技術領域

本發明涉及信息安全領域，尤其涉及一種適用于風險評估的多目標優化方法及系統。

背景技術

信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。在評估過程中，根據不同行業的要求，提出對該行業信息系統的評估指標，評估內容，并根據評估指標值對信息系統進行分析，采用多目標優化方法，解決信息系統風險評估中的最風險問題，計算出用戶感興趣的最終評估結果。

隨著信息安全風險評估方法的不斷發展，安全評估專家逐漸開始對最風險問題進行研究，即最高風險、最低風險和偏好風險問題。如何快速有效地從海量的風險評估數據中找出最風險，使之有效地在企業管理和決策中發揮作用，是急需解決的問題。

發明內容

本發明所要解決的技術問題是克服目前企業管理和決策中還沒有快速有效地從海量的風險評估數據中找出最風險的相應技術的缺陷。

為了解決上述技術問題，本發明提供了一種適用于風險評估的多目標優化方法，包括：

在待評估系統的風險計算中引入指導意見性因素并進行風險計算，獲得風險評估值；

采用多目標優化方法對所述風險評估值進行查詢處理，獲得所述待評估系統的多目標優化處理結果。

優選地，所述在待評估系統的風險計算中引入指導意見性因素并進行風險計算的步驟，包括：

根據表達式VR_C＝R(A，T，V，C)＝R(L(T，V)，F(Ia，Va)，C)＝L(T，V)*F(Ia，Va)*C計算所述風險評估值；

其中，R表示安全風險計算函數，A表示資產，T表示威脅，V表示脆弱性，C表示所引入的指導意見性因素的輔助調節因子；Ia表示安全事件所作用的資產價值，Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件發生的可能性，F表示安全事件發生后產生的損失。

優選地，所述采用多目標優化方法對所述風險評估值進行查詢處理的步驟，包括：

采用多目標優化方法，對由所述風險評估值形成的數據集進行所述查詢處理。

優選地，所述多目標優化方法包括：

最k值偏好(Top-k)查詢方法或者天際線(Skyline)查詢方法。

優選地，所述最k值偏好(Top-k)查詢方法包括：

非隨機訪問算法或者最小堆算法。

優選地，所述天際線(Skyline)查詢方法包括：

預排序過濾算法(SFS)。

本發明還提供了一種適用于風險評估的多目標優化系統，包括：

計算模塊，用于在待評估系統的風險計算中引入指導意見性因素并進行風險計算，獲得風險評估值；

多目標優化模塊，用于采用多目標優化方法對所述風險評估值進行查詢處理，獲得所述待評估系統的多目標優化處理結果。

優選地，所述計算模塊用于根據如下表達式進行所述風險計算：

VR_C＝R(A，T，V，C)＝R(L(T，V)，F(Ia，Va)，C)＝L(T，V)*F(Ia，Va)*C

其中，R表示安全風險計算函數，A表示資產，T表示威脅，V表示脆弱性，C表示所引入的指導意見性因素的輔助調節因子；Ia表示安全事件所作用的資產價值，Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件發生的可能性，F表示安全事件發生后產生的損失。

優選地，所述多目標優化模塊用于采用多目標優化方法，對由所述風險評估值形成的數據集進行所述查詢處理。

優選地，所述多目標優化模塊用于采用最k值偏好(Top-k)查詢方法或者天際線(Skyline)查詢方法進行所述優化處理。

優選地，所述多目標優化模塊用于采用非隨機訪問算法或者最小堆算法的最k值偏好(Top-k)查詢方法進行所述優化處理。

優選地，所述多目標優化模塊用于采用預排序過濾算法(SFS)的天際線(Skyline)查詢方法進行所述優化處理。

與現有技術相比，本發明的實施例將多目標優化方法用于風險評估中多目標決策問題上，成功解決了風險評估中的最風險問題(最高風險、最低風險和偏好風險等)。本發明的實施例適用于風險評估的多目標優化，利用本發明的實施例可以對最風險問題進行研究。