張思齊 趙泰 蔣敏慧

(中國信息通信研究院安全研究所,北京 100191)

0 引言

近年來,隨著全球數(shù)字經(jīng)濟的蓬勃發(fā)展,網(wǎng)絡(luò)安全威脅持續(xù)加劇、攻擊手段日新月異、新業(yè)務(wù)新技術(shù)范疇逐步擴展,網(wǎng)絡(luò)安全的基礎(chǔ)性、關(guān)鍵性作用更加突出,網(wǎng)絡(luò)安全能力建設(shè)已成為世界主要國家戰(zhàn)略博弈重點領(lǐng)域。為指導(dǎo)網(wǎng)絡(luò)運營者落實網(wǎng)絡(luò)安全主體責(zé)任,合理配置資源,采取適度、有效的網(wǎng)絡(luò)安全防護,網(wǎng)絡(luò)安全等級保護制度、電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護體系等均采用分級化的合規(guī)管理策略,針對性開展補短板鍛長板工作。網(wǎng)絡(luò)安全合規(guī)判定是一個多因素耦合的、存在多不確定性的復(fù)雜機制,尤其在測評指標(biāo)權(quán)重設(shè)定方面,傳統(tǒng)的定性分析、定量計算的方法具有較大的主觀性和不確定性,難以精確求解,本文根據(jù)模糊數(shù)學(xué)理論,創(chuàng)新性采用模糊層次分析法,建立層次結(jié)構(gòu)模型,根據(jù)模糊層次分析法計算權(quán)重指標(biāo)向量,并以網(wǎng)絡(luò)安全能力成熟度評價體系為例進行數(shù)據(jù)驗證,可以有效解決上述問題,使評價相對科學(xué)合理。

1 模糊層次分析法

模糊層次分析法是將模糊數(shù)學(xué)與層次分析法相結(jié)合的一種決策分析方法[1-4],由于實際問題受到多種因素的影響,各因素間往往存在著相關(guān)關(guān)系,通過從實際問題中分解出相關(guān)的關(guān)鍵指標(biāo)因素,構(gòu)建層次結(jié)構(gòu)模型,經(jīng)專家經(jīng)驗判斷,對各因素進行兩兩比較,構(gòu)造出模糊互補判斷矩陣、模糊一致性判斷矩陣。然后,利用代數(shù)矩陣特性,計算出各層關(guān)鍵因素的權(quán)重以及組合權(quán)重,最終形成綜合決策,從而提高決策的科學(xué)性和可靠性。模糊層次分析模型架構(gòu)如圖1所示。

從數(shù)學(xué)計算角度上看,模糊層次分析法主要包括兩個步驟。一是建立模糊互補判斷矩陣的過程,設(shè)矩陣R=(rij)n×n,0≤rij≤1(i=1,2,…,n;j=1,2,…,n)為模糊矩陣,若模糊矩陣R=(rij)n×n滿足rij+rji=1(i=1,2,…,n;j=1,2,…,n),那么模糊互補判斷矩陣R建立成功;二是建立模糊一致性矩陣的過程,若模糊互補矩陣R=(rij)n×n,對任意k均滿足rij=rik-rjk+0.5,那么模糊一致性矩陣R建立成功。

圖1 模糊層次分析模型架構(gòu)

2 基于模糊層次分析法的權(quán)重計算

模糊層次分析法具體步驟包括:建立模糊層次結(jié)構(gòu)模型;構(gòu)建模糊互補判斷矩陣;轉(zhuǎn)換得到模糊一致性矩陣;確定單層指標(biāo)權(quán)重并進行一致性檢驗;確定組合指標(biāo)權(quán)重并進行一致性檢驗。

利用特征根法對模糊一致性矩陣進行權(quán)重排序,具體步驟如下。

(1)計算矩陣R每一行的乘積,即:Mi=ri1×ri2×…×ri(n-1)×rin。

由于評價過程具有一定的人為主觀性,為了減小誤差,提高結(jié)果精度,需要進行一致性檢驗,具體步驟如下。

(6)根據(jù)不同階數(shù)的判斷矩陣,查表1可得對應(yīng)的平均隨機一致性指標(biāo)(Random Index,RI)。

表1 1～10階重復(fù)計算1 000 次的平均隨機一致性指標(biāo)RI表

當(dāng)CR<0.1時,通常認(rèn)定判斷矩陣的一致性是合理的;CR>0.1時,通常認(rèn)定判斷矩陣的一致性要求不滿足,需要重新修正相關(guān)的判斷矩陣。

得到單層指標(biāo)權(quán)重排序后,采用相同的方法,逐層逐步確定層次總權(quán)重,對總排序結(jié)果同樣也要進行一致性檢驗。

3 實例分析

本文以電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)安全能力成熟度評價(簡稱“能力成熟度評價”)作為體系案例,利用模糊層次分析法科學(xué)判定成熟度指標(biāo)權(quán)重,驗證其可用性。

3.1 構(gòu)建層次結(jié)構(gòu)模型

能力成熟度評價體系,設(shè)A為運營者網(wǎng)絡(luò)安全能力成熟度水平[5],選擇10 個關(guān)鍵因素作為成熟度評價指標(biāo),并進一步細(xì)化得到兩級評價指標(biāo)因素集。一級指標(biāo)的因素集B=(B1、B2、B3、B4、B5、B6、B7、B8、B9、B10)=(制度管理、組織和人員管理、資產(chǎn)管理、風(fēng)險管理、供應(yīng)鏈安全管理、系統(tǒng)和通信防護、運行維護、檢測評估、安全態(tài)勢分析、網(wǎng)絡(luò)安全事件管理)。對一級指標(biāo)進一步細(xì)化分解為26 個領(lǐng)域,得到二級指標(biāo)Bij的因素集(見表2)。

根據(jù)以上分析,可以得到對應(yīng)的層次結(jié)構(gòu)模型如圖2所示。

3.2 確定權(quán)重指標(biāo)向量

本文采用專家評分法確定評價指標(biāo)體系中每個指標(biāo)的權(quán)重,首先針對特定的運營者P及運營者Q,構(gòu)建專家調(diào)查表,面向運營者、測評機構(gòu)及行業(yè)專家發(fā)放調(diào)查表,采用0.1～0.9九級標(biāo)度法對其中同層次同隸屬關(guān)系的各指標(biāo),進行兩兩因素之間的相對重要性比較評分,具體參見表3。

根據(jù)專家調(diào)查問卷數(shù)據(jù),按照前文計算方法,分別得到運營者P及運營者Q的一級指標(biāo)權(quán)重W(P_1)、W(Q_1)結(jié)果如表4所示。

進一步構(gòu)建二級指標(biāo)調(diào)查問卷,以運營者P為例,針對二級指標(biāo)進行專家打分,按照前文計算方法,得到運營者P二級指標(biāo)權(quán)重集W(P_2),結(jié)果如表5所示。

3.3 結(jié)果分析

經(jīng)對比采用模糊層次分析法得到的運營者P及運營者Q的兩組權(quán)值,各不相同。一方面,模糊層次分析法可為不同類型運營者提供“定制化”的權(quán)值指標(biāo),有利于體現(xiàn)不同評價對象的差異性,比如運營者P側(cè)重自身安全防御能力,運營者Q側(cè)重對外提供網(wǎng)絡(luò)安全服務(wù),根據(jù)運營者安全戰(zhàn)略重點調(diào)整權(quán)值指標(biāo),更有利于客觀評價不同類型運營者的安全能力水平。另一方面,各項權(quán)值變化區(qū)間控制在一定范圍,不同類型運營者,雖然各項權(quán)值存在差異性,但是整體能力上看可以進行同質(zhì)化評價,對最終的等級判斷影響較小。綜上所述,模糊層次分析法充分利用模糊數(shù)學(xué)、代數(shù)矩陣重要性標(biāo)度:0.9表示兩個元素相比,i比j極端重要;0.8表示兩個元素相比,i比j非常重要;0.7表示兩個元素相比,i比j明顯重要;0.6表示兩個元素相比,i比j稍微重要;0.5表示兩個元素相比,i與j具有同等重要性;0.4表示兩個元素相比,j比i稍微重要;0.3表示兩個元素相比,j比i明顯重要;0.2表示兩個元素相比,j比i非常重要;0.1表示兩個元素相比,j比i極端重要。

表2 指標(biāo)因素集

圖2 層次結(jié)構(gòu)模型

表3 專家調(diào)查表

表4 一級指標(biāo)權(quán)重

表5 二級指標(biāo)權(quán)重集

等特性,有效彌補傳統(tǒng)統(tǒng)一賦值法的不足,解決可變參數(shù)法可能導(dǎo)致的主觀性和不確定性問題,為網(wǎng)絡(luò)安全能力測評指標(biāo)權(quán)重的科學(xué)評判,提供了一種可行的方法及依據(jù)。

4 結(jié)束語

網(wǎng)絡(luò)安全檢測評估體系往往涉及的指標(biāo)參數(shù)較多、較復(fù)雜,評價過程中往往存在主觀因素,運用模糊層次分析法能夠?qū)⑷说闹饔^經(jīng)驗判斷與數(shù)學(xué)理論的嚴(yán)謹(jǐn)推理有效結(jié)合,從而解決評價過程中模糊、難以量化、非確定性等問題。本文采用模糊層次分析法,重點解決網(wǎng)絡(luò)安全檢測評估體系中測評指標(biāo)權(quán)重賦值難問題,并以能力成熟度評價模型為例,對該模型中不同運營者的10大項26個關(guān)鍵網(wǎng)絡(luò)安全指標(biāo)進行賦值測算,達(dá)到了預(yù)期效果,有效驗證了該方法的可行性。在后續(xù)模型的使用中,對于測評指標(biāo)更多、更復(fù)雜的情況,未來將繼續(xù)探索引入專家權(quán)重系數(shù)和三角模糊數(shù)等,對現(xiàn)有模型進行改進優(yōu)化。