论文研究-基于多木桶模型的信息安全量化评估方案.pdf
需积分: 0 84 浏览量
2019-07-22
18:57:59
上传
评论
收藏 796KB PDF 举报
收稿日期: 2010唱09唱26; 修 回 日 期: 2010唱11唱16 基 金 项 目: 广 东 省 自 然 科 学 基 金 资 助 项 目 ( 06300905 ) ; 广 东 科 技 计 划 资 助 项 目
(2007B010200069,2009B090300326)
作者简介:巫建文(1963唱),男,广东龙川人,主任,教授级高工,硕士,主要研究方向为信息应用体系规划、管理与安全;王涛(1975唱),男,广西
合浦人,系主任,副教授,博士,主要研究方向为信息安全、安全协议 设 计与分 析 方法( filion @ tom.com) ;徐凌魁 (1970唱) ,男,河北邯郸 人,高 工,硕
士,主要研究方向为信息系统管理与安全;黎春武(1979唱),男,广东化州人,高工,硕士,主要研究方向为信息系统管理与安全.
基 于 多 木 桶 模 型 的 信 息 安 全 量 化 评 估 方 案
倡
巫建文
1
, 王 涛
2
, 徐凌魁
1
, 黎春武
1
(1.广东省交通档案信息管理中心, 广州 510101; 2.华南师范大学 计算机学院, 广州 510631)
摘 要: 提出基于木桶模型的信息安全评估方案;用特定计算实现木桶效应,再考虑现实安全系统的逻辑结构
对信息评估方案设计的影响,提出并实现了基于多木桶模型的信息评估方案和公式体系。 经实例数据分析验
证,所获得的评估方案更符合现实情况、能更准确地反映安全水平。
关键词: 信息安全; 安全评估; 量化评估; 木桶理论
中图分类号: TP309 文献标志码: A 文章编号: 1001唱3695(2011)05唱1914唱04
doi:10.3969 /j.issn.1001唱3695.2011.05.091
Assessment method of information security based on multiple cask model
WU Jian唱wen
1
, WANG Tao
2
, XU Ling唱kui
1
, LI Chun唱wu
1
(1.Traffic Archive & Information Management Center of Guangdong Provincial Traffic Administration Bureau, Guangzhou 510101, China;
2.School of Computer, South China Normal University, Guangzhou 510631, China)
Abstract: This paper proposed a new quantity assessment method for information security based on multiple cask model,which
considered and implemented the inflection of security system’s logic structure to the assessment method and formula.The as唱
sessment method proposed is more according to the real situation and reflect the security level more correctly.
Key words: information security; security assessment; quantity assessment; cask effect
信息网络安全量化评估方法对有效监控信息安全水平并
进行及时响应有重要意义。 现有的信息网络安全量化评估方
案,包括基于贝叶斯网络推理的
[1,2]
、基于层次分析法
[2 ~5]
、基
于 DS 证据理论
[6,7]
的不同方案,近年还出现了基于隐式马尔
可夫模型的评估方案
[8]
。 基于层次分析、基于贝叶斯网络推
理、基于 DS 证据理论的方案,是采用判定影响因素得分、影响
因素权重来计算影响目标的得分,经过逐次计算推导,算出最
终评估结果。 基于隐式马尔可夫模型的量化评估方案,其计算
方法也是采用类似加权求和进行计算。
这些现有信息安全评估方案,多数根据相对简单的因果传
递关系而设计,未体现信息安全领域的一些基本原则,未体现
出信息网络安全系统的内部结构关系,所设计出来的计算方
案,在计算模型和计算式中无法反映现实世界的具体情况,在
应用中存在一定的偏差。 因此,本文提出更接近现实情况的信
息安全评估计算模型,并以此为基础设计实现对应的计算公式
体系。
1 基于木桶模型的信息安全评估方法
木桶理论是信息安全的一个重要原则
[9]
,它描述了整体
信息安全水平不是由保护最完善的方面决定,而主要受到保护
方面最薄弱的环节所影响。
木桶效应,实际是多因素相互影响的结果,这种互相影响
的效应,在简单的加权累加公式中是难以准确描述的。 这导致
所设计出来的信息安全评估方案与实际情况和客观规律不符
合。 而根据计算多因素汇总评价的不同计算式特点
[10]
,本文
提出用以下公式实现木桶效应:
ξ
T
=[min ( ξ
i
) ×∏ξ
i
]
1 /n
×∑( W
i
×ξ
i
) /(∑W
i
) (1)
或 ξ
T
=
n
min ( ξ
i
) ×ξ
1
×ξ
2
×ξ
3
… ×
W
1
×ξ
1
+W
2
×ξ
2
+…
W
1
+W
2
+…
其中:ξ
T
为安全评估总分;ξ
i
为各单项评估分;W
i
为各单项权
重;n 为进行连乘的数目个数。
公式结构为:前半部分基本为几何平均值,但增加了一项
min(ξ
i
),以便更突出最低值的影响;后半部分为加权算术平均
值。 由于几何平均值可以更好地反映极小值的影响
[10]
,再加
上 min(ξ
i
)的作用,可以用数学公式实现木桶效应。
虽然木桶模型及上述计算公式可更好地说明信息安全系
统各方面保障措施对系统安全水平的影响,但这还不足以描述
一个现实的、复杂的安全系统的安全评估结果影响因素。 因
此,本文进一步提出了多木桶模型及相应的计算公式。
2 基于多木桶模型的安全评估方案
2畅1 多木桶模型
木桶效应可说明各个局部或单项与整个系统的相关性,但
简单木桶模型有两个缺陷: a) 假设各个方面在整个系统中的
地位和逻辑结构相同;b)每个组成方面的内部是均一的。
简单木桶模型,并不能完整地反映各个安全类别对系统总
第 28 卷第 5 期
2011 年 5 月
计 算 机 应 用 研 究
Application Research of Computers
Vol.28 No.5
May 2011
资源评论
