基于TOPSIS和GRA的信息安全风险评估

摘要/Abstract

摘要： 信息安全风险评估是一项非常重要的信息安全保障活动.依据信息安全相关标准，可从资产、威胁和脆弱性3方面识别出重要的风险因素，并确定相应的信息安全风险评估指标.参考等保2.0确定风险评估指标是一种可行的方法.在进行信息安全风险评估时，采用熵权法进行客观的指标赋权，并结合优劣解距离法(technique for order preference by similarity to ideal solution, TOPSIS)和灰色关联分析(grey relational analysis， GRA)进行综合评估.实例分析表明，依据信息熵进行客观赋权相对减少了主观因素的影响；基于TOPSIS和GRA进行信息安全风险评估，综合被评价对象整体因素和内部因素，较有效地将多项信息安全风险评估指标综合成单一评分，便于对多个被评对象进行信息安全风险的择优与排序.

关键词: 信息安全, 风险评估, 优劣解距离法, 灰色关联分析, 等级保护

Abstract: Information security risk assessment is very important in information security assurance. On the basis of information security standards, a risk assessment index can be made by analyzing assetthreatvulnerability factors. A feasible method is to refer to Baseline for Classified Protection of Cybersecurity version 2.0. A risk assessment method is proposed based on TOPSIS and GRA, using entropy weight. By case analysis, the entropy weight method reduces the subjective factor to some degree by setting the weights of the indicators according to the information entropy. The method based on TOPSIS and GRA takes into account both overall and internal factors and integrates multiple risk indicators into a single score, which facilitates the ranking and selection of information security risks.

Key words: information security, risk assessment, technique for order preference by similarity to ideal solution(TOPSIS), grey relational analysis(GRA), level protection

中图分类号:

TP309

马冬青, 崔涛, . 基于TOPSIS和GRA的信息安全风险评估[J]. 信息安全研究, 2024, 10(5): 474-.

参考文献

［1］国家市场监督管理总局, 国家标准化管理委员会. GBT 20984—2022信息安全技术信息安全风险评估方法［S］. 北京: 中国标准出版社, 2022［2］ISO, IEC. ISOIEC 154081: 2009 Information Technology—Security Techniques—Evaluation Criteria for IT Security—Part1: Introduction and General Model［S］. Geneva: ISO Copyright Office, 2009［3］ISO, IEC. ISOIEC 154082: 2008 Information Technology—Security Techniques—Evaluation Criteria for IT Security—Part2: Security Functional Requirements［S］. Geneva: ISO Copyright Office, 2008［4］ISO, IEC. ISOIEC 17799 Information Technology—Security Techniques—Code of Practice for Information Security Management［S］. Geneva: ISO Copyright Office, 2005［5］中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会. GBT 18336.1—2015 信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型［S］. 北京: 中国标准出版社, 2015［6］中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会. GBT 18336.2—2015 信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求［S］. 北京: 中国标准出版社, 2015［7］中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会. GBT 18336.3—2015 信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求［S］. 北京: 中国标准出版社, 2015［8］中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会. GBT 19716—2005信息安全技术信息安全管理实用规则［S］. 北京: 中国标准出版社, 2005［9］中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会.GBT 20984—2007 信息安全技术信息安全风险评估规范［S］. 北京: 中国标准出版社, 2007［10］国家市场监督管理总局, 中国国家标准化管理委员会. GBT 22239—2019 信息安全技术网络安全等级保护基本要求［S］. 北京: 中国标准出版社, 2019［11］国家市场监督管理总局, 中国国家标准化管理委员会. GBT 28448—2019 信息安全技术网络安全等级保护测评要求［S］. 北京: 中国标准出版社, 2019［12］王蔚. 基于有序加权和熵权的信息安全风险评估［J］. 项目管理技术, 2022, 20(5): 5559［13］林明. 信息安全风险评估模型及研究方法［J］. 中国管理信息化, 2022, 25 (9): 8688［14］方阳. 基于层次分析法和DS证据理论的电信网网络安全风险评估模型的研究与应用［D］. 北京: 北京邮电大学, 2010［15］张庆涛, 张涵, 李重阳, 等. 基于改进DS证据理论的信息系统风险评估的研究［J］. 信息安全研究, 2022, 8(9): 925930［16］王鑫. 贝叶斯神经网络在信息安全风险评估中的量化研究［D］. 贵阳: 贵州大学, 2019［17］王姣, 范科峰, 莫玮. 基于模糊集和DS证据理论的信息安全风险评估方法［J］. 计算机应用研究, 2017, 34(11): 34323436［18］文伟平, 郭荣华, 孟正, 等. 信息安全风险评估关键技术研究与实现［J］. 信息网络安全, 2015, 15(2): 714［19］潘雪霖, 陆佳星, 张武军, 等. 基于GBT 31509—2015的风险评估模型设计［J］. 信息安全研究, 2022, 8(1): 93100［20］卢赛. 信息系统安全风险评估技术的研究与应用［D］. 南京: 南京航空航天大学, 2021

[1]	赵佳璐, 李格菲, 葛晓囡, 朱磊, 韦宇星, 严毅恒, 阿依登·塔布斯, . 基于数据挖掘的等级保护测评数据再利用模型研究[J]. 信息安全研究, 2024, 10(4): 353-.
[2]	张骏飞, 张雄伟, 孙蒙, . 基于分治方法的声纹识别系统模型反演[J]. 信息安全研究, 2024, 10(2): 130-.
[3]	丁丽媛, . 金融机构ICT供应链信息安全风险分析及应对措施研究[J]. 信息安全研究, 2024, 10(1): 55-.
[4]	何晋昊, 陈韵然, 钟强, 程蕾, 金晨, . 全民健康数据安全治理解决方案[J]. 信息安全研究, 2023, 9(E2): 104-.
[5]	尘兴灿, 万明明, 王仲宇, 刘昊, 李程, . 智能网联汽车安全合规测试平台研究[J]. 信息安全研究, 2023, 9(E2): 109-.
[6]	黎水林, 陆臻, . 基于等级保护2.0标准的数据安全测评研究与实践[J]. 信息安全研究, 2023, 9(E1): 88-.
[7]	于奇, 郭振, 任世轩, 薛世豪, 霍全瑞, . 智能网联汽车信息安全分析及防护策略[J]. 信息安全研究, 2023, 9(E1): 121-.
[8]	霍全瑞, 边臣雅, 于奇, . 智能网联汽车近场通信安全研究与对策[J]. 信息安全研究, 2023, 9(E1): 159-.
[9]	陈芳仪, 王虎, . 一种改进的系统漏洞风险评估算法[J]. 信息安全研究, 2023, 9(E1): 183-.
[10]	李玲, 朱立东, 李卫榜, . 6G网络安全与隐私保护的研究现状及展望[J]. 信息安全研究, 2023, 9(9): 822-.
[11]	盛丹丹, . 基于大数据分析的隐私信息保护系统设计与实现[J]. 信息安全研究, 2023, 9(9): 914-.
[12]	刘璐, 朱越, 郭伟杰, 杜鑫, 周纯杰, . 工业互联网环境下智能仪表安全任务一体化调度方法研究[J]. 信息安全研究, 2023, 9(4): 321-.
[13]	覃锦端, 王月兵, 周杰, 毛菲, . 基于动态风险评估机制的零信任IAM架构设计[J]. 信息安全研究, 2023, 9(12): 1190-.
[14]	王志强, 黄玉洁, 庞舒方, 欧海文, . 面向远程医疗信息系统的认证密钥交换协议[J]. 信息安全研究, 2023, 9(11): 1102-.
[15]	王妮娜, 杨帆, 桑杰, 许雪姣, . 国内外分布式数字身份建设研究[J]. 信息安全研究, 2023, 9(10): 993-.