基于灰色关联决策算法的信息安全风险评价方法-东南大学学报.pdfVIP

第３９卷第２期 东南大学学报（自然科 学版 ） Ｖｏｌ３９ Ｎｏ２ 　 ２００９年３月 ＪＯＵＲＮＡＬＯＦＳＯＵＴＨＥＡＳＴＵＮＩＶＥＲＳＩＴＹ（ＮａｔｕｒａｌＳｃｉｅｎｃｅＥｄｉｔｉｏｎ） 　 Ｍａｒ．２００９ 　　　　　　 基于灰色关联决策算法的信息安全风险评估方法 高　阳　　罗军舟 （东南大学计算机科学与工程学院，南京２１００９６） 摘要：针对信息安全风险评估中参数评估值的不确定性问题，提出了一种基于灰色关联决策算 法的信息安全风险评估方法．该方法首先分析了参数评估值的不确定性，将其分为灰色参数值和 缺失参数值两类．其中，根据实际情况和历史统计数据，缺失参数评估值可能满足３种分布：均 匀分布、指数分布和正态分布．然后根据相应的先验估计对缺失参数评估值进行填充．填充后使 用灰色关联决策算法对信息系统进行安全风险评估．最后通过算例证明了该方法的有效性．结果 表明：该方法不仅可以较好地处理评估过程中参数值的不确定性问题，减少评估过程中的主观 性，还可以方便地对不同信息系统的安全性进行比较，为信息安全风险评估给出了一种新的思 路． 关键词：信息安全风险评估；灰色关联决策算法；不确定性 中图分类号：ＴＰ３０９　　文献标志码：Ａ　　文章编号：１００１－０５０５（２００９）０２０２２５０５ Ｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔｂａｓｅｄｏｎｇｒｅｙｒｅｌａｔｉｏｎａｌ ｄｅｃｉｓｉｏｎｍａｋｉｎｇａｌｇｏｒｉｔｈｍ ＧａｏＹａｎｇ　　ＬｕｏＪｕｎｚｈｏｕ （ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅａｎｄＥｎｇｉｎｅｅｒｉｎｇ，ＳｏｕｔｈｅａｓｔＵｎｉｖｅｒｓｉｔｙ，Ｎａｎｊｉｎｇ２１００９６，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：Ａｎａｐｐｒｏａｃｈｂａｓｅｄｏｎｇｒｅｙｓｙｓｔｅｍｔｈｅｏｒｙｉｓｐｕｔｆｏｒｗａｒｄｔｏｅｖａｌｕａｔｅｉｎｆｏｒｍａｔｉｏｎｓｙｓｔｅｍ ｓｅｃｕｒｉｔｙｆｏｒｓｏｌｖｉｎｇｕｎｃｅｒｔａｉｎｔｙｉｎｐａｒａｍｅｔｅｒｖａｌｕｅｓ．Ｆｉｒｓｔｌｙ，ｕｎｃｅｒｔａｉｎｔｙｉｎｐａｒａｍｅｔｅｒｖａｌｕｅｓｉｓａｎａ ｌｙｚｅｄａｎｄｃｌａｓｓｉｆｉｅｄｔｏｇｒｅｙｐａｒａｍｅｔｅｒｖａｌｕｅｓａｎｄｖａｃａｎｔｐａｒａｍｅｔｅｒｏｎｅｓ．Ａｃｃｏｒｄｉｎｇｔｏｔｈｅａｃｔｕａｌｃｏｎ ｄｉｔｉｏｎａｎｄｈｉｓｔｏｒｙｓｔａｔｉｓｔｉｃａｌｄａｔａ，ｔｈｅｖａｃａｎｔｐａｒａｍｅｔｅｒｖａｌｕｅｓｍａｙｍｅｅｔｔｈｒｅｅｋｉｎｄｓｏｆｄｉｓｔｒｉｂｕｔｉｏｎｓ： ｕｎｉｆｏｒｍｄｉｓｔｒｉｂｕｔｉｏｎ，ｅｘｐｏｎｅｎｔｉａｌｄｉｓｔｒｉｂｕｔｉｏｎ，ａｎｄｎｏｒｍａｌｄｉｓｔｒｉｂｕｔｉｏｎ．Ｔｈｅｃｏｒｒｅｓｐｏｎｄｉｎｇｐｒｉｏｒｅｓｔｉ ｍａｔｅｓａｒｅｇｉｖｅｎｔｏｆｉｌｌｔｈｅｍｕｐ．Ｔｈｅｎ，ｔｈｅａｌｇｏｒｉｔｈｍｏｆｇｒｅｙｒｅｌａｔｉｏｎａｌｄｅｃｉｓｉｏｎｍａｋｉｎｇｉｓａｐｐｌｉｅｄｔｏ ｅｓｔｉｍａｔｅｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｒｉｓｋ．Ｔｈｅｓｔｕｄｙｏｆａｎｅｘａｍｐｌｅｐｒｏｖｅｓｔｈｅｖａｌｉｄｉｔｙｏｆｔｈｉｓｍｅｔｈｏｄ．Ａｎｄ ｔｈｅｒｅｓｕｌｔｓｓｈｏｗｔｈａｔｔｈｅａｐｐｒｏａｃｈｃａｎｐｒｏｐｅｒｌｙｄｅａｌｗｉｔｈｕｎｃｅｒｔａｉｎｔｙｉｎｐａｒａｍｅｔｅｒｖａｌｕｅｓ，ｄｅｃｒｅａｓｅ ｔｈｅｓｕｂｊｅｃｔｉｖｉｔｙｉｎｅｖａｌｕａｔｉｏｎｐｒｏｃｅｓｓ，ａｎｄｅａｓｉｌｙｒａｎｋｅａｃｈｉｎｆｏｒｍａｔｉｏｎｓｙｓｔｅｍｂｙｓｅｃｕｒｉｔｙｌｅｖｅｌ．Ｉｔ ｂｒｉｎｇｓａｎｅｗｔｈｏｕｇｈｔｔｏｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔａｐｐｒｏａｃｈｅｓ． Ｋｅｙｗｏｒｄｓ：ｉｎｆｏｒｍａｔｉｏｎｓｅｃｕｒｉｔｙｒｉｓｋａｓｓｅｓｓｍｅｎｔ；ｇｒｅｙｒｅｌａｔｉｏｎａｌｄｅｃｉｓｉｏｎｍａｋｉｎｇａｌｇｏｒｉｔｈｍ；ｕｎｃｅｒ