张明慧 程红霞

摘  要： 信息系统风险变化具有随机性、不确定性，传统方法无法准确考虑信息系统风险这些变化特点，导致当前信息系统风险评估的可靠性差、评估精度低。为了改善信息系统风险评估效果，设计基于因子分析和神经网络的信息系统风险评估模型。首先，分析当前信息系统风险评估的国内外研究现状，构建完整的信息系统风险评估指标;然后，采用因子分析法从原始信息系统风险评估指标中提取重要的指标，采用神经网络对信息系统风险评估的训练样本进行学习，构建信息系统风险评估模型;最后，通过仿真对比实验验证所提模型的合理性和优越性。结果表明，所提模型可以准确描述信息系统风险变化的随机性、不确定性，获得高精度的信息系統风险评估结果，改善了信息系统风险评估效率，信息系统风险评估的整体性能要优于当前其他信息系统风险评估模型。

关键词： 信息系统; 风险评估; 因子分析; 神经网络; 评估指标; 研究现状分析

中图分类号： TN915.08?34; TP391                   文献标识码： A                  文章编号： 1004?373X（2019）13?0101?05

Information system risk assessment model based on factor analysis and neural network

ZHANG Minghui， CHENG Hongxia

（School of Information Science and Technology， Zhengzhou Normal University， Zhengzhou 450044， China）

Abstract： Changes of information system risk are random and uncertain， and the change characteristics of information system risk aren′t accurately considered in traditional methods， which results in poor reliability and low assessment accuracy of the current information system risk assessment. In order to improve the effectiveness of information system risk assessment， an information system risk assessment model based on factor analysis and neural network is designed. The current research status at home and abroad is analyzed for information system risk assessment， and the complete information system risk assessment indexes are constructed. The factor analysis method is used to extract the important indexes from the original information system risk assessment indexes. The neural network is adopted to learn the training samples of information system risk assessment， and construct the information system risk assessment model. The rationality and superiority of the model are verified with simulation and comparative experiments. The results show that the model can accurately describe the randomness and uncertainty of information system risk changes， obtain high?precision information system risk assessment results， and improve the efficiency of information system risk assessment. The overall performance of the information system risk assessment model is better than that of other information system risk assessment models.

Keywords： information system; risk assessment; factor analysis; neural network; evaluation index; research status analysis

0  引  言

当前大多数企业、单位以及部门都构建了自己的信息管理系统，信息系统的应用价值越来越高。信息系统安全是危害信息系统正常运行最直接的表现。一些非法用户一旦入侵到信息系统，会窃取一些重要数据，对企业、个人会造成很大的经济损失，因此采用各种技术和手段保证信息系统安全成为信息系统研究领域的焦点[1?3]。

信息系统风险评估是一种关键信息系统安全保障技术，它可以对信息系统将来面临的风险进行估计，可以帮助信息系统管理人员了解信息系统安全的发展趋势。为此，国内外学者和专家对信息系统风险评估问题进行了深入的分析和研究，并取得了不错的研究成果，涌现了许多有效的信息系统风险评估模型[4]。

信息系统风险评估模型可以划分为两种类型。一种是基于定性分析的信息系统风险评估模型，主要有基于攻击树的信息系统风险评估模型、基于风险事件分类的信息系统风险评估模型、基于威胁传播的信息系统风险评估模型等。这些定性分析的模型从理论上对信息系统风险整体变化态势进行把握，可以得到信息系统风险所处的等级，以及可以发生的后果，但是不能对信息系统风险进行准确量化处理和分析，很难建立准确的信息系统风险评估模型。因此在实际应用中难以推广，缺陷十分明显[5?7]。另一种是基于定量分析的信息系统风险评估模型，主要有层次分析法、模糊理论、贝叶斯方法、灰色理论、神经网络以及它们的组合方法[8?10]。基于定量分析的信息系统风险评估模型可以很好地描述信息系统风险变化特点，信息系统风险评估结果更加可靠，而且信息系统风险评估结果可解释性更好。

在定量分析的信息系统风险评估建模过程中，理想的信息系统风险评估指标体系是获得高精度评估结果的基础[11?12]。在实际应用中，信息系统风险评估影响因子（指标）相当多，如果全部选择，那么信息系统风险评估指标信息重复大，而且导致输入向量的维数过高，出现“维数灾”的问题，因此对评估指标选择具有重要的意义，可降低输入向量的维数，加快信息系统风险评估的速度[12?15]。

为了改善信息系统风险评估的效果，设计基于因子分析和神经网络的信息系统风险评估模型（FA?NN）。首先采用因子分析法从原始信息系统风险评估指标中提取重要的指标，然后采用神经网络的自适应学习能力构建信息系统风险评估模型，通过仿真实验验证本文模型的合理性和优越性。

1  信息系统风险评估指标体系的构建

信息系统是一个复杂的系统，要建立一个性能优异的信息系统风险评估模型，首先要构建一个完整、科学的信息系统风险评估指标体系，信息系统风险评估指标体系直接影响模型能否准确描述信息系统风险的各种影响因素，对信息系统风险评估时间也起着决定性的作用。风险评估指标可以直接或间接地反映信息系统风险发生的影响因子，本文根据含义清楚、完整、易于量化的原则，参考相关研究对信息系统风险评估指标进行构建，信息系统风险评估指标体系如图1所示。

图1  信息系统风险评估指标体系

2  因子分析和神經网络的信息系统风险评估模型

2.1  因子分析法

在信息系统风险评估过程中，通常情况下，希望能够全面描述各种影响因素的作用，但是每一种类型的信息系统风险评估指标对信息系统风险评估影响程度不同，而且各种信息系统风险评估指标之间可能存在一定相关性，这样信息系统风险评估指标数多，并不代表可以获得高精度的信息系统风险评估结果。

因子分析法（Factor Analyze，FA）可以采用几个没有相关性的综合因子代表原始信息系统风险评估指标，是一种有效的信息系统风险评估指标降维方法。基本工作原理为：首先根据相关性实现信息系统风险评估指标分组，同一组的信息系统风险评估指标之间相关性高，反之相关性较低。每一组信息系统风险评估指标表示一个基本结构，即称之为公共因子，其可以保留原有信息系统风险评估指标的主要信息。

设共有[p]个信息系统风险评估指标，[n]个样本数据，那么因子分析法可以将[n]个样本数据描述为[m

式中：[Ti]表示原信息系统风险评估指标;[Xi]表示公共因子，因子间相互独立、无相关性;[εi]表示独特因子;[ωij]表示因子载荷，描述第[i]个信息系统风险评估指标在第[j]个公共因子上的重要程度。

2.2  因子分析法的信息系统风险评估指标选择步骤

1） 对输入信息系统风险评估指标数据进行标准化处理，消除信息系统风险评估指标量纲差异，计算信息系统风险评估指标的相关系数矩阵，具体为：

2） 构造因子变量。对特征方程[λI-R=0]进行求解，[I]表示全1矩阵，得到第[i]个指标的特征值[λi（i=1，2，…，p）]，计算方差贡献率和累积方差贡献率。

3） 确定因子，根据累积方差贡献率得到前[m]个因子，通常情况下累积方差贡献率超过85%就行，前[m]个因子可以反映原始信息系统风险评估指标的大部分信息。

4） 构建因子载荷矩阵，具体为：

5） 将因子变量表示为原始信息系统风险评估指标的线性组合，即：

利用原始信息系统风险评估指标的线性组合计算因子变量的得分，增强因子的可解释性。

2.3  BP神经网络

BP神经网络具有自适应能力，可以较好地描述信息系统风险变化的随机性和不确定性。BP神经网络通常有3层：输入层、隐含层、输出层，各层之间通常采用S型传递函数，具体为：

2.4  构建信息系统风险评估模型

BP神经网络克服了传统信息系统风险评估方法对决策性判断的依赖等缺陷，为此，本文选择BP神经网络构建信息系统风险评估模型，该模型不需要事先准确地知道信息系统风险等级与其指标间的联系，可以通过对信息系统风险评估的训练样本进行学习，建立信息系统风险等级与其指标之间的非线性关系，可以很好地模拟不同指标和信息系统风险等级间的复杂映射。基于BP神经网络的信息系统风险评估模型工作过程主要包括2个阶段，具体如下：

1） BP神经网络训练阶段。根据信息系统风险等级，利用训练样本进行BP神经网络的学习，对BP神经网络进行训练，建立信息系统风险评估模型。

2） 评估阶段。输入未知等级的信息系统风险评估样本，根据建立的信息系统风险评估模型输出信息系统风险等级。

因子分析和BP神经网络的信息系统风险评估模型流程如图2所示。

图2  信息系统风险评估模型流程

3  信息系统风险评估的实例分析

3.1  信息系统风险样本数据

为了评价因子分析和神经网络的信息系统风险评估模型的效果，采用一个企业的信息系统作为研究目标，采集其一段时间内的信息系统风险样本数据，共获得信息系统风险样本数据200个。随机选择50个作为验证样本，分析本文所构建的信息系统风险评估模型的性能，信息系统风险共划分为5个等级，具体如表1所示。

表1  信息系统风险的等级划分

3.2  提取信息系统风险评估指标的重要公共因子

采用因子分析对信息系统风险评估指标进行处理，计算公共因子的方差贡献率以及累积方差贡献率，前5个公共因子的累积方差贡献率达到了92.03%，那么表示这5个公共因子就可以描述图1中9个信息系统风险评估指标的能力，它们的累积方差贡献率具体如表2所示。

表2  信息系统风险评估公共因子的贡献率

从表2可以看出，因子分析可以省略对信息系统风险评估结果影响较小的指标，达到了优化信息系统风险评估指标的目的，消除了信息系统风险评估指标中的冗余信息，有效地简化了信息系统风险评估指标，为后续对信息系统风险评估建模效率的提高起到一定的作用。

3.3  本文方法的信息系统风险评估结果

为了增强本文模型的信息系统风险评估测试结果的说服力，进行5次评估測试实验。每一次的训练样本和验证样本采用随机方式进行选择，统计每一次测试的信息系统风险评估正确率，具体如图3所示。

图3  本文模型的信息系统风险评估正确率

对信息系统风险评估正确率进行分析可知，本文模型的信息系统风险评估正确率均超过了95%，信息系统风险评估误差远低于应用控制范围，表明本文模型是一种结果可信、性能稳定、正确率较高的信息系统风险评估模型。

3.4  与当前其他信息系统风险评估模型的综合性能对比

选择文献[13?15]的信息系统风险评估模型进行对比测试，统计各种信息系统风险评估的正确率以及评估的建模时间，结果如表3所示。

表3  信息系统风险评估的整体性能比较

从表3可知，本文模型信息系统风险评估正确率得到了一定提升，而且减少了信息系统风险评估的建模时间，这是因为引入了因子分析法减少了信息系统风险评估模型的输入向量数量，降低了信息系统风险评估建模的计算复杂度，使整个信息系统风险评估整体性能更优。

4  结  论

针对当前信息系统风险评估过程存在的难题，提出因子分析和神经网络的信息系统风险评估模型，具体过程为：

1） 在分析现有信息系统风险评估相关研究的基础上，构建相应的信息系统风险评估指标体系。

2） 引入因子分析对信息系统风险评估指标进行处理，简化了信息系统风险评估的输入，提升了信息系统风险评估模型的工作效率。

3） 利用神经网络拟合信息系统风险的变化特点，建立性能优异的信息系统风险评估模型。

4） 通过具体的信息系统风险评估实例验证了本文模型的性能。本文模型的信息系统风险评估模型整体性能要明显优于对比的信息系统风险评估模型，解决了当前信息系统风险评估模型的复杂性和正确率低的问题。可为有关部门估计信息系统风险、选择合理的信息系统风险防范措施提供科学的参考依据，具有较高的实际应用价值。

参考文献

[1] 宋艳，陈冬华.信息系统安全风险评估综述[J].情报理论与实践，2009，32（5）：114?116.

SONG Yan， CHEN Donghua. Summary of information system security risk assessment [J]. Information studies： theory & application， 2009， 32（5）： 114?116.

[2] 谢丽霞，孙伟博.B2C电子商务信息系统操作风险评估方法研究[J].计算机应用与软件，2016，33（9）：43?45.

XIE Lixia， SUN Weibo. On operational risk assessment of B2C e?commerce information system [J]. Computer applications and software， 2016， 33（9）： 43?45.

[3] 毕东旭，林家骏.复杂信息系统风险评估框架与流程[J].计算机工程，2015，41（4）：156?160.

BI Dongxu， LIN Jiajun. Risk assessment framework and process of complex information system [J]. Computer engineering， 2015， 41（4）： 156?160.

[4] 王桢珍，武小悦，谢永强.基于面向对象的信息系统风险评估方法[J].计算机工程与应用，2009，45（30）：92?94.

WANG Zhenzhen， WU Xiaoyue， XIE Yongqiang. Object?oriented based method of information system risk evaluation [J]. Computer engineering and applications， 2009， 45（30）： 92?94.

[5] 王娜，张健，王晋东，等.单调指标空间在信息系统风险评估中的应用研究[J].计算机工程与科学，2015，37（3）：486?491.

WANG Na， ZHANG Jian， WANG Jindong， et al. Application research of monotonic index space in information system risk evaluation [J]. Computer engineering & science， 2015， 37（3）： 486?491.

[6] 任秋洁，潘刚，白永强，等.基于FAHP和攻击树的信息系统安全风险评估[J].电子技术应用，2018，44（8）：113?117.

REN Qiujie， PAN Gang， BAI Yongqiang， et al. Security risk assessment of information system based on FAHP and attack tree [J]. Application of electronic technique， 2018， 44（8）： 113?117.

[7] 马刚，杜宇鸽，荣江，等.基于威胁传播的复杂信息系统安全风险评估[J].清华大学学报（自然科学版），2014，54（1）：35?43.

MA Gang， DU Yuge， RONG Jiang， et al. Risk assessment of complex information system security based on threat propagation [J]. Journal of Tsinghua University （Science and technology）， 2014， 54（1）： 35?43.

[8] 袁光辉，樊重俊，熊红林，等.基于贝叶斯方法的信息系统整合风险评估研究[J].上海理工大学学报，2014，36（1）：60?64.

YUAN Guanghui， FAN Chongjun， XIONG Honglin， et al. Risk assessment of information system integration based on Bayesian method [J]. Journal of University of Shanghai for Science and Technology， 2014， 36（1）： 60?64.

[9] 李晨旸，张晓梅，李媛.一种基于层次分析法的大规模信息系统风险评估方法[J].计算机应用与软件，2013，30（10）：322?325.

LI Chenyang， ZHANG Xiaomei， LI Yuan. A large?scale info?rmation system security risk assessment method based on analytic hierarchy process [J]. Computer applications and software， 2013， 30（10）： 322?325.

[10] 黄剑雄，丁建立.基于模糊分析的信息系统风险灰色评估模型[J].计算机工程与设计，2012，33（4）：1285?1289.

HUANG Jianxiong， DING Jianli. Evaluation model for information system risk based on fuzzy analysis [J]. Computer engineering and design， 2012， 33（4）： 1285?1289.

[11] 付钰，吴晓平，宋业新.模糊推理与多重结构神经网络在信息系统安全风险评估中的应用[J].海军工程大学学报，2011，23（1）：10?15.

FU Yu， WU Xiaoping， SONG Yexin. Application of fuzzy reasoning and multi?layer neural network to security risk assessment of information system [J]. Journal of Naval University of Engineering， 2011， 23（1）： 10?15.

[12] 付钰，吴晓平，王甲生.基于模糊?组合神经网络的信息系统安全风险评估[J].海军工程大学学报，2010，22（1）：18?23.

FU Yu， WU Xiaoping， WANG Jiasheng. An approach to information systems security risk assessment based on fuzzy?combinatorial neural network [J]. Journal of Naval University of Engineering， 2010， 22（1）： 18?23.

[13] 李廷元，范成瑜，秦志光，等.基于風险事件分类的信息系统评估模型研究[J].计算机应用，2009，29（10）：2806?2808.

LI Tingyuan， FAN Chengyu， QIN Zhiguang， et al. Risk assessment model for information system based on classification of risk events [J]. Journal of computer applications， 2009， 29（10）： 2806?2808.

[14] 马佶.基于灰色模糊理论的信息系统风险评估[J].情报杂志，2009，28（4）：56?59.

MA Ji. Information system risk assessment based on grey fuzzy theory [J]. Journal of intelligence， 2009， 28（4）： 56?59.

[15] 赵保华.层次分析法和神经网络的信息系统风险评估[J].微电子学与计算机，2015，32（10）：163?166.

ZHAO Baohua. Risk evaluation of information system security based on neural network and analytic hierarchy process [J]. Microelectronics & computer， 2015， 32（10）： 163?166.