[发明专利]一种计算机信息系统综合风险计算方法和系统

说明书

技术领域

本发明属于信息安全领域，具体涉及一种计算机信息系统综合风险计算方法和系统。

背景技术

随着信息技术的不断发展和普及，信息系统的风险评估也占有越来越重要的地位。在实际的评估过程中，评估人员常常是采用解析的方法，将复杂的评估对象分割成若干个相对简单的评估要素，然后由各评估要素的评估结果，推算出评估对象的风险。由于当前的计算机信息系统通常都是一个网络组成的复杂系统，其间各组件之间，以及组件与系统之间相互关联，存在安全依赖。由于这各关联的不确定性，使得在评估过程中存在相当多的随机性、模糊性和主观随意性，导致最后的评估结果难以令人信服。

为了表达评估过程中的不确定性，减少要评估素合成时的主观随意性等因素，发明“一种计算机信息安全模糊风险评估系统和方法”(申请号200710303984.0)曾提出了一种量化的安全评估方法，该发明在评估对象可解析的基础上，给了出一种的模糊风险的评估方法。如果一个评估对象可以解析成若干评估要素，该发明的评估方法包含：

1.评估要素的模糊风险矩阵计算。根据用户对评估要素的风险判断，计算出评估要素的模糊级别隶属程度矩阵。

2.根据模糊风险矩阵，和评估要素的权重向量，计算评估对象的综合模糊风险。

3.根据综合模糊风险，以及用户建立的风险级别标准，量化评估对象的风险。

发明“一种计算机信息安全模糊风险评估系统和方法”(申请号200710303984.0)充分考虑到评估过程中的不确定性，通过模糊技术完成对评估要素的合成，减少了合成过程中的主观随意性。但是，在用模糊计算技术进行评估因素的合成时，评估过程的中存在“不确定”或“不知道”的性质却没能很好地体现出来。

本发明提出了一种基于信度理论的安全评估方法和系统。从证据的角度对评估要素的结果进行合成。从而能够直接表达评估过程的中“不确定”或“不知道”的能力，并在评估要素的合成过程中保留这些信息。

发明内容

本发明针对评估过程的中存在的不确定性，从证据理论的角度给出一种计算综合风险的系统和方法，是对发明“一种计算机信息安全模糊风险评估系统和方法”的一个补充。具体发明内容包括：

一种计算机信息系统综合风险计算系统，根据原始要素的风险评测，计算出整个系统的风险信度。包括以下功能模块：

1)原始要素初始风险信度赋值器，形成原始要素的初始风险信度向量。

2)与原始要素初始风险信度赋值器连接的综合风险信度计算器，计算评估对象的综合风险信度。

原始要素初始风险信度赋值器与综合风险信度计算器连接，前者的输出作为后者的输入。

其中的原始要素初始风险信度赋值器，根据对原始评估要素的评测，对原始评估要素相对于既定的风险级别标准的信度赋值。它包括以下装置：

1)输入装置，输入原始评估要素的初始风险评估值s，以及风险级别标准向量D。

2)与输入装置连接的初始风险信度计算装置，根据原始评估要素的初始风险评估值，计算一个原始评估要素的初始风险信度向量。

3)与初始风险信度计算装置连接的输出装置，输出一个原始评估要素的初始风险信度向量。

其中的综合风险信度计算器，根据所有评估要素的风险信度矩阵和评估要素的权重向量，计算评估对象的综合风险信度。它包括以下装置：

1)风险信度矩阵输入装置，输入评估要素的风险信度矩阵R。当评估要素是原始评估要素时，风险信度矩阵R是初始风险信度赋值器输出的初始风险信度向量组成的矩阵。

2)评估要素的权重向量输入装置，输入一个评估对象的所有评估要素的权重。

3)与风险信度矩阵输入装置以及评估要素的权重向量输入装置连接的综合风险计算机装置，完成评估对象的综合风险信度的计算。

4)与综合风险计算机装置连接的评估对象的风险信度向量输出装置，输出一个1×n矩阵(b₁，b₂，...，b_n)。b_i表示评估对象的风险属于级别i的信任程度，n表示风险级别的总数。

一种计算机信息系统综合风险计算方法，包括以下步骤：

建立风险级别标准，对象解析并建立权重，原始要素初始风险信度赋值，建立风险信度矩阵，计算综合风险信度和量化综合风险。

综合风险信度的计算，包括以下步骤：