基于大數據的企業信息安全水平綜合評價問題研究

李婉+周金明+楊認真

摘要：大數據時代的信息安全水平的測度與評價，對企業信息安全體系建設以及提高企業信息化水平極為重要。針對大數據環境下的企業信息安全管理體系進行分析和研究，發現國內企業在大數據安全管理方面仍然存在不足之處。文章旨在探索信息安全水體系的構建，研究大數據安全管理體系的評價及信息安全風險對策。以NH公司為例，分層分析并構建評價模型，進而模型求解得到最終評價結果。通過實例說明方法的有效性和可行性。

Abstract： The measurement and evaluation of information security level in big data age is very important to the construction of enterprise information security system and the improvement of enterprise informatization level. According to the analysis and research of the enterprise information security management system under the big data environment， it is found that the domestic enterprises still have shortcomings in the big data security management. The article aims to explore the construction of information security water system， study the evaluation of big data security management system and information security risk countermeasures. Taking NH Company as an example， the evaluation model is analyzed and constructed， and then the final evaluation result is obtained by solving the model. The effectiveness and feasibility of the method are illustrated by an example.

關鍵詞：大數據；信息安全；管理體系；層次分析

Key words： large data；information security；management system；AHP

中圖分類號：TP309 文獻標識碼：A 文章編號：1006-4311（2017）34-0058-03

0 引言

“大數據”為企業開辟了一個解決問題的新路徑，比如通過數據可以深度挖潛利益相關者的思維模式和喜好，并將其轉化成企業獨有的經營方式。單靠積累的經驗或直接推斷做出決策往往比較主觀，無法保證每一項決策都精準無誤，而基于海量的數據、信息做出的管理決策，科學性和可行性更高[1]。

然而，企業為了提高自身競爭力，利用信息系統存儲大數據，通過信息手段更加科學地維護企業內部信息安全、完整，基于海量的數據信息不斷改進經營決策，這對企業運營效率的提升大有裨益。但是，企業必須在使用信息系統的過程中引入各種措施對系統中的數據加強安保[2，3]。如今網絡系統中存在病毒感染、黑客入侵等各種網絡安全問題，企業核心數據信息一旦遭到非法入侵，所造成的經濟損失和名譽損失往往是不可估量的。對企業而言，維護數據安全無疑是日常經營管理工作的重點內容[4]。我國企業的信息安全問題主要表現在：企業重視不足；缺少長遠目標規劃；信息安全制度的缺失；信息安全管理人才的流失；企業的信息化人才匱乏，在建設大數據系統的進程中，沒有給企業的信息安全管理人員足夠的培養平臺；信息安全評估體系不夠完善。

1 大數據環境下企業信息安全水平評價體系構建

綜合評價指標體系的構建需滿足科學性原則、系統優化原則、通用可比原則、實用性原則和目標導向原則等原則[5]，基于大數據背景和數據信息風險的來源構建企業信息安全評價指標體系（見表1）。

2 大數據環境下企業信息安全水平評價模型的構建

2.1 企業信息安全評價方法的確定

針對企業信息安全水平的評價，采用層次分析法確定二級指標的權重，分別對各項指標的打分，最終得到企業信息安全評價結果。層次分析法主要是通過定性或量化的手段來處理各種不確定性因素，以此進一步提升安全管理水平[6]。

①分層分析處理各種因素，并將現有信息資源構造成樹狀結構的層次結構模型。各層次之間的各因素通常有的具有關聯性，但是也有不相關聯的，且每個層次的因素個數也未必相同。

②構造判斷矩陣。構造判斷矩陣是重要環節，需要對同一層次的各因素進行兩兩對比，比較時，應盡量避免不同性質的因素相互比較。同時，應根據具體實際情況，降低主觀因素的造成的不客觀影響。設n個因素C1，C2，…， Cn。對上一層O的影響程度。對任意兩個因素Ci和Cj，用aij表示Ci和Cj對O的影響程度之比，按1～9的比例標度來度量aij（i，j=1，2，...，n）。比例標度采用1～9九個等級。若判斷矩陣A的元素滿足aik akj=aij，（i，j，k=1，2，…，n），則A為一致性矩陣。

③權重向量確定。將A的各列（或行）向量求幾何平均后歸一化，可以近似作為權重，即

ui=，（i=1，2，…，n）

④一致性檢驗。一般情況下，需要對判斷矩陣進行一致性檢驗，并不是所有從實際中得到的判斷矩陣都是一致的，一致性的程度應在容許的范圍內。endprint

2.2 NH公司的信息安全評價

根據對企業信息安全評價指標體系的構成分析，本文應用層次分析法和安全檢查表法對NH公司的信息安全進行評價。首先，通過層次分析法得到體系中各項二級指標的權重，再通過安全檢查表法對體系中的各項二級指標打分，最終得出NH公司的綜合信息安全評價結果。

邀請10位專家進行打分，進而確定評價指標體系中的二級指標的相對重要性。評分標準為：非常重要（7）、重要（5）、稍微重要（3）、同樣重要（1），由于專家在評選的過程中存在不可避免的主觀因素，專家應盡可能保持客觀且相互獨立完成，必要時要進行二次打分。所得打分結果經整理后得到判斷矩陣（見表2）。以安全管理機構為例說明模型求解結果及權重的確定。

計算幾何平均值得：M11=1.8860，M12=0.5302，M13=1.2009，M14=0.7873，M15=0.8807，M16=1.2009

則各指標的權重為：

u1=（0.291，0.082，0.185，0.121，0.136，0.185）

因此，

W1=（0.239， 0.933， 1.139， 1.266， 1.005， 0.782），λmax=8.046

其中，CI=（λmax-n）/（n-1）=0.022。當n=6時，RI=1.26，CR=CI/RI=0.017<0.10，一致性通過，可以認為安全管理機構二級指標重要程度判斷矩陣具有可以接受的滿意一致性。

同法，依上述方案的步驟分別可得NH公司其他各項指標的權重向量（見表3）。

2.3 信息安全體系二級指標的評價

評價過程中，筆者采用安全檢查表方法對NH公司的信息安全體系進行評價。評分采用10分制，參與評價的工作人員由對各項指標熟悉的工人、工作技術人員及管理人員組成。根據NH公司信息安全體系二級指標權重的確定和評分結果，運用WAA算法得到該體系各項一級指標的總體評價結果（見表4）。

3 結束語

大數據安全體系必須依靠先進的安全技術策略才得以實現，安全技術策略是針對信息系統加強安全防護的主要路徑。可靠的安全防御技術是實施安全管理策略的重要載體，它能有效提高信息安全防御水平。在構建信息安全防御體系的過程中，企業應該針對內部成員推出嚴格的數據保密制度，重點強調安全策略，同時引入有較高職業素養和安全管理技能的專業人才，確保信息安全管理制度能夠得到有效落實，從而提高企業大數據信息安全水平。

參考文獻：

[1]程剛.企業信息服務水平評價體系研究[J].圖書情報工作，2010（18）：76-80.

[2]黃啟發，宋彪.基于協同學的企業信息安全綜合評價模型[J].現代情報，2012（08）：113-117.

[3]林正奎.基于VaR-Copula的信息安全評價模型研究[J].數學的實踐與認識，2012（08）：85-90.

[4]尹淋雨.大數據環境下企業信息安全水平綜合評價模型研究[D].安徽財經大學，2015.

[5]王雪濤，袁文秀.基于大數據的企業信息安全影響因素實證研究[J].情報探索，2016（07）：30-34，40.

[6]徐建中，馬瑞先.基于AHP的企業循環經濟發展水平灰色綜合評價研究[J].科技管理研究，2008（04）：46-49.endprint