基于AHP-Fuzzy 法的寧夏S 企業信息安全評價體系應用研究★

劉銀風， 付 森， 趙 威

（寧夏大學 經濟管理學院， 寧夏 銀川 750021）

引言

20世紀90年代末期Interne 的出現標志著當今社會正式步入了信息時代，企業Internet 迅猛發展，使企業對計算機技術的依賴越來越強，各個企業為了方便管理建立了信息管理系統，但由于Internet 共享性和對外開放性的特點，很多企業出現了信息安全問題，甚至威脅到了企業的存亡。科學地建立信息安全評價體系能夠直觀地體現企業信息安全的狀況，為提升企業信息安全水平提供可靠依據。寧夏S 企業是寧夏優秀的IT 技術綜合性服務提供商，其信息安全水平關系著上萬用戶的隱私安全，構建信息安全評價體系，提升該公司的信息安全水平，對保障該公司客戶信息安全有著極其重要的現實意義。

關于企業信息安全評價體系的研究國外最早始于21世紀初，Rayford Vaughn 對企業信息安全評價的內涵做出了簡要概述，國外學者以信息安全管理體系整體為研究對象，運用層次分析法、貝葉斯網絡、Markov 法、決策樹法神經網絡等方法構建相關研究模型，來進行企業信息安全評價；國內學者基本選擇構建“影響信息安全因素+評價指標+評價模型”的研究框架，開展多個維度，多個領域的研究[1]。

1 研究方法

1.1 專家打分綜合法

專家打分法是研究某個行業的專家，或多年從事該行業的專業人員結合自身知識儲備、工作學習經驗在定性分析之后采用打分的形式來進行定量化評價的方法。這種方法的優點是在缺少數據并且問題難以量化的條件下進行定量分析，其缺點是結果可能帶有專家的主觀色彩，相對片面。本文在進行模糊評價隸屬度矩陣時采用該方法來進行量化分析[2]。

1.2 AHP- 模糊綜合評價法

AHP 模糊綜合評價法是AHP 層次分析法和模糊綜合評價法相結合的系統評價的方法，把分析過程中成對的比較值模糊化并使用模糊數作為度來構造兩兩比較判斷矩陣。該綜合評估的方法以模糊數學，依據模糊數學的隸屬度理論將不可評估定性分析轉為可評估定量分析，最終對受到多種因素限制的對象或事務做出一個整體的、綜合的評價。該評價法的特點是數據分析結果清晰，系統性較強[2]。

2 模型構建

2.1 評價指標體系的構建

影響企業信息安全水平的因素有諸多方面，遵循目的性、重點突出性、科學性、可行性、獨立性、系統性和全面性[3]等指標確立原則確定了兩級信息安全評價指標，第一級為影響信息安全的5 個維度，即物理維度、網絡維度、管理維度、運維維度、人員維度。第二級為影響企業信息安全的具體指標。構建的評價指標體系如下頁圖1。

2.2 構造判斷矩陣與一次性檢驗

利用調查問卷構造判斷矩陣，邀請十位有經驗的企業信息安全管理方面的專業人員對安全體系中的各個一級指標包含的二級指標依據層次分析法同級內進行兩兩比較，結果求平均，得出判斷矩陣，再計算出各級指標權重[4]，判斷矩陣打分標準見下頁表1。

表1 判斷矩陣打分尺度

依據方根（幾何平均）法，將表2 開五次方根后的結果按列歸一化，得到一級指標的權重向量ω 為（0.187 7，0.046 9，0.091 0，0.580 6，0.093 8），運用公式λmax=∑[（Ai·ωi）/nωi]（Ai為指標的判斷矩陣），求得判斷矩陣最大特征值λmax=5.002 9，依據公式CI=λ-n/（n-1）=0.000 7。查閱一致性檢驗RI 值表，知，當n=5 時，RI=1.12。因此CR=CI/RI=0.000 6＜0.10，特征向量通過了一致性檢驗。

表2 一級指標重要程度判斷矩陣

同理如表3 所示，物理安全包含的二級指標的權重向量ω 為（0.539 6，0.163 4，0.297 0），運用公式λmax= ∑[（Ai·ωi）/nωi]（Ai為指標的判斷矩陣），求得判斷矩陣最大特征值λmax=3.009 2，依據公式CI=λ-n/（n-1）= 0.004 6。查閱一致性檢驗RI 值表，當n=3 時，RI=0.52。因此CR=CI/RI=0.01＜0.10，即特征向量通過一致性檢驗。

表3 物理安全包含的二級指標重要程度判斷矩陣

同理如表4 所示，得管理安全所包含的二級指標的權重向量ω 為（0.188 4，0.730 6，0.081 0），運用公式λmax=∑[（Ai·ωi）/nωi]（Ai為指標的判斷矩陣），求得判斷矩陣最大特征值λmax=3.064 9，依據公式CI=λ-n/（n-1）= 0.032 4。查閱一致性檢驗RI 值表，當n=3 時，RI=0.52。因此CR=CI/RI=0.062 4＜0.10，即特征向量通過一致性檢驗。

表4 管理安全包含二級指標重要程度判斷矩陣

同理如表5 所示，得網絡安全所包含的二級指標的權重向量ω 為（0.152 6，0.437，0.337 8，0.072 2），運用公式λmax=∑[（Ai·ωi）/nωi]（Ai為指標的判斷矩陣），求得判斷矩陣最大特征值λmax=4.034 1，依據公式CI=λ-n/（n-1）=0.011 4。查閱一致性檢驗RI 值表，當n=4 時，RI=0.89。因此CR=CI/RI=0.012 8＜0.10，即特征向量通過一致性檢驗。

表5 網絡安全包含二級指標重要程度判斷矩陣

同理如表6 所示，得運維安全二級指標的權重向量ω 為（0.212 0，0.191 6，0.496 2，0.100 3），運用公式λmax=∑[（Ai·ωi）/nωi]（Ai為指標的判斷矩陣），求得判斷矩陣最大特征值λmax=4.015 49，依據公式CI=λ-n/（n-1）=0.005 2。查閱一致性檢驗RI 值表，當n=4 時，RI=0.89。因此CR=CI/RI=0.005 8＜0.10，即特征向量通過一致性檢驗。

表6 運維安全包含二級指標重要程度判斷矩陣

同理如表7 所示，人員安全二級指標的權重向量ω 依次為（0.347 8，0.097 5，0.206 8，0.347 8），運用公式λmax=∑[（Ai·ωi）/nωi]（Ai為指標的判斷矩陣），求得判斷矩陣最大特征值λmax=4.060 4，依據公式CI=λ-n/（n-1）=0.020 1。查閱一致性檢驗RI 值表，當n=4 時，RI=0.89。因此CR=CI/RI=0.022 6＜0.10，即特征向量通過一致性檢驗。

表7 人員安全包含的二級指標重要程度比較矩陣

2.3 層次單排序與層次總排序

指標的層次總排序和層次單排序見表8。

表8 層次總排序

2.4 S 企業信息安全模糊綜合評價應用

將評價集合定義為E=（E1，E2，E3，E4，E5）=（一級安全水平，二級安全水平，三級安全水平，四級安全水平，五級安全水平），各級對應的分值向量為L=（0.1，0.3，0.5，0.7，0.9），企業得分對應的等級如表9所示。

表9 企業信息安全評價分級標準

2.4.1 確定指標模糊綜合評價隸屬度矩陣

在確定指標的隸屬關系時，邀請了10 位從事業信息安全管理的專業人員運用專家打分綜合法對評級對象進行打分，然后對打分結果進行統計。（本文隸屬度指的是針對每個等級的專家打分人數占總的專家人數的百分比。）

表10 專家對物理安全的評議結果表

物理安全二級指標對應評價值模糊隸屬度矩陣

表11 專家對管理安全的評議結果表

管理安全二級指標對應評價值模糊隸屬度矩陣

表12 專家對網絡安全的評議結果表

網絡安全二級指標對應評價值模糊隸屬度矩陣

表13 專家對運維安全的評議結果表

運維安全二級指標對應評價值模糊隸屬度矩陣

表14 專家對人員安全的評議結果表

人員安全二級指標對應評價值模糊隸屬度矩陣

2.4.2 模糊綜合評價集

將上述各個維度隸屬度矩陣R 和其對應的權重集ω 進行矩陣乘法運算，得到模糊綜合評價集F，即F=ωR[4]。

2.4.3 評價體系構建結果

企業得分G=F*LT得到各個一級指標得分，以及企業信息安全水平綜合得分。企業信息安全各個維度指標評級表見表15。

表15 S 企業信息安全各維度指標評級表

S 企業信息安全水平綜合得分G=0.701 2，即三級安全水平。

3 評價分析

S 企業信息安全水平剛剛達到三級水平，屬于中等水平，所以企業信息安全水平從各個方面都有待提高。在五大一級指標管理安全、人員安全、物理安全、網絡安全、運維安全中，依據層次分析法的可知該企業的運維安全、物理安全、人員安全對企業信息安全影響較大，而管理安全、網絡安全相對較小。又依據模糊綜合評價法管理安全、網絡安全處于三級水平，但其對信息安全影響相對較小，不必過多擔心，而物理安全對信息安全影響較大，卻只處于三級水平，企業領導層應該在該方面投入較多的關注，同時也要持續關注運維安全和人員安全。

4 結語

越來越多的研究者關注企業信息安全評價系統的研究，如何完善企業信息安全評價體系模型構建，精準客觀地評價企業信息安全水平，對企業信息安全管理地發展具有深遠意義。

1）限于篇幅限制，信息安全一級指標以及二級指標設置并不全面，可以更加全面更加深層次的設定指標，以便更加綜合地評價S 企業信息安全體系。

2）本文獲取數據的方法存在一定的主觀性，數據源的不準確導致了評價結果的偏差，未來在獲取數據上盡量減少偏差。

3）研究方法存在一定的、不準確性，可以從綜合評價方法入手、研究如何更好的將定性評價轉化為定量評價，更加精準的將定性評價定量化。