一种量化的移动智能终端风险评估方法

【前言】一种量化的移动智能终端风险评估方法由文秘帮小编整理而成，但愿对你的学习工作带来帮助。风险评估是在风险事件发生之前，针对该事件对人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估，然后据此采取有效的风险抵御措施，使将要遭受的损失降到最低。风险评估被广泛地应用于各个领域，积累了大量有益的经验，不过在日益受到重视的移动...

摘要：当前由移动智能终端潜在风险引发的安全威胁日益严峻，且目前尚不存在有效的量化风险评估方法。针对上述问题，依据ISO/IEC 27002：2005标准（GB/T 220812008），提出一种适合移动智能终端风险量化评估的方法。该方法结合移动智能终端的特性，采用层次分析法（analytic hierarchy process，AHP），建立4层风险评估指标体系，构造出判断矩阵，求出各项评估指标的权重及综合权重。对终端风险指标因素进行系统模糊综合评判，并给出隶属度矩阵的计算方法。举例说明基于层次分析法的模糊综合评估方法 （analytic hierarchy process and fuzzy synthetic evaluation method，FuzzyAHP）在移动智能终端风险评估中的应用。通过对比实例验证：该方法能够有效反映不同的安全配置下智能终端的安全等级。

关键词：移动智能终端；风险评估；层次分析法；模糊综合评价法

中图分类号：TP309文献标识码：A〖JY〗文章编号：10053824（2013）06004006

0引言

随着以智能手机为代表的移动智能终端功能的多样化及性能的大幅提升，移动智能终端已经迅速融入人们生活、娱乐、工作和学习等各个方面。越来越多的公司、组织和机构允许（甚至要求）员工使用个人移动智能终端设备处理商业邮件和其它的企〖JP2〗业数据资源[1]，信息安全面临各种各样的风险。〖JP〗各种终端本身的安全漏洞被入侵者利用，信息安全遭到日益严重的威胁，并可能承受难以预料的后果[2]。因此，移动智能终端风险评估的应用在此情况下显得尤为必要和紧迫，它是保证终端健康运行的关键，且能为建立信息系统的安全保障体系提供必要的决策依据。

风险评估是在风险事件发生之前，针对该事件对人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估，然后据此采取有效的风险抵御措施，使将要遭受的损失降到最低。风险评估被广泛地应用于各个领域，积累了大量有益的经验，不过在日益受到重视的移动智能终端安全这一迅猛发展的新兴领域却缺乏有效的应用实例。当前基于移动智能终端的风险评估正逐渐成为一个新兴的研究热点。LU Guoming等[3]提出一种基于模糊数学的通用信息系统安全评估方法，主要步骤：1）引用通用标准（common criteria， CC）建立安全评估分〖HJ2.25mm〗层模型；2）应用层次分析法计算出系统安全因素权重；3）由模糊综合评价方法得到最终的量化安全等级。李佳等[4]援引计算机网络攻击效果评估研究经验并结合智能终端攻击的自身特点，提出一套从用户受损程度出发，在建立智能终端攻击效果评估指标体系的前提上，应用FAHP方法评估软件攻击效果的方案。THEOHARIDOU 等 [5]提出一种经过裁剪的针对智能终端的风险评估方法。首先，确认终端的资产和存在的威胁；其次，通过分析威胁影响风险三要素的程度来确定威胁值；最后，利用用户输入、资产损失值和威胁发生的可能性计算出风险评估值。

虽然人们在移动智能终端风险评估领域已有一些有益的尝试和研究成果，但是现在的研究还处于起步阶段[6]。目前大多数评估方法还只是把潜在风险因子威胁终端的某一方面安全作为主要研究内容，却忽略把终端当作一个有机整体来预测整体风险值，而更为重要的是没有考虑移动终端的自身特点及配置对终端安全的影响，没能提出相应的评估指标体系和量化评估方法。本文以移动智能终端作为一个完整的评估整体，结合终端自身特点，提出以用户为核心、层次化的指标体系，通过模糊综合评估算法计算出终端的整体风险值，并将其作为最终的量化评估结果。