数学建模大赛 A题

由组委会填写）

全。南京理工大学研究生数学建模竞赛。

评阅编号（由组委会评阅前进行编号）：

摘要。针对问题1，——模糊层次分析模型。具体过程分为四步，首先通过分析信息系统风险事件发生的条件，选择资产价值、威胁性、脆弱性和安全措施作为信息系统的安全程度主要影响因素，其中资产价值包括机密性、完整性和可用性三个指标，威胁性包括威胁动机、威胁源攻击能力、目标信息吸引力和受惩罚风险等级四个指标，脆弱性包括脆弱性被利用难易程度和脆弱性对系统的影响程度两个指标，安全措施包括安全措施的有效程度一个指标。

然后，根据这些因素和指标构造层次分析结构图与判断矩阵，利用matlab软件进行层次分析法计算，并通过一致性检验得到了10个指标对信息系统安全程度的权重。最后，利用模糊综合评价法对所得的权重进行处理，得到了风险值，从而确定信息系统的安全程度。根据以上模型，以资产价值不完整且安全措施有些效果的金融信息系统为例，对其进行安全程度评估，最终得到风险值为2.

2347，属于3级风险。由于资产价值不完整但安全措施有效，因此该系统安全程度为较安全。

针对问题2，选取了安全度作为衡量信息系统安全程度的指标，然后建立基于熵权系数法的模糊综合评判模型来求解安全度的大小。具体来说，首先构建层次模型，将问题1中的10个指标进行分类，其中，风险事件发生的概率包括威胁性相关的四个指标以及脆弱性被利用难易程度和安全措施的有效程度两个指标，风险事件所产生的影响包括机密性、完整性、可用性和脆弱性对系统的影响程度四个指标。其次，利用mathematica软件进行熵权系数法计算，得到了发生风险事件的概率和所产生的影响值。

最后，通过概率计算，得到了信息系统安全度的计算模型。根据以上分析步骤，对问题1中的实例进行分析，最终得到了该系统的风险度为0.4080，其安全度为0.

5920，该系统属于3级风险，与问题1得到的结果基本一致。

针对问题3，利用上述两个模型对本小组成员a所持有的手机信息系统进行安全评估。具体来说，首先，对小组成员a的手机进行风险性分析：（1）手机系统以及各支付软件都设置有密码，因此手机具有一定机密性；（2）手机中多款软件绑定了银行卡，在网上支付过程中会有许多内在或者外在的因素存在，而提高了目标信息吸引力以及威胁源攻击能力；（3）手机互联过程中会出现各种携带病毒或木马的信息，增加了系统脆弱性被利用的难易程度。

其次，依据风险性分析对10个指标构建层次模型、判断矩阵以及隶属度矩阵。然后，利用模糊层次分析法和熵权系数法分别对队员a的手机系统进行安全评估。接着，利用模糊层次分析法得到的风险值为2.

4446，属于3级风险；利用熵权系数法得到的风险度与安全度分别为0.3791和0.6209，属于2级风险。

最后，对这两种结果进行分析比较得到，两种模型计算出来的评判结果大体上是一致的。

最后，结合对问题1-3的解决过程分析了模糊层次分析法和熵权系数法的优缺点。

关键词：模糊层次分析法，熵权系数法，信息系统安全程度，安全度。

**登事件为我们敲响了信息安全的警钟，也让我们更进一步认识到当前网络信息安全所面临形势的严峻性。保障我国网络信息安全，是当前面临的重要问题。然而，信息安全度量是业界公认的一个难题，信息系统是否安全、信息系统的安全程度为多少是衡量信息系统安全所需要回答的问题。

通过查阅相关资料，建立数学模型解决以下问题：

问题1：基于“2023年信息安全事件汇总报告”（以及其它网络数据，建立一个计算信息系统（孤立隔离，或广泛互联的系统）的安全程度的数学模型。

问题2：选取一个重要的信息安全度量指标，说明选取的理由，并给出计算该指标的数学模型。

问题3：利用上述两个模型，具体对你们小组成员所持有的手机信息系统进行研究，给出计算结果，并进行简单分析与比较。

本题要求我们建立一个度量信息系统安全程度的数学模型，以衡量信息系统的安全程度或等级，然后选取一个度量信息系统安全程度的指标，通过数学模型来求解所选指标的数值大小。最后，结合我们小组成员自身的手机信息系统，对所建立的模型予以实际应用。

2.1 问题一的分析：

问题一要求我们通过“2023年信息安全事件汇总报告”的信息，来总结信息系统安全事件存在的范围及几个方面，透过信息安全事件的表象分析造成信息系统安全事故的因素，然后建立一个计算信息系统（我们选择广泛互联的系统）安全程度的数学模型。为此，我们依据各因素对信息系统安全程度的影响，利用层次分析法[1]将定性度量与定量度量相结合计算出各因素的权重，然后通过模糊综合评价[2-3]的方法来计算信息系统的风险值，通过风险值与安全程度的对立关系可评估信息系统的安全等级。

2.2 问题二的分析：

问题二要求选取一个度量信息系统安全程度的指标，并建立数学模型来计算该指标的大小。结合问题一中所给信息安全事件汇总报告及查阅相关资料，通过分析影响因素来建立基于信息熵理论的风险评估方法模型[4]。首先建立隶属度矩阵来计算各因素的熵权系数，然后根据熵权系数来计算系统发生风险的概率，其次依据概率值的大小来评估信息系统的危险程度，根据危险程度和安全程度的对立关系可以度量信息系统的安全程度。

2.3 问题三的分析：

问题三是对问题一和问题二中所建立的模型的实际应用，应用的对象为我们小组成员所持有的手机信息系统。通过对比两个模型计算出的信息系统安全程度，来检验所建立的两个信息系统的统一性，从而对建立的两个模型进行简单评估。对小组成员的手机系统而言，在计算时应具体考虑各因素的影响程度，然后建立合理的成对比较矩阵和隶属度矩阵，从而保证计算过程的准确性。

1、假设所建立模型对应的信息系统是一个广泛互联的系统。

2、假设攻击者对系统存在的脆弱性有充分的了解，并具有利用这些脆弱性进行攻击的能力。

3、攻击者能够选择系统中最薄弱的环节进行攻击。

4、潜在的攻击可能来自系统外部，也可能来自系统内部。

建立模型过程中所使用的符号含义见表4.1所示，其它未列举的符号在文中均有说明。

表4.1 符号说明表。

5.1问题一的模型建立与求解。

根据“2023年信息安全事件汇总报告”中的信息，拟针对广泛互联的信息系统建立一个计算其安全程度的数学模型，然后选取一个具体的金融信息系统来举例计算模型的求解过程。整个过程可分为如下几个步骤完成：

步骤一：基于信息安全事件报告及其他网络数据，挖掘造成信息安全事件的本质及原因，对信息系统进行风险要素分析，列举构成信息系统风险的各要素。

步骤二：对步骤一风险要素分所得的各因素建立层次结构模型、构造成对比较矩阵、求得各因素的相对权重并进行一致性检验。

步骤三：利用步骤二中计算出的各级权重，结合模糊综合评价法来计算系统的风险值，并根据各风险值所在区间确定风险等级，根据风险等级与安全等级的对立关系确定安全程度。

步骤四：以资产价值不完整且安全措施有效的金融信息系统为例，来具体说明整个模型的计算求解过程。

5.1.1 风险要素分析。

2023年信息安全事件汇总报告中提到的信息系统安全问题主要有信息泄漏、电信诈骗、网络漏洞、网络谣言、手机流量疯跑、网络暴力等。然而，这些因素仅仅是信息系统安全与否的表象或已发生的结果，要通过数学模型去衡量一个信息系统的安全程度，更重要的是对影响信息系统安全的因素进行深度解读，即进行进行风险要素分析。

为了进行风险计算，将风险信息量化为具体数值，需要把风险中涉及的因素进行量化分析，按照具体的标准将它们的程度等级用数值来衡量表示。有了具体的赋值标准，专家就可以按因素的具体程度等级对其进行评价，再根据专家评价的初始数掘进行风险计算，得出具体的风险值。该过程可通过如下几步完成：

1、资产价值分析。

安全评估的笫一部分就是资产评估，在信息系统中，资产可以现解为对系统有价值的任何东西。有价值的东西就会有着各种各样的威胁，而且风险是动态的，其值是不断变化的。应该根据它们各自的价值，它们的脆弱性及发生威胁的概率来得出它们的风险从而有先后顺序的采取安全措施。

资产的安全属性主要分为机密性、完整性和可用性（即cia）。它们也大致构成了资产的重要性值，表示为资产价值根据现有的评仍方法标准，这报我们将其列表赋值。

资产的机密性可以理解为资产受保密的程度，即资产会被非法利用（如竞争对手）的程度。这里将其值按资产中包含信息的重要程度为标准分为5个等级，资产中包含的信息越重要其值就越大。表5.

1.1中说明了具体赋值标准。

表5.1.1 资产机密性赋值表。

资产的完整性即为资产不被破坏、篡改的特性。将其按照被恶意或无意的破坏及篡改时对组织机构造成的影响程度为标准分为5个等级，资产被破坏、篡改时对组织的影响越大，其值就越大。具体赋值标准如表5.

1.2所示。

表5.1.2 资产完整性赋值表。

资产的可用性即为合法使用者对信息系统及信息的使用频率的特性。与机密性和完整性类似，也可以分成5个等级。同样的，授权用户对信息系统及信息资源的访问占其正常工作时间的比例越大，其可用性越高。

具体赋值标准如表5.1.3所示。

数学建模大赛 A题

2023年全国数学建模大赛B题

数学建模大赛试

2023年数学建模大赛试题B题

其他用户还读了