一種多屬性決策的信息安全效用提升方法
【技術領域】
[0001] 本發明涉及信息管理技術領域,尤其是涉及一種多屬性決策的信息安全效用提升 方法。
【背景技術】
[0002] 多準則決策問題在各領域廣泛存在。其中,備選方案有限時為多屬性決策,備選方 案連續(無限個)時為多目標決策。多準則決策方法的研究和應用很多,如:在《Vague集 的多目標模糊決策方法》一文中提出了一種新的多目標模糊決策的Vague集方法,該方法 利用一個新的評分函數對方案進行排序,選出最優方案,并給出其相關性質,證明其解決了 現有Vague集的多目標模糊決策方法的缺陷,通過實例闡明新方法的有效性和優越性。在 《城市環境質量綜合評價的多目標決策理想區間法》一文中提出了一種新的評價方法,即多 目標決策理想區間法,用該方法評價城市環境質量,把評價標準處理成理想區間的形式,并 用遺傳投影尋蹤方法來確定權重。工程招標采購也是一類典型的多目標決策問題,在《工程 招標采購的模糊多目標群決策分析》一文中將基于模糊集合理論的模糊多目標群決策方法 用于工程招標決策中,決策者只需依其經驗和偏好,用語言變量獨立地對各投標者進行指 標評估,再用模糊數量化處理這些語言變量,經由決策模型的計算獲得方案的優劣排序。其 他的方法還有人工神經網絡、遺傳算法、灰色評估、模糊貝葉斯決策、粗集和證據理論、隨機 與概率論、模糊集方法等。
[0003] 然而,對于信息安全效用提升方案或效用提升選擇方法的多屬性決策,國內外的 研究不多。如:在《信息系統安全措施有效性評估》一文中研究了不同的安全措施對抗某一 風險的相關性,得到了安全措施有效性評估模型。在《模糊多屬性決策方法在信息安全評估 中的應用》一文中利用模糊性多屬性決策方法,建立了一種信息系統安全管理綜合評估的 定量模型,旨在綜合各種定性定量評估因子的影響,得到對系統安全性的綜合評價的量化 值,從而提高信息系統的科學管理水平。在《信息系統安全評估理論及其關鍵技術研究》一 文中提出了基于模糊多屬性群決策的信息系統安全決策方法,并采用多指標的各種指數評 估安全措施,獲得安全措施的排序。
[0004] 在選擇最優化信息安全效用提升方案時,在現有的大部分研究或選擇評價過程 中,并沒有利用模糊多屬性決策理論,而是簡單地使用人工操作或主觀判斷作為最優方案 選擇的唯一方法,使得信息安全效用提升方案的選取機制具有相當的主觀判斷色彩,并且 選擇評價過程較為復雜繁瑣,其大部分選擇方法不具有客觀性,從而導致信息安全效用提 升方案并非最優,其選擇效果不佳。
【發明內容】
[0005] 本發明所要解決的技術問題在于針對上述現有技術中的不足,提供一種多屬性決 策的信息安全效用提升方法,本發明基于多屬性決策的信息安全措施效用提升最優方案選 擇方法為有效實施系統信息安全管理提供了決策支持,可以減輕信息安全措施效用評估過 程中對人員主觀因子的嚴重依賴,通過靈敏度分析來考察主觀上的誤差擾動對最終結果的 影響程度,即當方案的內外因素發生變化時,指標值在什么范圍變化,已排出的順序不變, 從而分析決策結果的穩定性和可靠性,減少了輸入數據的主觀性。可保證信息安全措施效 用評估過程的規范性和信息安全措施效用評估結果的一致性和可追溯性,降低了信息安全 措施效用提升最優方案選擇的復雜度,提高了信息安全措施效用提升最優方案選擇的客觀 可信度,其效果倶佳,為實際網絡環境中的信息安全管理活動提供指導。
[0006] 為解決上述技術問題,本發明采用的技術方案是:一種多屬性決策的信息安全效 用提升方法,其特征在于,包括以下步驟:
[0007] S1、獲取信息系統的基本要求;
[0008] S2、確定備選的信息安全效應提升方案;
[0009] S3、獲取信息安全效應提升方案的效能指數EI ;
[0010] S4、確定信息安全效應提升方案決策的主要影響因子;
[0011] S5、計算主要影響因子的權重;
[0012] S6、獲取信息安全效應提升方案的綜合指數GI ;
[0013] S7、依據相對綜合指數RGI進行排序,選擇最優化信息安全效應提升方案。
[0014] 進一步地,所述步驟Sl具體為:所述信息系統基本要求為滿足安全等級要求的基 本要求,能對抗系統不能接受的重大風險,成本在可接受的范圍以及其他相關要求。
[0015] 進一步地,所述步驟S2具體為:確定備選的信息安全效用提升方案集合P : {Pj I j =1,2,. . .,s},其中,Pj是第j種信息安全效用提升方案,s為備選信息安全效用提升方案 的數量。
[0016] 進一步地,所述步驟S3具體為:所述效能指數EI計算方式為
,其中,RLi是風險ri的風險等級,eji是信息安全效用提升方案Pi對 i:={ 抗風險ri的有效性,通過靈敏度分析與人工專家共同依據理論分析、歷史數據、學識經驗 和實際情況給出。
[0017] 進一步地,所述步驟S4、S5具體為:所述主要影響因子表示為集合F : {fi I i = 1, 2, . . .,t},相應的權重表示為集合W' = {wi' I i = 1,2, . . .,t}。
[0018] 進一步地,所述主要影響因子F分別為信息安全效用提升方案的效能、安全措施 效用值、安全等級保護要求、投資成本、實施代價,其權重W'分別為0. 35、0. 10、0. 30、0. 15、 0. 10〇
[0019] 進一步地,所述步驟S6具體為:所述綜合指數GI計算公式為
其中,GI j為信息安全效用提升方案Pj的綜合指數,Wi'為第i種影響因子fi的權重,gji 為對k進行歸一化的結果,而k為信息安全效用提升方案Pj在影響因子fi上的取值。
[0020] 進一步地,所述參數gji的計算方式分效益型目標屬性和成本型目標屬性兩種, 其中效益型目標屬性和成本型目標屬性計算方式分別為:
[0021]
[0022] 其中,1^1、1\1分別為第」、第1^個影響因子。
[0023] 進一步地,所述步驟S7具體為:所述相對綜合指數RGI計算公式為
,然后對各個信息安全效用提升方案進行排序,從而得 出最優化的信息安全效用提升方案。
[0024] 本發明與現有技術相比具有以下優點:本發明基于多屬性決策的信息安全措施效 用提升最優方案選擇方法為有效實施系統信息安全管理提供了決策支持,可以減輕信息安 全措施效用評估過程中對人員主觀因子的嚴重依賴,通過靈敏度分析來考察主觀上的誤差 擾動對最終結果的影響程度,即當方案的內外因素發生變化時,指標值在什么范圍變化,已 排出的順序不變,從而分析決策結果的穩定性和可靠性,減少了輸入數據的主觀性。可保證 信息安全措施效用評估過程的規范性和信息安全措施效用評估結果的一致性和可追溯性, 降低了信息安全措施效用提升最優方案選擇的復雜度,提高了信息安全措施效用提升最優 方案選擇的客觀可信度,其效果倶佳,為實際網絡環境中的信息安全管理活動提供指導。
[0025] 下面通過附圖和實施例,對本發明的技術方案做進一步的詳細描述。
【附圖說明】
[0026] 圖1為本發明的工作流程圖;
【具體實施方式】
[0027] 如圖1所示,一種多屬性決策的信息安全效用提升方法,其特征在于,包括以下步 驟:
[0028] S1、獲取信息系統的基本要求;
[0029] S2、確定備選的信息安全效應提升方案;
[0030] S3、獲取信息安全效應提升方案的效能指數EI ;
[0031] S4、確定信息安全效應提升方案決策的主要影響因子;
[0032] S5、計算主要影響因子的權重;
[0033] S6、獲取信息安全效應提升方案的綜合指數GI ;
[0034] S7、依據相對綜合指數RGI進行排序,選擇最優化信息安全效應提升方案。
[0035] 本實施例中,所述步驟Sl具體為:所述信息系統基本要求為滿足安全等級要求的 基本要求,能對抗系統不能接受的重大風險,成本在可接受的范圍以及其他相關要求。
[0036] 本實施例中,所述步驟S2具體為:確定備選的信息安全效用提升方案集合P : {Pj I j = 1,2, ...,s},其中,Pj是第j種信息安全效用提升方案,s為備選信息安全效用提 升方案的數量。
[0037] 本實施例中,所述步驟S3具體為:所述效能指數EI計算方式為
[0038]
[0039] 其中,RLi是風險ri的風險等級,eji是信息安全效用提升方案Pj對抗風險ri的 有效性,通過靈敏度分析與人工專家共同依據理論分