王爽

(陜西交通職業(yè)技術(shù)學(xué)院 建筑測(cè)繪學(xué)院, 西安 710021)

0 引言

隨著信息技術(shù)的快速發(fā)展，社會(huì)各行業(yè)對(duì)信息化的依賴程度逐漸加大，電子檔案的應(yīng)用范圍越來越廣泛。電子檔案作為信息技術(shù)與檔案管理融合發(fā)展的成功實(shí)踐，在有效提升了檔案工作效率的同時(shí)，也使檔案管理工作面臨著一些新的問題，如病毒的入侵、存儲(chǔ)介質(zhì)不穩(wěn)定等問題，這些都嚴(yán)重制約了電子檔案的信息安全。更好地保障電子檔案信息安全，已經(jīng)成為維護(hù)企業(yè)信息安全的重要內(nèi)容，研究電子檔案信息安全保障方案勢(shì)在必行。本文認(rèn)為電子檔案信息安全管理體系應(yīng)該是一個(gè)完整的體系，主要包括網(wǎng)絡(luò)安全、信息安全及系統(tǒng)安全。文章由此入手，建立了電子檔案信息安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系，運(yùn)用層次分析與模糊綜合評(píng)價(jià)方法相結(jié)合的方法，對(duì)電子檔案信息安全進(jìn)行全面評(píng)價(jià)。

1 電子檔案信息安全評(píng)價(jià)指標(biāo)體系結(jié)構(gòu)設(shè)計(jì)

電子檔案信息安全評(píng)價(jià)體系涉及多項(xiàng)指標(biāo)，且要求指標(biāo)體系要實(shí)際、合理、全面與科學(xué)，盡可能全面體現(xiàn)電子檔案信息安全的全部因素。在分析過程，應(yīng)遵循定性與定量評(píng)價(jià)相結(jié)合的原則，在定性分析的基礎(chǔ)上進(jìn)一步做量化處理。據(jù)此，本文考慮到電子檔案信息內(nèi)容、實(shí)現(xiàn)方式等，結(jié)合國(guó)內(nèi)外電子檔案信息安全評(píng)估標(biāo)準(zhǔn)與要求，綜合分析影響電子檔案信息安全的各種因素，建立了包含3個(gè)一級(jí)評(píng)價(jià)指標(biāo)和9個(gè)二級(jí)評(píng)價(jià)指標(biāo)的電子檔案信息安全評(píng)價(jià)指標(biāo)體系，如圖1所示。

圖1 電子檔案信息安全評(píng)價(jià)指標(biāo)體系結(jié)構(gòu)圖

由圖1可知，本文所建立的電子檔案信息安全評(píng)價(jià)指標(biāo)體系，一級(jí)評(píng)價(jià)指標(biāo)包含網(wǎng)絡(luò)安全、信息安全及系統(tǒng)安全評(píng)價(jià)指標(biāo)3項(xiàng)。網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)包含3項(xiàng)二級(jí)指標(biāo)，即是否采取計(jì)算機(jī)病毒防范措施；是否采取訪問控制措施，在用戶間建立連接時(shí)，是否能夠防止非法連接，以確保用戶的合法身份；是否應(yīng)用網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r(shí)入侵檢測(cè)設(shè)備，通過對(duì)各級(jí)局域網(wǎng)操作行為的實(shí)時(shí)檢查、監(jiān)控，防止網(wǎng)絡(luò)攻擊與犯罪行為。信息安全評(píng)價(jià)指標(biāo)包含3項(xiàng)二級(jí)指標(biāo)，即是否采取加密措施，保障電子檔案信息的網(wǎng)絡(luò)傳輸安全；是否能夠保證信息數(shù)據(jù)庫(kù)的安全；是否通過信息審計(jì)系統(tǒng)和密級(jí)控制進(jìn)行信息防泄漏控制。系統(tǒng)安全評(píng)價(jià)指標(biāo)包含3項(xiàng)二級(jí)指標(biāo)，即是否進(jìn)行系統(tǒng)安全檢測(cè)，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞或惡意攻擊；是否有操作系統(tǒng)防破壞措施；是否進(jìn)行系統(tǒng)信息備份。

2 電子檔案信息安全評(píng)價(jià)模型

根據(jù)電子檔案信息安全評(píng)價(jià)指標(biāo)體系，本文選擇層次分析法(AHP)與模糊綜合評(píng)價(jià)法相結(jié)合的評(píng)估方法，建立了電子檔案信息安全評(píng)價(jià)模型。AHP參考而不完全依賴評(píng)估人員的經(jīng)驗(yàn)和判斷，大大降低了主觀因素造成的不良影響，應(yīng)用模糊綜合評(píng)價(jià)法來處理模糊的描述語(yǔ)言，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)程度的全面評(píng)價(jià)，提高風(fēng)險(xiǎn)量化后的準(zhǔn)確性。

2.1 指標(biāo)層次模型

層次模型是用AHP與模糊評(píng)判法計(jì)算權(quán)重系數(shù)、進(jìn)行模糊評(píng)判的基礎(chǔ)，構(gòu)建層次結(jié)構(gòu)模型如下圖2所示：

圖2 層次結(jié)構(gòu)模型

2.2 指標(biāo)權(quán)重系數(shù)

AHP是確定權(quán)重系數(shù)的一種方法，是將人的思維過程層次化、數(shù)量化的過程，為人們的分析、決策提供依據(jù)。AHP方法下的電子檔案信息安全指標(biāo)權(quán)重系數(shù)計(jì)算，主要依據(jù)圖2的層次結(jié)構(gòu)模型，構(gòu)造兩兩比較矩陣來進(jìn)行，為確保矩陣的可靠性，需進(jìn)行矩陣一致性檢驗(yàn)。具體步驟如下：

首先，采用專家調(diào)研法，將指標(biāo)對(duì)評(píng)價(jià)的重要性等級(jí)劃分為非常重要、重要、一般，在多輪咨詢與專家評(píng)判的基礎(chǔ)上，依據(jù)相應(yīng)方法賦值后作綜合統(tǒng)計(jì)，并對(duì)每一項(xiàng)指標(biāo)求平均值。若設(shè)病毒防范措施(x1)、訪問控制措施(x2)、網(wǎng)絡(luò)監(jiān)控與實(shí)時(shí)入侵檢測(cè)設(shè)備(x3)、加密措施(x4)、數(shù)據(jù)庫(kù)的安全(x5)、信息防泄漏控制(x6)、系統(tǒng)安全檢測(cè)(x7)、防系統(tǒng)漏洞或惡意攻擊措施(x8)、系統(tǒng)信息備份(x9)，邀請(qǐng)6位專家參與調(diào)研，則評(píng)分結(jié)果構(gòu)成，如表1所示。

然后，將指標(biāo)重要性的比較轉(zhuǎn)化為數(shù)值Xj(j=1,2,3,4,5,6,7,8,9)之間的比較。依據(jù)平均值Xj(j=1,2,3,4,5,6,7,8,9)，運(yùn)用兩兩比較1-9 標(biāo)度法進(jìn)行比較，判斷比較準(zhǔn)則

表1 專家評(píng)價(jià)綜合統(tǒng)計(jì)

層B中Bk(k=1,2,3,4,5,6,7，8,9)對(duì)目標(biāo)層A的影響，并明確其在目標(biāo)層A中的比重。每次取兩個(gè)數(shù)值Xi，Xj，用aij表示Bi與Bj對(duì)目標(biāo)層A的相對(duì)重要程度的賦值。若Xi與Xj在同一區(qū)間內(nèi)，無論Xi與Xj的大小關(guān)系如何，都有aij=1；若Xi與Xj落在相鄰區(qū)間，當(dāng)XiXj時(shí)，則aij=1/2，據(jù)此得到比較矩陣A。

2.3 模糊評(píng)判模型

設(shè)電子檔案信息安全評(píng)價(jià)因素集為U={U1,U2,U3,U4,U5,U6,U7,U8,U9}={病毒防范措施，訪問控制措施，網(wǎng)絡(luò)監(jiān)控與實(shí)時(shí)入侵檢測(cè)設(shè)備，加密措施，數(shù)據(jù)庫(kù)的安全，信息防泄漏控制，系統(tǒng)安全檢測(cè)，防系統(tǒng)漏洞或惡意攻擊措施，系統(tǒng)信息備份}，評(píng)語(yǔ)集為V={V1,V2,V3,V4,V5}={非常好，好，較好，一般，差}，組織專家對(duì)某企業(yè)的電子檔案信息安全進(jìn)行評(píng)判，通過統(tǒng)計(jì)、計(jì)算得出單個(gè)因素Ui抉擇等級(jí)Vj(i=1,2,3,4,5)的隸屬度為rij。由此得到第i個(gè)因素Ui的單因素評(píng)判集ri=(ri1，ri2，ri3，ri4，ri5)(i=1,2,3,4,5,6,7,8,9)，由9個(gè)因素的評(píng)判集可構(gòu)造出一個(gè)總的評(píng)價(jià)矩陣R。R即為某企業(yè)的電子檔案信息安全評(píng)價(jià)的模糊評(píng)判矩陣。

其中，∑ri=1

2.4 綜合評(píng)判

3 應(yīng)用實(shí)例

根據(jù)上述評(píng)價(jià)方法，本文以某企業(yè)電子檔案管理為例，評(píng)價(jià)其電子檔案信息安全情況。

首先，邀請(qǐng)6位電子檔案理論研究及管理專家，請(qǐng)專家對(duì)該企業(yè)的9項(xiàng)電子檔案信息安全指標(biāo)進(jìn)行評(píng)價(jià)，將重要性按很重要、比較重要、一般3個(gè)等次分別賦值1、2、3，通過轉(zhuǎn)換處理，將專家的意見轉(zhuǎn)換為數(shù)值，并對(duì)同一指標(biāo)求平均值，統(tǒng)計(jì)情況，如表2所示：

表2 專家評(píng)價(jià)結(jié)果統(tǒng)計(jì)

由表3可得到9項(xiàng)評(píng)價(jià)指標(biāo)的重要性排序?yàn)椋簒1>x4>x8>x2>x6>x7>x3>x5>x9，即病毒防范措施>加密措施>防系統(tǒng)漏洞或惡意攻擊措施>訪問控制措施>信息防泄漏控制>系統(tǒng)安全檢測(cè)>網(wǎng)絡(luò)監(jiān)控與實(shí)時(shí)入侵檢測(cè)設(shè)備>數(shù)據(jù)庫(kù)的安全>系統(tǒng)信息備份。

然后，依據(jù)兩兩比較1-9標(biāo)度法，得到比較矩陣A。

根據(jù)隸屬度計(jì)算可得到模糊評(píng)判矩陣R。

Vk=max{0.068 2,0.293 5,0.337 1,0.202 9,0.063 8}=max{0.09,0.29,0.15,0.20,0.08}= 0.29。根據(jù)最大隸屬度的原則，該企業(yè)電子檔案信息安全等級(jí)為“好”。

總結(jié)

[1] 郭沙沙.試論電子檔案信息安全保障體系框架[J].黑龍江科技信息,2015,(20):166.

[2] 陳水生.論網(wǎng)絡(luò)環(huán)境下的人事電子檔案信息安全保障策略[J].黑龍江史志,2013,(23):72-73.

[3] 趙暉. 電子檔案信息安全管理面臨的問題和挑戰(zhàn)[J].城建檔案,2013,(01):33-34.

[4] 馬仁杰,劉俊玲.論電子檔案開放利用中信息安全保障存在的問題與對(duì)策[J].檔案學(xué)通訊,2012,(03):56-60.