信息系統的安全風險跟蹤評價與動態預測

本項目關注導致信息系統失效和系統發生災難性事件的安全風險，通過構建風險演化模型，研究信息系統的安全風險跟蹤識別、自適應控制和動態預測，構造基於三層構架的安全風險管理方案。具體研究包括：1、剖析安全風險因素的構成，提出安全風險活動的自組織行為和內生規律的概念模型；2、基於證據理論分析指標可信度，兼顧主成分指標分析，建立信息系統安全風險評價指標體系，研究基於正交分類增長曲線模型的安全風險跟蹤；3、通過形式化證明信息系統的防危可靠度得到風險剖面，引入故障樹分析原因事件剖面，運用情景規劃理論，實施DEA和Malmquist指數方法開展信息系統安全風險控制；4、採用貝葉斯網路分析安全風險發生的原因與結果之間的動態關聯，提出安全風險預測構架。結合實際套用項目開展實例驗證，研究上述技術在信息系統運行周期中的綜合實施。本項目將促進信息系統安全風險管理從傳統的單一度量理論到綜合性的可信度量理論的深化。

在本課題執行的三年內，查閱了大量的相關領域的文獻資料，密切關注相關研究方向國際前沿。從本項目以信息系統運行過程中安全風險的實際問題為導向，通過研究信息系統安全風險跟蹤評價與動態預測技術，構建安全風險演化概念模型，建立推理診斷機制，結合信度和效度分析，將信任性（複雜性、主觀性、不確定性）轉化為風險描述的必要任務，實現基於過程的信息系統安全風險跟蹤方案，從而構造出信息安全風險評價方法體系。本項目在理論方法創新的同時兼顧評價模型和方法的實用性，通過一個不斷降低安全風險的完整過程，主動評價和度量安全風險的大小，減少潛在威脅發生的可能性和影響。 本課題在執行期間發表24篇論文（含錄用28篇），已被SCI收錄4篇、EI收錄15篇；申請發明專利15項、實用新型10項，其中已授權實用新型10項；獲批軟體著作權6項；研發的綜合安全防護系統軟體2011年12月獲批江蘇省高新技術產品，並在智慧型農業、智慧水利、EMU動車組、危險源感知等領域套用，獲得江蘇省科技進步獎三等獎2項，國家教育部科技進步獎二等獎1項。 具體工作包括：研究信息系統安全風險活動的自組織行為和內生規律。 定義風險因素和驅動因子，突破基於正交風險分類的信息系統安全風險評估關鍵技術，研究信息系統安全風險定量預測模型，設計安全風險預測能力提升方法和結合缺陷類型的相對風險估計框架。 研究基於Malmquist指數的安全風險評價方法和防危性增長測評方法。研究基於馬爾可夫鏈-風險熵的移動自組網安全風險評估。研究基於貝葉斯網路的信息系統風險預測。 研究基於多決策標桿管理的信息系統風險修正。選擇典型的軍用分散式網路系統和民用多源多層開環系統，進行理論和方法驗證。 綜上所述，本課題已完成了契約規定的任務，達到相應的技術指標和預期目標。相關成果已套用于軍用分散式網路系統和民用多源多層開環系統的開發過程中。