基于模糊证据理论的信息系统安全风险评估研究

doi:10.3969/j.issn.1671-1122.2017.05.011

信息网络安全 ›› 2017, Vol. 17 ›› Issue (5): 69-73.doi: 10.3969/j.issn.1671-1122.2017.05.011

基于模糊证据理论的信息系统安全风险评估研究

董晓宁¹, 赵华容¹(), 李殿伟¹, 王甲生²

1. 海军参谋部,北京 100841
2. 海军工程大学信息安全系,湖北武汉 430033

收稿日期:2017-02-21 出版日期:2017-05-20 发布日期:2020-05-12
作者简介:
作者简介：董晓宁（1964—）,男,河北,高级工程师,硕士,主要研究方向为信息系统安全防护;赵华容（1977—）,女,山西,工程师,本科,主要研究方向为信息安全;李殿伟（1965—）,男,河南,高级工程师,本科,主要研究方向为装备维修;王甲生（1984—）,男,陕西,讲师,博士,主要研究方向为大数据安全与隐私保护。
基金资助:
湖北省自然科学基金[2015CFC867]

Research on Information Systems Security Risk Assessment Based on Fuzzy Theory of Evidence

Xiaoning DONG¹, Huarong ZHAO¹(), Dianwei LI¹, Jiasheng WANG²

1. Naval Staff, Beijing 100841, China
2. Department of Information Security, Naval University of Engineering, Wuhan Hubei 430033, China

Received:2017-02-21 Online:2017-05-20 Published:2020-05-12

摘要/Abstract

摘要：

针对系统风险评估过程中存在的如评估数据缺乏、知识不完备、系统建模不完整及风险识别不充分等不确定性因素,文章提出了一种将模糊数学理论与证据理论相结合的风险评估方法。首先,给出了信息系统风险评估的定义,讨论了信息系统的风险分析与预测模型;然后,将传统证据理论向模糊集推广,利用模糊集的隶属函数构造证据理论中的基本概率赋值函数,评估指标的基本支持度的确定即为各项指标对于评语集的隶属程度,从而建立起一个从指标集到评估标准的模糊关系,有效解决了证据理论中基本概率赋值函数不易确定的问题;最后,给出了某办公自动化信息系统的风险评估实例,验证了文中所提方法的合理性。实例表明,该方法可行有效,能够为信息系统风险控制和安全防御提供有力的数据支撑。

关键词: DS证据理论, 模糊集, 信息系统, 风险评估

Abstract:

Considering that there are many uncertainty factors in the process of information systems security risk assessment, such as lack of evaluation data, incomplete knowledge and system modeling, inadequate risk identification, method based on fuzzy theory of evidence was presented. Concepts of related risk assessment were introduced firstly, and calculation model for the information systems risk assessment was established after that. And then fuzzy sets were introduced into theory of evidence. The basic probability assignments which are core to theory of evidence were constructed using the membership function of fuzzy sets. When the fuzzy relations between risk indexes set and evaluation standard, the problem that the basic probability assignments were difficult to determine was solved. Moreover, the result is more reasonable. An illustration example dedicates that the method was feasible and effective, and provides reasonable data for constituting the risk control strategy of the information systems security.

Key words: DS theory of evidence, fuzzy sets, information systems, risk assessment

中图分类号:

TP393

董晓宁, 赵华容, 李殿伟, 王甲生. 基于模糊证据理论的信息系统安全风险评估研究[J]. 信息网络安全, 2017, 17(5): 69-73.

Xiaoning DONG, Huarong ZHAO, Dianwei LI, Jiasheng WANG. Research on Information Systems Security Risk Assessment Based on Fuzzy Theory of Evidence[J]. Netinfo Security, 2017, 17(5): 69-73.

图/表 2

参考文献 13

[1]	滕希龙,曲海鹏.基于区间值直觉模糊集相似性的信息安全风险评估方法研究 [J]. 信息网络安全,2015(5):62-68.
[2]	葛海慧, 郑世慧, 陈天平, 等. 信息安全威胁场景模糊风险评估方法[J]. 北京邮电大学学报,2013,36(6): 89-92.
[3]	吴叶科,宋如顺, 陈波. 基于梯形模糊AHP的信息安全风险综合评估[J]. 计算机工程与应用,2011,47(34):111-113.
[4]	SHAFER G.A Mathematical Theory of Evidence[M]. Princeton: Princeton University Press, 1976.
[5]	阮慧, 党德鹏. 基于RBF模糊神经网络的信息安全风险评估[J]. 计算机工程与设计,2011,32(6):2113-2115.
[6]	韩德强, 杨艺, 韩崇昭. DS证据理论研究进展及相关问题探讨[J]. 控制与决策, 2014,29(1):1-11.
[7]	高君丰,崔玉华,罗森林,等.信息系统可控性评价研究[J]. 信息网络安全,2015(8):67-75.
[8]	NABIPOUR M, RAZAZ M, SEIFOSSADAT S G, et al.A Novel Adaptive Fuzzy Membership Function Tuning Algorithm for Robust Control of A PV-based Dynamic Voltage Restorer (DVR)[J]. Engineering Applications of Artificial Intelligence, 2016, 53(C): 155-175.
[9]	束柬,梁昌勇. 基于DS理论的多源证据融合云安全信任模型[J]. 计算机科学,2016, 43(8):105-109.
[10]	LIN Guoping, LIANG Jiye, QIAN Yuhua.An Information Fusion Approach by Combining Multigranulation Rough Sets and Evidence Theory[J]. Information Sciences, 2015, 314(1): 184-199.
[11]	何明亮,陈泽茂,左进. 基于多窗口机制的聚类异常检测算法[J]. 信息网络安全,2016(11):33-39.
[12]	马刚, 杜宇鸽, 荣江, 等. 基于威胁传播的复杂信息系统安全风险评估[J]. 清华大学学报(自然科学版),2014,54(1):35-43.
[13]	文伟平,郭荣华,孟正,等. 信息安全风险评估关键技术研究与实现[J]. 信息网络安全,2015(2):7-14.

[1]	刘永磊, 金志刚, 郝琨, 张伟龙. 基于STRIDE和模糊综合评价法的移动支付系统风险评估[J]. 信息网络安全, 2020, 20(2): 49-56.
[2]	郑国刚. 重要信息系统安全检查实施方法与技术措施[J]. 信息网络安全, 2019, 19(9): 16-20.
[3]	王庆, 屠晨阳, shenjiahui@iie.ac.cn. 侧信道攻击通用框架设计及应用[J]. 信息网络安全, 2017, 17(5): 57-62.
[4]	顾春华, 高远, 田秀霞. 安全性优化的RBAC访问控制模型[J]. 信息网络安全, 2017, 17(5): 74-79.
[5]	梁智强, 林丹生. 基于电力系统的信息安全风险评估机制研究[J]. 信息网络安全, 2017, 17(4): 86-90.
[6]	李殿伟, 何明亮, 袁方. 基于角色行为模式挖掘的内部威胁检测研究[J]. 信息网络安全, 2017, 17(3): 27-32.
[7]	曾瑜, 郭金全. 工业控制系统信息安全现状分析[J]. 信息网络安全, 2016, 16(9): 169-172.
[8]	李涛, 张驰. 基于信息安全等保标准的网络安全风险模型研究[J]. 信息网络安全, 2016, 16(9): 177-183.
[9]	高君丰, 崔玉华, 罗森林, 焦龙龙. 信息系统可控性评价研究[J]. 信息网络安全, 2015, 15(8): 67-75.
[10]	滕希龙, 曲海鹏. 基于区间值直觉模糊集相似性的信息安全风险评估方法研究[J]. 信息网络安全, 2015, 15(5): 62-68.
[11]	文伟平, 郭荣华, 孟正, 柏皛. 信息安全风险评估关键技术研究与实现[J]. 信息网络安全, 2015, 15(2): 7-8.
[12]	吉晨,李小强,柳倩. 地理信息系统中的结构化数据保护方法[J]. 信息网络安全, 2015, 15(11): 71-76.
[13]	何鹏程, 方勇. 一种基于Web日志和网站参数的入侵检测和风险评估模型的研究[J]. 信息网络安全, 2015, 15(1): 61-65.
[14]	王星河，余洋，夏春和. 面向网络协同防御的动态风险评估模型[J]. 信息网络安全, 2014, 14(9): 39-43.
[15]	章恒，禄凯. 构建云计算环境的安全检查与评估指标体系[J]. 信息网络安全, 2014, 14(9): 115-119.

基于模糊证据理论的信息系统安全风险评估研究

Research on Information Systems Security Risk Assessment Based on Fuzzy Theory of Evidence

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 2

参考文献 13

相关文章 15

编辑推荐

Metrics

本文评价