網(wǎng)絡(luò)安全綜合評價方法的應(yīng)用研究

1 引言

    隨著計算機技術(shù)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)已經(jīng)滲透于社會的各個領(lǐng)域，人們在網(wǎng)絡(luò)上進行著大量的信息交流，廣泛的信息交互存在著巨大的風(fēng)險和安全隱患。當(dāng)前網(wǎng)絡(luò)安全問已成為網(wǎng)絡(luò)應(yīng)用領(lǐng)域急需決的重要課題。由于不同領(lǐng)域?qū)Π踩�要求不盡相同，軍事國防、金融等機構(gòu)的網(wǎng)絡(luò)安全等級要求很高，而民用網(wǎng)絡(luò)的安全程度要求則相對較低，因此對網(wǎng)絡(luò)安全狀況進行科學(xué)準(zhǔn)確的評價，有利于用戶針對不同的網(wǎng)絡(luò)采取不同的預(yù)防措施，從而提高網(wǎng)絡(luò)的安全性能。

    傳統(tǒng)的網(wǎng)絡(luò)安全防護是采用在線殺毒、防火墻、網(wǎng)絡(luò)安全入侵檢測等措施，但這些方法是一種被動地防御方法，帶有較大的盲目性，缺乏對整個網(wǎng)絡(luò)系統(tǒng)的考慮，已經(jīng)不能滿足當(dāng)前網(wǎng)絡(luò)安全的需求。近年來，一些新的理論與方法的研究與發(fā)展，一些學(xué)者將SFTA分析法、FMECA危險度分析法、神經(jīng)網(wǎng)絡(luò)等方法用于網(wǎng)絡(luò)安全評價領(lǐng)域。但是，由于網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜性，這些定量的方法不能很好地考慮網(wǎng)絡(luò)系統(tǒng)客觀環(huán)境和人為因素等影響，與此同時，網(wǎng)絡(luò)安全評估很難嚴(yán)格地定量化，從而導(dǎo)致利用完全定量的網(wǎng)絡(luò)安全評價很難實現(xiàn)。

    層次分析法是一種定性與定量相結(jié)合的決策分析方法。其主要思想是：

    ①分解，即問題層次化過程，該過程將一個復(fù)雜的系統(tǒng)對象抽象化為一個有序的、層次的結(jié)構(gòu)模型。

    ②判斷，將同一層次的評價指標(biāo)進行兩兩比較，建立判斷矩陣，得到各評價指標(biāo)的相對權(quán)重。

    ③綜合，對各層指標(biāo)的組合權(quán)重進行計算，得到各指標(biāo)相對于總目標(biāo)的權(quán)重值，然后進行排序。本文在對網(wǎng)絡(luò)安全風(fēng)險分析的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)安全綜合評價的實際需求，建立了基于層次分析法的網(wǎng)絡(luò)安全綜合評價模型。與其它評價方法相比較，層次分析法在網(wǎng)絡(luò)安全的評價方面有較大的優(yōu)勢，評價結(jié)果更準(zhǔn)確，結(jié)論更有說服力。

2 網(wǎng)絡(luò)安全評價原理

    網(wǎng)絡(luò)安全綜合評價包括三個方面的內(nèi)容：即建立評價指標(biāo)體系，對評價指標(biāo)進行標(biāo)準(zhǔn)化處理、確定相應(yīng)的評價方法。其中，選取合適的評價指標(biāo)是進行綜合評價的前提和基礎(chǔ)，科學(xué)、合理地選取評價指標(biāo)可以更準(zhǔn)確地評價出網(wǎng)絡(luò)所面臨的風(fēng)險等級。網(wǎng)絡(luò)安全評價是一個復(fù)雜的系統(tǒng)工程，采用傳統(tǒng)的定量方式或單純的定性評價方式都難以取得較好的評價結(jié)果，為了更好地考慮網(wǎng)絡(luò)系統(tǒng)中的客觀環(huán)境和人為因素的對網(wǎng)絡(luò)風(fēng)險的影響，本文采用層次分析法對網(wǎng)絡(luò)安全進行綜合評價。

    層次分析法的基本原理是排序，即最終將各方法排出優(yōu)劣次序，作為決策的依據(jù)。層次分析法是將定性分析與定量計算進行有機的結(jié)合，充分利用專家知識將人的主觀判斷用數(shù)量形式表達出來并進行科學(xué)處理。將研究對象作為一個有機的整體，按照分解、判斷、綜合的思維方式進行決策，是進行系統(tǒng)分析的一個重要工具。在進行網(wǎng)絡(luò)安全評價時，可以充分地考慮到影響網(wǎng)絡(luò)安全的各種因素對網(wǎng)絡(luò)安全的影響，從而準(zhǔn)確地評價出網(wǎng)絡(luò)所面臨的安全風(fēng)險狀況。同時，層次分析法有著深刻的理論基礎(chǔ)，且表現(xiàn)形式非常簡單，容易被人理解、接受，對評價的結(jié)果解釋性強。

3 構(gòu)建網(wǎng)絡(luò)安全評價指標(biāo)體系

    網(wǎng)絡(luò)安全評價目的是確保信息的完整性、可控性、保密性、可用性和信息行為的不可否認(rèn)性。針對網(wǎng)絡(luò)安全總目標(biāo)，許多學(xué)者提出了有效的各種安全防范措施和相應(yīng)的技術(shù)。在進行網(wǎng)絡(luò)安全評價時，沒有行之有效地公認(rèn)的建立指標(biāo)體系的方法。在具體的評價時，德爾菲法是應(yīng)用最為廣泛的一種方法，綜合了多數(shù)專家經(jīng)驗與主觀判斷，能對大量無法定量分析的因素做出概率估算，然后將估算結(jié)果告之評估專家，充分發(fā)揮信息控制和信息反饋的作用，使分散的評價意見逐步收斂，最后得到一個協(xié)調(diào)一致的結(jié)果。

    針對當(dāng)前網(wǎng)絡(luò)安全存在的不足，本文首先采用德爾菲法構(gòu)建網(wǎng)絡(luò)安全評價指標(biāo)體系。然后對初步建立的評價指標(biāo)進行分類，設(shè)計出網(wǎng)絡(luò)安全評價指標(biāo)咨詢表，征詢有關(guān)專家意見，并依據(jù)專家意見，對指標(biāo)進行適當(dāng)篩選。在咨詢表中設(shè)計衡量指標(biāo)重要度的級數(shù)，依據(jù)相關(guān)標(biāo)準(zhǔn)，將指標(biāo)重要度的級別分為5級，其取值分別為l、2、3、4、5。

    設(shè)網(wǎng)絡(luò)安全指標(biāo)體系某層有m個指標(biāo)，邀請n位專家對這些指標(biāo)進行表決、評議，然后對每個指標(biāo)的專家意見的集中度和離散度進行統(tǒng)計。其中，專家意見的集中度和離散度的定義為：

    圖1網(wǎng)絡(luò)安全評價指標(biāo)體系

4 網(wǎng)絡(luò)安全綜合評價模型的建立

    4．1建立網(wǎng)絡(luò)安全層次結(jié)構(gòu)模型

    由圖1所示，網(wǎng)絡(luò)安全綜合評價指標(biāo)層次結(jié)構(gòu)模型共分為3層，網(wǎng)絡(luò)安全為目標(biāo)層(A)。準(zhǔn)則層(B)由管理安全(B1)、環(huán)境安全(B2)、硬件安全(B3)、軟件安全(B4)、數(shù)據(jù)安全(B5)5部分組成。措施層(c)由組織體系、管理制度、安全教育、安全供電等17項與網(wǎng)絡(luò)安全緊密相關(guān)的指標(biāo)組成。

    4．2構(gòu)造判斷矩陣

    判斷矩陣是利用專家知識對每一層次評價指標(biāo)相對于上一層次中某個功能模型的相對重要性進行兩兩比較，全部指標(biāo)經(jīng)過專家的兩兩判定之后，可形成一個比較判斷矩陣A。

    為確定比較判斷矩陣中的具體數(shù)值，T.LSaaty教授提出了1-9的比例標(biāo)度，各標(biāo)度含義見表1。

    表1 判斷矩陣標(biāo)度及含義

    4．3計算指標(biāo)權(quán)重

    從措施層到準(zhǔn)則層再到目標(biāo)層依次確定各層指標(biāo)相對于上層指標(biāo)的指標(biāo)權(quán)重，確定指標(biāo)權(quán)重的過程如下：

    1)準(zhǔn)則層(B)相對于目標(biāo)層(A)的指標(biāo)權(quán)重

    根據(jù)專家經(jīng)驗，判斷出B層各指標(biāo)相對于A層的重要性，從而形成判斷矩陣AB，計算出其最大特征根和特征向量，經(jīng)過歸一化后得到B層各指標(biāo)相對A層的權(quán)重系數(shù)WB。

    4．4一致性檢驗

    利用層次分析法進行網(wǎng)絡(luò)安全綜合評價的最終評價質(zhì)量很大程度上取決于各指標(biāo)配對比較判斷的一致性，由于不同的人對同一事物認(rèn)識存在著差異，專家對各個指標(biāo)的重要性判斷有著差異，因此，需要對比較判斷矩陣進行一致性檢驗，用以判斷矩陣偏離一致性的程度。其中，判斷矩陣的一致性指標(biāo)(C1)公式如下：

    式中：n為判斷矩陣的階次，λMAX為判斷矩陣的最大特征根。

    當(dāng)隨機一次性比率CR滿足如下式：

    式中：口為判斷矩陣的一致性指標(biāo)，R，為平均隨機一致性指標(biāo)。當(dāng)CR

    圖2 網(wǎng)絡(luò)安全評價流程

5 仿真研究

    5．1仿真數(shù)據(jù)

    本文以某金融企業(yè)網(wǎng)絡(luò)為例，利用德爾菲法對指標(biāo)進行兩兩判斷，構(gòu)成判斷矩陣，求得8層相對于A層的權(quán)重向量為WB=[0．08，0．04，0．26，0．17，0．46]T，滿足判斷矩陣一致性檢驗。同理分別求出c層相對于口層的權(quán)重向量，利用式(6)，可得綜合權(quán)重向量W=[0．01，0．05，0．02，0．03，0．01，0．01，0．02，0．06，0．17，0．10，0．01，0．02，0．04，0．23，0．03，0．12，0．08]t

    5．2結(jié)果與分析

    根據(jù)指標(biāo)的綜合權(quán)重，可以對該金融企業(yè)網(wǎng)絡(luò)進行安全評價，根據(jù)相關(guān)研究，網(wǎng)絡(luò)安全等級分為A、B、C、D共4個等級，分別對應(yīng)于網(wǎng)絡(luò)安全級別為很高、較高、一般、較低。將安全級別總分設(shè)為1O分，則相應(yīng)的安全級別及對應(yīng)分值見表2所示。

    表2 網(wǎng)絡(luò)安全等級

    針對該金融企業(yè)網(wǎng)絡(luò)的運行情況，聘清專家針對各指標(biāo)進行打分，然后利用公式對各單項指標(biāo)進行加權(quán)綜合，計算公式為:

   Z=R*W

    式中z表示綜合評價分值；R表示各指標(biāo)分值向量．w表示權(quán)重分值向量。

    經(jīng)過對該金融企業(yè)網(wǎng)絡(luò)安全進行綜合評價，得到該企業(yè)網(wǎng)絡(luò)的綜合評分為9.01分，安全級別為A級，與該企業(yè)的網(wǎng)絡(luò)安全級別完全吻合。

6 結(jié)論分析

    本文從網(wǎng)絡(luò)安全評價難點人手，分析了定量方法在網(wǎng)絡(luò)安全評價領(lǐng)域中的不足，提出了利用層次分析法的網(wǎng)絡(luò)安全綜合評價模型。層次分析法是一種性能較高的定性與定量相結(jié)合的評價方法，在進行網(wǎng)絡(luò)安全評價時，可以最大限度地考慮到影響網(wǎng)絡(luò)安全的各種因素對網(wǎng)絡(luò)安全的影響。充分利用到專家的經(jīng)驗、知識，能夠?qū)�網(wǎng)絡(luò)所面臨的安全風(fēng)險狀況進行準(zhǔn)確地綜合評價，是一種有效的評價方法。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標(biāo)題：網(wǎng)絡(luò)安全綜合評價方法的應(yīng)用研究

本文網(wǎng)址：http://www.lukmueng.com/html/consultation/1083952108.html