一種計算機信息安全模糊風險評估系統和方法

專利名稱：：一種計算機信息安全模糊風險評估系統和方法
技術領域：
：本發明涉及一種計算機信息安全模糊風險評估系統和方法，屬于信息安全領域，具體涉及一種信息安全風險評估。
背景技術：
：現有的信息系統安全評估方式可大致歸結為安全審計、風險分析、系統安全工程能力成熟度模型(SSE2C醒)和安全測評等四類。風險分析模型從風險控制角度進行安全評估，它通過概率統計得出網絡系統安全性的度量；安全測評更多地從安全技術、功能角度來進行系統的安全評估；安全審計、SSE2CMM模型等風險評估方法也都是從系統安全的某一方面出發，只著重于評估網絡系統安全某方面的實踐規范。在實際的評估過程中，評估人員常常是采用解析的方法，將復雜的評估對象分割成若干個相對簡單的評估要素，然后由各評估要素的評估結果，推算出評估對象的風險。由于在元素解析操作上存在主觀隨意性，缺乏統一的、系統化的安全評估框架，這些評價方法中，評估準則和指標難以量化。為了盡可能減少人為因素，本發明提出了一種量化的安全評估方法，充分考慮到評估要素之間的關系，通過引入模糊計算技術，建立各要素的隸屬關系表和權重表，從而減少主觀因素，做到使評估結果盡量的客觀公正。
發明內容為了克服現有技術結構的不足，本發明提供一種計算機信息安全模糊風險評估系統和方法。本發明解決其技術問題所采用的技術方案是本發明針對一個評估對象可以被分解成若干個評估要素(或子對象)的情況下，給出一種由各評估要素(或子對象)的評估結果得到評估對象的模糊風險的方法。具體
發明內容包括一種計算機信息系統模糊風險評估系統，包含根據用戶對評估要素的風險判斷，計算出該評估要素的模糊級別隸屬程度。將所有的評估要素的隸屬程序向量合起來，組成一個模糊風險矩陣的模糊風險矩陣計算器；根據模糊風險矩陣計算器輸出得到的所有評估要素的模糊風險矩陣，和用戶輸入的評估要素的權重向量，計算整個系統的模糊風險的綜合風險計算器；根據綜合風險計算器系統輸出的綜合模糊風險，以及用戶建立的風險等級標準，計算整個系統的風險確定性量值的系統風險量化器。模糊風險矩陣計算器連接綜合風險計算器；綜合風險計算器連接系統風險量化器。一種計算機信息系統模糊風險評估方法，包括以下步驟建立風險影響等級標準，對象解析并建立權重，建立模糊風險矩陣，計算模糊綜合風險和量化綜合風險。一種計算機信息系統模糊風險評估方法，包括模糊風險矩陣計算步驟；綜合風險計算步驟；系統風險量化歩驟。本發明的有益效果；本發明充分考慮到評估要素之間的關系，通過引入模糊計算技術，建立各要素的隸屬關系表和權重表，從而減少主觀因素，提高了評估結果的客觀公正性。圖1是本發明的工作流程示意圖。圖2是本發明的系統結構示意圖。下面結合附圖對本發明實現作進一步說明。具體實施例方式實施例1:一種計算機信息系統模糊風險評估系統(如圖2)，有模糊風險矩陣計算器，根據用戶對評估要素的風險判斷，計算出該評估要素的模糊級別隸屬程度，它具有以下輸入1)評估要素標識(ID)，2)該評估要素所屬級別的判別向量(44…，d)。d表示評估要素屬于級別i(0《i《n，n表示用戶設定的風險標準等級數)的估計分值(0《^《10)，對于每個評估要素，其輸出是一個評估要素模糊級別隸屬向量。如果有k個評估要素，則得到一個kXn的模糊矩陣，記為模糊風險矩陣R。如果用戶設定的風險等級標準為一個7分位的等級{0，0.1，0.3，0.5，0.7，0.9，1}，主要部件的實施方式如下1、模糊風險矩陣計算器的實施方式設用戶輸入的風險等級向量為A…，&}，其中必表示評估要素對于風險影響標準的7分位風險級別中的級別i的隸屬估計分值(0《^《10)。則該評估要素的模糊風險矩陣為(n，a…，/>}，其中r,按如下的方法計算如果有k個評估要素，則得到一個kX7的模糊矩陣，記為模糊風險矩陣R;2、綜合風險計算器實施方式。其對綜合風險的計算包括以下步驟計算B二WXR;其中B為模糊綜合評估結果，為一個lX7的矩陣B^，b2，b3，b4，b5，b6，b7}，代表最后的綜合評估結果隸屬于第J'個風險級別的程度；W是各評估要素的權重向量，R是模糊風險矩陣計算器輸出的評估要素的模糊風險矩陣。3、系統風險量化器的實施方式。其對系統風險量化的方法包括以下步驟:計算U=BXS;其中U為一個最終的綜合風險的數值結果。其中S={0，0.1，0.3，0.5，0.7，0.9，ir是用戶建立的風險等級標準(一個列向量)；B為綜合風險計算器輸出的模糊綜合評估結果，為一個1X7的矩陣B二{，b2，b3，b4，b5，b6，b7}。實施例2:如圖l所示，一個具體的評估過程如下1.建立風險等級標準。首先定義一個7分位風險等級如表1:所示。表l:風險等級標準<table>tableseeoriginaldocumentpage8</column></row><table><table>tableseeoriginaldocumentpage9</column></row><table>2.對象解析并建立權重向量一般情況下，要評估的信息系統是一個由多個模塊組成的綜合系統。按從簡單到復雜的原則，在評估時，先對評估對象進行分解，將其分解成若干個相對獨立的評估要素。一般來說，當把一個評估對象分析成若干個評估要素時，各評估要素之間的重要程度應該不會完全相同。這時就需要確定不同的評估要素之間的權重。在各個評估要素的評估中，通過層次分析法計算出這些評估要素的重要性權值。如果有A個評估要素，則得到一個A維的權重向量W二(w，的，…，化}，其中2]^''二1。3.建立模糊風險矩陣。對各單要素單獨進行評估，根據每個評估要素的評估結果，確定該評估要素分別對于風險標準的7個級別的隸屬度。設用戶輸入的風險等級向量為(d，&…，《}，其中d表示評估要素對于7分位風險等級標準中級別i的隸屬估計分值(0《c/i《10)。則該評估要素的模糊風險矩陣為{力，2>}，其中r,按如下的方法計算/二i這樣，對于k個評估要素，則得到一個kX7的模糊矩陣，記為模糊風險矩陣R。4.計算綜合風險。進行單項評價并配以權重后，可以得到關于所有評估要素的一個模糊風險矩陣R，和一個權重向量W。則模糊綜合評價模型為:B二WXR，其中B為模糊綜合評估結果，為一個1X7的矩陣B={b，b2，b3，b4，b5，b6，b7}，b,代表最后的綜合評估結果隸屬于第i個風險級別的程度。這樣，最后將得到一個模糊評估形式的結果。5.量化綜合風險。如果要對綜合評估結果進行量化，則計算U=BXS，作為一個最終的綜合風險的數值結果，其中S={0，0.1，0.3，0.5，0.7，0.9，ir是風險等級定義(一個列向量，參見圖2)。如果想要得到更細的等級劃分，等級標準定義可采用9分位的方法進行。在上面的定義中，通過模糊風險矩陣和權重矩陣，考慮了各評估對象間的相關依賴與重要程度，合成為綜合對象的評測結果。權利要求1、一種計算機信息系統模糊風險評估系統，其特征在于包含根據用戶對評估要素的風險判斷，計算出該評估要素的模糊級別隸屬程度，將所有的評估要素的隸屬程序向量合起來，組成一個模糊風險矩陣的模糊風險矩陣計算器；根據所有評估要素的模糊風險矩陣和評估要素的權重向量，計算整個系統的模糊風險的綜合風險計算器；根據系統的綜合模糊風險以及風險等級標準，計算整個系統的風險確定性量值的系統風險量化器；模糊風險矩陣計算器連接綜合風險計算器；綜合風險計算器連接系統風險量化器。2、如權利要求1所述的一種計算機信息系統模糊風險評估系統，其特征在于模糊風險矩陣計算器，根據用戶對評估要素的風險判斷，計算出該評估要素的模糊級別隸屬程度，它具有以下輸入1)評估要素標識(ID)，2)該評估要素所屬級別的判別向量(d，d，…，flO，d表示評估要素屬于級別i(0《/《n，n表示用戶設定的風險標準等級數)的估計分值(0《d《10),對于每個評估要素，其輸出是一個評估要素模糊級別隸屬向量；如果有k個評估要素，則得到一個kXn的模糊矩陣，記為模糊風險矩陣R。3、如權利要求1所述的一種計算機信息系統模糊風險評估系統，其特征在于綜合風險矩陣計算器，根據所有評估要素的模糊風險矩陣和評估要素的權重向量，計算整個系統的模糊風險，它具有以下輸入1)模糊風險矩陣R，2)所評估要素的權重向量W，其輸出是一個lXn矩陣(6,，&，，&)，&表示系統風險屬于級別1(0《j'《n)的程度。4、如權利要求1所述的一種計算機信息系統模糊風險評估系統，其特征在于系統風險量化器，根據系統的綜合模糊風險及風險等級標準，計算整個系統的風險確定性量值；其輸入是系統的模糊風險矩陣(A，及風險等級標準S，輸出是系統的風險確定性量值。5、一種計算機信息系統模糊風險評估方法，包括以下步驟建立風險影響等級標準，對象解析并建立權重，建立模糊風險矩陣，計算模糊綜合風險和量化綜合風險。6、如權利要求5所述的一種計算機信息系統模糊風險評估方法，其特征在于模糊風險矩陣計算，按下面的步驟建立模糊風險矩陣設用戶輸入的風險等級向量為A…，d}，其中必表示評估要素對于風險影響標準的n分位風險級別中的級別i的隸屬估計分值(0《d《10);則該評估要素的模糊風險矩陣為{rbn，…，r。}，其中r,按如下的步驟計算如果有k個評估要素，則得到一個kXn的模糊矩陣，記為模糊風險矩陣R。7、如權利要求5所述的一種計算機信息系統模糊風險評估方法，其特征在于綜合風險計算按下面的步驟計算綜合模糊風險如果進行單項評價并配以權重后，得到的模糊風險矩陣為R，權重向量為W，則模糊綜合評價模型為B=WXR;其中B為模糊綜合評估結果，為一個lXn的矩陣B二{b,，b2，b:i,b4，b5，bfi，b}，b,代表最后的綜合評估結果隸屬于第i個風險級別的程度；W是各評估要素的權重向量，R是各評估要素的綜合模糊風險矩陣。8、如權利要求5所述的一種計算機信息系統模糊風險評估方法，其特征在于系統風險量化按下面的步驟量化綜合風險計算U=BXS;其中U為一個最終的綜合風險的數值結果，其中S^Sl，s2，s:i，&，s5，s，sn廠是風險等級標準(一個列向量)；B為模糊綜合評估結果，為一個lXn的矩陣B二{，b2，b:i，，b5，b6，b}。全文摘要一種計算機信息系統模糊風險評估系統及方法，包含根據用戶對評估要素的風險判斷，計算出該評估要素的模糊級別隸屬程度。將所有的評估要素的隸屬程序向量合起來，組成一個模糊風險矩陣的模糊風險矩陣計算器；根據所有評估要素的模糊風險矩陣和評估要素的權重向量，計算整個系統的模糊風險的綜合風險計算器；根據系統的綜合模糊風險以及風險等級標準，計算整個系統的風險確定性量值的系統風險量化器。本發明的有益效果；充分考慮到評估要素之間的關系，通過引入模糊計算技術，建立各要素的隸屬關系表和權重表，從而減少主觀因素，提高了評估結果的客觀公正性。文檔編號G06F21/00GK101470779SQ20071030398公開日2009年7月1日申請日期2007年12月24日優先權日2007年12月24日發明者史萍萍,杰李,胡振宇,謝瑞璇申請人:北京啟明星辰信息技術股份有限公司