基于界殼綜合實(shí)力的企業(yè)信息系統(tǒng)安全評(píng)價(jià)研究

（杭州電子科技大學(xué)管理學(xué)院，浙江杭州 310000）

IBM Security 和Ponemon Institute 聯(lián)合發(fā)布全球2017 年數(shù)據(jù)泄露成本調(diào)研報(bào)告，指出眾多行業(yè)和規(guī)模企業(yè)數(shù)據(jù)泄露事件平均規(guī)模（丟失或被盜的記錄條數(shù)）較往年上升1.8%，信息安全已經(jīng)成為企業(yè)生產(chǎn)與發(fā)展的關(guān)鍵要素，研究企業(yè)信息系統(tǒng)安全具有一定的理論價(jià)值和現(xiàn)實(shí)意義［1］。

大數(shù)據(jù)、云計(jì)算、人工智能、移動(dòng)物聯(lián)網(wǎng)等新型高端技術(shù)的快速發(fā)展，加速了信息在社會(huì)化大環(huán)境中的傳播，企業(yè)信息系統(tǒng)安全評(píng)價(jià)面臨新的挑戰(zhàn)［2-3］。馮登國等［4］對(duì)現(xiàn)有成果進(jìn)行綜述說明，分析了信息安全風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容，如評(píng)價(jià)標(biāo)準(zhǔn)、評(píng)價(jià)模型、評(píng)價(jià)發(fā)展前景等，但未提出新的評(píng)價(jià)方法。張利等［5］嘗試性提出四種改進(jìn)型信息安全綜合評(píng)估的方法，并比較分析了各方法的優(yōu)勢，但未給出具體評(píng)價(jià)模型。趙冬梅等［6］運(yùn)用非線性的BP 神經(jīng)網(wǎng)絡(luò)方法建立信息安全評(píng)價(jià)體系，消除了明顯人為主觀影響，但樣本的數(shù)量及正確性難以界定。黃啟發(fā)等［7］基于協(xié)同學(xué)理論，從技術(shù)、管理、制度、監(jiān)管四個(gè)角度，對(duì)單個(gè)企業(yè)內(nèi)部信息安全進(jìn)行評(píng)價(jià)，但未說明不同行業(yè)的企業(yè)信息系統(tǒng)安全評(píng)價(jià)方法。Cholez H［8］提出企業(yè)信息系統(tǒng)安全的成熟度模型，實(shí)現(xiàn)中小型企業(yè)信息系統(tǒng)安全測度，但未考慮地區(qū)因素對(duì)企業(yè)信息系統(tǒng)安全的影響?，F(xiàn)有文獻(xiàn)使用的評(píng)價(jià)方法各有偏重點(diǎn)，選取的評(píng)價(jià)指標(biāo)涉及范圍大小不一，一定程度上影響了研究結(jié)果的準(zhǔn)確性和有效性。

在界殼理論中，物質(zhì)、能量、信息通過界門與外部環(huán)境發(fā)生交換，界門控制交換的數(shù)量和種類。與耗散結(jié)構(gòu)理論、控制論、一般系統(tǒng)理論相比，界殼理論更加重視周界對(duì)系統(tǒng)生存和發(fā)展的影響。目前界殼理論在自然科學(xué)、地質(zhì)學(xué)和安全與管理多領(lǐng)域中均有應(yīng)用［9-11］。本文基于界殼理論，通過挖掘企業(yè)信息系統(tǒng)安全影響因素，建立企業(yè)信息系統(tǒng)安全評(píng)價(jià)模型，能夠?qū)ζ髽I(yè)信息系統(tǒng)安全進(jìn)行更全面的評(píng)價(jià)，有利于增強(qiáng)研究結(jié)果的可信性和有效性。

1 企業(yè)信息系統(tǒng)界殼綜合實(shí)力

1.1 界殼綜合實(shí)力

系統(tǒng)論將世界看作系統(tǒng)與系統(tǒng)的集合，研究各系統(tǒng)本身及其與環(huán)境之間的交換；界殼論著重研究系統(tǒng)周界對(duì)系統(tǒng)和環(huán)境之間相互作用的影響。從功能上看，界殼通過控制能量、物質(zhì)、信息（簡稱物量）的輸入和輸出，護(hù)衛(wèi)系統(tǒng)自身。從結(jié)構(gòu)上看（如圖1），界殼J 由界壁W 和界門P 組成，將系統(tǒng)S 分為周界M 和系里N 兩部分，即：

圖1 系統(tǒng)界殼結(jié)構(gòu)示意圖

界殼套就是層層嵌套的界殼，包含串聯(lián)和并聯(lián)兩種形式。串聯(lián)形式的界殼套，同層界殼只有一個(gè)，界殼之間都是包含關(guān)系，稱作鏈?zhǔn)浇鐨ぬ谆蛘叨嘀貑误w套。并聯(lián)形式的界殼套，同層界殼不一定只有一個(gè)，界殼之間除包含關(guān)系外，某同層界殼還存在平行并列的關(guān)系，稱為多重并列套或格式界殼套，區(qū)別在于同層小界殼之間的關(guān)系是串聯(lián)還是并聯(lián)。

某系統(tǒng)全界殼作用下系統(tǒng)的綜合防護(hù)能力或交換能力稱為界殼綜合實(shí)力，根據(jù)具體研究問題，確定相關(guān)評(píng)價(jià)指標(biāo)及權(quán)重，運(yùn)用加權(quán)平均法得到系統(tǒng)界殼綜合實(shí)力。界殼綜合實(shí)力可作為評(píng)價(jià)指標(biāo)，水平維度可對(duì)比多系統(tǒng)界殼綜合實(shí)力強(qiáng)弱，反映系統(tǒng)生存發(fā)展的競爭力，垂直維度可對(duì)單一系統(tǒng)多層界殼深入分析，分析系統(tǒng)各層界殼對(duì)系統(tǒng)生存發(fā)展的貢獻(xiàn)程度，確定系統(tǒng)改進(jìn)方向。

1.2 企業(yè)信息系統(tǒng)安全界殼

企業(yè)信息存儲(chǔ)形式多樣，包括物質(zhì)形式（紙質(zhì)材料）、數(shù)字形式（光或者電子介質(zhì)存儲(chǔ)的數(shù)據(jù)文件）、員工大腦等。企業(yè)信息可通過口頭交流、電子郵件、信使進(jìn)行傳播，為了維護(hù)企業(yè)信息系統(tǒng)安全，必須對(duì)不同存儲(chǔ)方式的信息及其傳播途徑進(jìn)行保護(hù)。企業(yè)信息系統(tǒng)安全的影響因素眾多，相應(yīng)防護(hù)手段同樣很多。企業(yè)信息系統(tǒng)安全防護(hù)是動(dòng)態(tài)過程，按風(fēng)險(xiǎn)發(fā)生階段劃分為預(yù)防信息受損、抵抗內(nèi)外部攻擊、系統(tǒng)后期維護(hù)與更新。三者均與降低企業(yè)信息系統(tǒng)受損緊密聯(lián)系，但概念之間相互獨(dú)立、互不相同，系統(tǒng)內(nèi)部構(gòu)造也有較大差別。預(yù)防信息受損著重強(qiáng)調(diào)系統(tǒng)預(yù)防能力，是風(fēng)險(xiǎn)（如黑客、病毒入侵、網(wǎng)絡(luò)犯罪）發(fā)生前的行為，屬于企業(yè)維護(hù)系統(tǒng)安全的初期控制手段；抵抗內(nèi)外部攻擊致力于關(guān)注系統(tǒng)抵抗風(fēng)險(xiǎn)能力，企業(yè)內(nèi)部人員管理不當(dāng)或網(wǎng)絡(luò)安全防護(hù)能力不強(qiáng)，易導(dǎo)致信息受損，是風(fēng)險(xiǎn)發(fā)生時(shí)的行為，屬于企業(yè)維護(hù)系統(tǒng)安全的中期控制手段；系統(tǒng)后期維護(hù)一方面強(qiáng)調(diào)未成功抵抗攻擊時(shí)，工作重點(diǎn)傾向于修補(bǔ)系統(tǒng)漏洞和嚴(yán)重事件的實(shí)時(shí)響應(yīng)及時(shí)止損，另一方面強(qiáng)調(diào)抵抗成功時(shí)，工作內(nèi)容向系統(tǒng)更新方向轉(zhuǎn)移，提升防護(hù)能力，是風(fēng)險(xiǎn)發(fā)生后的行為，屬于企業(yè)維護(hù)系統(tǒng)安全的后期控制手段。信息的三層防護(hù)均涉及企業(yè)資產(chǎn)人財(cái)物的日常管理和應(yīng)急措施，但因企業(yè)所處階段不同，具體表現(xiàn)形式有所不同。

本文應(yīng)用界殼理論建立企業(yè)信息系統(tǒng)安全防護(hù)模型，將企業(yè)所有的信息資源視為系里，信息安全風(fēng)險(xiǎn)來源為外部環(huán)境。根據(jù)企業(yè)應(yīng)對(duì)風(fēng)險(xiǎn)的時(shí)間順序，將預(yù)防信息受損視為外層界殼，抵抗內(nèi)外部攻擊為中間層界殼，系統(tǒng)后期維護(hù)及更新為內(nèi)層界殼，各防護(hù)階段形成多道安全界殼，企業(yè)信息系統(tǒng)安全界殼是多重界殼形式。界殼套以鏈?zhǔn)叫问竭B接，是串聯(lián)關(guān)系，表明只有多層界殼同時(shí)防護(hù)成功，才能實(shí)現(xiàn)企業(yè)信息系統(tǒng)安全，如圖2 所示。企業(yè)信息系統(tǒng)界殼套作用下，系統(tǒng)的綜合防護(hù)能力或交換能力稱為企業(yè)信息系統(tǒng)界殼綜合實(shí)力。

圖2 企業(yè)信息系統(tǒng)安全界殼

系統(tǒng)界殼隨系統(tǒng)變化而變化，有時(shí)會(huì)表現(xiàn)出部分具有共性的行為，對(duì)界殼具備的共性行為進(jìn)行分類，并具體描述其在企業(yè)信息系統(tǒng)安全領(lǐng)域的相應(yīng)應(yīng)用，研究采用鏈?zhǔn)浇鐨ぬ仔问剑ㄒ姳?）。

表1 界殼行為類型

2 企業(yè)信息系統(tǒng)界殼綜合實(shí)力評(píng)價(jià)指標(biāo)

企業(yè)信息系統(tǒng)界殼綜合實(shí)力旨在反映系統(tǒng)的安全狀態(tài)，根據(jù)風(fēng)險(xiǎn)發(fā)生階段選擇恰當(dāng)?shù)脑u(píng)價(jià)指標(biāo)［12-14］。外層界殼對(duì)應(yīng)風(fēng)險(xiǎn)發(fā)生前期階段，可以從預(yù)防信息系統(tǒng)受損角度確定評(píng)價(jià)指標(biāo)，反映企業(yè)信息系統(tǒng)安全程度；中層界殼對(duì)應(yīng)風(fēng)險(xiǎn)發(fā)生中期階段，可以從系統(tǒng)抵抗內(nèi)外部攻擊角度確定評(píng)價(jià)指標(biāo)；內(nèi)層界殼對(duì)應(yīng)風(fēng)險(xiǎn)發(fā)生后期階段，可以從系統(tǒng)后期維護(hù)與更新角度確定評(píng)價(jià)指標(biāo)。人是企業(yè)生產(chǎn)活動(dòng)中最重要的因素，這一先進(jìn)理念引導(dǎo)我們在進(jìn)行信息防護(hù)時(shí)需關(guān)注人為因素，提升人的主動(dòng)性信息保護(hù)意識(shí)、注重高級(jí)人才培養(yǎng)、實(shí)行人性化管理等多途徑加強(qiáng)信息防護(hù)能力，在風(fēng)險(xiǎn)管理理論的指導(dǎo)下制定綜合防御策略。安全且穩(wěn)定的行業(yè)工作環(huán)境要求企業(yè)在選址時(shí)考慮到周圍地理風(fēng)貌及風(fēng)土人情，避開危險(xiǎn)區(qū)域，建立防火墻、關(guān)鍵技術(shù)加密、制定保密協(xié)議等，保證企業(yè)網(wǎng)絡(luò)和實(shí)體環(huán)境具有一定的抵抗能力。針對(duì)應(yīng)急事件，建立一整套完善的實(shí)時(shí)響應(yīng)的緊急事件處理流程制度［15-16］。因此，提取如下相關(guān)指標(biāo)來衡量系統(tǒng)多層界殼的防護(hù)能力。

2.1 外層界殼評(píng)價(jià)指標(biāo)

維護(hù)企業(yè)信息系統(tǒng)安全首要體現(xiàn)在預(yù)防階段。風(fēng)險(xiǎn)發(fā)生前期階段，企業(yè)可參考麥克利蘭素質(zhì)體系冰山理論，建立基于個(gè)人技能、專業(yè)知識(shí)、職業(yè)素養(yǎng)的勝任力模型，保證信息安全部門專業(yè)人員的專業(yè)技術(shù)水平、日常操作規(guī)范程度達(dá)標(biāo)。硬軟件設(shè)施中防火墻是內(nèi)部和外部網(wǎng)絡(luò)之間的一道屏障，作為較為成熟的網(wǎng)絡(luò)安全技術(shù)，其實(shí)用性和針對(duì)性有利于控制本機(jī)與網(wǎng)絡(luò)間信息流，阻止外部用戶未經(jīng)授權(quán)訪問，保障系統(tǒng)安全。但在遭受內(nèi)部攻擊時(shí)有其自身局限性，殺毒軟件的應(yīng)用和對(duì)數(shù)據(jù)進(jìn)行公鑰和私鑰多類型加密彌補(bǔ)了這一功能缺陷。同時(shí)，系統(tǒng)的防破壞設(shè)施、防盜預(yù)警功能保證企業(yè)信息系統(tǒng)設(shè)備正常使用。在企業(yè)日常運(yùn)作中加強(qiáng)員工對(duì)數(shù)據(jù)存取廢的重視程度，做到定崗定限，從數(shù)據(jù)控制角度維護(hù)信息安全。另外，企業(yè)無時(shí)無刻面臨信息受損的風(fēng)險(xiǎn)，危險(xiǎn)源還可能來自企業(yè)內(nèi)部工作人員，不定期開展企業(yè)信息系統(tǒng)安全培訓(xùn)活動(dòng)及實(shí)戰(zhàn)演習(xí)，制定嚴(yán)格的信息安全管理制度和企業(yè)內(nèi)部關(guān)鍵技術(shù)人員簽訂保密協(xié)議，在明確的組織規(guī)范和行為約束中促進(jìn)各成員的自律性操作，有效避免信息受損。預(yù)防信息受損階段是企業(yè)實(shí)力一定程度的顯示化，體現(xiàn)了企業(yè)信息系統(tǒng)的耐攻擊度。

2.2 中層界殼評(píng)價(jià)指標(biāo)

維護(hù)企業(yè)信息系統(tǒng)安全其次體現(xiàn)在抵抗階段。風(fēng)險(xiǎn)發(fā)生中期階段，突發(fā)及非突發(fā)信息安全事件發(fā)生時(shí)，信息安全環(huán)境變得更為復(fù)雜，要求企業(yè)根據(jù)人財(cái)物實(shí)力現(xiàn)狀即時(shí)響應(yīng)，做好應(yīng)急措施，快速預(yù)測風(fēng)險(xiǎn)影響范圍，評(píng)估風(fēng)險(xiǎn)級(jí)別。身份認(rèn)證技術(shù)、關(guān)鍵信息加密技術(shù)成為保證隱私安全的主流措施，系統(tǒng)硬軟件設(shè)施升級(jí)可著重上述兩方面，增強(qiáng)系統(tǒng)面對(duì)外來不良攻擊的抵抗能力，盡可能降低損失。加強(qiáng)企業(yè)和合作方復(fù)雜環(huán)境下的多角度協(xié)同應(yīng)急決策能力，做到人財(cái)物資源互補(bǔ)，合作型工作的開展有利于企業(yè)提高風(fēng)險(xiǎn)應(yīng)對(duì)能力，增加系統(tǒng)的穩(wěn)定性，全方位完善應(yīng)急體系。此外，遭受風(fēng)險(xiǎn)階段，系統(tǒng)的恢復(fù)能力在一定程度上反映了系統(tǒng)抵抗外來攻擊的能力，不同強(qiáng)度的攻擊、企業(yè)系統(tǒng)的實(shí)力均有可能影響系統(tǒng)恢復(fù)到正常工作狀態(tài)的速度。風(fēng)險(xiǎn)預(yù)警和即時(shí)評(píng)估、應(yīng)急單位實(shí)時(shí)響應(yīng)的規(guī)范化發(fā)展完善了信息安全管理體系，網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)產(chǎn)品的研發(fā)和法律政策有利于保障信息安全的實(shí)現(xiàn)，通用信息安全標(biāo)準(zhǔn)逐步形成。

2.3 內(nèi)層界殼評(píng)價(jià)指標(biāo)

維護(hù)企業(yè)信息系統(tǒng)安全最后體現(xiàn)在抵抗階段。主觀意識(shí)無法決定風(fēng)險(xiǎn)源的存在，因其是一種客觀狀態(tài)。但企業(yè)完善的安全管理制度、過硬的信息技術(shù)將風(fēng)險(xiǎn)源控制在可接受范圍內(nèi)，降低風(fēng)險(xiǎn)發(fā)生的概率。風(fēng)險(xiǎn)發(fā)生后期階段，企業(yè)首先要進(jìn)行風(fēng)險(xiǎn)溯源，根據(jù)“事故處理四不放過”原則嚴(yán)肅處理涉案人員。非人為因素會(huì)導(dǎo)致安全事件的發(fā)生，盡可能發(fā)揮人為因素，最大程度控制并消除風(fēng)險(xiǎn)源，通過反饋機(jī)制有效加強(qiáng)系統(tǒng)風(fēng)險(xiǎn)預(yù)防能力。企業(yè)進(jìn)行系統(tǒng)維護(hù)及更新的成效，可以通過保障系統(tǒng)安全主要方面的先后狀態(tài)來體現(xiàn)，即人為視角下的管理制度、物為視角下的軟硬件設(shè)施、人物全面視角下的系統(tǒng)整體防護(hù)。

結(jié)合信息安全標(biāo)準(zhǔn)選取各層防護(hù)系統(tǒng)的評(píng)價(jià)指標(biāo)如表2，這些評(píng)價(jià)指標(biāo)作為企業(yè)信息系統(tǒng)安全防護(hù)界殼的構(gòu)成要素，即界壁和界門。企業(yè)信息系統(tǒng)在多重防護(hù)界殼基礎(chǔ)上產(chǎn)生多個(gè)小系統(tǒng)，小系統(tǒng)之間相互作用以支持系統(tǒng)本身的生存和發(fā)展。進(jìn)一步分析各層界殼內(nèi)涵，界殼理論結(jié)合企業(yè)信息系統(tǒng)實(shí)際防護(hù)過程，可以確定外層界殼的界門是安全制度，中層界殼的界門是應(yīng)急和系統(tǒng)抵抗，內(nèi)層界殼的界門是軟硬件系統(tǒng)和管理制度。各界門要素與系統(tǒng)防護(hù)能力相關(guān)，直接影響企業(yè)日常運(yùn)轉(zhuǎn)，界門的大小、開關(guān)速度、順利程度不同，系里和外部環(huán)境共同作用，對(duì)企業(yè)業(yè)務(wù)成功辦理和持續(xù)性產(chǎn)生重大影響。

表2 企業(yè)信息系統(tǒng)安全界殼結(jié)構(gòu)可視化表達(dá)

3 企業(yè)信息系統(tǒng)界殼綜合實(shí)力評(píng)價(jià)模型

企業(yè)信息系統(tǒng)安全評(píng)價(jià)模型具有多層次性、模糊性、定量定性相結(jié)合的特點(diǎn)?；诮鐨ふ摱ㄐ苑治銎髽I(yè)信息系統(tǒng)安全評(píng)價(jià)指標(biāo)體系，合理選擇評(píng)價(jià)因素集合；運(yùn)用AMOS 結(jié)構(gòu)方程定量分析評(píng)價(jià)因素的路徑載荷系數(shù)，確定相應(yīng)權(quán)重；采用模糊綜合評(píng)價(jià)法構(gòu)建評(píng)價(jià)模型，制定安全指標(biāo)等級(jí)標(biāo)準(zhǔn)(SD)；結(jié)合實(shí)例給出科學(xué)總體評(píng)價(jià)，提出目標(biāo)優(yōu)化建議。

3.1 評(píng)價(jià)因素集合

評(píng)價(jià)因素集合對(duì)目標(biāo)有重要影響、能較好的反映目標(biāo)總體現(xiàn)狀，建立模糊綜合評(píng)價(jià)影響因素集U：

U={U1，U2，U3}={預(yù)防信息受損，抵抗內(nèi)外部攻擊，系統(tǒng)維護(hù)與更新}

U1={PD1，PD2，PD3，PD4}={安全部門，軟硬件設(shè)施，數(shù)據(jù)控制，安全制度}

U2={RA1，RA2，RA3，RA4}={應(yīng)急，系統(tǒng)抵抗，多方協(xié)同，系統(tǒng)恢復(fù)}

U3={MU1，MU2，MU3，MU4}={危險(xiǎn)源，軟硬件系統(tǒng)，管理制度，整體防護(hù)}

3.2 權(quán)重確定過程

企業(yè)信息系統(tǒng)安全概念由預(yù)防信息受損、系統(tǒng)抵抗內(nèi)外部攻擊、系統(tǒng)的維護(hù)與更新三個(gè)維度構(gòu)成，共計(jì)12 個(gè)指標(biāo)，調(diào)查問卷中指標(biāo)均采用李克特七級(jí)量表的形式，簡單易答。數(shù)據(jù)采集對(duì)象涉及多行業(yè)、多規(guī)模、多地區(qū)企業(yè)工作人員，加強(qiáng)樣本的代表性和廣泛性，以線上調(diào)查方式為主。共回收問卷211 份，刪掉無效問卷38 份，得到有效問卷173 份，大于問卷題項(xiàng)數(shù)量的十倍，有效性為82.41%，滿足使用結(jié)構(gòu)方程模型的樣本數(shù)量要求。

按照構(gòu)念和測量項(xiàng)之間的現(xiàn)實(shí)基礎(chǔ)，確定企業(yè)信息系統(tǒng)安全實(shí)證模型為反映型測量模型［17］。首先運(yùn)用工具SPSS23.0 進(jìn)行驗(yàn)證性因子分析(confirmatory factor analysis，CFA)，測量量表的信度與效度，說明數(shù)據(jù)的可靠性，CFA 進(jìn)行量表信度和效度檢驗(yàn)時(shí)，將效度分為收斂效度（檢驗(yàn)各指標(biāo)反應(yīng)同一因子的能力）和區(qū)別效度（反映因子間區(qū)分程度）。結(jié)果顯示，初階CFA 模型顯示因子間存在高度關(guān)聯(lián)，因此考慮使用二階反映型構(gòu)念表示企業(yè)信息系統(tǒng)，更為準(zhǔn)確的解釋系統(tǒng)的階層結(jié)構(gòu)。結(jié)果顯示，各測度項(xiàng)的標(biāo)準(zhǔn)載荷均大于0.6，抽取的平均方差(AVE)均大于0.5，復(fù)合信度值(CR)均大于0.7，各維度下克隆巴赫Alpha 值分別為0.908、0.929、0.932，計(jì)算克隆巴赫Alpha 值為0.964，均大于0.9，說明量表的信度和收斂效度良好，各因子的值均大于該因子與其他因子的相關(guān)系數(shù)，表明量表的區(qū)別效度良好。然后建立AMOS 結(jié)構(gòu)方程模型，使用極大似然值(ML)進(jìn)行檢驗(yàn)，模型輸出結(jié)果如表4，除RMSEA略高于推薦值之外，其他擬合指數(shù)均滿足要求。另外，路徑系數(shù)均在0.001 水平上顯著，說明模型擬合優(yōu)度較好，AMOS 輸出結(jié)果如圖3。

圖3 AMOS 結(jié)構(gòu)方程模型輸出結(jié)果

表3 結(jié)構(gòu)方程路徑系數(shù)歸一化處理結(jié)果

3.3 評(píng)價(jià)模型和標(biāo)準(zhǔn)

模糊綜合評(píng)判法是一種基于模糊數(shù)學(xué)的隸屬度理論，將定性評(píng)價(jià)轉(zhuǎn)化為定量評(píng)價(jià)的綜合評(píng)價(jià)方法，選擇恰當(dāng)?shù)暮铣蛇\(yùn)算算子有助于提升研究結(jié)果的準(zhǔn)確性。合成運(yùn)算算子R 有四種（表4），多數(shù)情況下研究結(jié)果具有趨同性，但不同因子影響力差別較大時(shí)，會(huì)產(chǎn)生不一致研究結(jié)果。算子1 著重凸顯權(quán)重較大的影響因子，極端情況下向單因素模型轉(zhuǎn)化；算子2 在一定程度上彌補(bǔ)算子1 的缺陷，保存更多有效數(shù)據(jù)，但特殊情況下兩種算子過分夸大權(quán)重較大因子的影響，取大丟小造成評(píng)價(jià)結(jié)果不合理；算子3 中取小丟大，突出權(quán)重較小影響因子，特征明顯易識(shí)別，簡化計(jì)算但影響評(píng)價(jià)結(jié)果準(zhǔn)確性；算子4 充分體現(xiàn)各影響因素之間的協(xié)同作用，表明系統(tǒng)的綜合情況。本文選擇模型4 構(gòu)建企業(yè)信息系統(tǒng)安全界殼綜合實(shí)力的定量評(píng)價(jià)模型。

表4 模糊綜合評(píng)價(jià)四種算子比較

運(yùn)用連續(xù)加權(quán)平均值法構(gòu)造界殼綜合實(shí)力表達(dá)式，即為：

安全指標(biāo)等級(jí)標(biāo)準(zhǔn)(SD)采用四級(jí)評(píng)價(jià)集V，V={V1，V2，V3，V4}={不合格，合格，良好，優(yōu)秀}，百分制區(qū)間為V1=［0，60)，V2=［60，75)，V3=［75，85)，V4=［85，100］。因問卷調(diào)查采用李克特七級(jí)量表，將百分制區(qū)間乘以0.07，對(duì)應(yīng)量值區(qū)間為V1=［0，4.2)，V2=［4.2，5.25)，V3=［5.25，5.95)，V4=［5.95，7］。

4 示例

問卷調(diào)查設(shè)計(jì)環(huán)節(jié)中，研究維度同樣會(huì)影響企業(yè)信息系統(tǒng)安全質(zhì)量，因此企業(yè)不同行業(yè)、規(guī)模及地理位置下，有必要研究企業(yè)信息系統(tǒng)綜合實(shí)力的大小區(qū)別。由表達(dá)式(7)局部一次加權(quán)后得到PD、RA、MU 的值，再進(jìn)行二次加權(quán)，得行業(yè)、規(guī)模、地區(qū)三個(gè)維度的企業(yè)信息系統(tǒng)界殼綜合實(shí)力如表5、6、7。

表5 全局及局部加權(quán)法計(jì)算行業(yè)對(duì)企業(yè)信息系統(tǒng)界殼綜合實(shí)力的影響

表6 全局及局部加權(quán)法計(jì)算規(guī)模對(duì)企業(yè)信息系統(tǒng)界殼綜合實(shí)力的影響

表7 全局及局部加權(quán)法計(jì)算地區(qū)對(duì)企業(yè)信息系統(tǒng)界殼綜合實(shí)力的影響

根據(jù)以上計(jì)算結(jié)果，可以發(fā)現(xiàn)：

（1）全局加權(quán)法結(jié)果顯示以農(nóng)林牧漁為主的第一產(chǎn)業(yè)信息化程度較低，企業(yè)信息系統(tǒng)界殼綜合實(shí)力最低，由第一產(chǎn)業(yè)向第三產(chǎn)業(yè)發(fā)展中信息化程度不斷增強(qiáng)，企業(yè)在預(yù)防信息受損、系統(tǒng)抵抗攻擊、系統(tǒng)維護(hù)與更新方面重視程度及資金投入不斷加大，系統(tǒng)界殼綜合實(shí)力呈上升狀態(tài)。

（2）規(guī)模維度下全局加權(quán)法表明小型企業(yè)系統(tǒng)界殼綜合實(shí)力較弱，小規(guī)模企業(yè)向大規(guī)模企業(yè)發(fā)展中，企業(yè)綜合實(shí)力不斷加強(qiáng)，相應(yīng)企業(yè)信息系統(tǒng)界殼綜合實(shí)力不斷增強(qiáng)，企業(yè)由中等規(guī)模（100＜x＜300）向大規(guī)模（300＜x＜1 000）過渡時(shí)，企業(yè)信息系統(tǒng)界殼綜合實(shí)力增長系數(shù)最高，人員數(shù)超過1 000 人的企業(yè)信息系統(tǒng)第三層界殼防護(hù)實(shí)力最強(qiáng)。

（3）地區(qū)維度下華東經(jīng)濟(jì)發(fā)展迅速、高新技術(shù)產(chǎn)業(yè)聚集導(dǎo)致企業(yè)信息化建設(shè)程度最高，因此企業(yè)信息系統(tǒng)界殼綜合實(shí)力最強(qiáng)。除華西外，其他地區(qū)企業(yè)系統(tǒng)界殼綜合實(shí)力較強(qiáng)處均集中在第三層界殼系統(tǒng)維護(hù)與更新處。

全局加權(quán)法或局部加權(quán)法模型均表明行業(yè)、企業(yè)規(guī)模、地區(qū)均對(duì)企業(yè)信息系統(tǒng)安全有顯著影響。研究結(jié)果合理，符合實(shí)際。除企業(yè)規(guī)模為10 人時(shí)，系統(tǒng)抵抗階段的防護(hù)能力低于及格標(biāo)準(zhǔn)，其他各層界殼防護(hù)能力、各界殼綜合實(shí)力均在及格線以上，僅有千人企業(yè)的系統(tǒng)后期維護(hù)與更新層界殼防護(hù)能力達(dá)到良好標(biāo)準(zhǔn)。全局加權(quán)值最高時(shí)，局部加權(quán)值同樣較高，即企業(yè)某維度下信息系統(tǒng)界殼綜合實(shí)力最強(qiáng)時(shí)，相應(yīng)系統(tǒng)各層界殼防護(hù)能力較強(qiáng)，預(yù)防信息受損、系統(tǒng)抵抗攻擊、維護(hù)與更新防護(hù)能力較強(qiáng)（除地區(qū)PD 值外）。原因在于華西地區(qū)基礎(chǔ)設(shè)施較為缺乏，信息產(chǎn)業(yè)數(shù)量較少，問卷數(shù)量不足，且被調(diào)查者評(píng)分較高。

5 研究結(jié)論與管理啟示

依據(jù)界殼理論和模糊綜合評(píng)判法，在分析防護(hù)企業(yè)信息系統(tǒng)多道防線的理論基礎(chǔ)上，構(gòu)建企業(yè)信息系統(tǒng)綜合防護(hù)界殼模型，綜合考慮主觀和客觀因素，建立企業(yè)信息系統(tǒng)安全指標(biāo)評(píng)價(jià)體系，有利于企業(yè)自身把握信息系統(tǒng)安全現(xiàn)狀，明確改進(jìn)目標(biāo)，提升信息系統(tǒng)安全水平，同時(shí)有利于政府整體把控多維度企業(yè)信息系統(tǒng)安全水平，推進(jìn)國民經(jīng)濟(jì)良好發(fā)展。宏觀層面應(yīng)用于企業(yè)多維度綜合防護(hù)系統(tǒng)計(jì)算中，結(jié)果表明：

（1）行業(yè)、規(guī)模、地區(qū)對(duì)企業(yè)信息系統(tǒng)安全均有影響。其中，第三產(chǎn)業(yè)、超大規(guī)模企業(yè)（1 000＜ x）、華東地區(qū)的企業(yè)信息系統(tǒng)界殼防護(hù)能力較為突出。

（2）整體來看，企業(yè)信息系統(tǒng)安全界殼防護(hù)能力基本均在及格線以上，但滿足優(yōu)良條件企業(yè)較少，企業(yè)信息系統(tǒng)防護(hù)仍存在提升空間。

（3）不同維度下，企業(yè)信息系統(tǒng)界殼綜合實(shí)力最強(qiáng)，系統(tǒng)各層界殼防護(hù)能力同樣最強(qiáng)。

因此，企業(yè)提升系統(tǒng)界殼綜合實(shí)力應(yīng)重點(diǎn)加強(qiáng)第三層界殼建設(shè)，加大危險(xiǎn)源追究力度，安全風(fēng)險(xiǎn)發(fā)生后加強(qiáng)系統(tǒng)自身防護(hù)能力，也可根據(jù)評(píng)價(jià)結(jié)果采取針對(duì)性措施，提升企業(yè)信息系統(tǒng)防護(hù)能力。除此之外，也可以得出縱向企業(yè)信息系統(tǒng)界殼綜合防護(hù)能力與各層防護(hù)界殼防護(hù)能力密切相關(guān)。黃啟發(fā)［7］基于協(xié)同學(xué)理論研究企業(yè)信息安全，橫向得到只有各系統(tǒng)協(xié)同程度比較好，企業(yè)的綜合信息安全防護(hù)水平才能達(dá)到最優(yōu)結(jié)論。兩者結(jié)論本質(zhì)是相同的，即提升企業(yè)信息安全影響因素的防護(hù)能力，企業(yè)信息系統(tǒng)總防護(hù)能力將得到提高，若想使得企業(yè)信息系統(tǒng)綜合防護(hù)能力最優(yōu)，即需提高各影響企業(yè)信息安全的因素的防護(hù)能力，并使之達(dá)到最優(yōu)。

多層防護(hù)界殼處于初步研究階段，界殼自身發(fā)展情況、選取的評(píng)價(jià)指標(biāo)有待進(jìn)一步改進(jìn)。另外，因樣本數(shù)量問題，只能從三大產(chǎn)業(yè)角度研究行業(yè)維度對(duì)企業(yè)信息系統(tǒng)界殼綜合實(shí)力的影響，擴(kuò)大樣本數(shù)量問題，按照國民經(jīng)濟(jì)分類法進(jìn)行細(xì)化研究并提出其他實(shí)際應(yīng)用功能，是本文進(jìn)一步研究的方向。