[发明专利]一种计算机信息安全模糊风险评估系统和方法

说明书

技术领域

本发明涉及一种计算机信息安全模糊风险评估系统和方法，属于信息安全领域，具体涉及一种信息安全风险评估。

背景技术

现有的信息系统安全评估方式可大致归结为安全审计、风险分析、系统安全工程能力成熟度模型(SSE2CMM)和安全测评等四类。风险分析模型从风险控制角度进行安全评估，它通过概率统计得出网络系统安全性的度量；安全测评更多地从安全技术、功能角度来进行系统的安全评估；安全审计、SSE2CMM模型等风险评估方法也都是从系统安全的某一方面出发，只着重于评估网络系统安全某方面的实践规范。在实际的评估过程中，评估人员常常是采用解析的方法，将复杂的评估对象分割成若干个相对简单的评估要素，然后由各评估要素的评估结果，推算出评估对象的风险。由于在元素解析操作上存在主观随意性，缺乏统一的、系统化的安全评估框架，这些评价方法中，评估准则和指标难以量化。

为了尽可能减少人为因素，本发明提出了一种量化的安全评估方法，充分考虑到评估要素之间的关系，通过引入模糊计算技术，建立各要素的隶属关系表和权重表，从而减少主观因素，做到使评估结果尽量的客观公正。

发明内容

为了克服现有技术结构的不足，本发明提供一种计算机信息安全模糊风险评估系统和方法。

本发明解决其技术问题所采用的技术方案是：

本发明针对一个评估对象可以被分解成若干个评估要素(或子对象)的情况下，给出一种由各评估要素(或子对象)的评估结果得到评估对象的模糊风险的方法。具体发明内容包括：

一种计算机信息系统模糊风险评估系统，包含：

根据用户对评估要素的风险判断，计算出该评估要素的模糊级别隶属程度。将所有的评估要素的隶属程序向量合起来，组成一个模糊风险矩阵的模糊风险矩阵计算器；

根据模糊风险矩阵计算器输出得到的所有评估要素的模糊风险矩阵，和用户输入的评估要素的权重向量，计算整个系统的模糊风险的综合风险计算器；

根据综合风险计算器系统输出的综合模糊风险，以及用户建立的风险等级标准，计算整个系统的风险确定性量值的系统风险量化器。

模糊风险矩阵计算器连接综合风险计算器；综合风险计算器连接系统风险量化器。

一种计算机信息系统模糊风险评估方法，包括以下步骤：建立风险影响等级标准，对象解析并建立权重，建立模糊风险矩阵，计算模糊综合风险和量化综合风险。

一种计算机信息系统模糊风险评估方法，包括：

模糊风险矩阵计算步骤；

综合风险计算步骤；

系统风险量化步骤。

本发明的有益效果；本发明充分考虑到评估要素之间的关系，通过引入模糊计算技术，建立各要素的隶属关系表和权重表，从而减少主观因素，提高了评估结果的客观公正性。

附图说明

图1是本发明的工作流程示意图。

图2是本发明的系统结构示意图。

下面结合附图对本发明实现作进一步说明。

具体实施方式

实施例1：

一种计算机信息系统模糊风险评估系统(如图2)，有模糊风险矩阵计算器，根据用户对评估要素的风险判断，计算出该评估要素的模糊级别隶属程度，它具有以下输入：

1)评估要素标识(ID)，

2)该评估要素所属级别的判别向量(d₁，d₂，…，d_n)。d_i表示评估要素属于级别i(0≤i≤n，n表示用户设定的风险标准等级数)的估计分值(0≤d_i≤10)，对于每个评估要素，其输出是一个评估要素模糊级别隶属向量。如果有k个评估要素，则得到一个k×n的模糊矩阵，记为模糊风险矩阵R。

如果用户设定的风险等级标准为一个7分位的等级{0，0.1，0.3，0.5，0.7，0.9，1}，主要部件的实施方式如下：

1、模糊风险矩阵计算器的实施方式：

设用户输入的风险等级向量为{d₁，d₂，…，d₇}，其中d_i表示评估要素对于风险影响标准的7分位风险级别中的级别i的隶属估计分值(0≤d_i≤10)。则该评估要素的模糊风险矩阵为{r₁，r₂，…，r₇}，其中r_i按如下的方法计算：