竇 博 董基偉 馬文軍

?

大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型的思考

竇 博 董基偉 馬文軍

中國石化管道儲運有限公司信息化管理處，江蘇 徐州 221008

企業(yè)構建信息安全水平綜合評價模型能夠提升信息安全?；诖?，闡述了大數(shù)據(jù)環(huán)境下，企業(yè)構建信息安全水平綜合評價模型的重要性，同時提出了評價模型的構建方法，包括評價模型基礎部分構建方法、指標權重的確權方法、綜合評價模型的構建方法等。通過論述這些內(nèi)容，為企業(yè)信息管理人員提供一些參考。

大數(shù)據(jù)；企業(yè)信息安全水平；評價模型

引言

大數(shù)據(jù)環(huán)境下，企業(yè)的信息安全會面臨著諸多威脅。由于企業(yè)每天產(chǎn)生的數(shù)據(jù)和信息非常多，這些信息都涉及企業(yè)運營管理狀況和資本情況，對保密性要求很高。因此，為確保企業(yè)的平穩(wěn)運行，需要構建基于大數(shù)據(jù)的企業(yè)信息安全管理綜合評價模型，來解決企業(yè)信息安全可能受到的威脅。

1 企業(yè)構建信息安全水平綜合評價模型的重要性

企業(yè)的信息管理安全會影響營運效果，因此，企業(yè)應重視信息安全水平綜合評價模型的構建。

首先，企業(yè)要對信息安全程度進行評價，主要是對管理成效、人員結(jié)構等內(nèi)容進行全面的評價，來構建符合企業(yè)經(jīng)營情況的評價體系。

其次，在所有的信息指標確定后，需要將其作為一級指標，來統(tǒng)領二級指標。二級指標的設置和制定需要按照定性的思想，根據(jù)不同部門的工作性質(zhì)制定針對性的評價方法。一般來說，企業(yè)的財務部在企業(yè)信息的地位比較重要，針對財務部門需要制定一級別指標，來確保企業(yè)的財務經(jīng)營信息安全。

針對企業(yè)的人員進行評價，將人員的培訓和操作意識作為評價的方法，針對信息安全意識高的員工，要將其納入企業(yè)信息安全管理的評價系統(tǒng)中，來提升員工的信息管理水平；針對信息安全意識薄弱的員工，企業(yè)要通過開展“信息安全培訓會”，來提升其安全意識。針對企業(yè)的信息安全級別進行評估，主要是針對辦公電腦、機房等設備環(huán)境的安全性進行評估，包括員工的電腦需要設置初始密碼和登陸密碼；是否更改路由器密碼；定期做好文件備份工作；有無安裝電腦殺毒軟件等[1]。

2 大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型構建方法

2.1 評價模型基礎部分構建

企業(yè)在構建信息安全評價模型的時候，要充分考慮企業(yè)現(xiàn)有的信息安全的所有考核項目。如果考核的項目具有模糊性，需要應用AHP綜合評價方法，來綜合分析企業(yè)的信息安全。作為企業(yè)的信息安全評價模型的基礎構架，具體實施的流程是：首先，對模型中的各項指標進行評分，比較彼此的異同，具有相同節(jié)點的指標需要歸為一類，然后進行指標的評斷，確定模型的矩陣；其次，按照模型的矩形，來計算企業(yè)不同部門安全信息占企業(yè)的比重，進而確定所有部門的指標；最后，通過定性每個部門之間的指標，然后使用AHP模糊法，根據(jù)不同指標的從屬關系，形成指標定量評價。

2.2 指標權重的確權方法

在當前，相關人員可以通過“專家打分法”實現(xiàn)對企業(yè)各環(huán)節(jié)指標安全性的權重分析。在這一方法中，應通過電子郵件的方式請企業(yè)高層人員、企業(yè)項目管理者等專業(yè)人士組成“專家團隊”，根據(jù)其豐富的工作經(jīng)驗、優(yōu)秀的專業(yè)眼光，對企業(yè)實際的信息安全情況進行權重評分，從而分析出各類安全指標的等級。

具體來講，這一評價方法主要包括以下三個步驟：

首先，相關工作人員需要將諸如“物理安全—硬件設備安全、中心機房安全”“人員安全—員工安全意識、員工操作行為”“技術安全—信息安全產(chǎn)品、大數(shù)據(jù)傳輸技術”等各類指標進行收集整理，并通過計算機系統(tǒng)生成相應的評價表格，再發(fā)放到“專家團隊”成員的電子郵箱當中。

其次，“專家團隊”在收到表格之后，會從專業(yè)的角度對各項信息安全指標的價值重要性、故障影響力進行打分。一般來講，0分為“絕對沒有影響”，10分則為“嚴重影響”。

最后，相關人員在受到所有打分表格后，即可將相關信息導入到計算機系統(tǒng)的yaahp軟件中，進行一致性的指標計算和矩陣分析，最終獲得出物理、人員、技術、應用、管理等指標項目的最終分數(shù)。

2.3 綜合評價模型的構建方法

在綜合評價模型的實際構建中，基于人員、技術、管理等指標的影響因素具有一定動態(tài)性和不確定性，相關人員很難獲取到精準度高、持續(xù)性強的信息安全指標信息。所以，在比較各類指標進行基本的評分權重后，人員需要在系統(tǒng)中應用AHP模糊綜合評價法構建出可行的評價模型，實現(xiàn)“評價指標集確定—權重集確定—模糊評價矩陣確定—二級指標評價矩陣確定—多級模糊綜合評價”的全流程化評價體系，由此建立起由文獻資料及安全標準信息收集出發(fā)，至總體模糊綜合評價值產(chǎn)出結(jié)束的系統(tǒng)模型，促成各類數(shù)據(jù)參數(shù)的多層次分析。

此外，將權重評獎方法和AHP方法相結(jié)合，分析企業(yè)信息安全評價系統(tǒng)的安全性，并將MATLA 7.0用在計算中，能夠得到數(shù)值，如果數(shù)值≥80，說明企業(yè)的信息安全屬于高級別；如果數(shù)值60～80，表明企業(yè)的信息安全水平處于中等；如果數(shù)值＜60，說明企業(yè)的信安全處于差等，隨時可以產(chǎn)生信息安全隱患。企業(yè)的人力、物理及管理三個內(nèi)容是企業(yè)信息安全等級評價的重點，如果等級指標處于中等偏下，需要在物理、人員安全及管理等方向進行優(yōu)化，來提升企業(yè)信息安全質(zhì)量[2]。

3 結(jié)論

綜上所述，由于企業(yè)日常的經(jīng)營管理工作會涉及人員、技術、環(huán)境等多個方面的指標因素，所以在分析企業(yè)信息安全性時，也要將這些因素全面、有序地納入到評價體系的內(nèi)容設置中。同時，企業(yè)相關人員在構建評價模型時，還應秉持目標性、動態(tài)性、系統(tǒng)性的原則，以“專家打分法”“AHP模糊綜合評價法”等科學方法為手段，構建出科學、系統(tǒng)的企業(yè)信息安全水平評價體系，促使企業(yè)在大數(shù)據(jù)環(huán)境下實現(xiàn)安全、平穩(wěn)的經(jīng)營發(fā)展。

[1]李廣英.基于大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型的分析[J].信息系統(tǒng)工程，2017（11）：72.

[2]尹淋雨. 大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].蚌埠：安徽財經(jīng)大學，2015.

Thinking on Comprehensive Evaluation Model of Enterprise Information Security Level under Big Data Environment

Dou Bo Dong Jiwei Ma Wenjun

Information Management Office of Sinopec Pipeline Storage and Transportation Co., Ltd., Jiangsu Xuzhou 221008

To build a comprehensive evaluation model of information security level, enterprises can improve information security. Based on this, the paper discusses, enterprise information security level of importance of constructing the comprehensive evaluation model under the environment of big data, and puts forward the method of constructing evaluation model, including the method of constructing evaluation model based on the part of the right，method of index weight and method of constructing the comprehensive evaluation model. Through the discussion of these contents, it provides some reference for the information management personnel of the enterprise.

big data; the level of enterprise information security; evaluation model

TP309

A

1009-6434（2017）12-0058-02