1 引言

    隨著計算機技術的快速發(fā)展，網絡技術的廣泛應用，網絡已經滲透于社會的各個領域，人們在網絡上進行著大量的信息交流，廣泛的信息交互存在著巨大的風險和安全隱患。當前網絡安全問已成為網絡應用領域急需決的重要課題。由于不同領域對安全要求不盡相同，軍事國防、金融等機構的網絡安全等級要求很高，而民用網絡的安全程度要求則相對較低，因此對網絡安全狀況進行科學準確的評價，有利于用戶針對不同的網絡采取不同的預防措施，從而提高網絡的安全性能。

    傳統(tǒng)的網絡安全防護是采用在線殺毒、防火墻、網絡安全入侵檢測等措施，但這些方法是一種被動地防御方法，帶有較大的盲目性，缺乏對整個網絡系統(tǒng)的考慮，已經不能滿足當前網絡安全的需求。近年來，一些新的理論與方法的研究與發(fā)展，一些學者將SFTA分析法、FMECA危險度分析法、神經網絡等方法用于網絡安全評價領域。但是，由于網絡安全系統(tǒng)的復雜性，這些定量的方法不能很好地考慮網絡系統(tǒng)客觀環(huán)境和人為因素等影響，與此同時，網絡安全評估很難嚴格地定量化，從而導致利用完全定量的網絡安全評價很難實現。

    層次分析法是一種定性與定量相結合的決策分析方法。其主要思想是：

    ①分解，即問題層次化過程，該過程將一個復雜的系統(tǒng)對象抽象化為一個有序的、層次的結構模型。

    ②判斷，將同一層次的評價指標進行兩兩比較，建立判斷矩陣，得到各評價指標的相對權重。

    ③綜合，對各層指標的組合權重進行計算，得到各指標相對于總目標的權重值，然后進行排序。本文在對網絡安全風險分析的基礎上，結合網絡安全綜合評價的實際需求，建立了基于層次分析法的網絡安全綜合評價模型。與其它評價方法相比較，層次分析法在網絡安全的評價方面有較大的優(yōu)勢，評價結果更準確，結論更有說服力。

2 網絡安全評價原理

    網絡安全綜合評價包括三個方面的內容：即建立評價指標體系，對評價指標進行標準化處理、確定相應的評價方法。其中，選取合適的評價指標是進行綜合評價的前提和基礎，科學、合理地選取評價指標可以更準確地評價出網絡所面臨的風險等級。網絡安全評價是一個復雜的系統(tǒng)工程，采用傳統(tǒng)的定量方式或單純的定性評價方式都難以取得較好的評價結果，為了更好地考慮網絡系統(tǒng)中的客觀環(huán)境和人為因素的對網絡風險的影響，本文采用層次分析法對網絡安全進行綜合評價。

    層次分析法的基本原理是排序，即最終將各方法排出優(yōu)劣次序，作為決策的依據。層次分析法是將定性分析與定量計算進行有機的結合，充分利用專家知識將人的主觀判斷用數量形式表達出來并進行科學處理。將研究對象作為一個有機的整體，按照分解、判斷、綜合的思維方式進行決策，是進行系統(tǒng)分析的一個重要工具。在進行網絡安全評價時，可以充分地考慮到影響網絡安全的各種因素對網絡安全的影響，從而準確地評價出網絡所面臨的安全風險狀況。同時，層次分析法有著深刻的理論基礎，且表現形式非常簡單，容易被人理解、接受，對評價的結果解釋性強。

3 構建網絡安全評價指標體系

    網絡安全評價目的是確保信息的完整性、可控性、保密性、可用性和信息行為的不可否認性。針對網絡安全總目標，許多學者提出了有效的各種安全防范措施和相應的技術。在進行網絡安全評價時，沒有行之有效地公認的建立指標體系的方法。在具體的評價時，德爾菲法是應用最為廣泛的一種方法，綜合了多數專家經驗與主觀判斷，能對大量無法定量分析的因素做出概率估算，然后將估算結果告之評估專家，充分發(fā)揮信息控制和信息反饋的作用，使分散的評價意見逐步收斂，最后得到一個協(xié)調一致的結果。

    針對當前網絡安全存在的不足，本文首先采用德爾菲法構建網絡安全評價指標體系。然后對初步建立的評價指標進行分類，設計出網絡安全評價指標咨詢表，征詢有關專家意見，并依據專家意見，對指標進行適當篩選。在咨詢表中設計衡量指標重要度的級數，依據相關標準，將指標重要度的級別分為5級，其取值分別為l、2、3、4、5。

    設網絡安全指標體系某層有m個指標，邀請n位專家對這些指標進行表決、評議，然后對每個指標的專家意見的集中度和離散度進行統(tǒng)計。其中，專家意見的集中度和離散度的定義為：

    圖1網絡安全評價指標體系

4 網絡安全綜合評價模型的建立

    4．1建立網絡安全層次結構模型

    由圖1所示，網絡安全綜合評價指標層次結構模型共分為3層，網絡安全為目標層(A)。準則層(B)由管理安全(B1)、環(huán)境安全(B2)、硬件安全(B3)、軟件安全(B4)、數據安全(B5)5部分組成。措施層(c)由組織體系、管理制度、安全教育、安全供電等17項與網絡安全緊密相關的指標組成。

    4．2構造判斷矩陣

    判斷矩陣是利用專家知識對每一層次評價指標相對于上一層次中某個功能模型的相對重要性進行兩兩比較，全部指標經過專家的兩兩判定之后，可形成一個比較判斷矩陣A。

    為確定比較判斷矩陣中的具體數值，T.LSaaty教授提出了1-9的比例標度，各標度含義見表1。

    表1 判斷矩陣標度及含義

    4．3計算指標權重

    從措施層到準則層再到目標層依次確定各層指標相對于上層指標的指標權重，確定指標權重的過程如下：

    1)準則層(B)相對于目標層(A)的指標權重

    根據專家經驗，判斷出B層各指標相對于A層的重要性，從而形成判斷矩陣AB，計算出其最大特征根和特征向量，經過歸一化后得到B層各指標相對A層的權重系數WB。

    4．4一致性檢驗

    利用層次分析法進行網絡安全綜合評價的最終評價質量很大程度上取決于各指標配對比較判斷的一致性，由于不同的人對同一事物認識存在著差異，專家對各個指標的重要性判斷有著差異，因此，需要對比較判斷矩陣進行一致性檢驗，用以判斷矩陣偏離一致性的程度。其中，判斷矩陣的一致性指標(C1)公式如下：

    式中：n為判斷矩陣的階次，λMAX為判斷矩陣的最大特征根。

    當隨機一次性比率CR滿足如下式：

    式中：口為判斷矩陣的一致性指標，R，為平均隨機一致性指標。當CR

    圖2 網絡安全評價流程

5 仿真研究

    5．1仿真數據

    本文以某金融企業(yè)網絡為例，利用德爾菲法對指標進行兩兩判斷，構成判斷矩陣，求得8層相對于A層的權重向量為WB=[0．08，0．04，0．26，0．17，0．46]T，滿足判斷矩陣一致性檢驗。同理分別求出c層相對于口層的權重向量，利用式(6)，可得綜合權重向量W=[0．01，0．05，0．02，0．03，0．01，0．01，0．02，0．06，0．17，0．10，0．01，0．02，0．04，0．23，0．03，0．12，0．08]t

    5．2結果與分析

    根據指標的綜合權重，可以對該金融企業(yè)網絡進行安全評價，根據相關研究，網絡安全等級分為A、B、C、D共4個等級，分別對應于網絡安全級別為很高、較高、一般、較低。將安全級別總分設為1O分，則相應的安全級別及對應分值見表2所示。

    表2 網絡安全等級

    針對該金融企業(yè)網絡的運行情況，聘清專家針對各指標進行打分，然后利用公式對各單項指標進行加權綜合，計算公式為:

   Z=R*W

    式中z表示綜合評價分值；R表示各指標分值向量．w表示權重分值向量。

    經過對該金融企業(yè)網絡安全進行綜合評價，得到該企業(yè)網絡的綜合評分為9.01分，安全級別為A級，與該企業(yè)的網絡安全級別完全吻合。

6 結論分析

    本文從網絡安全評價難點人手，分析了定量方法在網絡安全評價領域中的不足，提出了利用層次分析法的網絡安全綜合評價模型。層次分析法是一種性能較高的定性與定量相結合的評價方法，在進行網絡安全評價時，可以最大限度地考慮到影響網絡安全的各種因素對網絡安全的影響。充分利用到專家的經驗、知識，能夠對網絡所面臨的安全風險狀況進行準確地綜合評價，是一種有效的評價方法。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：網絡安全綜合評價方法的應用研究

本文網址：http://www.guhuozai8.cn/html/consultation/1083952108.html