多目標模型過程安全風險評估的基礎 基于AHP - PSO 賈邁勒A.阿瓦德 計算機科學學院，學院馬斯喀特，阿曼蘇丹國 Elrasheed一，蘇丹艾哈邁德和Noraziah 學院的計算機系統和軟件工程，大學馬來西亞彭亨州，關丹26300，馬來西亞 Norafida Ithnan 計算機科學學院，大學科技大學，柔佛，馬來西亞 A. H.求 學院的計算機系統和軟件工程，大學馬來西亞彭亨州，關丹26300，馬來西亞 收稿日期：2011年1月22日接受日期：2011年3月28日作者：10.5539/mas.v5n3p246 摘要 如今，安全風險評估起到至關重要的作用，這是適用于整個信息生命周期 系統和通訊技術，但仍然使許多安全風險評估模型都是非實用， 因此，它應該是衡量和改進。在本文中，一種新的方法，在這種層次分析 法（AHP）和粒子群優化（PSO）可結合一些變化，呈現。該 方法包括：首先，對風險評估的層次分析結構構造和方法 PSO的綜合判斷是提高根據實際情況的信息安全。 其次，風險程度提出的是PSO估計的風險概率，風險影響的嚴重程度和風險 不可控性。最后，它給的例子，證明該方法的多目標規劃 方法（MOPM）可以很好地應用到安全風險評估，并提供合理的數據 構成的信息系統的安全風險控制策略。根據風險評估結果， 有針對性的安全采取措施，風險轉移和減少，這是在一個受控 可接受的范圍。 關鍵詞：風險評估，信息安全，PSO，層次分析法，多目標模型 1。簡介 要訪問信息系統安全，風險評估是非常重要的，甚至在不確定性的存在 系統。近年來，隨著信息安全作為維護可持續發展和骨干 現代企業生存和保護信息通過一個實際的安全風險進行 評估（SRA），以確保信息系統的安全性。如果其中存在的潛在威脅 客觀地攻擊系統的漏洞，威脅和實際的負面影響威脅源引起的，那么 識別的信息安全風險的基礎上的可能性威脅和負面影響的程度（王 英梅，王晟凱，程祥云，2007年）。對層次分析法 決策AHP / DM證據理論來處理系統的不確定性，與其他 方法，AHP方法已被廣泛應用于安全風險評估這種方法，可以從改變使用 質量指標為定量指標。現實的風險評估涉及許多不確定因素，有些 其中甚至不明。 在以前的研究，風險程度是相對的概率和風險因素影響的嚴重性。風險 評估方法包括八度，層次分析法和動態事件樹分析 方法（DETAM）等（ISO/IEC15408，1999年）（信息技術安全通用標準 評估，2005年）。所有這些方法都如OCTAVE是非線性的特殊要求，和迭代， 它要求威脅和漏洞型材目錄應把風險評估向前或之后。 / MAS現代應用科學卷。 5，第3位; 2011年6月 出版的科學和教育中心247加拿大 肯德爾（M.肯德爾，1962）提出了一個地方工作重點是因為這僅僅是增加的因素使用的方法 在一起，然后取平均值作為多數的選擇。這個方法是用來確定適用于關鍵 安全風險領域和用于緩解的選擇，再加上廣泛使用的風險的定性評估。 風險分析可以測量使用的概率理論估計的可能性和 后果的風險。在（Y.鄧小平，WK石，杜樓，2004年）（F.杜，WK石和Y鄧小平，2005年），這些 模型是效率不高由于計算時間用于執行復雜的模糊規定 數算術運算和執行語言近似的時間。 目前，信息安全風險評估的方法主要可分為三種類型： 定性評價方法，定量與定性考核與定量方法相結合 評估方法。常用的評估方法包括矩陣分析，決策樹，并 概率分析等，以及大量的研究成果已被收購。 本文的信息安全風險評估的新方法的基礎上結合起來PSO的AHP 算法，分析的可能性和風險的影響，使每個風險因素的風險程度來確定 和風險控制的建議，可以考慮。 AHP判斷矩陣的設置層次建立后， 它由來自上下元素和風險分析PSO綜合評價比較， 并提出了科學有效的方法來計算選定的信息系統最終的風險值。 信息系統風險分析的優點如下：（1）使開發安全 信息管理;（2）支持有效的信息安全政策的決策;（3） 建立組織的實際安全政策;（4）為未來的有價值的分析數據 估計。最后，研究結果表明該方法是有效的，易于操作。 本文的其余部分組織如下：必要的理論背景和PSO的AHP方法 介紹了擬議的新層次上的風險評估與PSO AHP相結合的基礎 算法，此外，結果表明，以發展信息安全風險通過MOPM到 提高兩個方法。 2。安全風險評估 安全性已被廣泛認可為對采用的主要障礙之一。它被認為是一種重要的 在以上方面面臨的挑戰進行辯論。績效評價需要一個模型，使我們能夠 分析各種必要因素和相關的質量和性能標準。建議的模型 基于FI運營商和生產四項措施攻擊的安全風險方面：直接內部攻擊， 通信篡改分層環的攻擊，攻擊代碼編程和拒絕服務攻擊 層結構。我們的實驗結果表明，直接攻擊內部風險已經對電子銀行產生很大的影響 安全性能。研究結果還證實，對電子銀行的內部動態風險的直接攻擊 網站是一倍，所有（王盈，王盛凱和鄭祥云，2007年）等攻擊。 風險評估模型是由結合的決策（DM）的方法來解決AHP方法 這些問題。不僅在AHP / DM方法結合二者的優點，而且還可以解決 更科學地確定問題。關于如何使用安全風險評估AHP / DM方法的樣本 給予證明我們的方法（路司酶，張建林，2009）。 在互聯互通，在過去幾年的崛起，使計算機系統和網絡更容易受到 因為它們是由一個用戶數量不斷增加（ISO/IEC15408，1999年）（通用標準的訪問威脅 信息技術安全評估，2005年）。 背后徒勞的軟件開發項目的主要理由之一是，它往往是來不及糾正 問題的時候，他們被發現。它清楚地表明有關（Y.潛在風險的預警需要 鄧W.K.施，杜樓，2004年）。 3。方法風險評價信息 這些方法都有自己的比較優勢和薄弱點。例如，矩陣的分析思路是 的發生和風險事件影響的可能性進行評估，然后再，風險程度 每個風險事件評估矩陣分析，這是比較直觀，但比較簡單，不夠客觀（F. 杜W.K.施和Y鄧小平，2005）。 針對風險管理，信息安全風險評估的目標是，到互聯網的威脅和 信息系統和自身的脆弱性，可分析的科學方法手段。此外， 由風險造成的損害程度可以評價，維護和改進措施，以可能的威脅應 提議捍衛和消除信息安全隱患，或控制在可接受的風險程度， 因此，互聯網和信息安全是可以控制在最大程度上。風險評估是一種 / MAS現代應用科學卷。 5，第3位; 2011年6月 ISSN 1913至1844年E - ISSN 1913至1852年248 計算過程由風險分析平均風險值。目前，信息安全風險的方法 評價可主要分為三種類型：定性評價方法，量化考核 方法和定性與定量相結合的評估方法。此外，常用的評估 矩陣分析方法包括（1），決策（2）和概率分析（3）。 信息技術的發展和信息網絡系統的普及使用，安全 信息系統變得特別重要。為確保信息系統的安全性，它是一個 關鍵點有風險評估。如果這是客觀存在的潛在威脅攻擊的系統漏洞， 會有風險而造成破壞和系統丟失。風險評估是一個過程，其中 風險分析和解釋。 信息安全已成為維護可持續性和現代生存的支柱 通過組織和保護進行實際安全風險評估（SRA）的信息， 本文所述，應進行業務的基本組成部分之一。信息 這些都作為資產（趙冬梅，京紅，2005）認為是暴露在組織各種風險 往往投入資源，以解決技術和程序的控制，以減輕這些風險，同時制定了 更實用的方法，SRA接受，因為在作出選擇的復雜性關注較少 為適應風險管理方法（路司霉，張建林，2009）。 有安全風險評估這么多車型，但其中大部分都是非實用。一個有效的安全 風險管理過程使企業能夠以最具成本效益的方式運作，并與已知 可接受水平的業務風險（馬克J. Schniederjans A，添加文）。 隨著全球信息技術和互聯網普及的不斷推進，越來越多的 組織將轉向或擴大其業務到互聯網環境的過程，因此重要性 信息系統安全是密切相關的商業機構都普遍關注。如何 衡量和評價信息系統的安全形勢是由研究人員在一個值得深入研究。 風險評估是核心和信息系統安全的關鍵。通過風險評估，決策者 可以清楚地了解信息系統的安全局勢，那里的風險來自于什么樣的 措施可以進行。 該規劃是一個優化問題，通常有一個以上的目標。這個優化問題 要解決不確定性下考慮它的局限性。這些問題的固有特點使其 復雜和難以解決的問題。為了找到一個解決辦法，應該用一種算法，使我們比較 主要問題的不同目標。對這些存在的各種技術被稱為“多屬性 決策“（MADM）。分層分析法（AHP）是其中的一個提到的方法，這是 使用本文。在DM規劃，對可供選擇的最佳方案應該被發現。（馬克J. Schniederjans A，添加文）。 該指數，其中不同的計劃進行比較，是利用AHP方法。該指數包括了所有的 一個在策劃人的角度做好規劃的重要因素。因此，能有一個更好的答案，所有可用的 選擇應考慮和決定因素應該準確地進行調整。 4。風險評估信息系統 層次分析法是一個有許多規則的決定方式處理變量是很難得到一個值 （信息技術安全評估，2005年通用標準）。它可以分解復雜 進入要容易得多層次結構的情況，以分析一步一步來。它可以表達和處理 人的主觀判斷在數量上，還應對一定的不確定因素，除了建議 無論人的主觀判斷是正確的。它落在AHP解決問題的四個步驟。圖1 顯示簡單的系統規劃層次分析法建立網絡風險。在這個圖里的Xij問題的風險。 在層次分析法和PSO將解決信息安全風險制度的思考四個階段，第一步是建設 層次結構。第二步是建設使用的因素比較判斷矩陣。第三 第一步是通過計算判斷矩陣的因素相對權重。在最后一步，整個重量 在每一層因素的計算方法。本文的模型應用于彌補所有步驟的決定，其中風險 度，提出了模糊邏輯方法和使用（趙冬梅，京紅，2005）。圖2 顯示了四個階段，在這件事情的過程。共同執行活動是比較安全的因素，xij是可變的階段。 5。多目標決策模型和層次分析法，以提高 層次分析法和多目標規劃方法（MOPM）作出高風險的系統和輔助 低點成本，這些方法在ABC成本動因的選擇提出申請。該信息 擬議的合并方法的療效進行了討論（趙冬梅，京紅，2005） / MAS現代應用科學卷。 5，第3位; 2011年6月 加拿大出版的科學和教育中心249 （Omkarprasad S Vaidya，2006年）。本文的MOPM包含的最大兩個目標，第一個目標 第二個保障體系和最低的成本計劃。公式1和2是目前這兩個目標。 此外，配方3，4和5是主觀的模型。在層次分析法的應用MOPM是協助 決策的工具，已經與決策相關的所有應用。公式1和2 有目標，3，4和5是主觀模型 1 2 3 4 05 0，0，0 01 其中： K =數疙瘩 N =號碼第 M =數量單位 R =名稱疙瘩 Xij =有效的風險變量的百分比 CIJ =成本的百分比 AIJ =各部分的力量我 bij =總容量為所有Xij TL =總容量為所有器Rl SI =每個Xij成本的百分比 6。結論 資訊安全風險評估是一個重要的問題今天的服務和客戶繼續 尋找連擊系統的計劃。在層次分析法和PSO可以結合使用MOPM得到更好的解決方案。 該方法包括：首先，對風險評估的層次分析結構構造和 PSO的綜合評判方法是提高根據實際情況的信息 安全性。該MOPM模型可以得到最大的安全是取決于的風險是有限的 奶源，也該模型將選擇成本較低的方法，使安全取決于風險。 參考文獻 信息技術安全評估共同準則。 （2005年）。 V3.0，2005年6月。 趙冬梅，景紅。 （2005年）。采用模糊邏輯和熵理論的風險評估 信息安全的第四屆機器學習與控制論國際會議論文集， 廣州，2005年。 F.杜W.K.鄧世和Y。 （2005年）。廣義模糊數的相似性的新措施，雜志 上海交通大學，第39卷，沒有。 8，頁614-617，2005。 ISO/IEC15408。 （1999年）。對于IT安全評估共同準則。 2.1版本。國際 標準化組織，1999年。 路司煤，張建林。 （2009年）。安全風險評估模型AHP / DS證據理論的基礎上， 國際論壇上的信息技術與應用，2009。 M.肯德爾。 （1962年）。等級相關方法。第3版; 1962年。 NY。 馬克J. Schniederjans A，添加文。采用層次分析法和多目標規劃 為成本動因的選擇基于活動的成本核算。 / MAS現代應用科學卷。 5，第3位; 2011年6月 ISSN 1913至1844年E - ISSN 1913至1852年250 Omkarprasad S Vaidya，Sushil庫馬爾。 （2006年）。層次分析法：一個應用程序的概述， 歐洲運籌學雜志169（2006）1-29。 王盈，王盛凱和鄭祥云。 （20