任俊 孙亚丹

摘要： 随着云计算、大数据、物联网等技术的发展和兴起，信息安全面临严峻的问题，对安全风险进行评估和分析对信息系统的安全状态和建设有很大帮助。该文是基于G1-层次分析法确定各风险指标的权重，然后对风险因素指标进行标准化处理，进而确定信息安全风险程度的大小，识别所面对和的威胁、漏洞以及风险，提前采取一定的措施，有效规避风险。

关键词： G1；层次分析法；风险等级评估；业务流程

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）09-0010-02

随着云计算、大数据、物联网、移动应用、智能控制技术以及区块链技术的发展和兴起，人们的生活方式发生了显著的变化，给工作生活以及学习带来了便利和高效，但是也必须面对信息安全隱患所附带的威胁以及挑战，因此信息系统的信息安全的问题得到了用户、公司、政府以及其他社会人员的广泛关注[3]。在此情境下，信息系统的风险评估成为众多学者关注和研究的重点。

1 信息安全风险评估

从信息安全的发展阶段可知，信息安全从个体、单项技术逐步向多维的信息系统转变，对对象、内容、技术三个维度进行评估，以更完善全面的角度对信息系统的安全进行评估。信息安全风险评估通过信息系统的日志、安全态势感知以及某种风险评估系统等方式，使用相关的网络拓扑图、渗透测试以及安全基线配置检查等方法识别信息资产面临的漏洞和威胁。信息安全风险评估是对信息和信息处理设备所受到的威胁、影响、脆弱性以及发生事件后造成损失的评估，其中涉及对资产、威胁、漏洞和已有安全措施等风险要素的识别与评估。信息安全风险评估主要是通过访问调查、网络信息源、文献搜索以及工具采集等方法进行对象采集。风险评估分析方法主要有：信息模型分析法、经验分析法、定量分析、定性分析等。随着信息化水平和技术的发展，各行业的信息系统的信息化程度逐步加深加强，与此同时，信息安全面临严峻的问题，因此对安全风险进行评估和分析对信息系统的安全状态和建设有很大帮助。[5]

2 基于业务流程的信息系统风险评估模型构建

2.1 基于业务流程的风险模型

信息资产主要包括位置固定资产（如计算机设备、网络设备、安全设备、传输介质……）和位置变动资产（如业务信息、用户信息、各种数据资料、系统文档……）。业务流程中，对位置变动资产的识别可以在业务流程的初始阶段来进行，而对位置固定资产的识别，则需要在每个业务节点逐一识别如图。

当位置变动资产（数据信息）经过业务节点时，由位置固定资产的漏洞所形成的风险会使位置变动资产也处于相同的威胁之中，如果组织针对业务节点的风险所采取的防范措施不当很有可能会引发信息安全事件。通过识别业务流程中信息变动资产和信息固定资产所面对和的威胁、漏洞以及风险，同时及时采取相应的举措，进而保证信息资产的保密性、完整性和可用性的安全。

2.2 信息系统风险等级权重的确定

为更全面确定信息系统的风险等级的权重，本文首先根据G1法和层次分析法分别确定影响风险等级的各项指标的权重，通过综合分析法来确定各项指标的综合权重，更客观精准确定各指标的权重。

3）通过对层次分析法中单层次指标权重计算进行改进，若[ok]为理性赋值，：根据2）中[ok]的值确定第[m]个指标的权重，则[wk]为：

其中，[wk-1]表示第[k-1]个风险指标的权重值，[wk]表示第[k]个风险指标的权重值。

2. 3 基于业务流程的信息系统风险评估模型构建

根据信息系统中资产、威胁、漏洞和已有安全措施相互之间的依存关系，将风险等级划分成5方面的因素：资产价值的吸引力、资产面临的威胁、威胁利用资产漏洞造成的损失、资产的漏洞以及已有安全措施的风险的可控程度。根据信息系统的特性，将影响安全的因素分成三层，第一层为目标层：要进行评价的对象；第二层为准则层：衡量是否实现的标准；第三层为方案层：实现目标的方案、方法等。

1）对原始指标进行标准化处理

由于信息系统的安全水平的评价指标数据的存在一定的差异，为了利用影响因素的初始评价指标数据，需要对所有指标进行标准化处理，然后利用线性加权法来确定信息安全建设水平，具体见公式4：

其中，[ct'ij]表示第[i]个信息安全风险的第[j]项影响因素标准化后的值，[ctij]表示第[i]个信息安全风险的第[j]项影响因素原值，[minctij]，[maxctij]分别表示第[i]个信息安全风险的第[j]项影响因素的最小值和最大值。

2）信息系统安全风险程度大小

通过各影响因素的权重计算，以及各个信息安全标准化处理后的各项影响因素指标，通过求和得到信息系统信息安全风险综合得分评价值，具体见公式5：

其中，[ctlij]表示第[i]个信息安全风险程度的大小，[ct'ij]表示第[i]个信息安全风险的第[j]项影响因素标准化后的值，[wij]第[i]个信息安全风险第[j]项影响因素的权重。[6]通过[ctlij]的数量值的大小确定各项风险等级的大小，提前制定相关的措施进而规避一定风险。

3 结束语

信息系统安全问题是企业和政府关注的重点，本文结合业务流程中的信息系统面临的各项安全风险的因素，基于G1法和层次分析法的确定各安全风险因素的权重，对风险因素指标进行标准化处理，进而确定信息安全风险程度的大小，识别所面对和的威胁、漏洞以及风险，同时及时采取相应的举措，有效规避风险，进而保证信息资产的保密性、完整性和可用性的安全。根据评估结果确定影响信息系统的安全的指标，提前采取一定的措施。

参考文献：

[1] 许诗诗，程杰.关于计算机信息系统安全风险评估标准与方法的研究[J].数字通信世界，2017（2）：149-150.

[2] 柴继文，王胜，梁晖辉，等.基于层次分析法的信息安全风险评估要素量化方法[J].重庆大学学报，2017，40（4）：44-53.

[3] 金力，谭红春，丁大为，等.基于改进证据理论的信息安全风险评估模型[J].重庆理工大学学报，2017，31（5）：119-124.

[4] 邹凯，向尚，张中青扬，等.智慧城市信息安全风险评估模型构建与实证研究[J].图书情报工作， 2016，60（7）：19-24.

[5] 刘曙生.浅谈信息安全风险评估与风险分析方法的应用[J].网络空间安全，2017（4）：78-80.

[6] 王恩旭.基于G1-熵值的智慧旅游城市建设水平评价模型及实证研究[J].大连理工大学学报：社会科学版，2014，35（2）：68-73.