一种基于熵权和模糊集理论的信息系统风险评估方法

开篇：润墨网以专业的文秘视角，为您筛选了一篇一种基于熵权和模糊集理论的信息系统风险评估方法范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

〔摘 要〕针对信息系统安全风险评估的准确性问题，提出一种熵权理论与模糊集理论相结合的信息系统安全风险评估方法。该方法通过模糊集理论对信息系统所涉及的风险因素进行分析，构造各因素所对应评判集的隶属度矩阵；然后采用熵权系数法确定风险因素权重以减少主观偏差并输出信息系统安全风险等级。通过实例分析，证明该方法能较准确地量化评估信息系统风险，是一种有效、可行的评估方法。

〔关键词〕熵权；信息系统；风险评估；模糊集合；指标权重

信息系统作为国家信息化建设的重要组成部分，其安全问题涉及国家和信息系统用户的根本利益，然而就在整个信息化程度日益加深、技术进步为大家带来惊喜的同时，信息系统所面临的安全风险和威胁亦日趋严重。为保障信息系统安全与正常运行，则须找出可能导致其瘫痪的重大缺陷，而解决该问题的有效途径之一则是对其进行安全风险评估。综合国内外研究文献来看，信息系统风险评估主要依靠层次分析法、模糊综合评判法、BP神经网络法、灰色综合评价法和矩阵分析法等多种方法，目前已取得了一些研究成果[1-4]。信息系统的安全风险评估涉及资产识别、威胁识别、脆弱性识别、风险识别和风险大小的量化等，工作极富艰巨性。其中，风险的量化是非常重要的环节，直接关系到对风险状况的正确认识、安全投入的多少和安全措施部署的优先顺序[5]。由于信息系统风险包含大量模糊的、不确定性的影响因素且相互关联，相应信息不完全，使得运用传统方法评估其安全风险存在很大困难，极易降低评估的准确性。因此，针对该问题，在已有的多种评估方法基础上结合信息论中的熵权理论来对信息系统安全问题进行新视角的定量分析[6]。

1 信息系统安全风险评估基础信息系统的安全风险是客观存在的，其源自自然或人为的威胁利用信息系统存在的脆弱性造成安全事件的发生。风险评估的目的是运用科学的方法和手段系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提供有针对性的、有效的防护对策和整改措施[7]。根据BS7799标准[8]定义，风险是指威胁主体利用资产的脆弱性对其造成损失或破坏的可能性。信息安全风险R被表示为资产、威胁和脆弱性的函数，即R=g（a，t，v），其中：a为资产影响；t为对系统的威胁频度；v为脆弱性严重程度。GB/T20984-2007将资产影响、威胁频度、脆弱性严重程度均定义为5个等级[9]，具体表述为：很高、高、中、低、很低。