[发明专利]一种基于改进贝叶斯网络的信息系统安全风险评估方法

说明书

在以往基于贝叶斯网络的信息系统安全风险评估方法的基础上，针对以往评估主观性较强的问题，采用熵权法对各个信息安全风险要素计算熵值，熵值越大，表明该因素所获得的数据不够全面，在整个评价体系中作用也越小，信息安全风险要素对风险评估的不确定性就越大，并以此来确定该因素的权重。这样在最终进行风险值计算时，各个因素的权重体现了其影响的大小，减小了主观偏差引起的结果不准确，使得最终信息安全风险评估的结果更为客观准确。

技术领域

本发明涉及一种基于改进贝叶斯网络的信息系统安全风险评估方法，通过使用熵权法确定各个指标权重，避免了专家赋值确定权重时主观性较强的问题，进行信息风险评估，使得信息安全风险评估的结果更加客观合理。

背景技术

随着计算机和信息技术的发展，特别是基于Internet的信息产业的发展，Internet上的信息安全变得越来越重要。在不同的设备和组织之间共享信息和资源，极大的提高了效率，但是这同时也给网络攻击提供了机会，非法入侵者和黑客已针对系统安全缺陷进行攻击。信息系统的安全性也一直都是人们关注的焦点。术语入侵可以定义为试图入侵系统并违反诸如完整性、可用性、机密性或系统中服务质量之类的各个方面。组织采取了许多预防措施来保护网络系统、计算机和敏感数据免遭入侵，例如使用密码的用户身份验证、防火墙或严格的访问控制机制。但是这些保护措施并不能做到完全可靠的保护，因为它们无法检测到来自内部员工的复杂攻击和网络攻击，例如缓冲区溢出攻击，这些攻击利用了应用程序中的弱点并给安全性带来了巨大的威胁。

网络安全问题在每个国家，特别是在军事需求中都已引起高度关注。利用网络安全系统进行评估的优势是系统精度要求宽泛。模糊集理论和模糊逻辑已经成为定量表示和处理选择中的非精确性的有效方法。模糊集或模糊数可以适当地表示不精确的参数，并且可以通过模糊集或模糊数的不同操作来操纵。计算机网络安全综合评估模型是一个群体决策问题。小组决策(即多专家)是一种典型的决策活动，利用该专家可以缓解由于问题的复杂性和不确定性而导致的一些决策困难。群体决策问题通常遵循由两个阶段组成的通用解决方案：聚集阶段和开发阶段。目前已经有研究人员开发出了许多聚合算子和方法来解决具有语言信息的群体决策问题。

贝叶斯算法反映了一个简单的条件独立性声明，也就是说，在给定其父状态的情况下，每个变量都独立于图中的非后代节点。此属性用于减少(有时会大大减少)表征变量JPD所需的参数数量。这种算法提供了一种计算后验概率的有效方法。有效的决策和网络信息安全风险评估是解决信息系统安全问题的有效方法之一，信息安全评估是将风险评估的理论和方法应用于信息系统。包括故障树分析、层次分析法和模糊综合评价。信息安全评估已被安全评估人员使用。通过评估，人们可以发现信息安全中存在的问题和矛盾，以及同时解决这些问题的方法和措施。因此，信息安全评估对提高信息系统的安全性具有重要意义。但是到目前为止，还不能避免主观因素在评估过程中对评估结果的影响。

发明内容

提出了一种基于改进贝叶斯网络的信息系统安全风险评估方法，针对以往评估主观性较强的问题，采用熵权法进行权重向量的计算，减小主观偏差引起的结果不准确，使得最终信息安全风险评估的结果更为客观准确。

附图说明

图1为本申请实例提供的信息系统安全风险评估方法的流程示意图。

具体实施方式

1.信息安全风险的计算模型

模型中风险计算主要是针对三要素，即资产、威胁、脆弱性进行识别、评估以及风险分析的过程，是将风险分析计算风险值这一过程进行抽象得到的。

图1为风险评估流程，模型中系统的风险要素主要为威胁、脆弱性以及资产。可将其原理描述为：

R＝f(A，T，V)

其中，R表示风险值，f为安全风险计算函数，资产、威胁和脆弱性分别用A、T、V表示。在对风险值进行计算时，主要步骤为：