摘要
针对信息安全风险评估中参数评估值的不确定性问题,提出了一种基于灰色关联决策算法的信息安全风险评估方法.该方法首先分析了参数评估值的不确定性,将其分为灰色参数值和缺失参数值两类.其中,根据实际情况和历史统计数据,缺失参数评估值可能满足3种分布:均匀分布、指数分布和正态分布.然后根据相应的先验估计对缺失参数评估值进行填充.填充后使用灰色关联决策算法对信息系统进行安全风险评估.最后通过算例证明了该方法的有效性.结果表明:该方法不仅可以较好地处理评估过程中参数值的不确定性问题,减少评估过程中的主观性,还可以方便地对不同信息系统的安全性进行比较,为信息安全风险评估给出了一种新思路.
An approach based on grey system theory is put forward to evaluate information system security for solving uncertainty in parameter values. Firstly, uncertainty in parameter values is analyzed and classified to grey parameter values and vacant parameter ones. According to the actual condition and history statistical data, the vacant parameter values may meet three kinds of distributions: uniform distribution, exponential distribution, and normal distribution. The corresponding prior estimates are given to fill them up. Then, the algorithm of grey relational decision-making is applied to estimate information security risk. The study of an example proves the validity of this method. And the results show that the approach can properly deal with uncertainty in parameter values, decrease the subjectivity in evaluation process, and easily rank each information system by security level. It brings a new thought to information security risk assessment approaches.
出处
《东南大学学报(自然科学版)》
EI
CAS
CSCD
北大核心
2009年第2期225-229,共5页
Journal of Southeast University:Natural Science Edition
基金
江苏省自然科学基金资助项目(BK2007708)
江苏省网络与信息安全重点实验室资助项目(BM2003201)
计算机网络和信息集成教育部重点实验室资助项目(93K-9)
科技部国际科技合作资助项目
关键词
信息安全风险评估
灰色关联决策算法
不确定性
information security risk assessment
grey relational decision-making algorithm
uncertainty
