一种量化的移动智能终端风险评估方法

最后求得总的多因素综合评判结果为 B = A · （ 4） Ｒ， x2 ， …， x n ｝ 的综合评判结果。 即为因素集 X = ｛ x1 ，
通过表 1 查出与判断矩阵除数 n 对应的随机一
2
终端风险评估方法流程
一个完整的评价流程是进行有效评价的保证 ，
智能终端风险评估方法流程如图 1 所示。
由此， 可计算出一致性比例 CＲ 为 CＲ = CI ＲI （ 5） 2． 1
0
引
言
估分层模型； 2 ） 应用层次分析法计算出系统安全因 素权重； 3 ） 由模糊综合评价方法得到最终的量化安 全等级。李佳等
［4 ］
随着以智能手机为代表的移动智能终端功能的 多样化及性能的大幅提升， 移动智能终端已经迅速 融入人们生活、 娱乐、 工作和学习等各个方面。越来 组织和机构允许 （ 甚至要求 ） 员工使用 越多的公司、 个人移动智能终端设备处理商业邮件和其它的企业 数据资源
［3 ］ 兴的研究热点。 LU Guoming 等 提出一种基于模
经过裁剪的针对智能终端的风险评估方法 。 首先， 确认终端的资产和存在的威胁； 其次， 通过分析威胁 影响风险三要素的程度来确定威胁值 ； 最后， 利用用 户输入、 资产损失值和威胁发生的可能性计算出风 险评估值。 虽然人们在移动智能终端风险评估领域已有一 些有益的尝试和研究成果， 但是现在的研究还处于 起步阶段
图2
确定风险评估指标集流程图
3
3． 1
指标体系建立
评估准则
2． 3
确定指标权重 由于每个指标对于评估效果而言， 其重要程度
是不相同的。因此， 除了考虑指标的性质和数量外， 还要考虑各指标的重要程度。权重确定方法如变异 系数法， 在很多实证研究中得到广泛的应用 ， 但该方 法对指标的重要程度重视不够， 且依赖大量的原始 数据， 即使进行了大量工作之后也会存在相当的误 差。而本文在对终端进行风险评估的过程中， 研究 对象终端作为一个系统， 有很多因素都是定性的， 按 照分解、 比较判断、 综合的思维方式进行决策， 每一 层的权重设置后， 都会直接或间接影响到最终评估 结果， 而且每个层次中的因素对结果的影响程度都 是量化的， 非常清晰和明确。因此， 确定对无结构特 性的终端风险评估指标的权重采用层次分析法 （ analytic hierarchy process， AHP ） 较为合适。 具体流程 如图 3 所示。
40
第 40 卷第 6 期 2013 年 12 月 25 日
数 字 通 信 Digital Communication
Vol 40 ，No． 6 Dec． 25 2013
Leabharlann Baidu
DOI： 10． 3969 / j． issn． 10053824． 2013． 06． 009
一种量化的移动智能终端风险评估方法
③进行一致性检验， 求出判断矩阵 A 的最大特 征值。
n
λ max =
∑ i =1
（ AW） nw i
i
（ 3）
④计算一致性指标 CI 和一致性比例 CＲ 。 λ max － n CI = n －1 致性指标 ＲI。
表1 n ＲI 1 0 2 0 3 0 ． 58 随机一致性 ＲI 的数值 4 0． 9 5 1 ． 12 6 1 ． 24 7 1 ． 32 8 1 ． 41
陈锡庚
（ 重庆邮电大学 通信与信息工程学院，重庆 400065 ）
摘
要： 当前由移动智能终端潜在风险引发的安全威胁日益严峻 ， 且目前尚不存在有效的量化风险评估方法 。 针
2008 ） ， 对上述问题， 依据 ISO / IEC 27002 ： 2005 标准 （ GB / T 22081提出一种适合移动智能终端风险量化评估的方 AHP） ， 法。该方法结合移动智能终端的特性 ， 采用层次分析法（ analytic hierarchy process， 建立 4 层风险评估指标体 系， 构造出判断矩阵， 求出各项评估指标的权重及综合权重 。对终端风险指标因素进行系统模糊综合评判 ， 并给出 隶属度矩阵的计算方法 。举例说明基于层次分析法的模糊综合评估方法 （ analytic hierarchy process and fuzzy synthetic evaluation method， FuzzyAHP） 在移动智能终端风险评估中的应用 。通过对比实例验证： 该方法能够有效反映 不同的安全配置下智能终端的安全等级 。 关键词： 移动智能终端； 风险评估； 层次分析法； 模糊综合评价法 中图分类号： TP309 文献标识码： A 3824 （ 2013 ） 06004006 文章编号： 1005-
事物总体优劣受多种因素影响， 做出一个能合理地 综合这些属性或因素的总体评判 。层次结构模型不 论是多层的还是单层的， 都要有 2 个关键的步骤： 确 Ｒ 是因素集 X 到判断集 Y 的一个模 定模糊关系 Ｒ ， 糊映射； 计算模糊评判子集 B = A · Ｒ 。 在复杂系统 中， 对某事物进行评判， 由于所考虑的因素较多， 因 素之间还存在一定的层次性， 就必须采用分层逐级 评判的方法进行， 即模糊多层次综合评判法。 模糊多层次综合评判法的步骤如下： 设因素集 X = ｛ x1 ， x2 ， …， xn ｝ ， x i 表示某问题需要考虑的因素， i = 1， 2， …， n； 判断集 Y = ｛ y1 ， y2 ， …， ym ｝ ， y m 表示要 判断的等级。 1 ） 划分因素集 X 。对因素集 X = ｛ x1 ， x2 ， …， xn ｝ x i2 ， …， x ik ｝ ， i = 1， 2， …， n， xi 中 作划分， 即 x i = ｛ x i1 ， 含有 k 个因素。 2 ） 单因素评判。对每个 x i = ｛ x i1 ， x i2 ， …， x ik ｝ 的 k 个因素， 按初始模型作单层综合评判。 设 x i 的因 x i 的 k 个因素的总的评 素重要程度模糊子集为 A i ， b i2 ， …， 价矩阵为 Ｒ i ， 于是得到： B i = A · Ｒ i = （ b i1 ， b im ） ， i = 1， 2， …， n， B i 为 x i 的单因素评判。 （ 2） 3 ） 多因素综合评判。因素集 X = ｛ x1 ， x2 ， …， xn ｝ A2 ， …， 的因素重要程度模糊子集为 A， 且 A = ｛ A1 ， An ｝ ， 则 X 的总的评价矩阵 Ｒ 为 B1 A1 · Ｒ1 Ｒ = = B n A n ·Ｒ n （ 6）
［6 ］
。 目前大多数评估方法还只是把潜在
风险因子威胁终端的某一方面安全作为主要研究内 容， 却忽略把终端当作一个有机整体来预测整体风 险值， 而更为重要的是没有考虑移动终端的自身特 没能提出相应的评估 点及配置对终端安全的影响， 指标体系和量化评估方法。本文以移动智能终端作 为一个完整的评估整体， 结合终端自身特点， 提出以 用户为核心、 层次化的指标体系， 通过模糊综合评估 算法计算出终端的整体风险值， 并将其作为最终的 量化评估结果。
［ 1 ］
援引计算机网络攻击效果评估
研究经验并结合智能终端攻击的自身特点 ， 提出一 套从用户受损程度出发， 在建立智能终端攻击效果 评估指标体系的前提上， 应用 FAHP 方法评估软件 攻击效果的方案。 THEOHAＲIDOU 等
［5 ］
， 信息安全面临各种各样的风险。各种终
［2 ］
提出一种
端本身的安全漏洞被入侵者利用， 信息安全遭到日 益严重的威胁， 并可能承受难以预料的后果 。因 此， 移动智能终端风险评估的应用在此情况下显得 尤为必要和紧迫， 它是保证终端健康运行的关键， 且 能为建立信息系统的安全保障体系提供必要的决策 依据。 风险评估是在风险事件发生之前， 针对该事件 对人们的生活、 生命、 财产等各个方面造成的影响和 损失的可能性进行量化评估， 然后据此采取有效的 风险抵御措施， 使将要遭受的损失降到最低。 风险 评估被广泛地应用于各个领域， 积累了大量有益的 经验， 不过在日益受到重视的移动智能终端安全这 一迅猛发展的新兴领域却缺乏有效的应用实例 。当 前基于移动智能终端的风险评估正逐渐成为一个新
n n
Vi =
v2 ， …， vn ） ②对于向量 V = （ v1 ，
∏ 槡
j =1
a ij
T
（ 1） 进行归一化处
w2 ， …， 理， 得到最大特征值对应的特征向量 W = （ w1 ， wn ） T ， w i 表示第 i 个被比较元素对于该准则的相对 权重。 wi = vi
n
∑ vi
i =1
图1 风险评估方法整体流程图
当 CＲ ≤0 ． 1 时， 判断矩阵符合一致性标准， 层 次单排序的结果可以接受； 否则， 应修正判断矩阵， 直到检验通过。 1． 2 模糊综合评判法 模糊综合评判法针对具有多种属性的事物 ， 即
评估数据来源 完整、 可靠的数据是进行终端风险评估的前提。
因此， 本文对风险评估数据源选择进行了详细的考
糊数学的通用信息系统安全评估方法 ， 主要步骤： 1 ） 引用通用标准 （ common criteria，CC ） 建立安全评
0823 收稿日期： 20130918 修回日期： 2013-
第6 期
陈锡庚： 一种量化的移动智能终端风险评估方法
41
1
1． 1
风险评估方法基本理论
层次分析法 AHP 是一种将定量分析和定性分析相结合的
多目标、 多准则决策方法， 能有效分析目标准则体系 层次间的非序列关系， 综合测度决策者的判断和比 较， 其计算步骤如下。 1 ） 构造递阶层次结构模型。 2 ） 构造判断矩阵， 对每层中各元素的相对重要 性做出判断。为了使判断量化， 应对每一层元素按 形成判断矩阵。 一定准则进行两两比较， 3 ） 权值计算。本方法拟采用方根法求解。 ①计算判断矩阵每行各个元素乘积的 n 次方根。
2． 4
利用模糊综合评价方法对风险进行综合评估 由于终端风险评估是受多种具有模糊性和不确
定性因素影响的复杂的系统工程， 同时有关风险因 素影响的历史数据也非常有限， 很难利用概率统计 方法来量化风险。 因此， 不能简单地用一个分数加 以评价。传统的方法 （ 如最大隶属度法和加权平均 很难对风险进行全面、 合 法） 均存在一定的局限性， 理而科学的评价， 所以本文选用模糊综合评价方法 。 该方法中的隶属函数正是针对定性因素 ， 以精确的 数学语言描述定性或不确定因素的方法 。 2． 5 评估结果验证 AHP 理论的终端风险评估方法 上述基于 Fuzzy尽管不能准确 运用了评估用户的经验和主观判断， 地确定各指标的权系数， 但也可在一定程度上依照 各指标的重要程度， 给定各因子权系数的先后顺序， 从而达到评价要求。 此法虽然较为成熟， 但是客观 性不强， 不易让读者信服。因此， 本文在评估方法最 后设计一个对比实例来对评估结果进行验证 ， 以证 明评估方法对终端综合评估的结果是较全面 、 合理 和有效的。
［ 5 ］ 量。综合参考 THEOHAＲIDOU 的研究成果和对 20
位终端用户相关问卷的调查反馈， 根据不同威胁因素
42
数
字
通
信
第 40 卷
对终端的完整性、 保密性和可行性三要素影响的严重 程度， 给出相应系数， 构造出最初的判断矩阵。 2． 2 建立风险评估指标体系 在终端风险评估中， 构建风险评估指标体系是 最为关键的环节， 它将直接影响评估效果的全面性 、 合理性及有效性。 因此， 本文在分析研究终端威胁 因子相关性的基础上， 还注意到终端的不同配置参 数将对威胁因子作用效果带来的较大影响 ， 所以在 建立评估指标体系时创造性地引入了配置层 ， 建立 起移动终端 4 层风险评估指标体系， 以更加客观地 反映终端的整体风险。 采用 Delphi 法来确定指标 集， 其基本流程如图 2 所示。
评估终端风险最终归结到对每个威胁因素和用 户对终端安全功能设定的综合评估， 因此建立评估 模型首先要定义评估准则。针对 ISO 移动终端安全 2011 标准 ） ， 体系结构 （ ISO / IEC 27005 本文以保密 性、 完整性、 可用性的重要程度作为基本评价准则， 也即以上述 3 项安全因素受威胁程度作为评估移动 智能终端风险评估的基本准则。 3． 2 终端威胁因子与评估指标