CN108446563A - 一种基于模糊层次分析法的ics信息安全评估方法 - Google Patents
一种基于模糊层次分析法的ics信息安全评估方法 Download PDFInfo
- Publication number
- CN108446563A CN108446563A CN201810135195.9A CN201810135195A CN108446563A CN 108446563 A CN108446563 A CN 108446563A CN 201810135195 A CN201810135195 A CN 201810135195A CN 108446563 A CN108446563 A CN 108446563A
- Authority
- CN
- China
- Prior art keywords
- evaluation factor
- risk
- evaluation
- assessment
- weight ratio
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Computing Systems (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于模糊层次分析法的ICS信息安全评估方法,包括确定评估模型、确定评分等级、确定评估因子权重比、专家评估和结果分析。本发明的有益效果是:确定评估因子权重比结合灰色模糊理论构建各评估因子风险等级矩阵,能够评判各评估因子的风险等级隶属度,便于专家进行评估,确定评估因子权重比将评估因子进行量化后两两对比,评估因子用数字1‑9进行量化,根据数字的大小不同,对比结果分为相同,稍强,较强,明显强,绝对强,便于进行比对,结果分析通过评分矩阵与评估因子权重比而得出工控系统信息安全防护能力等级,在一定程度上避免评估专家对评估结果的主观影响,提高评估结果的客观性和有效性。
Description
技术领域
本发明涉及一种评估方法,具体为一种基于模糊层次分析法的ICS信息安全评估方法,属于工业行业信息安全风险评估技术领域。
背景技术
基于贝叶斯网络的信息安全风险评估方法,是一种结合专家知识用概率对各评估因子进行描述的方法,可评估系统整体风险和单因子风险,贝叶斯网络类似神经元网络,可描述人类的推理模式,可定量化描述过程,结合专家知识用概率方法对各评估因子进行描述,可评估系统整体风险和单因子风险,基于层次分析法的信息安全评估方法,可较好的处理各种评估因子间的权重关系,但评估结果中专家的主观性较强,同时各种评估因子间的权重关系也不便于处理。
发明内容
本发明的目的就在于为了解决上述问题而提供一种基于模糊层次分析法的ICS信息安全评估方法,该方法基于层次分析与灰色模糊理论的工控系统信息安全风险评估方法,通过层次分析,计算各评估因子权重,利用灰色模糊理论,综合考虑各评估因子的专家评分及专家权重,得出系统的风险等级,以降低专家主观因素对评估结果的影响。
本发明通过以下技术方案来实现上述目的:一种基于模糊层次分析法的ICS信息安全评估方法,包括
确定评估模型,构建工控系统评估模型。
确定评分等级,将评分等级定为强风险级、高风险级、中风险级、低风险级、弱风险级这5个风险级。
确定评估因子权重比,采用层次分析法综合识别评估因子权重比和专家打分权重比。
专家评估,将评估组专家的评估因子设为评分矩阵,组织内部评审,得出每位专家本次评分的权重比。
结果分析,对专家评估的结果进行分析,得出防护能力等级。
所述确定评分等级的强风险级代表该系统完全不符合该项评估因子的要求,系统处于高危状态,所述确定评分等级的高风险级代表系统完成该项评估因子少量的要求,系统处于危险状态,所述确定评分等级的中风险级代表系统完成该项评估因子半数的要求,所述确定评分等级的低风险级代表系统完成该项评估因子大部分的要求,系统尚存风险,所述确定评分等级的弱风险级代表系统完成该项评估因子的所有要求,系统比较安全,所述确定评估因子权重比采用方根法计算权重向量,所述专家评估的灰色统计值表示评估因子处于某个风险级下的可能性,所述专家评估的灰色权重值表示评估因子处在某个风险级下的概率。
优选的,为了能够评判各评估因子的风险等级隶属度,所述确定评估因子权重比结合灰色模糊理论构建各评估因子风险等级矩阵。
优选的,为了便于进行比对,所述确定评估因子权重比将评估因子进行量化后两两对比。
优选的,为了在一定程度上避免评估专家对评估结果的主观影响,所述结果分析通过评分矩阵与评估因子权重比而得出工控系统信息安全防护能力等级。
本发明的有益效果是:该基于模糊层次分析法的ICS信息安全评估方法设计合理,确定评估因子权重比结合灰色模糊理论构建各评估因子风险等级矩阵,能够评判各评估因子的风险等级隶属度,便于专家进行评估,确定评估因子权重比将评估因子进行量化后两两对比,评估因子用数字1-9进行量化,根据数字的大小不同,对比结果分为相同,稍强,较强,明显强,绝对强,便于进行比对,结果分析通过评分矩阵与评估因子权重比而得出工控系统信息安全防护能力等级,在一定程度上避免评估专家对评估结果的主观影响,提高评估结果的客观性和有效性。
附图说明
图1为本发明结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,一种基于模糊层次分析法的ICS信息安全评估方法,包括
确定评估模型,构建工控系统评估模型。
确定评分等级,将评分等级定为强风险级、高风险级、中风险级、低风险级、弱风险级这5个风险级。
其中,所述确定评分等级的强风险级代表该系统完全不符合该项评估因子的要求,系统处于高危状态,所述确定评分等级的高风险级代表系统完成该项评估因子少量的要求,系统处于危险状态,所述确定评分等级的中风险级代表系统完成该项评估因子半数的要求,所述确定评分等级的低风险级代表系统完成该项评估因子大部分的要求,系统尚存风险,所述确定评分等级的弱风险级代表系统完成该项评估因子的所有要求,系统比较安全。
确定评估因子权重比,采用层次分析法综合识别评估因子权重比和专家打分权重比。
其中,A重要性程度
将评估因子进行两两对比并且量化。两评估因子对比结果分为相同,稍强,较强,明显强,绝对强,用数字1-9进行量化。
B构建比较矩阵
每次选取两个评估因子x和y进行比较,用来表示x,y因子重要性对比的结果,构建比较矩阵A:
C一致性检验
计算一致性指标CI:
n是比较矩阵的阶数,是比较矩阵的最大特征值,查找一致性指标RI。
计算一致性比例CR:
当CR<0.10时,比较矩阵的一致性可以接受,否则应对该矩阵做出修改。
D计算权重向量
采用方根法计算权重向量:
求得权重向量W=(w1,w2,…,|wm)
专家评估,将评估组专家的评估因子设为评分矩阵,组织内部评审,得出每位专家本次评分的权重比。
设评估组由n位专家组成,共有m个评估因子,第x位专家对第y项评估因子评分为,评分矩阵为:
专家打分结束后应组织内部评审,得出每位专家本次评分的权重比,评估组得出专家评分权重比为:
R=[r1 r2…rn]
白化权函数规定如下:
强风险级白化权函数:
高风险级白化权函数:
中风险级白化权函数:
低风险级白化权函数:
弱风险级白化权函数:
灰色统计值表示评估因子处于某个风险级下的可能性。
i评估因子在强风险级下的灰色统计值为:
hi1=r1f1(k1i)+r2f1(k2i)+…+rnf1(kni)
i评估因子在高风险级下的灰色统计值为:
hi2=r1f2(k1i)+r2f2(k2i)+…+rnf2(kni)
i评估因子在中风险级下的灰色统计值为:
hi3=r1f3(k1i)+r2f3(k2i)+…+rnf3(kni)
i评估因子在低风险级下的灰色统计值为:
hi4=r1f4(k1i)+r2f4(k2i)+…+rnf4(kni)
i评估因子在弱风险级下的灰色统计值为:
hi5=r1f5(k1i)+r2f5(k2i)++rnf5(kni)
i评估因子灰色统计值的和为:
灰色权重值表示评估因子处在某个风险级下的概率。
i评估因子在j风险级下的灰色权重值表示为cij。
其中j=1、2、3、4、5。
i评估因子的灰色权向量为
ci=(ci1,ci2,ci3,ci4,ci5)
其中,i评估因子最大灰色权重值对应的级别即为该因子的风险级。同理,可求得其余各评估因子的灰色权向量,则m个评估因子的灰色权矩阵C为:
结果分析,对专家评估的结果进行分析,得出防护能力等级。
综合评估向量Z代表该企业最终评估结果,计算方法如下:
其中,zj代表系统处于j风险级下的概率,Z中最大值所对应的级别,即是该工控系统所处的风险级。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (4)
1.一种基于模糊层次分析法的ICS信息安全评估方法,其特征在于:包括
确定评估模型,构建工控系统评估模型;
确定评分等级,将评分等级定为强风险级、高风险级、中风险级、低风险级、弱风险级这5个风险级;
确定评估因子权重比,采用层次分析法综合识别评估因子权重比和专家打分权重比;
专家评估,将评估组专家的评估因子设为评分矩阵,组织内部评审,得出每位专家本次评分的权重比;
结果分析,对专家评估的结果进行分析,得出防护能力等级;
所述确定评分等级的强风险级代表该系统完全不符合该项评估因子的要求,系统处于高危状态,所述确定评分等级的高风险级代表系统完成该项评估因子少量的要求,系统处于危险状态,所述确定评分等级的中风险级代表系统完成该项评估因子半数的要求,所述确定评分等级的低风险级代表系统完成该项评估因子大部分的要求,系统尚存风险,所述确定评分等级的弱风险级代表系统完成该项评估因子的所有要求,系统比较安全,所述确定评估因子权重比采用方根法计算权重向量,所述专家评估的灰色统计值表示评估因子处于某个风险级下的可能性,所述专家评估的灰色权重值表示评估因子处在某个风险级下的概率。
2.根据权利要求1所述的一种基于模糊层次分析法的ICS信息安全评估方法,其特征在于:所述确定评估因子权重比结合灰色模糊理论构建各评估因子风险等级矩阵,能够评判各评估因子的风险等级隶属度,便于专家进行评估。
3.根据权利要求1所述的一种基于模糊层次分析法的ICS信息安全评估方法,其特征在于:所述确定评估因子权重比将评估因子进行量化后两两对比,评估因子用数字1-9进行量化,根据数字的大小不同,对比结果分为相同,稍强,较强,明显强,绝对强,便于进行比对。
4.根据权利要求1所述的一种基于模糊层次分析法的ICS信息安全评估方法,其特征在于:所述结果分析通过评分矩阵与评估因子权重比而得出工控系统信息安全防护能力等级,在一定程度上避免评估专家对评估结果的主观影响,提高评估结果的客观性和有效性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810135195.9A CN108446563A (zh) | 2018-02-09 | 2018-02-09 | 一种基于模糊层次分析法的ics信息安全评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810135195.9A CN108446563A (zh) | 2018-02-09 | 2018-02-09 | 一种基于模糊层次分析法的ics信息安全评估方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108446563A true CN108446563A (zh) | 2018-08-24 |
Family
ID=63192131
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810135195.9A Pending CN108446563A (zh) | 2018-02-09 | 2018-02-09 | 一种基于模糊层次分析法的ics信息安全评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108446563A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112019521A (zh) * | 2020-08-07 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 一种资产评分方法、装置、计算机设备及存储介质 |
CN113822532A (zh) * | 2021-08-23 | 2021-12-21 | 深圳供电局有限公司 | 信息系统资产风险评估方法及其装置和存储介质 |
CN114203283A (zh) * | 2021-12-31 | 2022-03-18 | 中国科学院自动化研究所 | 沙盘游戏量化分析系统、方法和设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103226751A (zh) * | 2013-03-29 | 2013-07-31 | 广西电网公司电力科学研究院 | 一种电网企业科技项目后评估方法 |
WO2013167342A1 (en) * | 2012-05-07 | 2013-11-14 | Siemens Aktiengesellschaft | A method for computer-aided processing of models of a technical system |
CN103593720A (zh) * | 2012-08-13 | 2014-02-19 | 西安元朔科技有限公司 | 基于灰色层次分析法建立的城市电网规划综合评价体系 |
US20140278687A1 (en) * | 2013-03-15 | 2014-09-18 | Gridglo Llc | System and Method for Optimizing A Demand Response Event |
CN105741026A (zh) * | 2016-01-27 | 2016-07-06 | 华中师范大学 | 一种灰色模糊的教育信息化水平评估方法及系统 |
CN106384193A (zh) * | 2016-09-06 | 2017-02-08 | 中国电子技术标准化研究院 | 一种基于层次分析法的ics信息安全评估方法 |
CN107067179A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工业控制系统标准符合性评估系统 |
-
2018
- 2018-02-09 CN CN201810135195.9A patent/CN108446563A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013167342A1 (en) * | 2012-05-07 | 2013-11-14 | Siemens Aktiengesellschaft | A method for computer-aided processing of models of a technical system |
CN103593720A (zh) * | 2012-08-13 | 2014-02-19 | 西安元朔科技有限公司 | 基于灰色层次分析法建立的城市电网规划综合评价体系 |
US20140278687A1 (en) * | 2013-03-15 | 2014-09-18 | Gridglo Llc | System and Method for Optimizing A Demand Response Event |
CN103226751A (zh) * | 2013-03-29 | 2013-07-31 | 广西电网公司电力科学研究院 | 一种电网企业科技项目后评估方法 |
CN105741026A (zh) * | 2016-01-27 | 2016-07-06 | 华中师范大学 | 一种灰色模糊的教育信息化水平评估方法及系统 |
CN106384193A (zh) * | 2016-09-06 | 2017-02-08 | 中国电子技术标准化研究院 | 一种基于层次分析法的ics信息安全评估方法 |
CN107067179A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工业控制系统标准符合性评估系统 |
Non-Patent Citations (2)
Title |
---|
孙向宇,晁涛,王松艳,马萍: "《基于灰色层次属性模型的评估指标综合方法》", 《系统仿真学报》 * |
贾驰千: "《基于模糊层次分析法的工控系统安全评估》", 《浙江大学学报(工学版)》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112019521A (zh) * | 2020-08-07 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 一种资产评分方法、装置、计算机设备及存储介质 |
CN112019521B (zh) * | 2020-08-07 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 一种资产评分方法、装置、计算机设备及存储介质 |
CN113822532A (zh) * | 2021-08-23 | 2021-12-21 | 深圳供电局有限公司 | 信息系统资产风险评估方法及其装置和存储介质 |
CN113822532B (zh) * | 2021-08-23 | 2024-06-07 | 深圳供电局有限公司 | 信息系统资产风险评估方法及其装置和存储介质 |
CN114203283A (zh) * | 2021-12-31 | 2022-03-18 | 中国科学院自动化研究所 | 沙盘游戏量化分析系统、方法和设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110310031A (zh) | 一种配电网多维风险评估方法 | |
CN108446563A (zh) | 一种基于模糊层次分析法的ics信息安全评估方法 | |
CN104123656A (zh) | 一种基于层次分析法的信用评价方法 | |
Chen et al. | Bid evaluation in civil construction under uncertainty: A two-stage LSP-ELECTRE III-based approach | |
CN105007170A (zh) | 一种基于fahp-svm理论的wlan网络负载综合评价方法 | |
CN110163486A (zh) | 一种项目风险重要度评估方法及系统 | |
Tomczak et al. | Application of type-2 interval fuzzy sets to contractor qualification process | |
CN106127607A (zh) | 一种电力事故上下层级原因相关度的分析方法 | |
CN109064023A (zh) | 一种人力效能管理系统的方法和装置 | |
CN114971227A (zh) | 一种基于marcos方法的配电网设备风险评估方法 | |
CN111882198A (zh) | 一种项目绩效评价方法及系统 | |
CN104331613A (zh) | 一种多目标多属性决策方法 | |
CN109919779A (zh) | 数据资产价值评估模型及方法 | |
CN101377739A (zh) | 基础软件平台的质量评估方法 | |
CN107194604A (zh) | 一种火电机组可靠性评价方法 | |
CN106960288A (zh) | 一种电能替代评价方法和系统 | |
CN107622354B (zh) | 一种基于区间二元语义的突发事件应急能力评估方法 | |
CN113052411A (zh) | 数据产品质量评价方法及装置 | |
CN114707807A (zh) | 磨煤机风险评估方法、装置、电子设备及存储介质 | |
CN103366090B (zh) | 基于专家区间打分的指标权重评估方法 | |
CN109345083A (zh) | 一种基于区间二元语义和灰色关联分析的改进fmea的方法 | |
Avci-Surucu et al. | Bidding structure, market efficiency and persistence in a multi-time tariff setting | |
CN111008440A (zh) | 一种基于理想解法的五性与性能综合权衡方法 | |
Kochkina et al. | Modified multi-criteria decision making method development based on “AHP” and “TOPSIS” methods using probabilistic interval estimates | |
CN107239907A (zh) | 城镇综合承灾能力的评估方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180824 |
|
RJ01 | Rejection of invention patent application after publication |