企業信息安全評價模型研究
2017-10-20 04:42:31丁升
數碼設計 2017年12期
丁升
摘要:基于企業、網站信息泄露現象日益突出的問題,建立了信息安全評價模型,通過AHP法計算安全評價指標權重,最終得出系統安全分值,確立系統安全等級。此模型的建立對維護企業信息安全,促進社會和諧穩定具有一定的意義。
關鍵詞:信息泄露;AHP;安全評價
中圖分類號:F270.7;TP309 文獻標識碼:A 文章編號:1672-9129(2017)12-0010-01
Abstract:Based on the increasingly prominent problem of information disclosure in enterprises and websites, we set up the information security evaluation model. The weight of safety evaluation index is calculated by AHP method, and the system safety score is finally obtained, and the system security level is established. The information security evaluation model is of certain significance for maintaining Internet users' information security and promoting social harmony and stability.
Key words:information disclosure; AHP; security evaluation
隨著互聯網的飛速發展,人類已進入信息化社會,生產力得到了極大的提高,人們的生產、生活、學習方式,甚至人們的思維方式都發生了改變。與此同時,信息化的發展,特別是Internet的發展,給社會和企業帶來了一系列的問題,尤其是信息泄露問題,造成企業名譽、財產受損。信息泄露已成為人們共同面臨的挑戰,因此,對企業信息系統進行安全評價有利于維護企業健康運營,同時也有利于促進社會和諧和人類社會文明進步。
1 信息安全評價流程
信息系統安全評價是信息安全管理的基礎,通過對企業或網站信息系統的安全現狀進行評價,明確現實情況與安全目標的差距,找出信息系統存在的不安全問題,制定安全策略以降低信息泄露風險的概率。具體流程[1]如下:
(1)明確評價對象的范圍,收集材料、信息,成立信息安全評價小組;
(2)對收集的材料進行安全分析,包括安全需求統計分析、威脅分析、弱點分析以及影響分析等[2],確立安全信息評價指標;
(3)確定指標權重;
(4)確立信息安全評價依據,計算信息系統安全分數值;
(5)形成信息安全評價報告,針對評價結果進行整改。
(6)整改措施施行后,重新進行評價,直到達到信息安全要求為止。
2 信息安全評價指標確定
指標確定主要從三個方面進行考慮:人的因素、管理因素、設備因素。人的因素又可分為人員素質、人員技術水平;管理的因素主要分為人員教育培訓、組織管理制度、信息應急方案制定;設備的因素可分為設備的質量、病毒與漏洞防護更新。
3 信息安全評價
3.1 評價指標分值確定
為使評價結果清晰準確,將信息系統評價指標劃分為4個不同的狀態等級,即=(優,良,中,差)=(4,3,2,1),采用專家評分法對指標進行賦值,構造指標評價分值向量V=(v1,v2,…v7)。
3.2 指標權重確定
AHP,即層次分析法,是美國運籌學家匹茨堡大學教授托馬斯·塞蒂提出的一種定性與定量相結合的層次權重決策分析方法[3]。該方法將系統分解為多個目標或準則,進而分解為多指標的若干層次,通過定性指標模糊量化方法算出指標權重,以作為多方案優化決策的系統方法,具體計算過程如下:
(1)建立遞階層次結構模型
在全面分析企業信息泄露問題的基礎上,按有關各個影響因素的隸屬關系建立遞階層次結構。其中,同一層的諸因素從屬于上一層的因素或對上層因素有影響,同時又支配下一層的因素或受到下層因素的作用。
(2)構造判斷矩陣
3.3 信息系統評價分值計算
指標權重得出后,可根據公式(3)計算信息系統安全評價最終得分。
F=v1w1+v2w2+…+v7w7 (4)
從公式(3)中,不僅可以判斷出企業信息系統安全現狀,同時也可得到每項指標的得分,我們可以通過對分值較低的指標進行整改,然后重新進行評價,直至信息安全等級達到優等水平。
4 結論
信息泄露嚴重危害了企業的名譽和財產安全,也給社會帶來了惡劣的影響。本文通過分析信息安全的影響因素,結合企業實際,建立了指標評價體系,通過層次分析法確定指標權重,最終得出企業信息系統安全的評價等級,并針對評價結果,提出整改措施。此評價模型的建立有助于企業了解信息系統的安全狀態,降低信息泄露的風險。
參考文獻
[1]張澤虹,趙冬梅信息安全管理與風險評估北京:電子工業出版社,2010
[2]基于AHP與模糊數學的信息安全風險評估模型[J].信息安全與交通保密,2014:100-103
[3]鄭毅. 基于灰色理論的信息系統安全風險評估研究[D]. 成都理工大學,2013,5
