■ 曾夏玲　王　沖　副教授（、江西科技師范大學(xué)　南昌　33003 、江西外語外貿(mào)職業(yè)學(xué)院　南昌　330099）

網(wǎng)絡(luò)安全的維度與企業(yè)安全評估體系構(gòu)建

■ 曾夏玲1王沖2副教授（1、江西科技師范大學(xué)南昌330013 2、江西外語外貿(mào)職業(yè)學(xué)院南昌330099）

企業(yè)對社會經(jīng)濟的發(fā)展有著重要的作用，是社會經(jīng)濟發(fā)展不可缺少的一部分。隨著信息化技術(shù)的發(fā)展，企業(yè)對網(wǎng)絡(luò)的依存度不斷增強，企業(yè)承擔了更多的網(wǎng)絡(luò)信息安全風險。本文從網(wǎng)絡(luò)安全的角度，對我國企業(yè)網(wǎng)絡(luò)安全體系進行分析，構(gòu)建了一套多維度企業(yè)網(wǎng)絡(luò)安全評估體系，從而得出較全面的企業(yè)網(wǎng)絡(luò)安全評估結(jié)果，并提出提升企業(yè)網(wǎng)絡(luò)安全的策略，幫助企業(yè)規(guī)避安全風險，為我國企業(yè)的穩(wěn)步發(fā)展提供保障。

企業(yè)互聯(lián)網(wǎng)安全評估策略

“互聯(lián)網(wǎng)+”時代是隨著互聯(lián)網(wǎng)的發(fā)展而產(chǎn)生的一個新興的社會及商業(yè)發(fā)展階段，它促進了各種新型的互聯(lián)網(wǎng)創(chuàng)業(yè)項目及公司的誕生，越來越多的傳統(tǒng)企業(yè)接軌互聯(lián)網(wǎng)以跟上信息時代的發(fā)展。根據(jù)中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會發(fā)起的國內(nèi)企業(yè)信息安全調(diào)查報告顯示，企業(yè)運營已離不開互聯(lián)網(wǎng)，超過90%的企業(yè)完全或高度地依靠互聯(lián)網(wǎng)開展業(yè)務(wù)（見圖1）。根據(jù)圖2數(shù)據(jù)顯示，不同行業(yè)對互聯(lián)網(wǎng)的依賴程度有所不同，其中制造業(yè)對互聯(lián)網(wǎng)的依存度最低，但也達到了69.4%；金融、電信、IT/科技/互聯(lián)網(wǎng)、商業(yè)/貿(mào)易行業(yè)對互聯(lián)網(wǎng)的依存度最高，均超過了90%。企業(yè)的正常運營已經(jīng)與網(wǎng)絡(luò)息息相關(guān)，對網(wǎng)絡(luò)的依存度也越來越高。

企業(yè)網(wǎng)絡(luò)安全及評估現(xiàn)狀

隨著信息化技術(shù)的發(fā)展，企業(yè)對互聯(lián)網(wǎng)高度依存，然而企業(yè)的網(wǎng)絡(luò)安全狀況卻不容樂觀，圖3所示是不同行業(yè)近三年發(fā)生信息安全的頻率，均超過了30%，其中電信行業(yè)發(fā)生信息安全事故的頻率已達到64%，信息安全狀況令人堪憂，對企業(yè)的運營及發(fā)展造成了很大的影響和經(jīng)濟損失。

面對網(wǎng)絡(luò)中廣泛認知的病毒等安全威脅，雖然有70%以上的企業(yè)已有所投入，但由于投入的水平參差不齊，很難建立起有效的信息風險防范。網(wǎng)絡(luò)攻擊時刻發(fā)生，攻擊手段不斷變化，在安全問題上沒有一勞永逸的解決方案，信息安全建設(shè)應(yīng)是一個持續(xù)的過程，需要企業(yè)建立完善的安全防護計劃。因而如何評估并構(gòu)建企業(yè)網(wǎng)絡(luò)安全體系，發(fā)現(xiàn)和規(guī)避企業(yè)網(wǎng)絡(luò)風險，對企業(yè)的發(fā)展具有重要的指導(dǎo)意義。

網(wǎng)絡(luò)安全評估即網(wǎng)絡(luò)風險評估，它是評定網(wǎng)絡(luò)安全風險大小的過程，以確定網(wǎng)絡(luò)信息的風險等級和優(yōu)先風險控制順序。它是企業(yè)網(wǎng)絡(luò)安全管理工作的一項重要措施，對網(wǎng)絡(luò)安全方法和信息保護措施等一系列重大決策的確定起著重要作用。

網(wǎng)絡(luò)安全維度下企業(yè)安全評估體系構(gòu)建及對策

（一）多維度企業(yè)安全評價指標體系構(gòu)建

安全維度理論即利用不同維度來評估和提升企業(yè)網(wǎng)絡(luò)安全的方法。網(wǎng)絡(luò)安全所面臨的威脅主要包括對網(wǎng)絡(luò)中信息的威脅和對網(wǎng)絡(luò)中設(shè)備的威脅，而企業(yè)網(wǎng)絡(luò)安全所面臨的威脅存在其特殊性，影響企業(yè)網(wǎng)絡(luò)安全的因素不只是來自網(wǎng)絡(luò)上的惡意攻擊和入侵，還包括企業(yè)內(nèi)部管理制度的建立、企業(yè)員工安全防范意識的教育等多方面原因。因而本文從環(huán)境安全、管理安全、硬件安全、軟件安全、系統(tǒng)安全和數(shù)據(jù)安全六個維度出發(fā)，建立企業(yè)安全評價指標體系F，如表1所示。每個維度下又包含多個維度，即二級指標，這些指標是具體的技術(shù)手段和評價指標。

（二）基于模糊綜合評判的企業(yè)安全評估體系

確定評價指標的權(quán)重。權(quán)重是表示某一因素重要性的相對數(shù)值，反映了該指標在指標體系中所起作用的大小。確定各因素的權(quán)重，實際上是對所有因素的重要性進行排序，這在因素比較多時要進行重要性排序是比較困難的，如果只是對兩兩因素進行重要性比較則容易實現(xiàn)。權(quán)重確定的方法常用的有專家調(diào)查法、德爾菲加權(quán)法、層次分析法等，由于構(gòu)建的指標體系是層次結(jié)構(gòu)，因而采用層次分析法，通過同層元素兩兩比較建立模糊一致矩陣，進而通過求解權(quán)重方程組得到各層元素的權(quán)重值。

Fi的下一層指標是更低一層的評價指標，通過下一層評價指標兩兩之間的重要性比較構(gòu)成Fi的模糊判斷矩陣R（Fi）。其中兩兩指標之間的重要性專家按表2中的數(shù)量標度來進行標度，且滿足rji=1-rij，則所構(gòu)建的模糊判斷矩陣R（Fi）=（rij）是模糊一致矩陣，因而不需要再檢驗矩陣的一致性。

根據(jù)模糊一致矩陣的性質(zhì)，通過下面的關(guān)系式求解權(quán)重值W（Fi）：

圖1　企業(yè)業(yè)務(wù)對互聯(lián)網(wǎng)的依賴程度

表1　多維度安全評價指標體系

Rjk（Fi）=0.5+α（W（Fij）-W（Fik）），j，k=1，2，…，ni其中，0＜α≤0.5，α用來度量評價對象的差異程度，可通過設(shè)定不同的α大小從而求出多個不同的權(quán)重值，然后從其中選擇一個較合適的權(quán)重值W（Fi）。

建立評語集。評語是評價者對評價因素進行評估時反映評估結(jié)果的語言值，評語集是所有可能做出的各種總的評價結(jié)果組成的集合，表示為E=［e1，e2，…，em］，m為總的評語數(shù)。如果某個評價因素與某個評語的隸屬度比其他的評語都高，則該指標的“安全度”評定為該評語，即遵循最優(yōu)隸屬原則。

隸屬度。用模糊關(guān)系來表示各評價因素屬于各評語的隸屬度，指標體系中任意節(jié)點Fij在ek（ek∈E）之上的隸屬函數(shù)表示為mek（Fij）。本文給出二級指標在E上的隸屬度計算方法，僅說明定量因素的隸屬度函數(shù)構(gòu)造方法。設(shè)定量因素Fij的取值空間為［Vm，VM］，采用半矩形與三角形分布構(gòu)造評價因素在評語集上的隸屬度函數(shù)。而對于一些較難以定量描述的定性因素，則通過專家及同行協(xié)議打分后量化表示，并采用模糊統(tǒng)計的方法構(gòu)造隸屬度函數(shù)。

單級因素模糊評判矩陣。單因素模糊評價是只從一個評價因素作為評價對象來評判，得出其在評語集E上的隸屬程度。在三層評價指標體系中，二級指標的隸屬度計算已在上文給出，對指標體系中任意二級指標Fij在ek（ek∈E）之上的隸屬函數(shù)表示為rk（Fij）=mek（Fij），因此對指標Fij的單因素模糊評價可得到模糊集r（Fij）=［r1（Fij），r2（Fij），…，rm（Fij）］。而對指標體系中的一級指標而言，其后續(xù)所有二級指標的單因素模糊評價構(gòu)成了該一級指標的模糊評判矩陣。如對于一級指標Fi=｛Fi1，F(xiàn)i2，…，F(xiàn)ini｝，該指標的模糊評判矩陣為R（Fi）=［r（Fi1），r（Fi2），…，r（Fin）］T。

多級模糊綜合評判。根據(jù)層次分析法求解出的指標權(quán)重，對一級指標 構(gòu)成的模糊評判矩陣R（Fi）進行模糊運算，得到該因素在評語集E上的評估結(jié)果B（Fi）。

計算公式為：B（Fi）=（bi1，bi2，…，bi4）=WFi。R（Fi），其中“ ?！笔悄：P(guān)系的合成運算。

Bi是一個隸屬向量，對它作歸一化處理，構(gòu)建出mem（Fi））=（bi1/S，bi2/S，…，bim/S），

據(jù)此構(gòu)造總體評價的模糊評判矩陣R（F）=［r（F1），r（F2），r（F3），r（F4）r（F5）］T，對R（F）進行模糊運算，得到總體評估結(jié)果B= W（F）。R（F）=（b1，b2，…，bm），將B歸一化處理，得C=［c1，c2，…，cm］，若評語集用數(shù)量化表示，即E=［k1，k2，…，則總評分為［c1，c2，…，cm］［k1，

（三）提升企業(yè)網(wǎng)絡(luò)安全的對策

圖2　不同行業(yè)對互聯(lián)網(wǎng)的依賴程度

圖3　不同行業(yè)近三年發(fā)生信息安全事故的頻率

表2　重要關(guān)系的數(shù)量標度

企業(yè)提升網(wǎng)絡(luò)安全的對策應(yīng)主要從管理和技術(shù)兩個方面展開，其涵蓋了六個維度的評價指標體系，多維度地保護企業(yè)安全。安全技術(shù)對策方面，企業(yè)根據(jù)安全評估發(fā)現(xiàn)的安全漏洞及安全隱患，完善該指標的具體安全技術(shù)手段，如數(shù)據(jù)加密技術(shù)、防火墻、入侵檢測、防毒軟件等安全技術(shù)。這些技術(shù)方式主要由企業(yè)的專業(yè)技術(shù)人員來完成，因而企業(yè)要加強專業(yè)人才技術(shù)的培養(yǎng)和發(fā)展。此外，加強行業(yè)交流與合作機制是有效保障企業(yè)安全的有效手段?；ヂ?lián)網(wǎng)推動了產(chǎn)業(yè)鏈的互聯(lián)互通，因而企業(yè)需加強行業(yè)交流和合作機制，加強安全技術(shù)的溝通與交流，互助互強，在合作中共同進步，共同打造更安全的企業(yè)網(wǎng)絡(luò)環(huán)境。

企業(yè)的管理對策往往是被忽略的，企業(yè)的安全事故不僅是來自外部的威脅，很大一部分也來自于企業(yè)內(nèi)部，因而加強企業(yè)的安全管理，提高全員的安全意識，是提升企業(yè)網(wǎng)絡(luò)安全的一項重要措施。管理方式措施主要從企業(yè)層面和員工層面展開，應(yīng)建立完善的管理制度。建立完善的企業(yè)內(nèi)部訪問權(quán)限分配，實現(xiàn)不同等級的訪問權(quán)限控制，并建立完善的監(jiān)督機制。對于企業(yè)內(nèi)部網(wǎng)絡(luò)資源的訪問，可采用權(quán)限分配的方式來限制和控制內(nèi)部資源的訪問，防止病毒從內(nèi)部入侵。對一些重要私密數(shù)據(jù)，采取數(shù)據(jù)加密、身份認證等方式進行加密，防止信息泄露。對于服務(wù)器中的數(shù)據(jù)分配專人負責，定時進行數(shù)據(jù)備份，防止意外情況造成數(shù)據(jù)丟失。制定事故發(fā)生的預(yù)案，當發(fā)生事故時及時修護，保障系統(tǒng)穩(wěn)定運行。而員工層面，最重要的是要提升安全意識，定期組織員工安全培訓(xùn)，強化員工的安全防范意識，學(xué)習(xí)有效的安全防護手段。

綜上所述，企業(yè)運營已離不開互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全問題是影響企業(yè)發(fā)展的關(guān)鍵因素之一。本文從網(wǎng)絡(luò)安全的維度出發(fā)，建立了多維度安全評價指標體系，并提出基于模糊綜合評判的安全評估體系，對企業(yè)的網(wǎng)絡(luò)安全進行全面的科學(xué)評估，及早發(fā)現(xiàn)安全漏洞與安全隱患，進而從管理和技術(shù)兩個維度提出提升企業(yè)網(wǎng)絡(luò)安全的對策，能一定程度地提升企業(yè)的網(wǎng)絡(luò)安全能力和水平。然而在信息技術(shù)高速發(fā)展的今天，任何技術(shù)手段都無法保證絕對安全，因此企業(yè)要加強行業(yè)交流和合作機制，從多維度來進行安全防護，提升企業(yè)的安全防護能力，促進企業(yè)在互聯(lián)網(wǎng)時代下的發(fā)展。

1.范紅，馮登國，吳亞非.信息安全風險評估方法與應(yīng)用［M］.清華大學(xué)出版社，2006

2.徐瑋晟，張保穩(wěn)，李生紅.網(wǎng)絡(luò)安全評估方法研究進展［J］.信息安全與通信保密，2009（10）

3.龔瀛，栗勇兵，董啟雄.網(wǎng)絡(luò)安全評價指標體系的建立［J］.科技信息，2009（27）

4.宮婷.關(guān)于電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)問題［J］.商業(yè)時代，2012（5）

5.王欣.計算機信息安全策略的緯度思考與電子商務(wù)設(shè)計［D］.電子科技大學(xué)，2007

6. 中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會.國內(nèi)首個CTO企業(yè)信息安全調(diào)查報告［EB/OL］. http：//blog.sina.com.cn/s/ blog_6f50ebbb0102wbak.html.2015

F49

A