingdao： Ocean University of China， 2015.

[6] 趙剛，劉換.基于多層次模糊綜合評(píng)判及熵權(quán)理論的實(shí)用風(fēng)險(xiǎn)評(píng)估[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，52（10）：1382?1387.

ZHAO Gang， LIU Huan. Practical risk assessment based on multiple fuzzy comprehensive evaluations and entropy weigh?ting [J]. Journal of Tsinghua University （Science and Technology）， 2012， 52（10）： 1382?1387.

[7] 鄒仁華，王毅超，鄧元婧.基于變權(quán)綜合理論和模糊綜合評(píng)價(jià)的多結(jié)果輸出輸電線(xiàn)路運(yùn)行狀態(tài)評(píng)價(jià)方法[J].高電壓技術(shù)，2017，43（4）：1289?1295.

ZOU Renhua， WANG Yichao， DENG Yuanjing， et al. Condition assessment method for transmission line with multiple outputs based on variable weight principle and fuzzy comprehensive evaluation [J]. High voltage engineering， 2017， 43（4）： 1289?1295.

[8] 杜棟，龐慶華.現(xiàn)代綜合評(píng)價(jià)方法與案例精選[M].北京：清華大學(xué)出版社，2005.

DU Dong， PANG Qinghua. Modern comprehensive evaluation method and case selection [M]. Beijing： Tsinghua University Press， 2005.

[9] 王躍，譚昌柏，安魯陵，等.基于支持向量機(jī)的飛機(jī)裝配工藝模糊綜合評(píng)價(jià)方法[J].機(jī)械制造與自動(dòng)化，2017（5）：62?66.

WANG Yue， TAN Changbai， AN Luling， et al. Fuzzy comprehensive evaluation method of aircraft assembly process based on SVM [J]. Machine building and automation， 2017（5）： 62?66.

[10] 陳覃霞，劉盾，梁德翠.粗糙集理論和信息熵的AHP改進(jìn)方法[J].計(jì)算機(jī)科學(xué)與探索，2018，12（3）：484?493.

CHEN Qinxia， LIU Dun， LIANG Decui. Improved AHP approach based on rough set theory and information entropy [J]. Journal of frontiers of computer science and technology， 2018， 12（3）： 484?493.

[11] 張明，韓松臣，杭勇，等.基于改進(jìn)的可拓評(píng)價(jià)模型的安全管制員工作負(fù)荷綜合評(píng)估模型[J].安全與環(huán)境學(xué)報(bào)，2014，14（1）：84?87.

ZHANG Ming， HAN Songchen， HANG Yong， et al. An integrated evaluation model of the safety controller′s workload based on improved extension evaluation model [J]. Journal of safety and environment， 2014， 14（1）： 84?87.

[12] 董偉，張曉明，陳紹杰，等.可拓論與信息熵在煤層注水效果優(yōu)化中的應(yīng)用研究[J].中國(guó)安全科學(xué)學(xué)報(bào)，2016（10）：121?126.

DONG Wei， ZHANG Xiaoming， CHEN Shaojie， et al. Application of extenics theory and information entropy to optimization of water infusion in coal area [J]. China safety science journal， 2016（10）： 121?126.

[13] 段在鵬，錢(qián)新明，王如君.基于隸屬度權(quán)重的化工園區(qū)供電工程模糊綜合評(píng)價(jià)[J].安全與環(huán)境學(xué)報(bào)，2016，16（2）：40?44.