基于模糊灰色关联分析的信息安全风险评估模型研究

摘要

随着信息和网络技术的快速发展，尤其是国际互联网技术的广泛应用和日益普及，信息系统的安全已经直接关系到社会公众利益、企业个人利益，甚至影响到社会稳定、经济的繁荣发展，已经上升为许多国家的国家战略问题。因此如何保障信息系统的安全性已经成为国内外学者研究的重点，而风险评估正是保障信息系统安全性的有效方法之一。
　　 目前，众多国内外研究者对信息安全风险评估进行了不同角度、不同方面的研究工作，但是已有的评估方法存在风险值的获取缺乏准确性，计算过程中主观性强及没有充分利用信息系统之间的关联性分析信息系统的相对风险值等问题。因此，对信息安全风险评估进行更深入的研究具有重要的意义。
　　 本论文在国内外已有的信息安全风险评估工作的基础上，提出了基于模糊灰色关联分析的信息安全风险评估模型FGRA-ISRAM(InformationSecurityRiskAssessmentModelBasedonFuzzyGreyRelationalAnalysis)，主要完成了以下几个方面的工作:
　　 第一，对已有的风险评估指标集进行了提炼和总结，构建了一组更易于评估、更有针对性的分层指标集;并采用形式化语言对本文提出的风险评估过程进行了描述。
　　 第二，在传统的评估方法中，部分评估指标的数据值可以通过实际数据直接获得，而部分评估指标的数据值只能通过评估专家打分获得，具有一定的主观性，使得评估结果不够准确。本文采用了模糊理论原理和最大最小集去模糊化方法解决评估过程中专家打分语言的模糊性问题。
　　 第三，在风险评估的过程中，对评估指标赋予不同的权值对不同信息系统的评估结果的影响是不同的，而传统的评估方法中，一般都将评估指标赋予等权的权值，这样不能合理地反映出评估指标在不同信息系统中的重要程度。本文在评估的过程中引入了评估指标不同权值的计算方法，即采用归一法确定了评估指标权重的推荐值。
　　 第四，在评估信息系统的安全性时，信息系统之间不仅存在差异性，还存在关联性。而传统的评估方法没有考虑到信息系统之间的关联性问题。本文找出了一种分析信息系统关联性的方法，即灰色关联分析方法，通过该方法可以分析出各个信息系统所面临的风险大小的排序结果，迸一步提高评估结果的准确性。
　　 第五，基于上述工作得到本文提出的风险评估模型，并将其应用于实践中，验证了该模型的可行性和有效性;开发了基于Fuzzy-GRA的信息安全风险评估辅助工具，在提高评估结果准确性的基础上，使得本文提出的评估模型更易操作，以提高评估效率。

目录

声明

摘要

第1章 绪论

1．1 研究背景及意义

1．2 研究现状及存在的问题

1．2．1 国外研究现状

1．2．2 国内研究现状

1．2．3 存在的问题

1．3 本文主要研究内容

1．4 论文的组织结构

1．5 本章小结

第2章 信息安全风险评估概述

2．1 风险评估的概念

2．2 风险评估的基本过程

2．3 风险评估的相关标准

2．3．1 国外信息安全风险评估标准

2．3．2 国内信息安全风险评估标准

2．4 风险评估方法

2．4．1 定性的评估方法

2．4．2 定量的评估方法

2．4．3 定性与定量相结合的评估方法

2．5 风险评估的作用和意义

2．6 本章小结

第3章 模糊灰色关联分析方法的基础研究

3．1 模糊理论的相关概念

3．1．1 模糊数学

3．1．2 模糊集合和隶属函数

3．1．3 三角模糊数

3．1．4 模糊数的去模糊化

3．2 灰色系统理论

3．2．1 灰色系统理论概述

3．2．2 灰色系统理论在信息系统风险评估中的适用性

3．3 灰色关联分析

3．3．1 灰色关联分析概述

3．3．2 灰色关联分析中的基本概念

3．3．3 灰色关联分析的优点

3．4 本章小结

第4章 基于模糊灰色关联分析的信息安全风险评估模型

4．1 基于Fuzzy-GRA的风险评估指标体系

4．1．1 评估指标的确立

4．1．2 评估指标的无量纲化处理

4．1．3 评估指标权重的计算方法

4．2 基于Fuzzy-GRA的风险评估模型

4．2．1 模糊指标转化为三角模糊数算法

4．2．2 三角模糊数的去模糊化算法

4．2．3 灰色加权关联分析算法

4．3 本章小结

第5章 仿真实验

5．1 开发环境介绍

5．2 数据库设计

5．3 评估辅助工具功能模块介绍

5．4 实验验证

5．4．1 用于对比的AHP-模糊综合评价模型在风险评估中的应用

5．4．2 基于Fuzzy-GRA的风险评估模型在风险评估中的应用

5．4．3 两种评估模型结果的对比分析

5．5 本章小结

第6章 总结和展望

6．1 本文研究总结

6．2 进一步研究工作

参考文献

致谢

攻读硕士学位期间发表的论文及参加的课题