基于HC公司的信息系统安全风险评估研究

基于HC公司的信息系统安全风险评估研究

吴雅杰

中车哈尔滨车辆有限责任司技术部

摘要：随着信息技术的发展，信息系统面对的安全问题越来越突出，而对信息系统安全的风险进行评价，是对信息系统安全保护的重要体现。对信息系统安全风险评估涉及到的四个基本因素构建层次结构模型，运用层次分析法（AHP）和模糊综合评判对风险进行有效评估，为HC公司信息系统安全风险的管理决策提供了科学依据。

关键词：信息系统安全；层次分析；模糊；风险评估

1引言

在我国经济发展新常态形势下，计算机和网络技术的迅猛发展和广泛应用，信息技术几乎渗透到了社会生活的各个方面，日益突出的信息安全问题也使我们面临严峻的考验。首先，计算机病毒层出不穷，肆虐全球，并朝传播速度快，主动攻击和感染能力强等方向发展。其次，黑客对网络的恶意攻击愈演愈烈，且发展到有组织犯罪。此外，信息系统技术上的漏洞和设计方面的缺陷不断被发现和利用。由于Internet互联网的存在，信息系统不可避免的与外部系统存在着复杂的联系，因此信息的安全与保密显得尤为重要，需要对网络系统进行信息安全风险评估。信息系统安全风险评估是从系统的角度考虑安全问题的一种方法，运用风险评估去识别安全风险、解决信息安全问题。

2信息系统安全风险的影响因素分析

信息系统安全风险评估涉及因素繁多、使用不统一、不规范，在对信息系统进行风险评估时，首先要对信息系统的风险进行分析。根据ISO/IEC15408和《GB/T20271-2006信息系统安全通用要求》，将信息系统安全划分为设备安全、物理环境安全、软件安全和人员安全管理四个层面。其中设备安全，根据系统特定安全要求，选型采购系统所需的硬件设备，建立相关安全措施。物理环境安全是保证系统所处环境、系统设备的安全性以及物理保障的可靠性。软件运行安全目的是构建一个安全稳定的网络信息平台。其主要从备份与恢复、病毒防范、电磁兼容、操作系统安全、应用系统安全、数据库安全、网络通信协议安全等方面进行分析；人员是信息系统安全信息安全保密的重要方面。

针对HC公司信息系统安全风险评估的特点，结合指标体系建立的一般原则，利用德尔菲法建立了基于设备、物理环境、软件、人员的信息系统安全风险评估指标体系，其层次结构模型如图1所示

图2层次分析递延结构模型

3.2构建判断矩阵并确定指标权重

层次模型建立后，上下层之间的从属关系就确立了。从层次结构模型的第2层开始，以上一层的某一要素对下一层各要素用成对比较法和1—9标度构造成判断矩阵A。

3.3计算权向量并做一致性检验

计算最下层影响因素对决策目标的层次总排序，由于在建立过程中涉及人的主观判断，因而会出现判断不一致的情况。根据公式做组合一致性检验，以保证评价的有效性。

4构建判断矩阵并确定权重

根据信息系统安全风险评估评价模型原理，建立HC公司信息系统安全风险评价模型。根据评价方法的要求，设计评价指标权重确定的调查问卷。为保证评价结果的科学性，选择信息中心的高级网络安全员、软件高级工程师，信息系统应用技术人员和高等学校专家学者作为问卷调查对象，请他们对相应指标进行打分，给出评价的结果，在专家评价前，提供给其关于该信息系统安全风险方面的充分的信息以使在对评价项目充分了解的基础上给出客观的评价。

4.1信息系统安全风险层次结构指标确定

目标层A为信息系统安全风险因素指标体系；一级指标B1=设备；B2=物理环境；B3=软件；B4=人员。通过几何平均法进行整理，得出某一层对上一层相对影响排序的成对的比较矩阵。最大特征值对应的归一化向量可以作为准则层对目标层的权重。用同样方法计算出各指标层对相应准则层的权重，并通过各指标层对准则层的一致性比率的验证。

4.2构建评价集并确定专家评价打分汇总表

将指标评价分为五个层次，即高、较高、中、低、较低五个层次，通过计算得到准则层指标的相对权重和其排序，并通过调查问卷的方法对指标进行评价。首先邀请10位业内学者或专家对该项目各指标的好坏程度进行评价打分，然后把10位专家评价打分结果和对某等级评价的次数进行梳理得到专家评价打分统计表。根据评价指标的权重及模糊评价矩阵，进行模糊综合评价。总的模糊综合评价结果为：。

因此，根据以上分析可知，五个数值中评价等级得分最高为0.4021，根据判断等级来看，是“中”。根据最大隶属度原则，表明可以认为HC公司的信息系统安全风险的评估等级属于“中”。

5评价结果分析

信息系统的安全风险评估，通常要综合考虑各种风险因素的影响，从设备、物理环境、软件、人员指标四个方面构建了公司信息系统安全风险评估指标体系和模糊层次评价模型，采用层次分析法与模糊综合评价法，很好地解决了对于在定性指标定量评估中所遇到的难题。不仅能够计算出各指标之间的相对风险程度和信息安全系统所处的风险等级，而且还可以提高对其风险的认识程度，为在风险方面做出正确的判断提供有效依据，达到控制并降低风险的效果，为信息系统的安全风险评估提供了一种有效途径。

参考文献

[1]宋振源.浅议计算机信息系统安全风险评估方法[J].黑龙江科技信息，2010（01）：90

[2]付钰.基于模糊群决策的信息系统安全风险评估方法[J].火力与指挥控制，2011（1）：21-24

[3]张建军,等.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.

[4]吕俊杰，王元卓.信息安全风险模糊群决策评估方法[J].计算机工程与应用，2010，46（12）：17-20