因子分析和神经网络信息系统风险评估范文

摘要：信息系统风险变化具有随机性、不确定性，传统方法无法准确考虑信息系统风险这些变化特点，导致当前信息系统风险评估的可靠性差、评估精度低。为了改善信息系统风险评估效果，设计基于因子分析和神经网络的信息系统风险评估模型。首先，分析当前信息系统风险评估的国内外研究现状，构建完整的信息系统风险评估指标；然后，采用因子分析法从原始信息系统风险评估指标中提取重要的指标，采用神经网络对信息系统风险评估的训练样本进行学习，构建信息系统风险评估模型；最后，通过仿真对比实验验证所提模型的合理性和优越性。结果表明，所提模型可以准确描述信息系统风险变化的随机性、不确定性，获得高精度的信息系统风险评估结果，改善了信息系统风险评估效率，信息系统风险评估的整体性能要优于当前其他信息系统风险评估模型。

关键词：信息系统；风险评估；因子分析；神经网络；评估指标；研究现状分析

引言

当前大多数企业、单位以及部门都构建了自己的信息管理系统，信息系统的应用价值越来越高。信息系统安全是危害信息系统正常运行最直接的表现。一些非法用户一旦入侵到信息系统，会窃取一些重要数据，对企业、个人会造成很大的经济损失，因此采用各种技术和手段保证信息系统安全成为信息系统研究领域的焦点[1⁃3]。信息系统风险评估是一种关键信息系统安全保障技术，它可以对信息系统将来面临的风险进行估计，可以帮助信息系统管理人员了解信息系统安全的发展趋势。为此，国内外学者和专家对信息系统风险评估问题进行了深入的分析和研究，并取得了不错的研究成果，涌现了许多有效的信息系统风险评估模型[4]。信息系统风险评估模型可以划分为两种类型。一种是基于定性分析的信息系统风险评估模型，主要有基于攻击树的信息系统风险评估模型、基于风险事件分类的信息系统风险评估模型、基于威胁传播的信息系统风险评估模型等。这些定性分析的模型从理论上对信息系统风险整体变化态势进行把握，可以得到信息系统风险所处的等级，以及可以发生的后果，但是不能对信息系统风险进行准确量化处理和分析，很难建立准确的信息系统风险评估模型。因此在实际应用中难以推广，缺陷十分明显[5⁃7]。另一种是基于定量分析的信息系统风险评估模型，主要有层次分析法、模糊理论、贝叶斯方法、灰色理论、神经网络以及它们的组合方法[8⁃10]。基于定量分析的信息系统风险评估模型可以很好地描述信息系统风险变化特点，信息系统风险评估结果更加可靠，而且信息系统风险评估结果可解释性更好。在定量分析的信息系统风险评估建模过程中，理想的信息系统风险评估指标体系是获得高精度评估结果的基础[11⁃12]。在实际应用中，信息系统风险评估影响因子（指标）相当多，如果全部选择，那么信息系统风险评估指标信息重复大，而且导致输入向量的维数过高，出现“维数灾”的问题，因此对评估指标选择具有重要的意义，可降低输入向量的维数，加快信息系统风险评估的速度[12⁃15]。为了改善信息系统风险评估的效果，设计基于因子分析和神经网络的信息系统风险评估模型（FA⁃NN）。首先采用因子分析法从原始信息系统风险评估指标中提取重要的指标，然后采用神经网络的自适应学习能力构建信息系统风险评估模型，通过仿真实验验证本文模型的合理性和优越性。

1信息系统风险评估指标体系的构建

信息系统是一个复杂的系统，要建立一个性能优异的信息系统风险评估模型，首先要构建一个完整、科学的信息系统风险评估指标体系，信息系统风险评估指标体系直接影响模型能否准确描述信息系统风险的各种影响因素，对信息系统风险评估时间也起着决定性的作用。风险评估指标可以直接或间接地反映信息系统风险发生的影响因子，本文根据含义清楚、完整、易于量化的原则，参考相关研究对信息系统风险评估指标进行构建，信息系统风险评估指标体系如图1所示。

2因子分析和神经网络的信息系统风险评估模型

2.1因子分析法

在信息系统风险评估过程中，通常情况下，希望能够全面描述各种影响因素的作用，但是每一种类型的信息系统风险评估指标对信息系统风险评估影响程度不同，而且各种信息系统风险评估指标之间可能存在一定相关性，这样信息系统风险评估指标数多，并不代表可以获得高精度的信息系统风险评估结果。因子分析法（FactorAnalyze，FA）可以采用几个没有相关性的综合因子代表原始信息系统风险评估指标，是一种有效的信息系统风险评估指标降维方法。基本工作原理为：首先根据相关性实现信息系统风险评估指标分组，同一组的信息系统风险评估指标之间相关性高，反之相关性较低。每一组信息系统风险评估指标表示一个基本结构，即称之为公共因子，其可以保留原有信息系统风险评估指标的主要信息。设共有p个信息系统风险评估指标，n个样本数据，那么因子分析法可以将n个样本数据描述为m<p个公共因子和一个独特因子的加权和，具体如下：Ti=ωi1X1+ωi2X2+⋯+ωimXm+εi（1）式中：Ti表示原信息系统风险评估指标；Xi表示公共因子，因子间相互独立、无相关性；εi表示独特因子；ωij表示因子载荷，描述第i个信息系统风险评估指标在第j个公共因子上的重要程度。

2.2因子分析法的信息系统风险评估指标选择步骤

1）对输入信息系统风险评估指标数据进行标准化处理，消除信息系统风险评估指标量纲差异，计算信息系统风险评估指标的相关系数矩阵，具体为：式中：tij表示第i个样本、第j个信息系统风险评估指标的值；rij表示相关系数；tˉi表示第i行信息系统风险评估的样本均值；p表示指标数量。2）构造因子变量。对特征方程λI||-R=0进行求解，I表示全1矩阵，得到第i个指标的特征值λi(i=1,2,⋯,p)，计算方差贡献率和累积方差贡献率。3）确定因子，根据累积方差贡献率得到前m个因子，通常情况下累积方差贡献率超过85%就行，前m个因子可以反映原始信息系统风险评估指标的大部分信息。4）构建因子载荷矩阵，具体为：式中lij表示第i个因子和原始信息系统风险评估指标间的系数。5）将因子变量表示为原始信息系统风险评估指标的线性组合，即：利用原始信息系统风险评估指标的线性组合计算因子变量的得分，增强因子的可解释性。

2.3BP神经网络

BP神经网络具有自适应能力，可以较好地描述信息系统风险变化的随机性和不确定性。BP神经网络通常有3层：输入层、隐含层、输出层，各层之间通常采用S型传递函数，具体为：式中：tpi，Opi分别为信息系统风险等级的实际值和神经网络的估计值。

2.4构建信息系统风险评估模型

BP神经网络克服了传统信息系统风险评估方法对决策性判断的依赖等缺陷，为此，本文选择BP神经网络构建信息系统风险评估模型，该模型不需要事先准确地知道信息系统风险等级与其指标间的联系，可以通过对信息系统风险评估的训练样本进行学习，建立信息系统风险等级与其指标之间的非线性关系，可以很好地模拟不同指标和信息系统风险等级间的复杂映射。基于BP神经网络的信息系统风险评估模型工作过程主要包括2个阶段，具体如下：1）BP神经网络训练阶段。根据信息系统风险等级，利用训练样本进行BP神经网络的学习，对BP神经网络进行训练，建立信息系统风险评估模型。2）评估阶段。输入未知等级的信息系统风险评估样本，根据建立的信息系统风险评估模型输出信息系统风险等级。因子分析和BP神经网络的信息系统风险评估模型流程如图2所示。

3信息系统风险评估的实例分析

3.1信息系统风险样本数据

为了评价因子分析和神经网络的信息系统风险评估模型的效果，采用一个企业的信息系统作为研究目标，采集其一段时间内的信息系统风险样本数据，共获得信息系统风险样本数据200个。随机选择50个作为验证样本，分析本文所构建的信息系统风险评估模型的性能，信息系统风险共划分为5个等级，具体如表1所示。3.2提取信息系统风险评估指标的重要公共因子采用因子分析对信息系统风险评估指标进行处理，计算公共因子的方差贡献率以及累积方差贡献率，前5个公共因子的累积方差贡献率达到了92.03%，那么表示这5个公共因子就可以描述图1中9个信息系统风险评估指标的能力，它们的累积方差贡献率具体如表2所示。从表2可以看出，因子分析可以省略对信息系统风险评估结果影响较小的指标，达到了优化信息系统风险评估指标的目的，消除了信息系统风险评估指标中的冗余信息，有效地简化了信息系统风险评估指标，为后续对信息系统风险评估建模效率的提高起到一定的作用。

3.3本文方法的信息系统风险评估结果

为了增强本文模型的信息系统风险评估测试结果的说服力，进行5次评估测试实验。每一次的训练样本和验证样本采用随机方式进行选择，统计每一次测试的信息系统风险评估正确率，具体如图3所示。对信息系统风险评估正确率进行分析可知，本文模型的信息系统风险评估正确率均超过了95%，信息系统风险评估误差远低于应用控制范围，表明本文模型是一种结果可信、性能稳定、正确率较高的信息系统风险评估模型。

3.4与当前其他信息系统风险评估模型的综合性能对比

选择文献[13⁃15]的信息系统风险评估模型进行对比测试，统计各种信息系统风险评估的正确率以及评估的建模时间，结果如表3所示。从表3可知，本文模型信息系统风险评估正确率得到了一定提升，而且减少了信息系统风险评估的建模时间，这是因为引入了因子分析法减少了信息系统风险评估模型的输入向量数量，降低了信息系统风险评估建模的计算复杂度，使整个信息系统风险评估整体性能更优。

4结论

针对当前信息系统风险评估过程存在的难题，提出因子分析和神经网络的信息系统风险评估模型，具体过程为：1）在分析现有信息系统风险评估相关研究的基础上，构建相应的信息系统风险评估指标体系。2）引入因子分析对信息系统风险评估指标进行处理，简化了信息系统风险评估的输入，提升了信息系统风险评估模型的工作效率。3）利用神经网络拟合信息系统风险的变化特点，建立性能优异的信息系统风险评估模型。4）通过具体的信息系统风险评估实例验证了本文模型的性能。本文模型的信息系统风险评估模型整体性能要明显优于对比的信息系统风险评估模型，解决了当前信息系统风险评估模型的复杂性和正确率低的问题。可为有关部门估计信息系统风险、选择合理的信息系统风险防范措施提供科学的参考依据，具有较高的实际应用价值。

作者：张明慧 程红霞 单位：郑州师范学院