基于大數(shù)據(jù)的企業(yè)信息安全水平綜合評價問題研究

李婉+周金明+楊認真

摘要：大數(shù)據(jù)時代的信息安全水平的測度與評價，對企業(yè)信息安全體系建設以及提高企業(yè)信息化水平極為重要。針對大數(shù)據(jù)環(huán)境下的企業(yè)信息安全管理體系進行分析和研究，發(fā)現(xiàn)國內企業(yè)在大數(shù)據(jù)安全管理方面仍然存在不足之處。文章旨在探索信息安全水體系的構建，研究大數(shù)據(jù)安全管理體系的評價及信息安全風險對策。以NH公司為例，分層分析并構建評價模型，進而模型求解得到最終評價結果。通過實例說明方法的有效性和可行性。

Abstract： The measurement and evaluation of information security level in big data age is very important to the construction of enterprise information security system and the improvement of enterprise informatization level. According to the analysis and research of the enterprise information security management system under the big data environment， it is found that the domestic enterprises still have shortcomings in the big data security management. The article aims to explore the construction of information security water system， study the evaluation of big data security management system and information security risk countermeasures. Taking NH Company as an example， the evaluation model is analyzed and constructed， and then the final evaluation result is obtained by solving the model. The effectiveness and feasibility of the method are illustrated by an example.

關鍵詞：大數(shù)據(jù)；信息安全；管理體系；層次分析

Key words： large data；information security；management system；AHP

中圖分類號：TP309 文獻標識碼：A 文章編號：1006-4311（2017）34-0058-03

0 引言

“大數(shù)據(jù)”為企業(yè)開辟了一個解決問題的新路徑，比如通過數(shù)據(jù)可以深度挖潛利益相關者的思維模式和喜好，并將其轉化成企業(yè)獨有的經營方式。單靠積累的經驗或直接推斷做出決策往往比較主觀，無法保證每一項決策都精準無誤，而基于海量的數(shù)據(jù)、信息做出的管理決策，科學性和可行性更高[1]。

然而，企業(yè)為了提高自身競爭力，利用信息系統(tǒng)存儲大數(shù)據(jù)，通過信息手段更加科學地維護企業(yè)內部信息安全、完整，基于海量的數(shù)據(jù)信息不斷改進經營決策，這對企業(yè)運營效率的提升大有裨益。但是，企業(yè)必須在使用信息系統(tǒng)的過程中引入各種措施對系統(tǒng)中的數(shù)據(jù)加強安保[2，3]。如今網絡系統(tǒng)中存在病毒感染、黑客入侵等各種網絡安全問題，企業(yè)核心數(shù)據(jù)信息一旦遭到非法入侵，所造成的經濟損失和名譽損失往往是不可估量的。對企業(yè)而言，維護數(shù)據(jù)安全無疑是日常經營管理工作的重點內容[4]。我國企業(yè)的信息安全問題主要表現(xiàn)在：企業(yè)重視不足；缺少長遠目標規(guī)劃；信息安全制度的缺失；信息安全管理人才的流失；企業(yè)的信息化人才匱乏，在建設大數(shù)據(jù)系統(tǒng)的進程中，沒有給企業(yè)的信息安全管理人員足夠的培養(yǎng)平臺；信息安全評估體系不夠完善。

1 大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平評價體系構建

綜合評價指標體系的構建需滿足科學性原則、系統(tǒng)優(yōu)化原則、通用可比原則、實用性原則和目標導向原則等原則[5]，基于大數(shù)據(jù)背景和數(shù)據(jù)信息風險的來源構建企業(yè)信息安全評價指標體系（見表1）。

2 大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平評價模型的構建

2.1 企業(yè)信息安全評價方法的確定

針對企業(yè)信息安全水平的評價，采用層次分析法確定二級指標的權重，分別對各項指標的打分，最終得到企業(yè)信息安全評價結果。層次分析法主要是通過定性或量化的手段來處理各種不確定性因素，以此進一步提升安全管理水平[6]。

①分層分析處理各種因素，并將現(xiàn)有信息資源構造成樹狀結構的層次結構模型。各層次之間的各因素通常有的具有關聯(lián)性，但是也有不相關聯(lián)的，且每個層次的因素個數(shù)也未必相同。

②構造判斷矩陣。構造判斷矩陣是重要環(huán)節(jié)，需要對同一層次的各因素進行兩兩對比，比較時，應盡量避免不同性質的因素相互比較。同時，應根據(jù)具體實際情況，降低主觀因素的造成的不客觀影響。設n個因素C1，C2，…， Cn。對上一層O的影響程度。對任意兩個因素Ci和Cj，用aij表示Ci和Cj對O的影響程度之比，按1～9的比例標度來度量aij（i，j=1，2，...，n）。比例標度采用1～9九個等級。若判斷矩陣A的元素滿足aik akj=aij，（i，j，k=1，2，…，n），則A為一致性矩陣。

③權重向量確定。將A的各列（或行）向量求幾何平均后歸一化，可以近似作為權重，即

ui=，（i=1，2，…，n）

④一致性檢驗。一般情況下，需要對判斷矩陣進行一致性檢驗，并不是所有從實際中得到的判斷矩陣都是一致的，一致性的程度應在容許的范圍內。endprint

2.2 NH公司的信息安全評價

根據(jù)對企業(yè)信息安全評價指標體系的構成分析，本文應用層次分析法和安全檢查表法對NH公司的信息安全進行評價。首先，通過層次分析法得到體系中各項二級指標的權重，再通過安全檢查表法對體系中的各項二級指標打分，最終得出NH公司的綜合信息安全評價結果。

邀請10位專家進行打分，進而確定評價指標體系中的二級指標的相對重要性。評分標準為：非常重要（7）、重要（5）、稍微重要（3）、同樣重要（1），由于專家在評選的過程中存在不可避免的主觀因素，專家應盡可能保持客觀且相互獨立完成，必要時要進行二次打分。所得打分結果經整理后得到判斷矩陣（見表2）。以安全管理機構為例說明模型求解結果及權重的確定。

計算幾何平均值得：M11=1.8860，M12=0.5302，M13=1.2009，M14=0.7873，M15=0.8807，M16=1.2009

則各指標的權重為：

u1=（0.291，0.082，0.185，0.121，0.136，0.185）

因此，

W1=（0.239， 0.933， 1.139， 1.266， 1.005， 0.782），λmax=8.046

其中，CI=（λmax-n）/（n-1）=0.022。當n=6時，RI=1.26，CR=CI/RI=0.017<0.10，一致性通過，可以認為安全管理機構二級指標重要程度判斷矩陣具有可以接受的滿意一致性。

同法，依上述方案的步驟分別可得NH公司其他各項指標的權重向量（見表3）。

2.3 信息安全體系二級指標的評價

評價過程中，筆者采用安全檢查表方法對NH公司的信息安全體系進行評價。評分采用10分制，參與評價的工作人員由對各項指標熟悉的工人、工作技術人員及管理人員組成。根據(jù)NH公司信息安全體系二級指標權重的確定和評分結果，運用WAA算法得到該體系各項一級指標的總體評價結果（見表4）。

3 結束語

大數(shù)據(jù)安全體系必須依靠先進的安全技術策略才得以實現(xiàn)，安全技術策略是針對信息系統(tǒng)加強安全防護的主要路徑?？煽康陌踩烙夹g是實施安全管理策略的重要載體，它能有效提高信息安全防御水平。在構建信息安全防御體系的過程中，企業(yè)應該針對內部成員推出嚴格的數(shù)據(jù)保密制度，重點強調安全策略，同時引入有較高職業(yè)素養(yǎng)和安全管理技能的專業(yè)人才，確保信息安全管理制度能夠得到有效落實，從而提高企業(yè)大數(shù)據(jù)信息安全水平。

參考文獻：

[1]程剛.企業(yè)信息服務水平評價體系研究[J].圖書情報工作，2010（18）：76-80.

[2]黃啟發(fā)，宋彪.基于協(xié)同學的企業(yè)信息安全綜合評價模型[J].現(xiàn)代情報，2012（08）：113-117.

[3]林正奎.基于VaR-Copula的信息安全評價模型研究[J].數(shù)學的實踐與認識，2012（08）：85-90.

[4]尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].安徽財經大學，2015.

[5]王雪濤，袁文秀.基于大數(shù)據(jù)的企業(yè)信息安全影響因素實證研究[J].情報探索，2016（07）：30-34，40.

[6]徐建中，馬瑞先.基于AHP的企業(yè)循環(huán)經濟發(fā)展水平灰色綜合評價研究[J].科技管理研究，2008（04）：46-49.endprint