李婉+周金明+楊認真

摘要：大數(shù)據(jù)時代的信息安全水平的測度與評價，對企業(yè)信息安全體系建設(shè)以及提高企業(yè)信息化水平極為重要。針對大數(shù)據(jù)環(huán)境下的企業(yè)信息安全管理體系進行分析和研究，發(fā)現(xiàn)國內(nèi)企業(yè)在大數(shù)據(jù)安全管理方面仍然存在不足之處。文章旨在探索信息安全水體系的構(gòu)建，研究大數(shù)據(jù)安全管理體系的評價及信息安全風(fēng)險對策。以NH公司為例，分層分析并構(gòu)建評價模型，進而模型求解得到最終評價結(jié)果。通過實例說明方法的有效性和可行性。

Abstract： The measurement and evaluation of information security level in big data age is very important to the construction of enterprise information security system and the improvement of enterprise informatization level. According to the analysis and research of the enterprise information security management system under the big data environment， it is found that the domestic enterprises still have shortcomings in the big data security management. The article aims to explore the construction of information security water system， study the evaluation of big data security management system and information security risk countermeasures. Taking NH Company as an example， the evaluation model is analyzed and constructed， and then the final evaluation result is obtained by solving the model. The effectiveness and feasibility of the method are illustrated by an example.

關(guān)鍵詞：大數(shù)據(jù)；信息安全；管理體系；層次分析

Key words： large data；information security；management system；AHP

中圖分類號：TP309 文獻標(biāo)識碼：A 文章編號：1006-4311（2017）34-0058-03

0 引言

“大數(shù)據(jù)”為企業(yè)開辟了一個解決問題的新路徑，比如通過數(shù)據(jù)可以深度挖潛利益相關(guān)者的思維模式和喜好，并將其轉(zhuǎn)化成企業(yè)獨有的經(jīng)營方式。單靠積累的經(jīng)驗或直接推斷做出決策往往比較主觀，無法保證每一項決策都精準無誤，而基于海量的數(shù)據(jù)、信息做出的管理決策，科學(xué)性和可行性更高[1]。

然而，企業(yè)為了提高自身競爭力，利用信息系統(tǒng)存儲大數(shù)據(jù)，通過信息手段更加科學(xué)地維護企業(yè)內(nèi)部信息安全、完整，基于海量的數(shù)據(jù)信息不斷改進經(jīng)營決策，這對企業(yè)運營效率的提升大有裨益。但是，企業(yè)必須在使用信息系統(tǒng)的過程中引入各種措施對系統(tǒng)中的數(shù)據(jù)加強安保[2，3]。如今網(wǎng)絡(luò)系統(tǒng)中存在病毒感染、黑客入侵等各種網(wǎng)絡(luò)安全問題，企業(yè)核心數(shù)據(jù)信息一旦遭到非法入侵，所造成的經(jīng)濟損失和名譽損失往往是不可估量的。對企業(yè)而言，維護數(shù)據(jù)安全無疑是日常經(jīng)營管理工作的重點內(nèi)容[4]。我國企業(yè)的信息安全問題主要表現(xiàn)在：企業(yè)重視不足；缺少長遠目標(biāo)規(guī)劃；信息安全制度的缺失；信息安全管理人才的流失；企業(yè)的信息化人才匱乏，在建設(shè)大數(shù)據(jù)系統(tǒng)的進程中，沒有給企業(yè)的信息安全管理人員足夠的培養(yǎng)平臺；信息安全評估體系不夠完善。

1 大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平評價體系構(gòu)建

綜合評價指標(biāo)體系的構(gòu)建需滿足科學(xué)性原則、系統(tǒng)優(yōu)化原則、通用可比原則、實用性原則和目標(biāo)導(dǎo)向原則等原則[5]，基于大數(shù)據(jù)背景和數(shù)據(jù)信息風(fēng)險的來源構(gòu)建企業(yè)信息安全評價指標(biāo)體系（見表1）。

2 大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平評價模型的構(gòu)建

2.1 企業(yè)信息安全評價方法的確定

針對企業(yè)信息安全水平的評價，采用層次分析法確定二級指標(biāo)的權(quán)重，分別對各項指標(biāo)的打分，最終得到企業(yè)信息安全評價結(jié)果。層次分析法主要是通過定性或量化的手段來處理各種不確定性因素，以此進一步提升安全管理水平[6]。

①分層分析處理各種因素，并將現(xiàn)有信息資源構(gòu)造成樹狀結(jié)構(gòu)的層次結(jié)構(gòu)模型。各層次之間的各因素通常有的具有關(guān)聯(lián)性，但是也有不相關(guān)聯(lián)的，且每個層次的因素個數(shù)也未必相同。

②構(gòu)造判斷矩陣。構(gòu)造判斷矩陣是重要環(huán)節(jié)，需要對同一層次的各因素進行兩兩對比，比較時，應(yīng)盡量避免不同性質(zhì)的因素相互比較。同時，應(yīng)根據(jù)具體實際情況，降低主觀因素的造成的不客觀影響。設(shè)n個因素C1，C2，…， Cn。對上一層O的影響程度。對任意兩個因素Ci和Cj，用aij表示Ci和Cj對O的影響程度之比，按1～9的比例標(biāo)度來度量aij（i，j=1，2，...，n）。比例標(biāo)度采用1～9九個等級。若判斷矩陣A的元素滿足aik akj=aij，（i，j，k=1，2，…，n），則A為一致性矩陣。

③權(quán)重向量確定。將A的各列（或行）向量求幾何平均后歸一化，可以近似作為權(quán)重，即

ui=，（i=1，2，…，n）

④一致性檢驗。一般情況下，需要對判斷矩陣進行一致性檢驗，并不是所有從實際中得到的判斷矩陣都是一致的，一致性的程度應(yīng)在容許的范圍內(nèi)。endprint

2.2 NH公司的信息安全評價

根據(jù)對企業(yè)信息安全評價指標(biāo)體系的構(gòu)成分析，本文應(yīng)用層次分析法和安全檢查表法對NH公司的信息安全進行評價。首先，通過層次分析法得到體系中各項二級指標(biāo)的權(quán)重，再通過安全檢查表法對體系中的各項二級指標(biāo)打分，最終得出NH公司的綜合信息安全評價結(jié)果。

邀請10位專家進行打分，進而確定評價指標(biāo)體系中的二級指標(biāo)的相對重要性。評分標(biāo)準為：非常重要（7）、重要（5）、稍微重要（3）、同樣重要（1），由于專家在評選的過程中存在不可避免的主觀因素，專家應(yīng)盡可能保持客觀且相互獨立完成，必要時要進行二次打分。所得打分結(jié)果經(jīng)整理后得到判斷矩陣（見表2）。以安全管理機構(gòu)為例說明模型求解結(jié)果及權(quán)重的確定。

計算幾何平均值得：M11=1.8860，M12=0.5302，M13=1.2009，M14=0.7873，M15=0.8807，M16=1.2009

則各指標(biāo)的權(quán)重為：

u1=（0.291，0.082，0.185，0.121，0.136，0.185）

因此，

W1=（0.239， 0.933， 1.139， 1.266， 1.005， 0.782），λmax=8.046

其中，CI=（λmax-n）/（n-1）=0.022。當(dāng)n=6時，RI=1.26，CR=CI/RI=0.017<0.10，一致性通過，可以認為安全管理機構(gòu)二級指標(biāo)重要程度判斷矩陣具有可以接受的滿意一致性。

同法，依上述方案的步驟分別可得NH公司其他各項指標(biāo)的權(quán)重向量（見表3）。

2.3 信息安全體系二級指標(biāo)的評價

評價過程中，筆者采用安全檢查表方法對NH公司的信息安全體系進行評價。評分采用10分制，參與評價的工作人員由對各項指標(biāo)熟悉的工人、工作技術(shù)人員及管理人員組成。根據(jù)NH公司信息安全體系二級指標(biāo)權(quán)重的確定和評分結(jié)果，運用WAA算法得到該體系各項一級指標(biāo)的總體評價結(jié)果（見表4）。

3 結(jié)束語

大數(shù)據(jù)安全體系必須依靠先進的安全技術(shù)策略才得以實現(xiàn)，安全技術(shù)策略是針對信息系統(tǒng)加強安全防護的主要路徑。可靠的安全防御技術(shù)是實施安全管理策略的重要載體，它能有效提高信息安全防御水平。在構(gòu)建信息安全防御體系的過程中，企業(yè)應(yīng)該針對內(nèi)部成員推出嚴格的數(shù)據(jù)保密制度，重點強調(diào)安全策略，同時引入有較高職業(yè)素養(yǎng)和安全管理技能的專業(yè)人才，確保信息安全管理制度能夠得到有效落實，從而提高企業(yè)大數(shù)據(jù)信息安全水平。

參考文獻：

[1]程剛.企業(yè)信息服務(wù)水平評價體系研究[J].圖書情報工作，2010（18）：76-80.

[2]黃啟發(fā)，宋彪.基于協(xié)同學(xué)的企業(yè)信息安全綜合評價模型[J].現(xiàn)代情報，2012（08）：113-117.

[3]林正奎.基于VaR-Copula的信息安全評價模型研究[J].數(shù)學(xué)的實踐與認識，2012（08）：85-90.

[4]尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].安徽財經(jīng)大學(xué)，2015.

[5]王雪濤，袁文秀.基于大數(shù)據(jù)的企業(yè)信息安全影響因素實證研究[J].情報探索，2016（07）：30-34，40.

[6]徐建中，馬瑞先.基于AHP的企業(yè)循環(huán)經(jīng)濟發(fā)展水平灰色綜合評價研究[J].科技管理研究，2008（04）：46-49.endprint