黄剑雄，丁建立

（1.北京工业大学 经济与管理学院，北京100124；2.中国民航大学 计算机科学与技术学院，天津300300；3.中国民航信息技术科研基地，天津300300）

0 引 言

信息系统给企业带来的风险日益增强，信息系统风险评估显得愈发重要。信息系统风险评估的核心是提出风险评估指标体系，对风险的影响因素进行量化，建立风险评估模型。不少学者从不同的角度对这一问题进行了有益的探索，取得了一定的成果。文献 ［1］研究了信息系统中的重要影响因素。文献 ［2］对风险评估中的资产识别方法进行了初步的探索。文献 ［3］通过分析风险与安全事件的关系，提出风险的影响因素指标体系框架。针对典型的信息安全风险评估要求，文献 ［4］提出了综合的评估流程，并完成了系统的设计与实现。为了尽可能消减评判过程中主观性因素对最终评价效果的影响，文献 ［5］采用灰色评估模型来对信息系统进行风险评估。

这些方法在信息系统风险评估的某些方面取得了一定的效果，但是也存在一些问题。一方面风险评估中评价者对于系统所面临的风险等级的评分具有很强的主观性，不同的评价者可能得到差异性很大的结果。另一方面各个评价指标在评价集中权重大小会直接影响风险评价结果，但权重的选择比较复杂且也具有较强的主观性，常常需要多次调整。

针对这些情况，本文提出以灰色评估模型为基础，在权重的选择过程中引入一种模糊层次分析法。灰色评估模型从 “灰度”这一基本概念出发，避免了对决策目标的精确量化，一定程度上消除评价者的主观性。而模糊层次法通过在层次分析法中引入模糊数学的概念，弱化了评价者的主观性，也降低了权重构造难度。两者结合在一定程度上提高了风险评估的准确性。

1 信息系统风险的度量

风险的度量可以是定性的，比如因素分析法、德尔斐法等。也可以是定量的，比如因子分析法、时序分析法等。还有就是将定性和定量相结合的综合评估方法。由于信息系统的风险评估是一个非常复杂的过程，涉及到的因素也很多，有些因素可以量化，有些因素难以量化，所以在风险评估中常常将这定性和定量两种手段结合起来。

要进行风险的度量，首先必须建立起风险评估的指标体系。本文借鉴层次分析法的思想，建立一个分层次的信息系统风险评价指标体系，见图1。

图1 信息系统风险评价指标体系

需要说明的是，对于不同的信息系统环境，可以根据实际情况对图1进行适当的调整。

2 模糊层次分析法

评价指标的权重集反映了各因素对于评价对象影响大小。权重集的确定是信息系统风险评价中关键的环节，确定的是否恰当将直接影响到评价结果的好坏。常用的方法有德尔斐法、专家估测法以及层次分析法。其中层次分析法简单明了，符合一般人的正常思维过程，便于接受并容易计算，同时该方法将定性分析与定量分析有机地结合起来。但是层次分析法中判断矩阵的构造具有很强的主观性，且一致性检验相对困难。因此本文引入模糊层次分析法［6－8］。这种方法结合了层次分析法与模糊逻辑法的各自优点，能够相对客观的确定权重。

首先构造风险因素集，设为U＝ ｛u1，u2，…，un｝。然后建立评价集，针对不同的要求，可以建立不同的评价集，设为V＝ ｛v1，v2，…，vm｝。评价者给出各因素的评语，构造模糊映射f：U→F（V）。其中F （V）是V上的模糊集全体，ui→f（ui）＝ （qi1，qi2，…，qim）∈F （V），映射f表示ui对评价集中各评价的支持程度。令ui对评价集V得隶属向量Qi＝ （qi1，qi2，…，qim），i＝1，2，…，n。由此得到隶属度矩阵为

因为评价集中各个指标程度的高低直接影响风险大小，所以对评价集中每个指标赋予不同的权重。设权重分

配S＝ （s1，s2，…，sm）。模糊变换得到

C为各风险因素的相对权重，归一化后得到排序权向量为

WC就是所需的评价指标的权重集。这种模糊积分的方法极大的减少了评价者主观因素对于指标权重的影响，更加的客观、准确。

3 基于模糊分析的信息系统风险灰色评估模型

灰色系统理论［9－13］的研究对象是介于信息完全明确的“白色系统”与信息完全不明确的 “黑色系统”之间的 “灰色系统”。灰色评价模型是灰色系统理论的主要应用之一，将该模型应用到信息系统风险评估中主要的步骤如下［5，13］：

（1）信息系统风险等级的划分［5］

按照GB／T 20984－2007《信息安全技术信息安全风险评估规范》标准的要求，结合企业自身的实际情况，将风险评价等级即极高、高、中、低和极低5个等级。为了便于定量计算，将5个等级所对应的等级分数设为5、4、3、2、1。介于两个等级之间的风险值也相应的取等级分数的中间值。

（2）建立指标权重集

各个指标对评估结果的决定程度不尽相同，在风险评估中具体表现为不同的指标需要赋予不同的权重。在本文中，采取上面提到的模糊层次分析法来确定权重。但是在风险评价中靠上层次的由于因素较少，所以不一定需要通过模糊层次分析法来确定。比如图1中第二层只有两个因素，可以直接通过层次分析法确定权重。这对于最后的结果没有大的影响且减少了工作量。

（3）确定综合评价指标体系U

找出评价对象的指标集U＝ ｛u1，u2，…，un｝，也就是n个评价指标集合。这实际上就是上面

模糊层次分析法中提到的风险因素集。

（4）建立评价等级指标V，得到评价样本矩阵D

根据实际的需要建立相应的评价等级指标V＝ ｛v1，v2，…，vm｝。假设有p位评价者，根据这些评价者的评价结果得到评价样本矩阵D

式中：dij——第j个评价者对ui个指标的评价结果。

（5）确定评价灰类和白化权函数

设有e个评价灰类，根据步骤 （1）中风险等级的划分，本文中e＝5。则相应的白化权函数和阈值分别是f1（x），f2（x），…，f5（x）和λ1，λ2，…，λ5。

（6）灰色评价系数［5］

假设对于评价指标ui，评价者给出的评分分别为si1，si2，…，sip。则对于指标ui，第e个评价灰类的评价系数为

对于指标ui，其所在灰类的总灰色评价系数Xi为

（7）确定灰色评价权向量和权矩阵［5］

所有评价者就指标ui，主张其属于第e个评价灰类的权重为

因此ui对于各个灰类的灰色评价权向量为

由此可以得到灰色评价矩阵R为

（8）灰色综合评价

由模糊层次分析法得到指标 （c1，c2，…，cn）相对于指标Bi的权重向量WBi，对Bi做综合评价，可得Bi的灰色综合评价向量Bi＝WBi×Ri。其中Ri为Bi相对应的灰色评价矩阵。评价目标A由指标B1，B2，…，Bs组成，则权重向量WA＝ （b1，b2，…，bs），故A的综合评价向量A＝WA×R，其中R＝ （B1，B2，…，Bs）T。

（9）分析灰色综合评价结果向量

A中最大权决定了受评者所属的风险等级，即若xi＝max｛x1，x2，…，xe｝，则受评者的定量风险等级为i。

4 实例分析

以某航空公司信息系统为例，对其进行风险评估。评估体系如图1所示。评估的过程需要有专业的评估者按照要求对相应项进行打分，表1是该公司使用的专家评分表的一个样例。该表主要针对的是不同指标相对于风险发生概率B1这一内容的。同样的，针对风险产生影响B2也是类似的表格。需要打分的内容有两项：相对权重和风险等级。其中权重的范围是0～1。风险等级采用五分制标准打分。

表1 专家评分表样例

整个风险评估的基本过程如下：

（1）确定各层指标的权重

图1中第二层只有两个指标，相对简单，直接用层次分析法确定其权重WA＝ （0.42，0.58）。

第三层比较复杂，采用模糊层次分析法确定权重。

首先计算第三层指标相对于第二层指标风险发生概率B1的权重。设模糊集U＝ ｛C1，C2，…，C7｝，评价集V＝｛V1，V2，…，V5｝，其中V1表示风险发生概率最低，几乎可以忽略，V5表示风险发生概率极大。V1到V5，风险发生概率逐渐增大。选定专业的评价者，让其对U进行概率评价，得到隶属度矩阵为

确定V1到V5的权重依次为1／15，2／15，1／5，4／15，1／3。按照公式C＝S·QT求得各指标在风险发生概率B1下的相对权重为（0.2067，0.1867，0.2267，0.2333，0.2667，0.2533，0.1667），归一化之后得到权重向量为WB1＝ （0.1342，0.1212，0.1472，0.1515，0.1731，0.1645，0.1083）。按照同样的过程，使用同样的方法就可以求得各指标在风险产生影响B2下的归一化权重向量为WB1＝ （0.1358，0.1252，0.1464，0.1499，0.1675，0.1605，0.1147）。

（2）评价者打分，得到样本矩阵D

评价等级按照前面所述的五分制打分，选定5位专业的评价者进行评判。得到两个样本矩阵D1和D2，分别对应于风险发生概率和风险产生影响。得到的矩阵如下所示

（3）确定灰类的白化权函数，计算灰色评价权向量和权矩阵

本文的评价体系设定了5个评价灰类，则相应的白化权函数［5］为

根据前面叙述的灰色评估计算方法，得到对应于风险发生概率和风险产生影响的灰色评价矩阵R1和R2分别如下

（4）风险等级的灰色综合评价

根据步骤 （1）中计算到的权重和前面所述的计算方法，可以得到

B1＝WB1×R1＝ （0.2697，0.2413，0.2024，0.1872，0.0997）

B2＝WB2×R2＝ （0.2636，0.2348，0.2121，0.1720，0.1175）

最后总的综合评价为

取A中最大值确定整个信息系统的风险等级，由于0.2662所对应的风险等级是 “极高”，

因此该系统最后的风险等级评价为 “极高”，需要及时的采取措施进行保护。

5 结束语

在灰色评估模型的基础上，本文提出利用模糊层次分析法来改进权重的确定方法。通过灰色评估模型和模糊层次分析法的融合，建立了一个新的风险评估模型。该模型在一定程度上消减了评价过程中的主观性，提升了风险评估计算结果的客观性。如何准确的建立权重集是风险评估的关键性问题且极具主观性，模糊层次分析法一定程度上解决了主观性问题，但仍存在缺陷，下一步的研究将尝试对模糊层次分析法再做改进，尽可能的消除主观性。

［1］NIU Fang，LI Dong，SHAO Jinghong，et al.The factors influencing the way of motivating information systems planning［J］.Journal of Management Science，2009，22 （6）：64－70（in Chinese）.［牛芳，李东，邵景虹，等.信息系统规划发起方式 的 影 响 因 素 研 究 ［J］.管 理 科 学，2009，22 （6）：64－70.］

［2］FAN Jianhua，XUE Yanlong.Information property recognition based on level systems ［J］.Standard Science，2009 （9）：64－68（in Chinese）.［范建华，薛岩龙.基于层面划分法的信息资产识别方法 ［J］.标准科学，2009 （9）：64－68.］

［3］HU Yong，QI Gang，CHEN Lin，et al.The quantitative assessment indexes of risk evaluation in information system ［J］.Journal of Sichuan University （Natural Science Edition），2006，43 （5）：1048－1052 （in Chinese）.［胡勇，漆刚，陈麟，等.信息系统风险量化评估指标体系 ［J］.四川大学学报，2006，43 （5）：1048－1052.］

［4］KUANG Jieyan，DANG Depeng，LI Shuren，et al.Research and development of information security risk assessment system based on XML ［J］.Computer Engineering and Design，2010，31 （13）：2943－2965 （in Chinese）.［旷洁燕，党德鹏，李树仁，等.基于XML的信息安全风险评估系统研究与开发［J］.计算机工程与设计，2010，31 （13）：2943－2965.］

［5］HU Yong，WU Shaohua，HU Chaolang，et al.Multilevel grey comprehensive evaluation for information system risk ［J］.Application Research of Computers，2008，25 （8）：2477－2479（in Chinese）.［胡勇，吴少华，胡朝浪，等.信息系统风险灰色 评 估 方 法 ［J］. 计 算 机 应 用 研 究，2008，25 （8）：2477－2479.］

［6］ZHAO Dongmei，MA Jianfeng，WANG Yuesheng.Model of fuzzy risk assessment of the information system ［J］.Journal on Communications，2007，28 （4）：51－56 （in Chinese）.［赵冬梅，马建峰，王跃生.信息系统的模糊风险评估模型 ［J］.通信学报，2007，28 （4）：51－56.］

［7］HUA Yao，YU Mingchuan.Comprehensive evaluation of enterprise information service ability based on FAHP ［J］.Information Science，2009，29 （9）：1390－1393 （in Chinese）. ［华瑶，俞明传.基于模糊层次分析法的企业信息服务能力综合评价 ［J］.情报科学，2009，29 （9）：1390－1393.］

［8］XU Xukan，DUAN Zhenzhong，HAO Jian.Building the model of the performance evaluation of enterprise information system based on fuzzy analytical hierarchy ［J］.Journal of Intelligence，2009，28 （2）：11－13 （in Chinese）.［徐绪堪，段振中，郝建.基于模糊层次分析法的企业信息系统绩效评价模型构建 ［J］.情报杂志，2009，28 （2）：11－13.］

［9］LI Zhongkai，FENG Yixiong，TAN Jianrong，et al.Analysis and prediction for dynamic requirements in house of quality based on grey theory ［J］.Computer Integrated Manufacturing Systems，2009，15 （11）：2272－2279 （in Chinese）. ［李中凯，冯毅雄，谭建荣，等.基于灰色系统理论的质量屋中动态需求的分析与预测 ［J］.计算机集成制造系统，2009，15（11）：2272－2279.］

［10］ZHAO Jinlou，KANG Zheng.A model based on the grey system for multi－objective decision－making and its application in the shipbuilding project［J］.Chinese Journal of Management Science，2008，25 （S1）：568－573 （in Chinese）. ［赵金楼，康正.基于灰色理论的项目多目标决策模型及在造船工程中的应用 ［J］.中国管理科学，2008，25 （S1）：568－573.］

［11］ZHANG Fengqin，SHEN Di.Conceptual clustering algorithm based on grey model［J］.Computer Engineering and Design，2011，32 （3）：1040－1042 （in Chinese）.［张凤琴，沈迪.基于灰色模型的概念簇聚类算法 ［J］.计算机工程与设计，2011，32 （3）：1040－1042.］

［12］YIN Hang，LI Baizhou.Evaluation of high new－tech outcome’s transformative comprehensive value based on AHP－GCA method［J］.Operations Research and Management Science，2009，18（5）：256－26 （in Chinese）.［尹航，李柏洲.基于 AHP－灰色聚类分析的高新技术成果综合转化价值评价 ［J］.运筹与管理，2009，18 （5）：256－260.］

［13］YANG Hongyu，XIE Lixia，ZHU Dan.A vulnerability severity grey hierarchy analytic evaluation model［J］.Journal of University of Electronic Science and Technology of China，2010，39 （5）：778－782 （in Chinese）.［杨宏宇，谢丽霞，朱丹.漏洞严重性的灰色层次分析评估模型 ［J］.电子科技大学学报，2010，39 （5）：778－782.］

［14］Abbas Asosheh，Biijan Dehmoubed，Amir Khani.A new quantitative approach for information security risk assessment［C］.Dallas，USA：IEEE International Conference on Intelligence and Security Informatics，2009：229－230.

［15］CHAI Wenguang.Optimization method for strengthening information system risk assessment decision making on common case ［J］.Computer Engineering and Design，2009，30 （15）：3504－3506（in Chinese）.［柴文光.基于经常性事件的信息系统风险评估优化决策 ［J］.计算机工程与设计，2009，30（15）：3504－3506.］