網絡安全的維度與企業安全評估體系構建

■ 曾夏玲　王　沖　副教授（、江西科技師范大學　南昌　33003 、江西外語外貿職業學院　南昌　330099）

網絡安全的維度與企業安全評估體系構建

■ 曾夏玲1王沖2副教授（1、江西科技師范大學南昌330013 2、江西外語外貿職業學院南昌330099）

企業對社會經濟的發展有著重要的作用，是社會經濟發展不可缺少的一部分。隨著信息化技術的發展，企業對網絡的依存度不斷增強，企業承擔了更多的網絡信息安全風險。本文從網絡安全的角度，對我國企業網絡安全體系進行分析，構建了一套多維度企業網絡安全評估體系，從而得出較全面的企業網絡安全評估結果，并提出提升企業網絡安全的策略，幫助企業規避安全風險，為我國企業的穩步發展提供保障。

企業互聯網安全評估策略

“互聯網+”時代是隨著互聯網的發展而產生的一個新興的社會及商業發展階段，它促進了各種新型的互聯網創業項目及公司的誕生，越來越多的傳統企業接軌互聯網以跟上信息時代的發展。根據中國互聯網安全領袖峰會發起的國內企業信息安全調查報告顯示，企業運營已離不開互聯網，超過90%的企業完全或高度地依靠互聯網開展業務（見圖1）。根據圖2數據顯示，不同行業對互聯網的依賴程度有所不同，其中制造業對互聯網的依存度最低，但也達到了69.4%；金融、電信、IT/科技/互聯網、商業/貿易行業對互聯網的依存度最高，均超過了90%。企業的正常運營已經與網絡息息相關，對網絡的依存度也越來越高。

企業網絡安全及評估現狀

隨著信息化技術的發展，企業對互聯網高度依存，然而企業的網絡安全狀況卻不容樂觀，圖3所示是不同行業近三年發生信息安全的頻率，均超過了30%，其中電信行業發生信息安全事故的頻率已達到64%，信息安全狀況令人堪憂，對企業的運營及發展造成了很大的影響和經濟損失。

面對網絡中廣泛認知的病毒等安全威脅，雖然有70%以上的企業已有所投入，但由于投入的水平參差不齊，很難建立起有效的信息風險防范。網絡攻擊時刻發生，攻擊手段不斷變化，在安全問題上沒有一勞永逸的解決方案，信息安全建設應是一個持續的過程，需要企業建立完善的安全防護計劃。因而如何評估并構建企業網絡安全體系，發現和規避企業網絡風險，對企業的發展具有重要的指導意義。

網絡安全評估即網絡風險評估，它是評定網絡安全風險大小的過程，以確定網絡信息的風險等級和優先風險控制順序。它是企業網絡安全管理工作的一項重要措施，對網絡安全方法和信息保護措施等一系列重大決策的確定起著重要作用。

網絡安全維度下企業安全評估體系構建及對策

（一）多維度企業安全評價指標體系構建

安全維度理論即利用不同維度來評估和提升企業網絡安全的方法。網絡安全所面臨的威脅主要包括對網絡中信息的威脅和對網絡中設備的威脅，而企業網絡安全所面臨的威脅存在其特殊性，影響企業網絡安全的因素不只是來自網絡上的惡意攻擊和入侵，還包括企業內部管理制度的建立、企業員工安全防范意識的教育等多方面原因。因而本文從環境安全、管理安全、硬件安全、軟件安全、系統安全和數據安全六個維度出發，建立企業安全評價指標體系F，如表1所示。每個維度下又包含多個維度，即二級指標，這些指標是具體的技術手段和評價指標。

（二）基于模糊綜合評判的企業安全評估體系

確定評價指標的權重。權重是表示某一因素重要性的相對數值，反映了該指標在指標體系中所起作用的大小。確定各因素的權重，實際上是對所有因素的重要性進行排序，這在因素比較多時要進行重要性排序是比較困難的，如果只是對兩兩因素進行重要性比較則容易實現。權重確定的方法常用的有專家調查法、德爾菲加權法、層次分析法等，由于構建的指標體系是層次結構，因而采用層次分析法，通過同層元素兩兩比較建立模糊一致矩陣，進而通過求解權重方程組得到各層元素的權重值。

Fi的下一層指標是更低一層的評價指標，通過下一層評價指標兩兩之間的重要性比較構成Fi的模糊判斷矩陣R（Fi）。其中兩兩指標之間的重要性專家按表2中的數量標度來進行標度，且滿足rji=1-rij，則所構建的模糊判斷矩陣R（Fi）=（rij）是模糊一致矩陣，因而不需要再檢驗矩陣的一致性。

根據模糊一致矩陣的性質，通過下面的關系式求解權重值W（Fi）：

圖1　企業業務對互聯網的依賴程度

表1　多維度安全評價指標體系

Rjk（Fi）=0.5+α（W（Fij）-W（Fik）），j，k=1，2，…，ni其中，0＜α≤0.5，α用來度量評價對象的差異程度，可通過設定不同的α大小從而求出多個不同的權重值，然后從其中選擇一個較合適的權重值W（Fi）。

建立評語集。評語是評價者對評價因素進行評估時反映評估結果的語言值，評語集是所有可能做出的各種總的評價結果組成的集合，表示為E=［e1，e2，…，em］，m為總的評語數。如果某個評價因素與某個評語的隸屬度比其他的評語都高，則該指標的“安全度”評定為該評語，即遵循最優隸屬原則。

隸屬度。用模糊關系來表示各評價因素屬于各評語的隸屬度，指標體系中任意節點Fij在ek（ek∈E）之上的隸屬函數表示為mek（Fij）。本文給出二級指標在E上的隸屬度計算方法，僅說明定量因素的隸屬度函數構造方法。設定量因素Fij的取值空間為［Vm，VM］，采用半矩形與三角形分布構造評價因素在評語集上的隸屬度函數。而對于一些較難以定量描述的定性因素，則通過專家及同行協議打分后量化表示，并采用模糊統計的方法構造隸屬度函數。

單級因素模糊評判矩陣。單因素模糊評價是只從一個評價因素作為評價對象來評判，得出其在評語集E上的隸屬程度。在三層評價指標體系中，二級指標的隸屬度計算已在上文給出，對指標體系中任意二級指標Fij在ek（ek∈E）之上的隸屬函數表示為rk（Fij）=mek（Fij），因此對指標Fij的單因素模糊評價可得到模糊集r（Fij）=［r1（Fij），r2（Fij），…，rm（Fij）］。而對指標體系中的一級指標而言，其后續所有二級指標的單因素模糊評價構成了該一級指標的模糊評判矩陣。如對于一級指標Fi=｛Fi1，Fi2，…，Fini｝，該指標的模糊評判矩陣為R（Fi）=［r（Fi1），r（Fi2），…，r（Fin）］T。

多級模糊綜合評判。根據層次分析法求解出的指標權重，對一級指標 構成的模糊評判矩陣R（Fi）進行模糊運算，得到該因素在評語集E上的評估結果B（Fi）。

計算公式為：B（Fi）=（bi1，bi2，…，bi4）=WFi。R（Fi），其中“ 。”是模糊關系的合成運算。

Bi是一個隸屬向量，對它作歸一化處理，構建出mem（Fi））=（bi1/S，bi2/S，…，bim/S），

據此構造總體評價的模糊評判矩陣R（F）=［r（F1），r（F2），r（F3），r（F4）r（F5）］T，對R（F）進行模糊運算，得到總體評估結果B= W（F）。R（F）=（b1，b2，…，bm），將B歸一化處理，得C=［c1，c2，…，cm］，若評語集用數量化表示，即E=［k1，k2，…，則總評分為［c1，c2，…，cm］［k1，

（三）提升企業網絡安全的對策

圖2　不同行業對互聯網的依賴程度

圖3　不同行業近三年發生信息安全事故的頻率

表2　重要關系的數量標度

企業提升網絡安全的對策應主要從管理和技術兩個方面展開，其涵蓋了六個維度的評價指標體系，多維度地保護企業安全。安全技術對策方面，企業根據安全評估發現的安全漏洞及安全隱患，完善該指標的具體安全技術手段，如數據加密技術、防火墻、入侵檢測、防毒軟件等安全技術。這些技術方式主要由企業的專業技術人員來完成，因而企業要加強專業人才技術的培養和發展。此外，加強行業交流與合作機制是有效保障企業安全的有效手段。互聯網推動了產業鏈的互聯互通，因而企業需加強行業交流和合作機制，加強安全技術的溝通與交流，互助互強，在合作中共同進步，共同打造更安全的企業網絡環境。

企業的管理對策往往是被忽略的，企業的安全事故不僅是來自外部的威脅，很大一部分也來自于企業內部，因而加強企業的安全管理，提高全員的安全意識，是提升企業網絡安全的一項重要措施。管理方式措施主要從企業層面和員工層面展開，應建立完善的管理制度。建立完善的企業內部訪問權限分配，實現不同等級的訪問權限控制，并建立完善的監督機制。對于企業內部網絡資源的訪問，可采用權限分配的方式來限制和控制內部資源的訪問，防止病毒從內部入侵。對一些重要私密數據，采取數據加密、身份認證等方式進行加密，防止信息泄露。對于服務器中的數據分配專人負責，定時進行數據備份，防止意外情況造成數據丟失。制定事故發生的預案，當發生事故時及時修護，保障系統穩定運行。而員工層面，最重要的是要提升安全意識，定期組織員工安全培訓，強化員工的安全防范意識，學習有效的安全防護手段。

綜上所述，企業運營已離不開互聯網，網絡安全問題是影響企業發展的關鍵因素之一。本文從網絡安全的維度出發，建立了多維度安全評價指標體系，并提出基于模糊綜合評判的安全評估體系，對企業的網絡安全進行全面的科學評估，及早發現安全漏洞與安全隱患，進而從管理和技術兩個維度提出提升企業網絡安全的對策，能一定程度地提升企業的網絡安全能力和水平。然而在信息技術高速發展的今天，任何技術手段都無法保證絕對安全，因此企業要加強行業交流和合作機制，從多維度來進行安全防護，提升企業的安全防護能力，促進企業在互聯網時代下的發展。

1.范紅，馮登國，吳亞非.信息安全風險評估方法與應用［M］.清華大學出版社，2006

2.徐瑋晟，張保穩，李生紅.網絡安全評估方法研究進展［J］.信息安全與通信保密，2009（10）

3.龔瀛，栗勇兵，董啟雄.網絡安全評價指標體系的建立［J］.科技信息，2009（27）

4.宮婷.關于電子商務網絡安全的技術問題［J］.商業時代，2012（5）

5.王欣.計算機信息安全策略的緯度思考與電子商務設計［D］.電子科技大學，2007

6. 中國互聯網安全領袖峰會.國內首個CTO企業信息安全調查報告［EB/OL］. http：//blog.sina.com.cn/s/ blog_6f50ebbb0102wbak.html.2015

F49

A