竇 博 董基偉 馬文軍
?
大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型的思考
竇 博 董基偉 馬文軍
中國石化管道儲運(yùn)有限公司信息化管理處,江蘇 徐州 221008
企業(yè)構(gòu)建信息安全水平綜合評價模型能夠提升信息安全?;诖?,闡述了大數(shù)據(jù)環(huán)境下,企業(yè)構(gòu)建信息安全水平綜合評價模型的重要性,同時提出了評價模型的構(gòu)建方法,包括評價模型基礎(chǔ)部分構(gòu)建方法、指標(biāo)權(quán)重的確權(quán)方法、綜合評價模型的構(gòu)建方法等。通過論述這些內(nèi)容,為企業(yè)信息管理人員提供一些參考。
大數(shù)據(jù);企業(yè)信息安全水平;評價模型
大數(shù)據(jù)環(huán)境下,企業(yè)的信息安全會面臨著諸多威脅。由于企業(yè)每天產(chǎn)生的數(shù)據(jù)和信息非常多,這些信息都涉及企業(yè)運(yùn)營管理狀況和資本情況,對保密性要求很高。因此,為確保企業(yè)的平穩(wěn)運(yùn)行,需要構(gòu)建基于大數(shù)據(jù)的企業(yè)信息安全管理綜合評價模型,來解決企業(yè)信息安全可能受到的威脅。
企業(yè)的信息管理安全會影響營運(yùn)效果,因此,企業(yè)應(yīng)重視信息安全水平綜合評價模型的構(gòu)建。
首先,企業(yè)要對信息安全程度進(jìn)行評價,主要是對管理成效、人員結(jié)構(gòu)等內(nèi)容進(jìn)行全面的評價,來構(gòu)建符合企業(yè)經(jīng)營情況的評價體系。
其次,在所有的信息指標(biāo)確定后,需要將其作為一級指標(biāo),來統(tǒng)領(lǐng)二級指標(biāo)。二級指標(biāo)的設(shè)置和制定需要按照定性的思想,根據(jù)不同部門的工作性質(zhì)制定針對性的評價方法。一般來說,企業(yè)的財務(wù)部在企業(yè)信息的地位比較重要,針對財務(wù)部門需要制定一級別指標(biāo),來確保企業(yè)的財務(wù)經(jīng)營信息安全。
針對企業(yè)的人員進(jìn)行評價,將人員的培訓(xùn)和操作意識作為評價的方法,針對信息安全意識高的員工,要將其納入企業(yè)信息安全管理的評價系統(tǒng)中,來提升員工的信息管理水平;針對信息安全意識薄弱的員工,企業(yè)要通過開展“信息安全培訓(xùn)會”,來提升其安全意識。針對企業(yè)的信息安全級別進(jìn)行評估,主要是針對辦公電腦、機(jī)房等設(shè)備環(huán)境的安全性進(jìn)行評估,包括員工的電腦需要設(shè)置初始密碼和登陸密碼;是否更改路由器密碼;定期做好文件備份工作;有無安裝電腦殺毒軟件等[1]。
企業(yè)在構(gòu)建信息安全評價模型的時候,要充分考慮企業(yè)現(xiàn)有的信息安全的所有考核項(xiàng)目。如果考核的項(xiàng)目具有模糊性,需要應(yīng)用AHP綜合評價方法,來綜合分析企業(yè)的信息安全。作為企業(yè)的信息安全評價模型的基礎(chǔ)構(gòu)架,具體實(shí)施的流程是:首先,對模型中的各項(xiàng)指標(biāo)進(jìn)行評分,比較彼此的異同,具有相同節(jié)點(diǎn)的指標(biāo)需要?dú)w為一類,然后進(jìn)行指標(biāo)的評斷,確定模型的矩陣;其次,按照模型的矩形,來計(jì)算企業(yè)不同部門安全信息占企業(yè)的比重,進(jìn)而確定所有部門的指標(biāo);最后,通過定性每個部門之間的指標(biāo),然后使用AHP模糊法,根據(jù)不同指標(biāo)的從屬關(guān)系,形成指標(biāo)定量評價。
在當(dāng)前,相關(guān)人員可以通過“專家打分法”實(shí)現(xiàn)對企業(yè)各環(huán)節(jié)指標(biāo)安全性的權(quán)重分析。在這一方法中,應(yīng)通過電子郵件的方式請企業(yè)高層人員、企業(yè)項(xiàng)目管理者等專業(yè)人士組成“專家團(tuán)隊(duì)”,根據(jù)其豐富的工作經(jīng)驗(yàn)、優(yōu)秀的專業(yè)眼光,對企業(yè)實(shí)際的信息安全情況進(jìn)行權(quán)重評分,從而分析出各類安全指標(biāo)的等級。
具體來講,這一評價方法主要包括以下三個步驟:
首先,相關(guān)工作人員需要將諸如“物理安全—硬件設(shè)備安全、中心機(jī)房安全”“人員安全—員工安全意識、員工操作行為”“技術(shù)安全—信息安全產(chǎn)品、大數(shù)據(jù)傳輸技術(shù)”等各類指標(biāo)進(jìn)行收集整理,并通過計(jì)算機(jī)系統(tǒng)生成相應(yīng)的評價表格,再發(fā)放到“專家團(tuán)隊(duì)”成員的電子郵箱當(dāng)中。
其次,“專家團(tuán)隊(duì)”在收到表格之后,會從專業(yè)的角度對各項(xiàng)信息安全指標(biāo)的價值重要性、故障影響力進(jìn)行打分。一般來講,0分為“絕對沒有影響”,10分則為“嚴(yán)重影響”。
最后,相關(guān)人員在受到所有打分表格后,即可將相關(guān)信息導(dǎo)入到計(jì)算機(jī)系統(tǒng)的yaahp軟件中,進(jìn)行一致性的指標(biāo)計(jì)算和矩陣分析,最終獲得出物理、人員、技術(shù)、應(yīng)用、管理等指標(biāo)項(xiàng)目的最終分?jǐn)?shù)。
在綜合評價模型的實(shí)際構(gòu)建中,基于人員、技術(shù)、管理等指標(biāo)的影響因素具有一定動態(tài)性和不確定性,相關(guān)人員很難獲取到精準(zhǔn)度高、持續(xù)性強(qiáng)的信息安全指標(biāo)信息。所以,在比較各類指標(biāo)進(jìn)行基本的評分權(quán)重后,人員需要在系統(tǒng)中應(yīng)用AHP模糊綜合評價法構(gòu)建出可行的評價模型,實(shí)現(xiàn)“評價指標(biāo)集確定—權(quán)重集確定—模糊評價矩陣確定—二級指標(biāo)評價矩陣確定—多級模糊綜合評價”的全流程化評價體系,由此建立起由文獻(xiàn)資料及安全標(biāo)準(zhǔn)信息收集出發(fā),至總體模糊綜合評價值產(chǎn)出結(jié)束的系統(tǒng)模型,促成各類數(shù)據(jù)參數(shù)的多層次分析。
此外,將權(quán)重評獎方法和AHP方法相結(jié)合,分析企業(yè)信息安全評價系統(tǒng)的安全性,并將MATLA 7.0用在計(jì)算中,能夠得到數(shù)值,如果數(shù)值≥80,說明企業(yè)的信息安全屬于高級別;如果數(shù)值60~80,表明企業(yè)的信息安全水平處于中等;如果數(shù)值<60,說明企業(yè)的信安全處于差等,隨時可以產(chǎn)生信息安全隱患。企業(yè)的人力、物理及管理三個內(nèi)容是企業(yè)信息安全等級評價的重點(diǎn),如果等級指標(biāo)處于中等偏下,需要在物理、人員安全及管理等方向進(jìn)行優(yōu)化,來提升企業(yè)信息安全質(zhì)量[2]。
綜上所述,由于企業(yè)日常的經(jīng)營管理工作會涉及人員、技術(shù)、環(huán)境等多個方面的指標(biāo)因素,所以在分析企業(yè)信息安全性時,也要將這些因素全面、有序地納入到評價體系的內(nèi)容設(shè)置中。同時,企業(yè)相關(guān)人員在構(gòu)建評價模型時,還應(yīng)秉持目標(biāo)性、動態(tài)性、系統(tǒng)性的原則,以“專家打分法”“AHP模糊綜合評價法”等科學(xué)方法為手段,構(gòu)建出科學(xué)、系統(tǒng)的企業(yè)信息安全水平評價體系,促使企業(yè)在大數(shù)據(jù)環(huán)境下實(shí)現(xiàn)安全、平穩(wěn)的經(jīng)營發(fā)展。
[1]李廣英.基于大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型的分析[J].信息系統(tǒng)工程,2017(11):72.
[2]尹淋雨. 大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].蚌埠:安徽財經(jīng)大學(xué),2015.
Thinking on Comprehensive Evaluation Model of Enterprise Information Security Level under Big Data Environment
Dou Bo Dong Jiwei Ma Wenjun
Information Management Office of Sinopec Pipeline Storage and Transportation Co., Ltd., Jiangsu Xuzhou 221008
To build a comprehensive evaluation model of information security level, enterprises can improve information security. Based on this, the paper discusses, enterprise information security level of importance of constructing the comprehensive evaluation model under the environment of big data, and puts forward the method of constructing evaluation model, including the method of constructing evaluation model based on the part of the right,method of index weight and method of constructing the comprehensive evaluation model. Through the discussion of these contents, it provides some reference for the information management personnel of the enterprise.
big data; the level of enterprise information security; evaluation model
TP309
A
1009-6434(2017)12-0058-02