[发明专利]一种网络安全层次分析评估方法、装置及计算机可读存储介质

说明书

技术领域

本发明涉及计算机网络安全技术领域，具体涉及一种网络安全层次分析评估方法、装置及计算机可读存储介质。

背景技术

随着计算机技术、互联网技术的快速改进和发展，社会信息化程度持续提升，形成了全球一体化的信息社会，因此导致人们对计算机网络的依赖程度迅速增加，计算机网络信息安全的重要性也越来越被人们所重视。计算机网络己经在人们的日常工作、生活和学习过程中成为重要的工具之一，鉴于计算机网络的开放性、共享性和便利性，计算机信息网络在给为人们工作、生活和学习带来了极大便利的同时，也为社会带来了较大的威胁，尤其是随着新时期计算机网络黑客、木马、病毒和人为的破坏等，给计算机网络信息的使用带来了极大的安全威胁。

面对快速增长的计算机网络信息安全需求，仅仅从被动的防御技术等方面已经无法满足网络安全的要求，并且不能够从根本上解决网络安全防御问题，信息系统的安全需要全面的进行防控。因此，计算机网络信息安全风险评估可有效的分析网络信息系统目前和未来的风险发展趋势，评估这些风险给计算机网络信息安全带来的威胁及其影响程度，方便更好地制定安全防御策略，为计算化网络信息提供安全的运行保障。目前，计算机网络信息系统安全风险评估主要包括定性分析、定量分析和混合分析三种模式，尤其是层次分析方法，其作为一种定量风险评估方法，可以有效的评估计算机网络信息系统存在的安全漏洞或风险问题，取得了较好的效果，但是在层次分析实施过程中，层次分析方法虽然能够有效提高其风险评估的客观性，但是由于计算机网络信息安全影响因素较多，导致标度工作量非常大，因此非常容易引起标度判断发生混乱，忽略标度取值为零或者负值的情况，花费较多的精力讨论判断矩阵的一致性，不能够充分的考虑判断矩阵的合理性。

发明内容

本发明的目的在于提供一种网络安全层次分析评估方法、装置及计算机可读存储介质，用以解决现有层次分析方法标度工作量非常大，容易引起标度判断发生混乱，不能够充分考虑标度取值为零或者负值的情况的问题。

为了解决上述问题，通过分析现有的信息系统风险评估方法，归纳了定置分析方法、定性分析方法之间的关系和优缺点，提出了一种基于灰色理论和D-S证据理论的改进层次风险分析方法，建立一个有效的层次分析模型，能够更加客观的、全面的获取信息系统存在的风险，为信息系统防御提供决策支撑。

具体的，本发明提供了一种网络安全层次分析评估方法，该方法包括以下步骤：

采集网络安全评估的评估因素标记、权重以及风险等级数据，形成权重标准数据库和风险等级数据库，构建一组能够反映递阶层次模型的计算机网络信息系统的安全风险评估指标，所述安全风险评估指标分别是目标层、准则层和指标层；

根据所述权重标准数据库比对确定所述准则层和所述指标层内每一评估因素Vij的权重，并赋予所述指标层内每一所述评估因素Vij一量化值dij，并利用D-S证据理论对所述量化值dij进行可信度调整；

根据所述风险等级数据库对所述评价因素Vij进行灰类划分，并对每一灰类利用白化函数表示，结合所述量化值dij计算获得所述评价因素Vij对于各类灰类的灰色评价权向量rij；

根据所述评价因素Vij对应的权重aij和所述灰色评价权向量rij形成的灰色风险评价权矩阵Ri计算获得所述指标层的风险评价结果Bij。

进一步的，根据所述指标层的风险评价结果Bij和所述准则层内风险因素对应的权重Ai，计算获得所述准则层的风险评价结果O。

进一步的，所述准则层和所述指标层根据所述风险等级数据库将对应的灰类按照等级进行賦予不同的取值，利用一等级赋值向量C描述各种评价灰类等级；利用公式：W＝O×C^T计算可得到计算机网络信息系统综合评估结果W。

显然地，如果W计算结果越大，表示计算机网络信息系统安全风险越髙。

进一步的，所述根据所述权重标准数据库比对确定所述准则层和所述指标层内每一评估因素Vij的权重的具体步骤包括：

根据所述权重标准数据库内中各个评估因素标记以及历史权重数据将所述指标层内每一评估因素Vij划分等级，并且每一个等级都使用[1，10]之间的整数表示，根据Satty法则将判断矩阵的标准度根据实际情况划分为5个等级；

对应所述指标层内每一评估因素Vij进行定量分析，并确定所述评估因素Vij的概率分布值nkij(hx)，所述概率分布值形成一分值概率矩阵；