丁升

摘要：基于企業(yè)、網(wǎng)站信息泄露現(xiàn)象日益突出的問(wèn)題，建立了信息安全評(píng)價(jià)模型，通過(guò)AHP法計(jì)算安全評(píng)價(jià)指標(biāo)權(quán)重，最終得出系統(tǒng)安全分值，確立系統(tǒng)安全等級(jí)。此模型的建立對(duì)維護(hù)企業(yè)信息安全，促進(jìn)社會(huì)和諧穩(wěn)定具有一定的意義。

關(guān)鍵詞：信息泄露；AHP；安全評(píng)價(jià)

中圖分類號(hào)：F270.7；TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-9129（2017）12-0010-01

Abstract：Based on the increasingly prominent problem of information disclosure in enterprises and websites， we set up the information security evaluation model. The weight of safety evaluation index is calculated by AHP method， and the system safety score is finally obtained， and the system security level is established. The information security evaluation model is of certain significance for maintaining Internet users' information security and promoting social harmony and stability.

Key words：information disclosure； AHP； security evaluation

隨著互聯(lián)網(wǎng)的飛速發(fā)展，人類已進(jìn)入信息化社會(huì)，生產(chǎn)力得到了極大的提高，人們的生產(chǎn)、生活、學(xué)習(xí)方式，甚至人們的思維方式都發(fā)生了改變。與此同時(shí)，信息化的發(fā)展，特別是Internet的發(fā)展，給社會(huì)和企業(yè)帶來(lái)了一系列的問(wèn)題，尤其是信息泄露問(wèn)題，造成企業(yè)名譽(yù)、財(cái)產(chǎn)受損。信息泄露已成為人們共同面臨的挑戰(zhàn)，因此，對(duì)企業(yè)信息系統(tǒng)進(jìn)行安全評(píng)價(jià)有利于維護(hù)企業(yè)健康運(yùn)營(yíng)，同時(shí)也有利于促進(jìn)社會(huì)和諧和人類社會(huì)文明進(jìn)步。

1 信息安全評(píng)價(jià)流程

信息系統(tǒng)安全評(píng)價(jià)是信息安全管理的基礎(chǔ)，通過(guò)對(duì)企業(yè)或網(wǎng)站信息系統(tǒng)的安全現(xiàn)狀進(jìn)行評(píng)價(jià)，明確現(xiàn)實(shí)情況與安全目標(biāo)的差距，找出信息系統(tǒng)存在的不安全問(wèn)題，制定安全策略以降低信息泄露風(fēng)險(xiǎn)的概率。具體流程[1]如下：

（1）明確評(píng)價(jià)對(duì)象的范圍，收集材料、信息，成立信息安全評(píng)價(jià)小組；

（2）對(duì)收集的材料進(jìn)行安全分析，包括安全需求統(tǒng)計(jì)分析、威脅分析、弱點(diǎn)分析以及影響分析等[2]，確立安全信息評(píng)價(jià)指標(biāo)；

（3）確定指標(biāo)權(quán)重；

（4）確立信息安全評(píng)價(jià)依據(jù)，計(jì)算信息系統(tǒng)安全分?jǐn)?shù)值；

（5）形成信息安全評(píng)價(jià)報(bào)告，針對(duì)評(píng)價(jià)結(jié)果進(jìn)行整改。

（6）整改措施施行后，重新進(jìn)行評(píng)價(jià)，直到達(dá)到信息安全要求為止。

2 信息安全評(píng)價(jià)指標(biāo)確定

指標(biāo)確定主要從三個(gè)方面進(jìn)行考慮：人的因素、管理因素、設(shè)備因素。人的因素又可分為人員素質(zhì)、人員技術(shù)水平；管理的因素主要分為人員教育培訓(xùn)、組織管理制度、信息應(yīng)急方案制定；設(shè)備的因素可分為設(shè)備的質(zhì)量、病毒與漏洞防護(hù)更新。

3 信息安全評(píng)價(jià)

3.1 評(píng)價(jià)指標(biāo)分值確定

為使評(píng)價(jià)結(jié)果清晰準(zhǔn)確，將信息系統(tǒng)評(píng)價(jià)指標(biāo)劃分為4個(gè)不同的狀態(tài)等級(jí)，即=（優(yōu)，良，中，差）=（4，3，2，1），采用專家評(píng)分法對(duì)指標(biāo)進(jìn)行賦值，構(gòu)造指標(biāo)評(píng)價(jià)分值向量V=（v1，v2，…v7）。

3.2 指標(biāo)權(quán)重確定

AHP，即層次分析法，是美國(guó)運(yùn)籌學(xué)家匹茨堡大學(xué)教授托馬斯·塞蒂提出的一種定性與定量相結(jié)合的層次權(quán)重決策分析方法[3]。該方法將系統(tǒng)分解為多個(gè)目標(biāo)或準(zhǔn)則，進(jìn)而分解為多指標(biāo)的若干層次，通過(guò)定性指標(biāo)模糊量化方法算出指標(biāo)權(quán)重，以作為多方案優(yōu)化決策的系統(tǒng)方法，具體計(jì)算過(guò)程如下：

（1）建立遞階層次結(jié)構(gòu)模型

在全面分析企業(yè)信息泄露問(wèn)題的基礎(chǔ)上，按有關(guān)各個(gè)影響因素的隸屬關(guān)系建立遞階層次結(jié)構(gòu)。其中，同一層的諸因素從屬于上一層的因素或?qū)ι蠈右蛩赜杏绊懀瑫r(shí)又支配下一層的因素或受到下層因素的作用。

（2）構(gòu)造判斷矩陣

3.3 信息系統(tǒng)評(píng)價(jià)分值計(jì)算

指標(biāo)權(quán)重得出后，可根據(jù)公式（3）計(jì)算信息系統(tǒng)安全評(píng)價(jià)最終得分。

F=v1w1+v2w2+…+v7w7 （4）

從公式（3）中，不僅可以判斷出企業(yè)信息系統(tǒng)安全現(xiàn)狀，同時(shí)也可得到每項(xiàng)指標(biāo)的得分，我們可以通過(guò)對(duì)分值較低的指標(biāo)進(jìn)行整改，然后重新進(jìn)行評(píng)價(jià)，直至信息安全等級(jí)達(dá)到優(yōu)等水平。

4 結(jié)論

信息泄露嚴(yán)重危害了企業(yè)的名譽(yù)和財(cái)產(chǎn)安全，也給社會(huì)帶來(lái)了惡劣的影響。本文通過(guò)分析信息安全的影響因素，結(jié)合企業(yè)實(shí)際，建立了指標(biāo)評(píng)價(jià)體系，通過(guò)層次分析法確定指標(biāo)權(quán)重，最終得出企業(yè)信息系統(tǒng)安全的評(píng)價(jià)等級(jí)，并針對(duì)評(píng)價(jià)結(jié)果，提出整改措施。此評(píng)價(jià)模型的建立有助于企業(yè)了解信息系統(tǒng)的安全狀態(tài)，降低信息泄露的風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]張澤虹，趙冬梅信息安全管理與風(fēng)險(xiǎn)評(píng)估北京：電子工業(yè)出版社，2010

[2]基于AHP與模糊數(shù)學(xué)的信息安全風(fēng)險(xiǎn)評(píng)估模型[J].信息安全與交通保密，2014：100-103

[3]鄭毅. 基于灰色理論的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[D]. 成都理工大學(xué)，2013，5