張 彭，韓 燕

（1.泰州市自然資源和規(guī)劃局，江蘇 泰州 225300；2.城市投資建設(shè)集團(tuán)有限公司，江蘇 泰州 225300）

1 理論概述

1.1 大數(shù)據(jù)

大數(shù)據(jù)是依托于互聯(lián)網(wǎng)與計(jì)算機(jī)技術(shù)而誕生與發(fā)展的數(shù)據(jù)信息，數(shù)據(jù)量龐大，規(guī)模巨大，結(jié)構(gòu)多樣，難以運(yùn)用常規(guī)數(shù)據(jù)處理方式進(jìn)行采集、提取與儲(chǔ)存。大數(shù)據(jù)概念的提出意味著現(xiàn)階段的數(shù)據(jù)處理模式、信息技術(shù)框架均不同以往，要求信息處理模式采用更為智能、高效的手段從龐大海量的大數(shù)據(jù)中挖掘信息價(jià)值。

1.2 網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)信息安全具有抗否認(rèn)性、可控性、可用性、保密性、完整性特征，結(jié)合我國(guó)網(wǎng)絡(luò)形勢(shì)來(lái)看，網(wǎng)絡(luò)信息安全包括四大方面，即數(shù)據(jù)安全、程序安全、系統(tǒng)安全、環(huán)境安全，可借助密碼技術(shù)、計(jì)算機(jī)科學(xué)、信息安全技術(shù)等手段強(qiáng)化信息數(shù)據(jù)加密、落實(shí)病毒防范、控制數(shù)據(jù)訪問(wèn)，以此方可保障網(wǎng)絡(luò)信息安全性。

1.3 網(wǎng)絡(luò)信息安全控制評(píng)價(jià)

“控制”在管理學(xué)原理中屬于“管理”的職能之一，其主要由控制工具與手段、控制對(duì)象、控制者三大要素構(gòu)成，為保障控制效果，要求網(wǎng)絡(luò)信息安全控制機(jī)制職能與三大控制要素相匹配，因此，在構(gòu)建網(wǎng)絡(luò)信息安全控制機(jī)制時(shí)，需從三大控制要素入手。第一，控制者。主要指網(wǎng)絡(luò)信息安全相關(guān)主體，如網(wǎng)絡(luò)用戶(hù)、服務(wù)商、管理人員等。第二，控制對(duì)象。包括信息系統(tǒng)、數(shù)據(jù)庫(kù)、各類(lèi)資源（如時(shí)間、財(cái)務(wù)等）。第三，控制工具與手段。主要指管理方法、法規(guī)調(diào)理、原則制度、組織機(jī)構(gòu)等，通過(guò)該類(lèi)方式提升網(wǎng)絡(luò)信息安全控制效率。

2 基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全控制機(jī)制

2.1 核心動(dòng)力：人員層

2.2.1 網(wǎng)絡(luò)用戶(hù)

網(wǎng)絡(luò)信息安全問(wèn)題產(chǎn)生的根源在于網(wǎng)絡(luò)用戶(hù)行為，且保護(hù)網(wǎng)絡(luò)信息安全的本質(zhì)在于維護(hù)網(wǎng)絡(luò)用戶(hù)正當(dāng)權(quán)益，因此，網(wǎng)絡(luò)用戶(hù)是網(wǎng)絡(luò)信息安全控制機(jī)制的重要主體。為強(qiáng)化安全控制，應(yīng)對(duì)網(wǎng)絡(luò)用戶(hù)行為思維進(jìn)行正確引導(dǎo)，培養(yǎng)用戶(hù)樹(shù)立安全意識(shí)，提醒網(wǎng)絡(luò)用戶(hù)規(guī)范自身行為，通過(guò)網(wǎng)絡(luò)用戶(hù)自我管理而減少信息安全問(wèn)題的發(fā)生。網(wǎng)絡(luò)用戶(hù)缺乏安全意識(shí)是導(dǎo)致網(wǎng)絡(luò)信息安全問(wèn)題的主要原因注意，提高網(wǎng)絡(luò)用戶(hù)安全意識(shí)則是在思想層次上構(gòu)筑安全“防火墻”，從根源處防止發(fā)生信息安全問(wèn)題。在網(wǎng)絡(luò)信息安全控制機(jī)制運(yùn)行期間，要求網(wǎng)絡(luò)用戶(hù)樹(shù)立信息安全意識(shí)，定期升級(jí)系統(tǒng)，安裝防火墻，對(duì)來(lái)源不明的網(wǎng)頁(yè)與軟件不可隨意打開(kāi)，避免網(wǎng)絡(luò)用戶(hù)錯(cuò)誤操作而引發(fā)網(wǎng)絡(luò)信息安全問(wèn)題。

2.2.2 服務(wù)提供商

網(wǎng)絡(luò)信息服務(wù)提供商在整個(gè)網(wǎng)絡(luò)信息安全控制機(jī)制中屬于信息持有者及數(shù)據(jù)提供者，與網(wǎng)絡(luò)用戶(hù)不同，服務(wù)提供商擁有網(wǎng)絡(luò)信息處理主動(dòng)權(quán)，在享有該主動(dòng)權(quán)的同時(shí)，服務(wù)提供商還需承擔(dān)相應(yīng)的安全責(zé)任。因此，為全面控制網(wǎng)絡(luò)信息安全，要求息安全管理者強(qiáng)化對(duì)服務(wù)提供商的管理與監(jiān)督，要求網(wǎng)絡(luò)信息服務(wù)提供商按照法律法規(guī)主動(dòng)承擔(dān)與履行自身網(wǎng)絡(luò)信息安全責(zé)任，維護(hù)網(wǎng)絡(luò)用戶(hù)合法合規(guī)權(quán)益，合理開(kāi)發(fā)網(wǎng)絡(luò)數(shù)據(jù)信息。

2.2.3 安全管理者

安全管理者是網(wǎng)絡(luò)信息安全控制機(jī)制最為關(guān)鍵的人員層主體，其主要采用“疏”“堵”兩種形式對(duì)網(wǎng)絡(luò)信息安全問(wèn)題進(jìn)行控制，要求管理者具備預(yù)防與規(guī)避網(wǎng)絡(luò)信息安全問(wèn)題的能力，通過(guò)強(qiáng)有力的管理監(jiān)督手段降低網(wǎng)絡(luò)信息安全問(wèn)題發(fā)生率。隨著大數(shù)據(jù)、信息技術(shù)在各行各業(yè)中的充分應(yīng)用，互聯(lián)網(wǎng)環(huán)境與網(wǎng)絡(luò)用戶(hù)間的關(guān)聯(lián)愈發(fā)緊密，導(dǎo)致網(wǎng)絡(luò)信息安全問(wèn)題日益復(fù)雜，在此環(huán)境下，不僅需在網(wǎng)絡(luò)信息安全問(wèn)題發(fā)生后立即治理，還需在安全問(wèn)題發(fā)生前做好事前疏導(dǎo)與安全教育，通過(guò)營(yíng)造規(guī)范化網(wǎng)絡(luò)文明環(huán)境防止安全問(wèn)題的發(fā)生。

2.3 環(huán)境支撐：環(huán)境層

2.3.1 網(wǎng)絡(luò)設(shè)施

網(wǎng)絡(luò)設(shè)施是否完善直接決定了網(wǎng)絡(luò)信息安全程度。在大數(shù)據(jù)時(shí)代，云計(jì)算、區(qū)塊鏈、物聯(lián)網(wǎng)等前沿技術(shù)發(fā)展迅速，網(wǎng)絡(luò)設(shè)置運(yùn)算要求、承載標(biāo)準(zhǔn)日漸提升，自從5G全面商用后，網(wǎng)絡(luò)信息數(shù)據(jù)處理規(guī)模已達(dá)TB、PB、EB級(jí)，在此形勢(shì)下，如何低成本、高效率運(yùn)用大數(shù)據(jù)成為網(wǎng)絡(luò)信息管理的重點(diǎn)，而在網(wǎng)絡(luò)信息數(shù)據(jù)管理期間，則對(duì)網(wǎng)絡(luò)設(shè)施造成了極大的運(yùn)算、承載壓力。因此，為控制網(wǎng)絡(luò)信息安全問(wèn)題發(fā)生，應(yīng)構(gòu)建具有存儲(chǔ)管理海量信息的網(wǎng)絡(luò)設(shè)施（如網(wǎng)絡(luò)平臺(tái)、計(jì)算體系等）。

2.3.2 網(wǎng)絡(luò)文化

網(wǎng)絡(luò)文化可直接或間接影響網(wǎng)絡(luò)信息的傳播、獲取過(guò)程，并在潛移默化中影響網(wǎng)絡(luò)用戶(hù)行為，而在龐大的互聯(lián)網(wǎng)信息數(shù)據(jù)量中，不可避免地會(huì)存在負(fù)面思潮，如陰謀論、受害者有罪論等，人們接觸過(guò)多難辨真假的網(wǎng)絡(luò)信息后，容易在有限信息基礎(chǔ)上主觀解讀事件，以此產(chǎn)生負(fù)面輿論，甚至造成網(wǎng)絡(luò)暴力。該類(lèi)不健康網(wǎng)絡(luò)文化對(duì)網(wǎng)絡(luò)信息安全的危害極大，因此，在構(gòu)建網(wǎng)絡(luò)信息安全控制機(jī)制期間，應(yīng)注意培植健康文化。

2.3.3 政策法規(guī)

政策法規(guī)是監(jiān)督網(wǎng)絡(luò)行為、管理信息安全的標(biāo)準(zhǔn)，對(duì)網(wǎng)絡(luò)信息安全管理工作具有指導(dǎo)效果，可借助政策法規(guī)的強(qiáng)制力嚴(yán)格管控網(wǎng)絡(luò)信息安全。近年來(lái)，我國(guó)網(wǎng)絡(luò)信息安全相關(guān)的立法工作逐漸完善，如《電子簽名法》《國(guó)家安全法》《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等現(xiàn)已逐步完善，在網(wǎng)絡(luò)信息安全控制管理過(guò)程中，則可依據(jù)現(xiàn)行政策法規(guī)開(kāi)展管理工作，將法治化滲透到網(wǎng)絡(luò)信息安全層面上[1]。

2.4 技術(shù)支撐：技術(shù)層

技術(shù)層主要為網(wǎng)絡(luò)信息安全控制機(jī)制提供技術(shù)支撐，借助各類(lèi)技術(shù)手段保障網(wǎng)絡(luò)信息安全。在大數(shù)據(jù)環(huán)境下，可從安全防護(hù)、實(shí)時(shí)監(jiān)測(cè)兩個(gè)角度控制網(wǎng)絡(luò)信息安全。安全防護(hù)技術(shù)包括加密技術(shù)、防火墻技術(shù)等，可用于提升網(wǎng)絡(luò)數(shù)據(jù)安全層次，降低網(wǎng)絡(luò)攻擊對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的危害。實(shí)時(shí)監(jiān)測(cè)技術(shù)可在較短時(shí)間內(nèi)檢測(cè)定位網(wǎng)絡(luò)系統(tǒng)漏洞，并采集黑客攻擊數(shù)據(jù)，但現(xiàn)階段實(shí)時(shí)監(jiān)測(cè)技術(shù)難以實(shí)時(shí)識(shí)別網(wǎng)絡(luò)黑客攻擊及安全風(fēng)險(xiǎn)，為保障網(wǎng)絡(luò)信息安全控制機(jī)制構(gòu)建效果，可引進(jìn)安全審計(jì)技術(shù)，借助審計(jì)工作保障網(wǎng)絡(luò)數(shù)據(jù)信息安全。除此之外，還可運(yùn)用數(shù)字水印技術(shù)、匿名保護(hù)技術(shù)對(duì)網(wǎng)絡(luò)用戶(hù)特征信息加以隱藏，以此實(shí)現(xiàn)隱私保護(hù)。

網(wǎng)絡(luò)信息安全控制機(jī)制離不開(kāi)技術(shù)支撐，只有在技術(shù)手段作用下方可確保數(shù)據(jù)安全傳輸，避免數(shù)據(jù)信息在網(wǎng)絡(luò)通信節(jié)點(diǎn)傳輸過(guò)程中發(fā)生泄露或篡改。從當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展情況來(lái)看，普遍應(yīng)用的網(wǎng)絡(luò)信息安全技術(shù)主要有安全審計(jì)技術(shù)、加密技術(shù)、防火墻技術(shù)、安全監(jiān)控技術(shù)等，各類(lèi)技術(shù)手段相互補(bǔ)充、互為支撐，在多種技術(shù)手段的協(xié)同應(yīng)用下構(gòu)筑一道完整堅(jiān)固的網(wǎng)絡(luò)安全防護(hù)墻，因此，在后續(xù)建立網(wǎng)絡(luò)信息安全控制評(píng)價(jià)體系時(shí)，可從上述四種網(wǎng)絡(luò)信息安全技術(shù)手段入手，對(duì)四類(lèi)技術(shù)應(yīng)用效果進(jìn)行評(píng)價(jià)判斷。

3 網(wǎng)絡(luò)信息安全控制評(píng)價(jià)體系在大數(shù)據(jù) 背景下的構(gòu)建要點(diǎn)

3.1 構(gòu)建評(píng)價(jià)指標(biāo)

3.1.1 人員層評(píng)價(jià)指標(biāo)

“人員”一級(jí)指標(biāo)內(nèi)共設(shè)置三個(gè)二級(jí)指標(biāo)，即網(wǎng)絡(luò)用戶(hù)、服務(wù)提供商、安全管理者，各個(gè)二級(jí)指標(biāo)進(jìn)一步細(xì)化，形成三級(jí)指標(biāo)。第一，網(wǎng)絡(luò)用戶(hù)。從安全意識(shí)培養(yǎng)、安全教育引導(dǎo)、網(wǎng)絡(luò)行為約束三個(gè)角度出發(fā)，將網(wǎng)絡(luò)用戶(hù)二級(jí)評(píng)價(jià)指標(biāo)細(xì)化分解為三個(gè)三級(jí)指標(biāo)，分別為網(wǎng)絡(luò)用戶(hù)安全意識(shí)、安全教育、自我管理。第二，服務(wù)提供商。從數(shù)據(jù)處理行為、信息安全責(zé)任兩個(gè)角度細(xì)化分解服務(wù)提供商二級(jí)評(píng)價(jià)指標(biāo)，下設(shè)提供商安全行為、安全責(zé)任兩個(gè)三級(jí)指標(biāo)。第三，安全管理者。從安全素養(yǎng)、專(zhuān)業(yè)素養(yǎng)、技術(shù)素養(yǎng)三個(gè)角度提出三級(jí)評(píng)價(jià)指標(biāo)，分別為安全管理者安全素養(yǎng)、專(zhuān)業(yè)程度、技術(shù)能力[2]。

3.1.2 環(huán)境層評(píng)價(jià)指標(biāo)

“環(huán)境”一級(jí)指標(biāo)內(nèi)共設(shè)置三個(gè)二級(jí)指標(biāo)，即網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)文化、政策法規(guī)，各個(gè)二級(jí)指標(biāo)進(jìn)一步細(xì)化，形成三級(jí)指標(biāo)。第一，網(wǎng)絡(luò)設(shè)施。該二級(jí)指標(biāo)內(nèi)下設(shè)數(shù)據(jù)處理能力、設(shè)施承載能力兩個(gè)三級(jí)評(píng)價(jià)指標(biāo)，用于強(qiáng)調(diào)網(wǎng)絡(luò)設(shè)施的數(shù)據(jù)挖掘能力及數(shù)據(jù)存儲(chǔ)傳遞效果。第二，網(wǎng)絡(luò)文化。該二級(jí)指標(biāo)內(nèi)下設(shè)網(wǎng)絡(luò)文化凈化、網(wǎng)絡(luò)文化培植兩個(gè)三級(jí)指標(biāo)，用于彰顯網(wǎng)絡(luò)文化與網(wǎng)絡(luò)信息安全間的關(guān)聯(lián)。第三，政策法規(guī)。該二級(jí)指標(biāo)內(nèi)下設(shè)行為規(guī)范、實(shí)施標(biāo)準(zhǔn)、安全立法三個(gè)三級(jí)評(píng)價(jià)指標(biāo)，力圖從規(guī)范、標(biāo)準(zhǔn)、強(qiáng)制力三個(gè)方面強(qiáng)化網(wǎng)絡(luò)信息安全控制[3]。

3.1.3 技術(shù)層評(píng)價(jià)指標(biāo)

“技術(shù)”一級(jí)指標(biāo)內(nèi)共設(shè)置防火墻技術(shù)、加密技術(shù)、安全監(jiān)控技術(shù)、安全審計(jì)技術(shù)四個(gè)二級(jí)評(píng)價(jià)指標(biāo)，各二級(jí)指標(biāo)可細(xì)化分解為三級(jí)評(píng)價(jià)指標(biāo)。第一，防火墻技術(shù)。該二級(jí)評(píng)價(jià)指標(biāo)可細(xì)化分解為用戶(hù)訪問(wèn)權(quán)限、訪問(wèn)身份鑒別、防拒絕服務(wù)攻擊、防惡意軟件四個(gè)三級(jí)指標(biāo)。第二，加密技術(shù)。該二級(jí)評(píng)價(jià)指標(biāo)可細(xì)化分通信加密、存儲(chǔ)加密兩個(gè)三級(jí)指標(biāo)。第三，安全監(jiān)控技術(shù)。該二級(jí)評(píng)價(jià)指標(biāo)可細(xì)化分解為數(shù)據(jù)庫(kù)訪問(wèn)控制、應(yīng)用系統(tǒng)訪問(wèn)控制、操作系統(tǒng)訪問(wèn)控制三個(gè)三級(jí)指標(biāo)。第四，安全審計(jì)技術(shù)。二級(jí)評(píng)價(jià)指標(biāo)可細(xì)化分解為數(shù)據(jù)庫(kù)日志審計(jì)、應(yīng)用系統(tǒng)日志審計(jì)、操作系統(tǒng)日志審計(jì)、防病毒升級(jí)審計(jì)、入侵檢測(cè)控制審計(jì)五個(gè)三級(jí)指標(biāo)[4]。

3.2 指標(biāo)權(quán)重計(jì)算

3.2.1 權(quán)重計(jì)算思路

完成多層次網(wǎng)絡(luò)信息安全控制評(píng)價(jià)指標(biāo)的設(shè)計(jì)后，需根據(jù)各項(xiàng)指標(biāo)的重要性程度計(jì)算指標(biāo)權(quán)重，此時(shí)可引入專(zhuān)家賦值法，選取多名網(wǎng)絡(luò)信息安全領(lǐng)域的專(zhuān)家、教授、從業(yè)人員對(duì)評(píng)價(jià)指標(biāo)打分賦值，得出專(zhuān)家賦值結(jié)果后建立判斷矩陣，在此基礎(chǔ)上，應(yīng)用特征向量運(yùn)算完成最終評(píng)價(jià)指標(biāo)權(quán)重計(jì)算工作。本次在構(gòu)建網(wǎng)絡(luò)信息安全控制評(píng)價(jià)體系時(shí)，運(yùn)用積法計(jì)算評(píng)價(jià)指標(biāo)權(quán)重，步驟如下。第一，歸一化處理判斷矩陣各列元素，整理各列元素一般項(xiàng)；第二，完成歸一化處理后，相加判矩陣各行元素；第三，對(duì)求和向量結(jié)果進(jìn)行整理，該向量結(jié)果則為特征向量近似解；第四，對(duì)判斷矩陣內(nèi)最大特征根進(jìn)行計(jì)算，在此基礎(chǔ)上計(jì)算一致性指標(biāo)，根據(jù)一致性指標(biāo)計(jì)算結(jié)果展開(kāi)權(quán)重計(jì)算，若判斷矩陣偏離一致性指標(biāo)，則需修正判斷矩陣[5]。

3.2.2 權(quán)重計(jì)算結(jié)果

對(duì)上述所提到的網(wǎng)絡(luò)信息安全控制評(píng)價(jià)指標(biāo)權(quán)重計(jì)算結(jié)果進(jìn)行總結(jié)，具體如下。第一，“人員”一級(jí)指標(biāo)。“人員”一級(jí)指標(biāo)的一級(jí)權(quán)重為0.297，網(wǎng)絡(luò)用戶(hù)、服務(wù)提供商、安全管理者的二級(jí)權(quán)重分別為0.120、0.272、0.608。第二，“環(huán)境”一級(jí)指標(biāo)?！碍h(huán)境”一級(jí)指標(biāo)的一級(jí)權(quán)重為0.164，網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)文化、政策法規(guī)的二級(jí)權(quán)重分別為0.231、0.104、0.665。第三，“技術(shù)”一級(jí)指標(biāo)?！凹夹g(shù)”一級(jí)指標(biāo)的一級(jí)權(quán)重為0.539，防火墻技術(shù)、加密技術(shù)、安全監(jiān)控技術(shù)、安全審計(jì)技術(shù)的二級(jí)權(quán)重均為0.250。根據(jù)各級(jí)指標(biāo)的最終權(quán)重?cái)?shù)值則可判得出各級(jí)評(píng)價(jià)指標(biāo)對(duì)網(wǎng)絡(luò)信息安全控制的重要性，在實(shí)質(zhì)性網(wǎng)絡(luò)信息安全管理工作中，則可按照評(píng)價(jià)指標(biāo)權(quán)重占比情況展開(kāi)針對(duì)性管控，以此保障網(wǎng)絡(luò)信息安全控制效果。

4 結(jié)束語(yǔ)

綜上所述，人員、技術(shù)、環(huán)境是網(wǎng)絡(luò)信息安全控制關(guān)鍵要素，在構(gòu)建網(wǎng)絡(luò)信息安全控制機(jī)制時(shí)，應(yīng)從上述三個(gè)角度出發(fā)，以此確保所構(gòu)建的控制機(jī)制富有實(shí)效。評(píng)價(jià)體系應(yīng)與控制機(jī)制相匹配，要求各項(xiàng)評(píng)價(jià)指標(biāo)能夠切實(shí)反映控制機(jī)制效果，此時(shí)可設(shè)置多層次、多角度的評(píng)價(jià)體系，從人員、環(huán)境、技術(shù)三個(gè)方面構(gòu)建評(píng)價(jià)指標(biāo)，并根據(jù)各指標(biāo)對(duì)網(wǎng)絡(luò)安全的重要程度計(jì)算權(quán)重，得出權(quán)重結(jié)果，以此方可保障網(wǎng)絡(luò)信息安全控制評(píng)價(jià)體系的完整性?！?/p>