1 引言
隨著計(jì)算機(jī)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)已經(jīng)滲透于社會(huì)的各個(gè)領(lǐng)域,人們?cè)诰W(wǎng)絡(luò)上進(jìn)行著大量的信息交流,廣泛的信息交互存在著巨大的風(fēng)險(xiǎn)和安全隱患。當(dāng)前網(wǎng)絡(luò)安全問已成為網(wǎng)絡(luò)應(yīng)用領(lǐng)域急需決的重要課題。由于不同領(lǐng)域?qū)Π踩蟛槐M相同,軍事國(guó)防、金融等機(jī)構(gòu)的網(wǎng)絡(luò)安全等級(jí)要求很高,而民用網(wǎng)絡(luò)的安全程度要求則相對(duì)較低,因此對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行科學(xué)準(zhǔn)確的評(píng)價(jià),有利于用戶針對(duì)不同的網(wǎng)絡(luò)采取不同的預(yù)防措施,從而提高網(wǎng)絡(luò)的安全性能。
傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)是采用在線殺毒、防火墻、網(wǎng)絡(luò)安全入侵檢測(cè)等措施,但這些方法是一種被動(dòng)地防御方法,帶有較大的盲目性,缺乏對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的考慮,已經(jīng)不能滿足當(dāng)前網(wǎng)絡(luò)安全的需求。近年來(lái),一些新的理論與方法的研究與發(fā)展,一些學(xué)者將SFTA分析法、FMECA危險(xiǎn)度分析法、神經(jīng)網(wǎng)絡(luò)等方法用于網(wǎng)絡(luò)安全評(píng)價(jià)領(lǐng)域。但是,由于網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜性,這些定量的方法不能很好地考慮網(wǎng)絡(luò)系統(tǒng)客觀環(huán)境和人為因素等影響,與此同時(shí),網(wǎng)絡(luò)安全評(píng)估很難嚴(yán)格地定量化,從而導(dǎo)致利用完全定量的網(wǎng)絡(luò)安全評(píng)價(jià)很難實(shí)現(xiàn)。
層次分析法是一種定性與定量相結(jié)合的決策分析方法。其主要思想是:
①分解,即問題層次化過程,該過程將一個(gè)復(fù)雜的系統(tǒng)對(duì)象抽象化為一個(gè)有序的、層次的結(jié)構(gòu)模型。
②判斷,將同一層次的評(píng)價(jià)指標(biāo)進(jìn)行兩兩比較,建立判斷矩陣,得到各評(píng)價(jià)指標(biāo)的相對(duì)權(quán)重。
③綜合,對(duì)各層指標(biāo)的組合權(quán)重進(jìn)行計(jì)算,得到各指標(biāo)相對(duì)于總目標(biāo)的權(quán)重值,然后進(jìn)行排序。本文在對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)安全綜合評(píng)價(jià)的實(shí)際需求,建立了基于層次分析法的網(wǎng)絡(luò)安全綜合評(píng)價(jià)模型。與其它評(píng)價(jià)方法相比較,層次分析法在網(wǎng)絡(luò)安全的評(píng)價(jià)方面有較大的優(yōu)勢(shì),評(píng)價(jià)結(jié)果更準(zhǔn)確,結(jié)論更有說(shuō)服力。
2 網(wǎng)絡(luò)安全評(píng)價(jià)原理
網(wǎng)絡(luò)安全綜合評(píng)價(jià)包括三個(gè)方面的內(nèi)容:即建立評(píng)價(jià)指標(biāo)體系,對(duì)評(píng)價(jià)指標(biāo)進(jìn)行標(biāo)準(zhǔn)化處理、確定相應(yīng)的評(píng)價(jià)方法。其中,選取合適的評(píng)價(jià)指標(biāo)是進(jìn)行綜合評(píng)價(jià)的前提和基礎(chǔ),科學(xué)、合理地選取評(píng)價(jià)指標(biāo)可以更準(zhǔn)確地評(píng)價(jià)出網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)安全評(píng)價(jià)是一個(gè)復(fù)雜的系統(tǒng)工程,采用傳統(tǒng)的定量方式或單純的定性評(píng)價(jià)方式都難以取得較好的評(píng)價(jià)結(jié)果,為了更好地考慮網(wǎng)絡(luò)系統(tǒng)中的客觀環(huán)境和人為因素的對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的影響,本文采用層次分析法對(duì)網(wǎng)絡(luò)安全進(jìn)行綜合評(píng)價(jià)。
層次分析法的基本原理是排序,即最終將各方法排出優(yōu)劣次序,作為決策的依據(jù)。層次分析法是將定性分析與定量計(jì)算進(jìn)行有機(jī)的結(jié)合,充分利用專家知識(shí)將人的主觀判斷用數(shù)量形式表達(dá)出來(lái)并進(jìn)行科學(xué)處理。將研究對(duì)象作為一個(gè)有機(jī)的整體,按照分解、判斷、綜合的思維方式進(jìn)行決策,是進(jìn)行系統(tǒng)分析的一個(gè)重要工具。在進(jìn)行網(wǎng)絡(luò)安全評(píng)價(jià)時(shí),可以充分地考慮到影響網(wǎng)絡(luò)安全的各種因素對(duì)網(wǎng)絡(luò)安全的影響,從而準(zhǔn)確地評(píng)價(jià)出網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)狀況。同時(shí),層次分析法有著深刻的理論基礎(chǔ),且表現(xiàn)形式非常簡(jiǎn)單,容易被人理解、接受,對(duì)評(píng)價(jià)的結(jié)果解釋性強(qiáng)。
3 構(gòu)建網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系
網(wǎng)絡(luò)安全評(píng)價(jià)目的是確保信息的完整性、可控性、保密性、可用性和信息行為的不可否認(rèn)性。針對(duì)網(wǎng)絡(luò)安全總目標(biāo),許多學(xué)者提出了有效的各種安全防范措施和相應(yīng)的技術(shù)。在進(jìn)行網(wǎng)絡(luò)安全評(píng)價(jià)時(shí),沒有行之有效地公認(rèn)的建立指標(biāo)體系的方法。在具體的評(píng)價(jià)時(shí),德爾菲法是應(yīng)用最為廣泛的一種方法,綜合了多數(shù)專家經(jīng)驗(yàn)與主觀判斷,能對(duì)大量無(wú)法定量分析的因素做出概率估算,然后將估算結(jié)果告之評(píng)估專家,充分發(fā)揮信息控制和信息反饋的作用,使分散的評(píng)價(jià)意見逐步收斂,最后得到一個(gè)協(xié)調(diào)一致的結(jié)果。
針對(duì)當(dāng)前網(wǎng)絡(luò)安全存在的不足,本文首先采用德爾菲法構(gòu)建網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系。然后對(duì)初步建立的評(píng)價(jià)指標(biāo)進(jìn)行分類,設(shè)計(jì)出網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)咨詢表,征詢有關(guān)專家意見,并依據(jù)專家意見,對(duì)指標(biāo)進(jìn)行適當(dāng)篩選。在咨詢表中設(shè)計(jì)衡量指標(biāo)重要度的級(jí)數(shù),依據(jù)相關(guān)標(biāo)準(zhǔn),將指標(biāo)重要度的級(jí)別分為5級(jí),其取值分別為l、2、3、4、5。
設(shè)網(wǎng)絡(luò)安全指標(biāo)體系某層有m個(gè)指標(biāo),邀請(qǐng)n位專家對(duì)這些指標(biāo)進(jìn)行表決、評(píng)議,然后對(duì)每個(gè)指標(biāo)的專家意見的集中度和離散度進(jìn)行統(tǒng)計(jì)。其中,專家意見的集中度和離散度的定義為:
圖1網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系
4 網(wǎng)絡(luò)安全綜合評(píng)價(jià)模型的建立
4.1建立網(wǎng)絡(luò)安全層次結(jié)構(gòu)模型
由圖1所示,網(wǎng)絡(luò)安全綜合評(píng)價(jià)指標(biāo)層次結(jié)構(gòu)模型共分為3層,網(wǎng)絡(luò)安全為目標(biāo)層(A)。準(zhǔn)則層(B)由管理安全(B1)、環(huán)境安全(B2)、硬件安全(B3)、軟件安全(B4)、數(shù)據(jù)安全(B5)5部分組成。措施層(c)由組織體系、管理制度、安全教育、安全供電等17項(xiàng)與網(wǎng)絡(luò)安全緊密相關(guān)的指標(biāo)組成。
4.2構(gòu)造判斷矩陣
判斷矩陣是利用專家知識(shí)對(duì)每一層次評(píng)價(jià)指標(biāo)相對(duì)于上一層次中某個(gè)功能模型的相對(duì)重要性進(jìn)行兩兩比較,全部指標(biāo)經(jīng)過專家的兩兩判定之后,可形成一個(gè)比較判斷矩陣A。
為確定比較判斷矩陣中的具體數(shù)值,T.LSaaty教授提出了1-9的比例標(biāo)度,各標(biāo)度含義見表1。
表1 判斷矩陣標(biāo)度及含義
4.3計(jì)算指標(biāo)權(quán)重
從措施層到準(zhǔn)則層再到目標(biāo)層依次確定各層指標(biāo)相對(duì)于上層指標(biāo)的指標(biāo)權(quán)重,確定指標(biāo)權(quán)重的過程如下:
1)準(zhǔn)則層(B)相對(duì)于目標(biāo)層(A)的指標(biāo)權(quán)重
根據(jù)專家經(jīng)驗(yàn),判斷出B層各指標(biāo)相對(duì)于A層的重要性,從而形成判斷矩陣AB,計(jì)算出其最大特征根和特征向量,經(jīng)過歸一化后得到B層各指標(biāo)相對(duì)A層的權(quán)重系數(shù)WB。
4.4一致性檢驗(yàn)
利用層次分析法進(jìn)行網(wǎng)絡(luò)安全綜合評(píng)價(jià)的最終評(píng)價(jià)質(zhì)量很大程度上取決于各指標(biāo)配對(duì)比較判斷的一致性,由于不同的人對(duì)同一事物認(rèn)識(shí)存在著差異,專家對(duì)各個(gè)指標(biāo)的重要性判斷有著差異,因此,需要對(duì)比較判斷矩陣進(jìn)行一致性檢驗(yàn),用以判斷矩陣偏離一致性的程度。其中,判斷矩陣的一致性指標(biāo)(C1)公式如下:
式中:n為判斷矩陣的階次,λMAX為判斷矩陣的最大特征根。
當(dāng)隨機(jī)一次性比率CR滿足如下式:
式中:口為判斷矩陣的一致性指標(biāo),R,為平均隨機(jī)一致性指標(biāo)。當(dāng)CR 圖2 網(wǎng)絡(luò)安全評(píng)價(jià)流程 5 仿真研究 5.1仿真數(shù)據(jù) 本文以某金融企業(yè)網(wǎng)絡(luò)為例,利用德爾菲法對(duì)指標(biāo)進(jìn)行兩兩判斷,構(gòu)成判斷矩陣,求得8層相對(duì)于A層的權(quán)重向量為WB=[0.08,0.04,0.26,0.17,0.46]T,滿足判斷矩陣一致性檢驗(yàn)。同理分別求出c層相對(duì)于口層的權(quán)重向量,利用式(6),可得綜合權(quán)重向量W=[0.01,0.05,0.02,0.03,0.01,0.01,0.02,0.06,0.17,0.10,0.01,0.02,0.04,0.23,0.03,0.12,0.08]t 5.2結(jié)果與分析 根據(jù)指標(biāo)的綜合權(quán)重,可以對(duì)該金融企業(yè)網(wǎng)絡(luò)進(jìn)行安全評(píng)價(jià),根據(jù)相關(guān)研究,網(wǎng)絡(luò)安全等級(jí)分為A、B、C、D共4個(gè)等級(jí),分別對(duì)應(yīng)于網(wǎng)絡(luò)安全級(jí)別為很高、較高、一般、較低。將安全級(jí)別總分設(shè)為1O分,則相應(yīng)的安全級(jí)別及對(duì)應(yīng)分值見表2所示。 表2 網(wǎng)絡(luò)安全等級(jí) 針對(duì)該金融企業(yè)網(wǎng)絡(luò)的運(yùn)行情況,聘清專家針對(duì)各指標(biāo)進(jìn)行打分,然后利用公式對(duì)各單項(xiàng)指標(biāo)進(jìn)行加權(quán)綜合,計(jì)算公式為: Z=R*W 式中z表示綜合評(píng)價(jià)分值;R表示各指標(biāo)分值向量.w表示權(quán)重分值向量。 經(jīng)過對(duì)該金融企業(yè)網(wǎng)絡(luò)安全進(jìn)行綜合評(píng)價(jià),得到該企業(yè)網(wǎng)絡(luò)的綜合評(píng)分為9.01分,安全級(jí)別為A級(jí),與該企業(yè)的網(wǎng)絡(luò)安全級(jí)別完全吻合。 6 結(jié)論分析 本文從網(wǎng)絡(luò)安全評(píng)價(jià)難點(diǎn)人手,分析了定量方法在網(wǎng)絡(luò)安全評(píng)價(jià)領(lǐng)域中的不足,提出了利用層次分析法的網(wǎng)絡(luò)安全綜合評(píng)價(jià)模型。層次分析法是一種性能較高的定性與定量相結(jié)合的評(píng)價(jià)方法,在進(jìn)行網(wǎng)絡(luò)安全評(píng)價(jià)時(shí),可以最大限度地考慮到影響網(wǎng)絡(luò)安全的各種因素對(duì)網(wǎng)絡(luò)安全的影響。充分利用到專家的經(jīng)驗(yàn)、知識(shí),能夠?qū)W(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)狀況進(jìn)行準(zhǔn)確地綜合評(píng)價(jià),是一種有效的評(píng)價(jià)方法。 核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:網(wǎng)絡(luò)安全綜合評(píng)價(jià)方法的應(yīng)用研究
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083952108.html