发布时间 : 星期日 文章风险矩阵法在校园网络系统风险评估中的应用_付沙更新完毕开始阅读8597bf3e49649b6649d74705
DOI:10.15886/j.cnki.hdxbzkb.2011.02.019
第29卷第2期2011年6月
海南大学学报自然科学版
NATURALSCIENCEJOURNALOFHAINANUNIVERSITYVol.29No.2
Jun.2011
1004-1729(2011)02-0151-06 文章编号:
风险矩阵法在校园网络系统风险评估中的应用
付 沙,肖叶枝
(湖南财政经济学院,湖南长沙410205)
摘 要:针对日益严重的校园网络系统安全问题,基于对某高校校园网络系统风险及其影响因素的分析,提出了运用风险矩阵法对校园网络系统七大风险要素进行评价,并构建了应用于校园网络系统风险评估的风
险矩阵,设计了利用风险矩阵进行风险评估的基本流程.结果表明,该评估方法的决策过程规范可行,能较好地综合了群体的意见,增加了评估结果的客观性.
关键词:校园网络系统;风险评估;风险矩阵;Borda序值;风险地图中图分类号:TP309 文献标志码:A
校园网络系统的风险评估已受到高校管理者和网络技术人员的高度重视,是网络与信息安全领域内一个重要的研究课题.目前,关于风险评估方法的理论研究很多,国内外研究文献大多集中在层次分析法[1]
(AHP)和模糊综合评价法、神经网络等的应用方面,这些风险评估方法大多是根据风险发生后的影响程度来确定项目的风险等级,而忽略了风险发生的概率,往往导致评估结果与实际情况有较大差距,没有
[2]
充分考虑到项目的风险是由风险影响和风险发生概率两方面共同决定的.
1 构建用于校园网络系统风险评估的风险矩阵
风险矩阵法是在项目管理过程中识别项目风险重要性的一种结构性方法,通过对项目需求和技术可能性的考察来辨识项目是否存在风险,评估风险对项目的潜在影响和风险发生的概率,根据预定标准评定风险等级,然后实施计划管理以降低风险.
根据我国信息安全的相关评估准则,信息安全风险评估的基础包含威胁、脆弱性和资产的识别.在国际信息安全管理实践规范ISO/IEC17799的基础上,针对高校校园网络系统的现状并结合风险矩阵法的特点,提出了校园网络系统风险矩阵风险评估模型,如图1所示
[3]
.
图1 校园网络系统风险矩阵风险评估模型
在上述风险评估模型中,确定风险矩阵是模型的基础,其构建过程如下:
1)确定风险矩阵栏目 依照提出的风险评估模型,得出可用于校园网络系统风险评估的风险矩阵,其中的具体栏目如表1所示.
表1 校园网络系统风险矩阵栏目
风险项(R)
风险概率(P)等级
量化值
风险影响(I)
风险等级(RR)等级
量化值
收稿日期:2011-01-10
作者简介:付沙(1980-),男,湖南岳阳人,湖南财政经济学院讲师,硕士.
152海南大学学报自然科学版 2011年
2)风险要素的确定 风险要素的确定可根据某高校校园网络系统的具体特征、所涉及的技术和所处的规模,在参考有关网络系统风险指标体系研究成果的基础上,总结出校园网络系统七大风险要素,即:自然灾害和环境干扰、人为攻击或破坏行为、硬件设备建设、软件系统建设、网络应用与服务、网络教学资源建设和校园网络管理.
3)风险发生概率栏和影响栏的说明 风险发生概率和风险影响是确定风险等级的基础,根据GB/T20984-2007中的等级划分规则将其各分为5个等级,1~5级依次表示发生概率越来越大与影响程度越来越严重.确定风险发生概率和风险影响的基础是威胁、脆弱性和资产的识别,GB/T20984-2007将威胁、脆弱性和资产的等级均定义为5个等级.
风险发生概率值P由威胁出现频率T和脆弱性严重程度V来确定P=fT,V),风险影响值I由资产1(价值A和脆弱性严重程度V来确定I=fA,V),其中,f2(1,f2表示构建专家二维矩阵,矩阵行均代表脆弱性严重程度.f以此行、列建立矩阵,矩阵内的值分别是1中的列代表威胁出现频率,f2中的列代表资产价值;风险发生概率值P和风险影响值I.因为不同的脆弱性与不同的威胁或资产价值结合导致的风险概率或风险影响具有随机性,所以矩阵内数值的计算不一定遵循统一的计算公式,计算方法可由专家组经商讨后共同确定
[4-5]
.
4)风险等级栏的确定 通过将风险发生概率栏和风险影响栏的值代入风险矩阵来确定风险等级,将风险等级划分为“很低、低、中、高、很高”5档,表中数字表示相应等级量化值,其风险等级对照表如表2所示.
表2 风险等级对照表
风险概率1级2级3级4级5级
0.511.52.53
风险影响
1级
很低很低低中中
11.51.533.5
2级
很低低低中高
1.523343级
低低中中高
2.52.533.54.5
4级
中中中高很高
33.544.555级
中高高很高很高
5)风险权重的确定 校园网络系统的风险评估是一个有多项评估指标的系统,各评估指标权重的确定极为关键.为了能够真实地反映各风险要素的重要程度,应对其赋予相应的权重.为此,可应用Borda序值法,该方法根据多个评价准则将风险按照重要性进行排序.
①Borda序值的确定 Borda序值法是在多个评价准则基础上形成的对风险级别进行排序的一种投票式运算法则.设N为风险矩阵中的风险总个数,i为某个特定风险,k表示某一准则.风险矩阵有2个准则:用k=1表示风险影响I,k=2表示风险概率P如果r表示风险i在准则k下的风险等级,则风险i0.ik的Borda数可由下式计算
n
bN-r,i=∑(ik)
k=1
计算出borda序值为比该风险要素的Borda数大的风i后,对bi按照从小到大的顺序进行排列,则bi的B险要素的个数.
②基于AHP的风险权重值确定 依据Borda序值法将风险要素按重要性排序后,通过邀请专家组针对校园网络系统的七大风险要素进行两两比较判断以构建判断矩阵,再利用AHP方法即可确定出校园网络系统各风险要素的权重.
6)综合风险等级的确定 常用的评级方法采用加权法,即可得到该校园网络系统的综合风险等级量化值.设风险要素的风险等级量化值为RR,风险权重为RW,风险评估项目的综合风险等级量化值为iiRRT,则有
RRT=∑RRW.i×Ri
i=1k
第2期 付 沙等:风险矩阵法在校园网络系统风险评估中的应用
153
2 实例应用
根据校园网络系统的现状,构建出该高校校园网络系统的结构图如图2所示.
图2 校园网络系统的结构图
1)根据专家对校园网络系统具体业务的判断,对其风险概率和风险影响做出评估,并依据经验构建二维矩阵,即f1,f2遵循其中,
α=1,t≤2
2,v≤2
,β=;
2,2 f a+φv,2= 其中, =2,a≤31,v≤3 ,φ=. 3,3 [6] fαt+βv,1= 将二维矩阵表格化,如表3和表4所示. 表3 二维矩阵法求出风险概率值 P=ft,v)1( 12 威胁识别(t) 345脆弱性识别(v) 13481012256101214310111517194131418202251617212325154海南大学学报自然科学版 2011年 表4 二维矩阵法求出风险影响值 I=fa,v)2( 12 资产识别(a) 345 脆弱性识别(v) 13571316 24681417 35791518 41214162225 514.516.518.524.527.5 以七大风险要素之一“自然灾害和环境干扰”为例,其脆弱性识别等级为1,威胁识别等级为3,资产识别等级为4,在表3和表4中查找,确定“自然灾害和环境干扰”的风险概率值为8,风险影响值为13. 2)根据上述专家二维矩阵评估标准,专家组生成具有针对性的风险概率等级划分表和风险影响等级划分表,如表5和表6所示. 表5 风险概率等级划分 风险概率值(P)风险概率等级 1~51 6~112 表6 风险影响等级划分 风险影响值(I)风险影响等级 1~5.51 6~122 12.5~17.5 3 18~234 23.5~27.5 5 12~163 17~214 22~255 “自然灾害和环境干扰”的风险概率属于第2级,风险发生概率为 风险发生概率值8Γ===32%, 风险概率的最大值25 风险影响属于第3级. 3)将“自然灾害和环境干扰”的风险概率等级和风险影响等级代入表2,可得其最终风险等级量化值为2,属于低级别.同理,可以得出校园网络系统其他6个风险要素的风险概率和风险影响等级,并结合实际评估最终确定应用于该系统风险评估的风险矩阵,如表7所示. 表7 应用于校园网络系统风险评估的风险矩阵 风险项(R)自然灾害和环境干扰①硬件设备建设②软件系统建设③网络教学资源建设④人为攻击或破坏行为⑤校园网络管理⑥网络应用与服务⑦ 风险概率(P)等级2343421 量化值/% 32566848762412 风险影响(I)3423311 风险等级(RR)等级低中中中中很低很低 量化值2333310.5 4)根据Borda定义,系统风险包含7个要素,故N=7,风险要素为i(i=1,2,…,7)的Borda数用b表示.i 以“自然灾害和环境干扰”为例,根据风险影响准则,比其影响程度高的要素个数为1,即r1;根据11=风险概率准则,比其发生概率大的要素个数为4,即r4;代入公式可得,“自然灾害和环境干扰”的Bor-12=da数为 2 bN-r7-1)+(7-4)=9.1=∑(ik)=( k=1 同理,可求出其余6个风险要素的Borda数,最后7个风险要素的Borda数分别为:9,12,10,11,13,5,3.根据其Borda数可以确定其Borda序值分别为:4,1,3,2,0,5,6. 5)进行评判的专家组成员共有11人,其中包括主管信息化建设的院领导1名、现代教育技术中心领导2名、计算机科学与技术系领导2名、计算机网络教研室领导1名以及长期从事信息技术改革与创新研