基于D-S证据理论的信息系统风险评估方法研究

摘要

随着信息技术的不断进步和Internet的普及，信息系统逐渐成为社会各领域不可或缺的基础设施。然而，由于信息技术本身的特殊性以及安全问题的固有性，信息系统的安全问题显得越来越重要。周密的信息系统风险评估，是信息系统安全工作的基础，是制定可靠、有效的安全防护措施的必要前提。本文采用的是基于系统安全工程的风险评估过程，包括风险分析、风险量化、风险评价，并着重研究如何在风险量化中引入模糊层次分析法和D—S证据理论。 本文通过对信息系统的风险因素分析，建立起信息系统风险评估的指标体系，包括风险发生可能性和风险影响后果的指标体系，并进行有效性和可信度分析。在指标体系的权重确定中，本文用三角模糊数表示信息安全专家判断信息，同时采用一种基于可能度的模糊互补判断矩阵排序方法对风险因素进行重要度排序，从而降低了权重确定中由单个专家做决断所带来的主观性、不确定性。在风险评价中，引入基于D—S证据理论的风险评估方法，建立风险量化模型。采用改进后的D—S合成规则对各指标的可信函数加以合成，得到最终目标的可信函数（即概率分布），降低了风险评价中的专家意见的主观性和不确定性。 最后，将量化模型应用于浙江某三甲医院的医院信息系统中，分别用模糊综合评判法和D—S证据理论对医院信息系统进行风险评估，比较分析评估结果，验证了D—S证据理论较之模糊综合评价法在信息系统风险评估中有更高的准确性、正确性。

目录

文摘

英文文摘

声明

1绪论

1.1研究背景及意义

1.1.1研究背景

1.1.2研究意义

1.2研究内容及创新点

1.2.1研究内容

1.2.2创新点

1.3研究的方法与技术路线

1.3.1研究的方法

1.3.2研究的技术路线

1.4论文结构

2信息系统安全风险评估的研究现状

2.1风险评估标准简介

2.1.1国外及国际性的评估标准

2.1.2国内的评估标准

2.1.3评估标准的发展趋势

2.2风险评估方法的研究现状

2.2.1灰色系统理论

2.2.2 BP神经网络

2.2.3故障树分析法

2.2.4模糊综合评判法

2.3目前风险评估存在的困难

2.4本章小结

3信息系统风险评估的相关理论

3.1信息系统风险评估概述

3.1.1基本概念

3.1.2概念模型

3.1.3风险因素关系模型

3.2基于系统工程的信息系统风险评估

3.2.1风险分析

3.2.2风险量化

3.2.3风险评价

4风险分析及指标体系的确立

4.1详细的风险分析

4.1.1信息系统的脆弱点识别

4.1.2信息系统的威胁识别

4.1.3风险影响后果分析

4.2风险评估指标体系

4.2.1指标确立的原则

4.2.2风险可能性指标体系的确立

4.2.3风险影响指标体系的确立

4.3指标体系的可信度分析

4.4本章小结

5信息系统风险量化模型的研究

5.1模糊层次分析法

5.1.1层次分析法

5.1.2模糊理论

5.2基于FAHP的风险因素权重计算

5.2.1梯阶层次结构模型的建立

5.2.2风险判断矩阵的构造及一致性检查

5.2.3基于可能度的一种三角模糊数互补判断矩阵的排序

5.2.4各因素层权重总排序及权重的确定

5.3模糊综合评判法

5.4 D-S证据理论

5.4.1 D-S基本理论

5.4.2 D-S证据理论的研究及应用现状

5.4.3改进的合成法则

5.5基于改进D-S证据理论的风险评估模型

5.5.1因素级的确定

5.5.2权重集的确定

5.5.3评价集的确定

5.5.4 mass函数和可信度分配表的建立

5.5.5基于改进合成规则的信息合成

5.5.6风险值的计算

6量化模型的实证

6.1医院信息系统的风险分析

6.1.1系统描述

6.1.2风险分析

6.2基于FAHP的指标权重的确定

6.2.1权重的确定

6.2.2结果分析

6.3基于模糊综合评判法的信息系统风险评估

6.4基于D-S证据理论的信息系统风险评估

6.5两种方法结果比较

7结束语

参考文献

附录

致谢

攻读学位期间主要科研成果