电子政务系统信息安全风险的综合评价模型
李军伟 姜学东
摘 要: 信息安全风险是一种影响电子政务系统推广的关建因素,而高精度的信息安全风险评价结果是保证电子政务系统正常工作的基础,为了减少电子政务系统的信息安全风险,设计了一种新型的电子政务系统信息安全风险综合模型。根据电子政务系统的脆弱性、威胁等要素建立信息安全评价指标体系,采用因子分析法对评价指标体系进行处理,得到比较重要的评价指标,最后通过支持向量机建立电子政务系统信息安全风险模型,并在Matlab 2014平台上进行风险评价测试,该模型获得了较优的电子政务系统风险评价精度。
关键词: 电子政务; 信息安全; 风险评价模型; 入侵检测
中图分类号: TN915.08?34; TP181 文献标识码: A 文章编号: 1004?373X(2017)07?0074?04
Comprehensive evaluation model for information security risk of e?government system
LI Junwei, JIANG Xuedong
(Faculty of Mathmatics and Computer Science, Hebei Normal University for Nationalities, Chengde 067000, China)
Abstract: The information security risk is a key factor to influence on the promotion of the e?government system, and its high?precision evaluation result is the foundation to ensure the normal work of the e?government system. In order to reduce the information security risk of the e?government system, a new comprehensive evaluation model for information security risk of the e?government system was designed. The evaluation indicator system of the information security was established according to the factors such as the e?government system′s vulnerability and weakness ulnerable to threat, and processed with the factor analysis method to get the important evaluation indicator. The information security risk evaluation model of the e?government system was established with the support vector machine. The risk evaluation model was tested on the Matlab 2014. This model has high accuracy for risk assessment of the e?government system.
Keywords: e?government affair; information security; risk assessment model; intrusion detection
0 引 言
政府是信息的最大擁有者和使用者,电子政务系统是政府使用信息的平台,是信息技术和行政管理的结合。我国的电子政务系统刚起步不久,目前仍然有许多问题有待解决,如信息安全问题。信息安全风险评价有利于保障电子政务系统的正常运行[1?2]。
电子政务系统安全是由多方面因素造成的,如网络自身不足,缺乏风险意识,专业人才短缺等,设计性能优异的评价模型十分紧迫[3]。为此,有学者对电子政务系统安全存在的问题进行研究,当前主要可以划分为信息安全风险等级分类和信息安全风险态势估计两种模型[4]。信息安全风险等级分类是指采用一定的技术和规则,将信息安全风险划分为不同的等级,并根据分类结果采取相应的防范措施[5]。信息安全风险态势估计实际是建立一种信息安全风险预测模型,这两类预测模型有各自的优缺点,均有各自的应用范围[6]。然而无论哪一种电子政务系统信息安全风险评价模型,都要分析那些直接影响电子政务系统的安全性因素[7?9]。当前选择哪些影响因素即指标,对电子政务系统信息安全风险进行评价没有统一的指导理论,都是根据自身的经验进行选择,这样使得电子政务系统信息风险评价结果不稳定,通用性差,而且评价结果带有一定的盲目性[10?11]。因子分析法可以确定每一个因素(指标)对电子政务系统信息风险评价结果的贡献[12]。
为了减少电子政务系统的风险,设计了一种新型的电子政务系统信息安全风险综合模型。本文模型提高了电子政务系统信息安全风险评价的精度,可以为电子政务信息安全风险控制提供有价值的参考意见。
1 因子分析法和支持向量机
1.1 因子分析法
设电子政务信息安全风险的原始指标有[p]个,从中选择[m]个因子表示原始指标所包含的信息,那么可以得到:
[Ti=ωi1X1+ωi2X2+…+ωimXm+εi] (1)
式中:[εi]为独特因子;[ωij]为因子载荷。
因子分析法的具体执行步骤如下:
(1) 由于电子政务信息安全风险指标的单位各不相同,导致收集数据的值可能差别比较大,为此必须对电子政务信息安全风险的原始指标值[tij]进行预处理,得到它们的相关系数[rij]矩阵判断。
[R=(rij)p×prij=k=1n(tki-ti)(tkj-tj)k=1n(tki-ti)2(tkj-tj)2,i,j=1,2,…,p] (2)
(2) 对[λI-R=0]进行求解,可以得到特征值[λi,]方差贡献率和累积方差贡献率的计算公式具体如下:
[λik=1pλk, i=1,2,…,p] (3)
[k=1iλkk=1pλk, i=1,2,…,p] (4)
(3) 对累计贡献率进行分析,采用前面[m]个指标作为因子分析的结果以描述电子政务信息安全风险的原始指标。
(4) 对电子政务信息安全风险的指标实行旋转,得到其因子载荷矩阵为:
[A=(aij)m×paij=λilij,i,j=1,2,…,p] (5)
(5) 将电子政务信息安全风险指标进行线性组合,可以得到:
[Xi=li1T1+li2T2+…+lipTp,i=1,2,…,m] (6)
1.2 支持向量机
支持向量机是一种为了解决神经网络需要大样本数据问题的现代统计学习算法,采用结构风险最小化原则避免了过学习、过拟合等不足,泛化能力更优,设电子政务信息安全风险评价的样本数据为:[D=(x1,y1),…,(xl,yl)?Rd×R,]那么支持向量机的解析函数为:
[f(x)=i=1laik(xi,x)+b] (7)
式中:参数[ai,b,i=1,2,…,l]值的求解可以变换为如下形式进行求解:
[min12W2+Ci=1l(ξi+ξ*i)s.t. yi-W,Φ(x)-b≤ε+ξiW,Φ(x)+b-yi≤ε+ξ*iξi,ξ*i≥0] (8)
式中:[ε]为误差界限;[ξi,ξ*i]为松弛变量。
为了简化式(8)问题的求解,得到如下的对偶形式:
[max-12i,j=1l(αi-α*i)(αj-α*j)k(xi,xj)-εi=1l(αi+α*i)+i=1lyi(αi-α*i)] (9)
相应的限制条件为:
[i=1l(αi-α*i)=0,αi,α*i∈0,C] (10)
当[f(x)]满足[yi=f(xi)+υi]条件时,就可以认为系统有噪声;采用核函数进行特征映射,本文选择RBF核函数,其定义为:
[k(x,x)=exp-x-x22σ2] (11)
式中[σ2]表示超参数。
由于[W=i=1l(ai-a*i)Φ(xi)],那么插值函数可以变为:
[f(x)=W,Φ(x)+b=i=1l(ai-a*i)Φ(xi),Φ(x)+b=i=1l(ai-a*i)k(xi,x)+b] (12)
式(8)中的松弛变量计算公式为:
[ξ*i=0, yi-W,Φ(x)-b≤εyi-W,Φ(x)-b-ε, otherwise] (13)
2 电子政务系统信息安全风险的综合评价模型
2.1 风险评价指标
为了准确、全面、客观地对电子政务系统信息安全风险进行评价,根据资产、威胁、脆弱性以及制度等建立如图1所示的层次结构安全风险评价指标体系。
2.2 电子政务系统信息安全风险评价模型的工作思想
信息安全风险是影响电子政务系统推广的关建因素,而信息安全风险评价的好坏是保证电子政务系统正常工作的基础,本文提出了一种新型的电子政務系统信息安全风险综合模型,其基本工作思想为:首先建立电子政务系统信息安全评价的指标体系,然后采用因子分析法选择比较重要的评价指标,并消除一些不重要的指标,最后建立电子政务系统信息安全风险模型,电子政务系统信息安全风险的评价流程如图2所示。
3 电子政务系统信息安全风险评价的实证研究
3.1 数据源
根据图1中的电子政务系统信息安全风险评价指标收集数据,以入侵的次数作为电子政务系统信息安全风险输出,入侵次数的变化曲线如图3所示。
3.2 因子分析法确定重要指标
采用DPS软件下的因子分析法对原始电子政务系统信息安全风险评价指标进行分析,它们的累计贡献率如表1所示。从表1可以清楚地看出,随着指标数的增加,累计贡献率不断增加,尤其当开始累计贡献率增加的幅度相当快,指标数超过7个时,累计贡献率达到了86%以上,此时指标为主要电子政务系统信息安全风险评价指标,其他指标可以当作噪声忽略不计。
3.3 评价结果
根据表1所得的重要电子政务系统信息安全风险评价指标对原始样本进行处理,减少了原始样本数据规模,验证样本的电子政务系统信息安全风险评价结果如图4所示。从图4可知,本文模型的电子政务系统信息安全风险评价结果好,能够保障电子政务系统的正常工作。
采用当前经典的信息风险模型进行对比测试,它们的电子政务系统信息安全风险评价精度如表2所示,从表2可知,相对当前经典的电子政务系统信息安全风险评价模型,本文模型的电子政务系统信息安全风险评价精度更高,提高了电子政务系统信息安全风险评价的准确性,评价结果更加可靠、合理,可以为电子政务系统管理员提供更好的参考信息,以便制定更好的管理措施。
4 结 语
风险评价是保证电子政务系统正常工作的基础,如何提高电子政务系统信息安全风险评价的准确性,一直是人们关注的焦点,为了保证电子政务系统的信息安全,防止非法用户进入系统窃取重要信息,设计了一种新型的电子政务系统信息安全风险评价模型,并通过实例验证了其可行性和优越性。
参考文献
[1] 郭晓武.电子政务的信息安全问题与对策[J].信息网络安全,2006(7):6?8.
[2] BODIN L D, GORDON L A, LOEB M P. Information security and risk management [J]. Communications of the ACM, 2008, 51(4): 64?68.
[3] 陈亮.信息系统安全风险评估模型研究[J].中国人民公安大学学报(自然科学版),2007(4):50?53.
[4] 戴航,贾斌,慕德俊.基于模糊评判法的信息安全风险评估模型[J].信息安全与通信保密,2006(10):133?134.
[5] 范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006.
[6] 冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004(7):10?18.
[7] 林梦泉,王强民,陈秀真,等.基于粗糙集的网络信息系统安全评估模型研究[J].控制与决策,2007,22(8):951?955.
[8] 马丽仪,张露凡,杨宜,等.基于模糊神经网络方法的信息系统安全风险评价研究[J].中国安全科学学报,2012,22(5):164?169.
[9] 尤马彦,凌捷,郝彦军.基于Elman神经网络的信息安全风险估计模型[J].计算机科学,2012,39(6):61?76.
[10] 孟锦,马驰,何加浪,等.基于HHGA?RBF神经网络的信息安全风险估计模型[J].计算机科学,2011,38(7):71?75.
[11] 付钰,吴晓平,宋业新.模糊推理与多重结构神经网络在信息系统安全风险评估中的应用[J].海军工程大学学报,2011,23(1):10?15.
[12] 李方伟,郑波,朱江,等.一种基于RBF神经网络的信息安全风险估计模型[J].重庆邮电大学学报(自然科学版),2014,26(5):576?583.
摘 要: 信息安全风险是一种影响电子政务系统推广的关建因素,而高精度的信息安全风险评价结果是保证电子政务系统正常工作的基础,为了减少电子政务系统的信息安全风险,设计了一种新型的电子政务系统信息安全风险综合模型。根据电子政务系统的脆弱性、威胁等要素建立信息安全评价指标体系,采用因子分析法对评价指标体系进行处理,得到比较重要的评价指标,最后通过支持向量机建立电子政务系统信息安全风险模型,并在Matlab 2014平台上进行风险评价测试,该模型获得了较优的电子政务系统风险评价精度。
关键词: 电子政务; 信息安全; 风险评价模型; 入侵检测
中图分类号: TN915.08?34; TP181 文献标识码: A 文章编号: 1004?373X(2017)07?0074?04
Comprehensive evaluation model for information security risk of e?government system
LI Junwei, JIANG Xuedong
(Faculty of Mathmatics and Computer Science, Hebei Normal University for Nationalities, Chengde 067000, China)
Abstract: The information security risk is a key factor to influence on the promotion of the e?government system, and its high?precision evaluation result is the foundation to ensure the normal work of the e?government system. In order to reduce the information security risk of the e?government system, a new comprehensive evaluation model for information security risk of the e?government system was designed. The evaluation indicator system of the information security was established according to the factors such as the e?government system′s vulnerability and weakness ulnerable to threat, and processed with the factor analysis method to get the important evaluation indicator. The information security risk evaluation model of the e?government system was established with the support vector machine. The risk evaluation model was tested on the Matlab 2014. This model has high accuracy for risk assessment of the e?government system.
Keywords: e?government affair; information security; risk assessment model; intrusion detection
0 引 言
政府是信息的最大擁有者和使用者,电子政务系统是政府使用信息的平台,是信息技术和行政管理的结合。我国的电子政务系统刚起步不久,目前仍然有许多问题有待解决,如信息安全问题。信息安全风险评价有利于保障电子政务系统的正常运行[1?2]。
电子政务系统安全是由多方面因素造成的,如网络自身不足,缺乏风险意识,专业人才短缺等,设计性能优异的评价模型十分紧迫[3]。为此,有学者对电子政务系统安全存在的问题进行研究,当前主要可以划分为信息安全风险等级分类和信息安全风险态势估计两种模型[4]。信息安全风险等级分类是指采用一定的技术和规则,将信息安全风险划分为不同的等级,并根据分类结果采取相应的防范措施[5]。信息安全风险态势估计实际是建立一种信息安全风险预测模型,这两类预测模型有各自的优缺点,均有各自的应用范围[6]。然而无论哪一种电子政务系统信息安全风险评价模型,都要分析那些直接影响电子政务系统的安全性因素[7?9]。当前选择哪些影响因素即指标,对电子政务系统信息安全风险进行评价没有统一的指导理论,都是根据自身的经验进行选择,这样使得电子政务系统信息风险评价结果不稳定,通用性差,而且评价结果带有一定的盲目性[10?11]。因子分析法可以确定每一个因素(指标)对电子政务系统信息风险评价结果的贡献[12]。
为了减少电子政务系统的风险,设计了一种新型的电子政务系统信息安全风险综合模型。本文模型提高了电子政务系统信息安全风险评价的精度,可以为电子政务信息安全风险控制提供有价值的参考意见。
1 因子分析法和支持向量机
1.1 因子分析法
设电子政务信息安全风险的原始指标有[p]个,从中选择[m]个因子表示原始指标所包含的信息,那么可以得到:
[Ti=ωi1X1+ωi2X2+…+ωimXm+εi] (1)
式中:[εi]为独特因子;[ωij]为因子载荷。
因子分析法的具体执行步骤如下:
(1) 由于电子政务信息安全风险指标的单位各不相同,导致收集数据的值可能差别比较大,为此必须对电子政务信息安全风险的原始指标值[tij]进行预处理,得到它们的相关系数[rij]矩阵判断。
[R=(rij)p×prij=k=1n(tki-ti)(tkj-tj)k=1n(tki-ti)2(tkj-tj)2,i,j=1,2,…,p] (2)
(2) 对[λI-R=0]进行求解,可以得到特征值[λi,]方差贡献率和累积方差贡献率的计算公式具体如下:
[λik=1pλk, i=1,2,…,p] (3)
[k=1iλkk=1pλk, i=1,2,…,p] (4)
(3) 对累计贡献率进行分析,采用前面[m]个指标作为因子分析的结果以描述电子政务信息安全风险的原始指标。
(4) 对电子政务信息安全风险的指标实行旋转,得到其因子载荷矩阵为:
[A=(aij)m×paij=λilij,i,j=1,2,…,p] (5)
(5) 将电子政务信息安全风险指标进行线性组合,可以得到:
[Xi=li1T1+li2T2+…+lipTp,i=1,2,…,m] (6)
1.2 支持向量机
支持向量机是一种为了解决神经网络需要大样本数据问题的现代统计学习算法,采用结构风险最小化原则避免了过学习、过拟合等不足,泛化能力更优,设电子政务信息安全风险评价的样本数据为:[D=(x1,y1),…,(xl,yl)?Rd×R,]那么支持向量机的解析函数为:
[f(x)=i=1laik(xi,x)+b] (7)
式中:参数[ai,b,i=1,2,…,l]值的求解可以变换为如下形式进行求解:
[min12W2+Ci=1l(ξi+ξ*i)s.t. yi-W,Φ(x)-b≤ε+ξiW,Φ(x)+b-yi≤ε+ξ*iξi,ξ*i≥0] (8)
式中:[ε]为误差界限;[ξi,ξ*i]为松弛变量。
为了简化式(8)问题的求解,得到如下的对偶形式:
[max-12i,j=1l(αi-α*i)(αj-α*j)k(xi,xj)-εi=1l(αi+α*i)+i=1lyi(αi-α*i)] (9)
相应的限制条件为:
[i=1l(αi-α*i)=0,αi,α*i∈0,C] (10)
当[f(x)]满足[yi=f(xi)+υi]条件时,就可以认为系统有噪声;采用核函数进行特征映射,本文选择RBF核函数,其定义为:
[k(x,x)=exp-x-x22σ2] (11)
式中[σ2]表示超参数。
由于[W=i=1l(ai-a*i)Φ(xi)],那么插值函数可以变为:
[f(x)=W,Φ(x)+b=i=1l(ai-a*i)Φ(xi),Φ(x)+b=i=1l(ai-a*i)k(xi,x)+b] (12)
式(8)中的松弛变量计算公式为:
[ξ*i=0, yi-W,Φ(x)-b≤εyi-W,Φ(x)-b-ε, otherwise] (13)
2 电子政务系统信息安全风险的综合评价模型
2.1 风险评价指标
为了准确、全面、客观地对电子政务系统信息安全风险进行评价,根据资产、威胁、脆弱性以及制度等建立如图1所示的层次结构安全风险评价指标体系。
2.2 电子政务系统信息安全风险评价模型的工作思想
信息安全风险是影响电子政务系统推广的关建因素,而信息安全风险评价的好坏是保证电子政务系统正常工作的基础,本文提出了一种新型的电子政務系统信息安全风险综合模型,其基本工作思想为:首先建立电子政务系统信息安全评价的指标体系,然后采用因子分析法选择比较重要的评价指标,并消除一些不重要的指标,最后建立电子政务系统信息安全风险模型,电子政务系统信息安全风险的评价流程如图2所示。
3 电子政务系统信息安全风险评价的实证研究
3.1 数据源
根据图1中的电子政务系统信息安全风险评价指标收集数据,以入侵的次数作为电子政务系统信息安全风险输出,入侵次数的变化曲线如图3所示。
3.2 因子分析法确定重要指标
采用DPS软件下的因子分析法对原始电子政务系统信息安全风险评价指标进行分析,它们的累计贡献率如表1所示。从表1可以清楚地看出,随着指标数的增加,累计贡献率不断增加,尤其当开始累计贡献率增加的幅度相当快,指标数超过7个时,累计贡献率达到了86%以上,此时指标为主要电子政务系统信息安全风险评价指标,其他指标可以当作噪声忽略不计。
3.3 评价结果
根据表1所得的重要电子政务系统信息安全风险评价指标对原始样本进行处理,减少了原始样本数据规模,验证样本的电子政务系统信息安全风险评价结果如图4所示。从图4可知,本文模型的电子政务系统信息安全风险评价结果好,能够保障电子政务系统的正常工作。
采用当前经典的信息风险模型进行对比测试,它们的电子政务系统信息安全风险评价精度如表2所示,从表2可知,相对当前经典的电子政务系统信息安全风险评价模型,本文模型的电子政务系统信息安全风险评价精度更高,提高了电子政务系统信息安全风险评价的准确性,评价结果更加可靠、合理,可以为电子政务系统管理员提供更好的参考信息,以便制定更好的管理措施。
4 结 语
风险评价是保证电子政务系统正常工作的基础,如何提高电子政务系统信息安全风险评价的准确性,一直是人们关注的焦点,为了保证电子政务系统的信息安全,防止非法用户进入系统窃取重要信息,设计了一种新型的电子政务系统信息安全风险评价模型,并通过实例验证了其可行性和优越性。
参考文献
[1] 郭晓武.电子政务的信息安全问题与对策[J].信息网络安全,2006(7):6?8.
[2] BODIN L D, GORDON L A, LOEB M P. Information security and risk management [J]. Communications of the ACM, 2008, 51(4): 64?68.
[3] 陈亮.信息系统安全风险评估模型研究[J].中国人民公安大学学报(自然科学版),2007(4):50?53.
[4] 戴航,贾斌,慕德俊.基于模糊评判法的信息安全风险评估模型[J].信息安全与通信保密,2006(10):133?134.
[5] 范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社,2006.
[6] 冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004(7):10?18.
[7] 林梦泉,王强民,陈秀真,等.基于粗糙集的网络信息系统安全评估模型研究[J].控制与决策,2007,22(8):951?955.
[8] 马丽仪,张露凡,杨宜,等.基于模糊神经网络方法的信息系统安全风险评价研究[J].中国安全科学学报,2012,22(5):164?169.
[9] 尤马彦,凌捷,郝彦军.基于Elman神经网络的信息安全风险估计模型[J].计算机科学,2012,39(6):61?76.
[10] 孟锦,马驰,何加浪,等.基于HHGA?RBF神经网络的信息安全风险估计模型[J].计算机科学,2011,38(7):71?75.
[11] 付钰,吴晓平,宋业新.模糊推理与多重结构神经网络在信息系统安全风险评估中的应用[J].海军工程大学学报,2011,23(1):10?15.
[12] 李方伟,郑波,朱江,等.一种基于RBF神经网络的信息安全风险估计模型[J].重庆邮电大学学报(自然科学版),2014,26(5):576?583.
