信息安全风险评估论文

要从抓试点开始，逐步探索组织实施和管理的经验，用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作。信息安全保障本质上是风险管理的工作，信息安全风险和事件不可能完全避免，关键在于如何控制、化解和规避风险。下面是小编整理的《信息安全风险评估论文(精选3篇)》，仅供参考，大家一起来看看吧。

信息安全风险评估论文 篇1：

《信息安全风险评估》课程教学探讨

摘要：信息安全风险评估是构建信息安全保障体系的重要手段，通过该课程的教学能培养学生分析信息系统，评估其面临的安全威胁及安全风险的能力，进而采取相应的安全措施。从信息安全风险评估课程的教学现状出发，分析了课程特点，对该课程的教学从多个方面进行了探讨。

关键词：信息安全；风险评估；教学

信息安全风险评估是进行信息安全管理的重要依据，通过对信息系统进行系统的风险分析和评估，发现存在的安全问题并提出相应的措施，这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》，对信息安全风险评估提出了具体的要求；欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段；2003年7月23日，国家信息中心组建成立“信息安全风险评估课题组”，提出了我国开展信息安全风险评估的对策和办法。2004年，国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准；2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求，同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学，是信息安全专业一门重要的专业课程，能全面培养学生综合运用专业知识，评估并解决信息系统安全问题的能力，是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强，课程发展十分迅速，涉及的学科范围也较广，传统的教学的模式不能使该课程的特点很好地展示出来，无法适应社会经济发展对信息安全从业人员的新要求，教学改革势在必行。

一、现状与存在的问题

信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的安全威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南，用来确定合适的管理方针和选择相应的控制措施来保护信息资产，全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来，高校在制订本科专业教学培养目标和教学计划时，侧重于具体安全理论和技术的教学和讲授，特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看，多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上，而且教学课时数也较少，只有十个学时。当前从《信息安全风险评估》课程的教学情况来看，该课程在信息安全教育教学过程中地位有待提高，实践教学的建设与研究迫切需要深化。

当前该课程的教学实践中普遍存在以下几个方面的问题，严重制约了《信息安全风险评估》课程教学质量的提高：

1.本科教学大都以理论内容为主体，实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主，实验和课程设计的学时较少，实验内容也大多属于验证性质，缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计；

2.教学方法单一，缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少，师资力量相对薄弱，教学经验也比较缺乏，仍以主要由教师讲述的传统教学方式为主，学生进行具体实践和操作的课时较少，缺乏创新性的教学和研究，基本没有具有探索性和创新性特点的教学内容，不利于发挥学生主观能动性，提高其创新能力；

3.实验环境无法满足教学需求，缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚，缺乏相关的实验设备；而且受到资金和专业发展等多方面因素的制约，难以设立专门的信息安全风险评估实验室。此外，信息安全风险评估是以计算机技术为核心，涉及管理科学、安全技术、通信和信息工程等多个学科，对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识，又要加强实践训练。

二、教学改革与探索

高校计算机相关专业开设《信息安全风险评估》课程，不是培养网络信息安全方面的全才或战略人才，而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足，我们从以下几个方面对该课程的教学改革进行了探索：

1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力：《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程，目前开设该课程的高校较少，各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险，同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力：信息安全风险评估的关键是对信息系统的资产进行分类，对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法，包括使用各种自动化和半自动化的工具，可在模拟实验里，通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力：随着信息化的不断发展，信息系统所面临的安全威胁急剧增加，为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准，培养和提高学生继续学习的能力。另外，《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力，培养学生对信息安全风险评估领域进行探索和研究的兴趣，最终使学生掌握信息安全风险评估的知识和技能，能够解决具体信息系统的安全问题。

2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办发布《关于开展信息安全风险评估工作的意见》（国信办2006年5号文）；同时，随着信息安全等级保护制度的推行，公安部会同有关部门出台了一系列政策文件，主要包括：《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等；国家信息安全标准化委员会颁发了《信息安全风险评估规范》（GB/T 20984~2007）、《信息系统安全等级保护基本要求》（GB/T 22239-2008）等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现，我们在教学过程中，增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T

22080-2008信息安全管理体系要求》、《GB/T22081-

2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习，并编制相关的调查、检查、测试表，重点强调对脆弱性检测的理论依据的描述，检测方法及其步骤的详细记录。

3.利用各种测评工具，提高学生实践能力。在信息安全风险评估过程中，资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具，并对具体的信息系统进行自动化或半自动化的分析，加深了学生信息安全风险评估的理论知识理解，同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估，该系统的服务器存在感染病毒的症状，其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描，发现了“远程代码被执行”漏洞，而且该漏洞能被蠕虫病毒利用，形成针对系统的攻击。通过案例特征提供了的信息，培养学生使用测评工具对具体信息系统进行安全风险评估的能力，并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。

笔者结合自己的教学实践体会，论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程，需要不断地根据信息系统在新环境下面临的各种威胁，制定新的评估标准和评估方案，并使得学生在有限的时间和環境下掌握相应的知识和技能，以满足社会对信息安全人才的需求。

参考文献：

[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010，26（8）：6-8.

[2]杨春晖，张昊，王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密，2007，（12）：75-77.

[3]潘平，杨平，罗东梅，何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

基金项目：本文得到南京信息工程大学第七期重点教改课题（N1885010039）的资助。

作者简介：任勇军（1974-），男，河北承德人，博士，南京信息工程大学计算机与软件学院讲师，南京航空航天大学博士后，主要从事信息安全和网络安全的研究。

作者：任勇军,郑关胜,李含光

信息安全风险评估论文 篇2：

健康有序地推进信息安全风险评估工作

要从抓试点开始，逐步探索组织实施和管理的经验，用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作。

信息安全保障本质上是风险管理的工作，信息安全风险和事件不可能完全避免，关键在于如何控制、化解和规避风险。27号文件提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”

《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》指出，信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析网络和信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而为最大限度地保障网络和信息安全提供科学依据。

对于信息安全风险评估工作，可以从以下几个方面加以认识和理解：风险评估是分析确定风险的过程，是信息安全建设的起点和基础，也是信息安全建设和管理的科学方法。风险评估实际上是在倡导一种适度安全，重视风险评估是信息化发达国家的重要经验。

信息安全风险评估分为自评估和检查评估两种形式。27号文件明确了“谁主管谁负责，谁运营谁负责”的信息安全管理原则。根据这个原则，网络和信息系统的拥有、运营、使用单位应该负起信息安全保障的主要责任。

信息安全保障工作是一个过程，不可能一蹴而就，也不可能一劳永逸，并且信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，一旦处理不当，反而可能引入新的风险，为此，《意见》提出，信息安全风险评估工作应当贯穿信息系统全生命周期，各信息化和信息安全主管部门要高度重视对风险评估工作的组织领导，切实加强对风险评估工作的管理，抓紧制定贯彻落实的办法，积极稳妥地推进。要从抓试点开始，逐步探索组织实施和管理的经验，用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作，全面提高我国信息安全的科学管理水平，提升网络和信息系统安全保障能力。

要健康有序地推动我国信息安全风险评估的开展，必须加强信息安全风险评估的基础性工作。信息安全风险评估工作在我国尚处于起步阶段，开展这项工作要特别注意依据科学的流程，要有一系列标准作为参照。《意见》提出，要加快制定和完善信息安全风险评估有关技术标准，尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准，各行业主管部门也可根据本行业特点制定相应的技术规范。开展信息安全风险评估，需要一系列专门的工具、设备和科学方法，因此，《意见》提出，要加强信息安全风险评估核心技术、方法和工具的研究与攻关。

围绕着《意见》的贯彻落实，国务院信息办今年将着重抓好以下三方面的工作：

一是组织《意见》宣传贯彻，拟分批在北京和云南召开宣贯会，组织专家就意见的主要精神进行宣讲。同时，积极推动信息安全风险评估指南的颁布。

二是组织成立信息安全风险评估专家组。专家组的任务重点是抓好信息安全风险评估的技术培训、技术交流和教材的编写；同时，开展面上的调研和指导，为各地各部门的信息安全风险评估工作提供技术咨询。专家组的秘书处设在国家信息中心网络安全部。

三是抓好基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工作。

（本文根据作者在信息安全风险评估文件宣贯会上的发言整理）

信息安全风险评估论文 篇3：

基于模糊层次分析的电子政务信息安全风险评估研究

本文对电子政务信息安全风险评估进行了深入的分析,并通过建立新的评估方法,为实现电子政务信息安全风险的评估提供理论依据。但电子政务信息安全是个很复杂的问题,电子政务信息安全风险评估要求研究者在管理、计算机科学、数学等领域要有很深的了解,才能做到电子政务信息安全风险的评估是系统的、科学的。

20世纪90年代以来,信息技术飞速发展,尤其是互联网技术的普遍应用,使信息化成为各国普遍关注的最重要的领域之一。2006年中共中央办公厅、国务院办公厅印发了《2006—2020年国家信息化发展战略》,提出了到2020年我国信息化发展的战略目标。同时推动了政府信息化的建设,随着电子政务所承载的信息资源的增加和开放程度的加深,逐渐地带来了不少的安全威胁和安全隐患。因此信息安全风险评估问题越来越受到人们的重视,使人们意识到寻求一种有效的解决方案来应对这些威胁和风险。

国内外信息安全风险评估研究

风险评估最早于20世纪五六十年代开始应用于欧美核电厂的安全性评估中,随后在发达国家的航天工程、化学工业、环境保护、医疗卫生、交通运输、国民经济等众多领域得到推广和应用。电子政务信息安全是经济与社会信息化的先决条件之一,是国家信息化建设的重要内容。如何保证电子政务信息安全的可靠性,国内外很多学者对信息安全问题从信息安全的不同方面和不同角度进行了研究。通过文献查阅,举例比较、分析说明几种发展比较成熟的方法的优缺点如表1所示:

表1 各种方法的比较

电子政务信息安全风险评估要素模型的改进

根据对信息安全风险评估要素模型的研究,将模型作个对比分析:国际标准ISO 13335-1 中的信息安全风险评估要素模型是个一般的信息安全风险评估要素模型,模型中简单地介绍了威胁、脆弱性、资产、安全措施、资产、影响对风险的关系;国际标准ISO 15408在ISOISO 13335-1的基础之上增加了资产的所有者因素,并将安全措施改成对策,核心讨论了资产、弱点、威胁、风险、对策之间的关系;2005年,我国国务院信息化工作办公室发布的《信息安全风险评估指南》增加了围绕资产进行的业务战略、安全事件及残余风险,并讨论了它们与资产、弱点、威胁、风险、安全需求、安全措施的关系。电子政务信息的安全不同于一般的信息安全,具有特殊性,是国家与人民关注的重点,依据ISO 13335-1、ISO 15408、《信息安全风险评估指南》对电子政务信息安全评估要素模型进行改进。改进后的评估要素关系模型,如1所示:

图1 电子政务信息安全评估要素模型的改进

电子政务信息安全风险评估指标体系的构建

电子政务信息安全风险评估目前没有一个完全统一的评估指标体系,在评估时依据评估标准进行合适的筛选,以适应评估的需要。在依据国际标准ISO/IEC 17799《信息安全风险管理细则》、NIST SP800-26《信息技术风险安全自评估指南》、NIST SP800-53《美国联邦信息系统最低安全控制准则》和我国的《信息安全风险评估指南》以及查阅相关文献,充分考虑电子政务信息安全的特殊性,并结合改进后的电子政务信息安全风险评估要素关系模型,将技术、管理、人员、软件、硬件、信息资产合理融合,建立电子政务信息安全风险评估的指标体系。

为了全面客观地评估电子政务信息安全风险,本文设计了电子政务信息安全风险评估指标体系,建立了物理环境安全(A1)(机房访问策略(A11)、物理设施(A12)、温湿度(A13)、物理监控(A14)、电源安全(A15))、网络设备安全(A2)(网线(A21)、集线器(A22)、路由器(A23)、服务器(A24)、网络接口(A25))、人员安全(A3)(人员安全管理制度(A31)、人员能力(A32)、人员安全意识(A33)、人员岗位职责(A34)、身份认证(A35)、权限管理控制(A36))、通信操作安全(A4)(防火墙控制(A41)、防病毒软件升级(A42)、介质安全(A43)、配置管理(A44)、入侵检测(A45)、网络隔离(A46)、通信加密(A47)、文档(A48)、重要信息分类(A49)、数据备份(A410))、组织安全战略(A5)(信息安全组织机构(A51)、组织安全意识(A52)、安全保障能力(A53)、预警能力(A54)、组织安全教育与培训(A55)、信息安全发展规划(A56))、系统安全(A6)(操作系统访问控制(A61)、数据库访问控制(A62)、应用系统访问控制(A63)、系统开发与维护(A64))六个维度的指标体系,较全面地反应电子政务信息安全风险评估。

指标体系的效度是评估指标对评估对象的评估程度的评估反映并反映评价目的的达成。在电子政务信息安全风险评估指标确立中,如果确立指标不能反映评估对象的特性要求,则称该指标体系不具有高的效度。效度分为内容效度和结构效度,一般评价指标效度评定使用“内容效度比”,内容效度又称表面效度或逻辑效度,它是指所设计的题项能否代表所要测量的内容或主题。内容效度评定一般通过经验判断进行,通过熟悉该领域的工作者或专家来评判,并确定所确立的指标与测量内容范畴之间关系密切程度。内容效度缩写为CVR。它的计算公式为:

(1)

式中:ne为评价主体中认为某指标能够很好表示测量对象的数量;N为评价主体总人数。

一般认为当某指标适合的评价人数超过一半时,CVR就是正值;当评价主体中认为某指标适当与不合当的人数各占一半时,CVR=0;若所有评价主体都认为某指标不适当时,则CVR=-1,反之,CVR=1。在本研究中,找到了十五位专家对评估指标进行评估,经过分析如下图所示:

图2A11-A36的CVR值

图3A41-A64 的CVR值

在研究中,取指标值大于0.4以上的,经过上面的分析显示,网线(A21),网络接口(A25)远远小于0.4,所以应该将这二个指标删除,所以电子政务信息安全风险评估的指标集为表2。

表2电子政务信息安全风险评估指标体系

基于模糊层次分析的电子政务信息安全风险评估模型

(一)基于层次分析法的电子政务信息安全风险评估模型

层次分析法是美国匹兹堡大学教授A.L.Saaty于20世纪70年代提出的一种系统分析法。1977年举行的第一届国际数学建模会议上,Saaty教授发表了《无结构决策问题的建模——层次分析理论》。AHP是一种能将定性分析与定量分析相结合的系统分析法。对于不可能建立数学模型进行定量分析,它是分析多目标、多准则的复杂大系统的有力工具,具有思路清晰、方法简便、系统性强的特点。

解决问题的思路,首先,把要解决的问题分层化,即根据问题的性质和要达到的目标,将问题分解成为不同的组成因素,按照因素之间的因素影响和隶属关系将其分层聚类组合,形成了一个递阶的、有序的层次结构模型;然后,对模型中每一层次每一因素的相对重要性,依据人们对客观现实的判断给予定量表示,再利用数学方法确定每一层次全部因素相对重要性次序的权值;最后,通过综合计算各层因素相对重要性的权值,得到最低层相对于最高层的相对重要性次序的组合权值,以此作为评价和选择方案的依据。

1、建立层次结构模型

首先将所有的因素进行分级,每一组作为一个层,按照最高层、相关的中间层和最低层的形式排列起来。最高层表示解决问题的目的,即目标层;中间层表示采用某种方法或措施来实现即定目标层所涉及的中间过程,一般又分为策略层、约束层、准则层;最低层,表示解决问题的方法或措施。

图4 递阶的层次结构模型

根据电子政务信息安全风险评估指标集,将电子政务信息安全风险评估分为三个层次:第一层次为总目标层,即电子政务信息安全风险评估(A);第二层为准则层,包括六大方面;第三层为指标层共34项。电子政务信息安全风险评估的层次结构模型如图5所示:

图5 层次结构模型

2、构造判断矩阵

判断矩阵表示针对上一层次某因素而言,本层次与之相关的各因素之间的相对重要性。假定C层中因素Ck与下一层次中因素A1,A2,......An有联系,则构造的判断矩阵如下所示:

表3判断矩阵

其中,aij是对于Ck而言,Ai对Aj的相对重要性的数值表示,通常aij 取1,2,3,...9及他们的倒数,其含义为aij=3 ,表示Ai与Aj一样重要;aij=5,表示Ai比Aj稍微重要;aij=7,表示Ai比Aj明显重要;aij=9,表示Ai比Aj绝对重要。它们之间数2,4,6,8及各数的倒数具有相应的类似意义。

采用1~9的比例标度的依据是:其一,心里学的实验表明,大多数人对不同事物在相同属性上差别的分辨能力在5~9级之间,采用1~9的标度反映了大多数人的判断能力;其二,大量的社会调查表明,1~9的比例标度已为人产所熟悉和采用;其三,科学家考察和实践表明,1~9的比例标度已完全能区分引起人感觉差别的事情的各种属性。

3、权重计算

AHP的计算根本问题就是如何计算判断矩阵的最大特征根及其对应的特征向量,可采用方根方法。

1)A的元素按行相乘;(1)

(2)

3)将方根正规化,即得特征向量W,(3)

(4)

4、一致性检验

CI为层次总排序一致性指标;RI为层次排序平均随机一致性指标;CR为层次总排序随机一致性比例。计算公式如下

(5)

RI如表所示:

表4矩阵的平均随机一致性指标

当时,认为层次总排序的计算结果具有满意的一致性。

(二)基于模糊综合评价的电子政务信息安全风险评估模型

电子政务信息安全风险的评估采用模糊数学中模糊综合评判来评估。模糊综合评判是在模糊的环境中,考虑了多种因素的影响,关于某种目的对某事物作出的综合决断或决策。

设为n种因素构成的集合,称为因素集;为m种决断所构成的集合,称为评判集。一般地,各因素对事物的影响是不一致的,故因素的权重分配可视为U上的模糊集,记为

ai表示第i个因素ui的权重,它们满足规一化条件:。

另外,m个决定也并非都是绝对的肯定和否定,因此综合后的评判也应看作为V上的模糊集,记为,其中bj反映了第j种决断在评判总体V中所占的地位。

1、确定隶属度

用隶属度分别描述各子因素相对于评判集V的隶属程度,得出单因素模糊评判矩阵

(7)

其中,表示第个一级评估指标下的第个二级指标隶属于第个评判等级的程度,为一级指标的数目,为第个一级指标下的二级指标的数目,为评判集中评语的数目,的意义及求法如下:

首先对每个被评估的子因素进行评定,然后通过统计整理的方法得到相对于子因素的若干个评语:其中包括个V1级评语,Uij2个V2级评语……,以及Uijn个Vn级评语,则子因素层指标Uij隶属于第Vk级评语的程度,即隶属度为:

(8)

则子因素层指标Uij的隶属度向量为:,由此可得。

2、综合评判

1)一级模糊综合评判——利用模糊算子确定模糊关系矩阵 ,其中,

(9)

为第个一级指标所属的二级指标的排序权重向量。

2)二级模糊综合评判——确定被评估对象的最终评估结果

若输入一个权重,则输出一个综合评判

(10)

其中,(a1,a2,...,an)为总目标下所有一级指标的排序权重向量。

3)根据最大隶属度原则,确定被评估对象所属评判等级。

,即(b1,b2,...bm)为该向量的第K个分量,则根据模糊数学的最大隶属度原则,被评估对象的评估结果属于第K等级。

电子政务信息安全风险评估涉及到多因素的综合评估问题,由于各电子政务信息安全风险因素的风险情况是由人们的主观判断确定的,而且这种评估不可避免地带有结论上的模糊性。因此,要提高电子政务信息安全风险评估的可靠度,就必须找到一种能够处理多因素、模糊性及主观判断等问题的评估方法。所以,根据层次分析法和模糊综合评价法,结合电子政务信息安全风险评估的特点,构建模糊层次评估模型,由定性分析到定量分析,实现电子政务信息安全风险评估。

(作者单位:北方民族大学 ;西安交通大学)

图6 模糊层次综合评估模型

作者：雷 萍 雷战波