謝燕祥

摘要：作為我國教育信息化建設(shè)的重要組成部分，學(xué)校的門戶網(wǎng)站已然成為學(xué)校對外宣傳與自我展示的窗口，也逐漸成為各校實(shí)行教學(xué)、管理和服務(wù)的平臺(tái)。論文針對福建省學(xué)校網(wǎng)站的安全，利用層次分析法 （AHP） 確定各個(gè)評價(jià)指標(biāo)的權(quán)重，采用模糊綜合評價(jià)法對福建省學(xué)校網(wǎng)站進(jìn)行實(shí)證分析，并提出適用于福建省學(xué)校網(wǎng)站的安全建議。

摘要：學(xué)校網(wǎng)站;網(wǎng)站安全;層次分析法;模糊綜合評價(jià)法

研究背景

學(xué)校的門戶網(wǎng)站作為學(xué)校對外宣傳與自我展示的窗口，也逐漸成為各學(xué)校實(shí)行教學(xué)、管理和服務(wù)的平臺(tái)。一旦學(xué)校的門戶網(wǎng)站出現(xiàn)安全問題，將對學(xué)校的整個(gè)教學(xué)服務(wù)系統(tǒng)產(chǎn)生嚴(yán)重后果。對于學(xué)校網(wǎng)站的安全評價(jià)方面，極少學(xué)者做過深入的研究[1-4]。

研究方法

本次福建省學(xué)校網(wǎng)站安全評價(jià)分析采用的主要方法是層次分析法、模糊綜合評價(jià)法。

（1）層次分析法。層次分析法（The analytic hierarchy process， AHP），即層級分析法，是將一個(gè)復(fù)雜的多目標(biāo)決策問題作為一個(gè)系統(tǒng)，深入分析其本質(zhì)、元素和內(nèi)在關(guān)聯(lián)等，然后將目標(biāo)分解為多個(gè)準(zhǔn)則，并分解為多指標(biāo)的若干層次，彼此之間相互影響、相互制約，再通過定性與定量有機(jī)結(jié)合，逐層比較各指標(biāo)因素計(jì)算出排序，最終優(yōu)化決策，適用于為那些難以完全定量分析的較為復(fù)雜的問題做出決策。此方法的一般步驟為：建立遞階層次結(jié)構(gòu)、構(gòu)造判斷矩陣、進(jìn)行權(quán)重計(jì)算、作一致性檢驗(yàn)。

（2）模糊綜合評價(jià)法。模糊綜合評價(jià)法（fuzzy comprehensive evaluation method），是對受到多因素制約的事物或?qū)ο蠼柚：龜?shù)學(xué)的隸屬度理論，將定性評價(jià)進(jìn)行定量化，從而做出整體的評價(jià)。該方法的基本步驟為：先確定評價(jià)因素集和評語集，再確定評價(jià)因素的權(quán)重向量，然后進(jìn)行單因素模糊評價(jià)、并確立模糊評價(jià)關(guān)系矩陣、將多指標(biāo)做綜合評價(jià)、最后分析模糊綜合評價(jià)結(jié)果。

學(xué)校網(wǎng)站安全評價(jià)指標(biāo)體系的構(gòu)建

3.1 學(xué)校網(wǎng)站安全評價(jià)指標(biāo)的確定

根據(jù)學(xué)校網(wǎng)站本身的特點(diǎn)，再結(jié)合福建省各學(xué)校網(wǎng)站的具體情況，本文設(shè)置了一系列關(guān)于學(xué)校網(wǎng)站安全評價(jià)的指標(biāo)，具體如下。

（1）系統(tǒng)安全：系統(tǒng)安全是學(xué)校網(wǎng)站構(gòu)建的基礎(chǔ)，在系統(tǒng)運(yùn)行周期內(nèi)提供系統(tǒng)安全管理方法，幫助辨識(shí)系統(tǒng)中存在的隱患，及時(shí)采取有效措施控制危險(xiǎn)性。

（2）網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全是學(xué)校網(wǎng)站得以運(yùn)行的重要條件，為存在網(wǎng)絡(luò)系統(tǒng)中的各種數(shù)據(jù)提供保護(hù)，確保網(wǎng)絡(luò)服務(wù)的正常運(yùn)行。

（3）數(shù)據(jù)應(yīng)用安全：數(shù)據(jù)應(yīng)用安全是學(xué)校網(wǎng)站安全的重要組成部分，為數(shù)據(jù)處理系統(tǒng)提供技術(shù)和管理的安全保護(hù)，保護(hù)數(shù)據(jù)不遭到他人的隨意更改、破壞和泄露，在系統(tǒng)正常運(yùn)行中確保系統(tǒng)數(shù)據(jù)的完整性、可用性與保密性。

3.2 構(gòu)建福建省學(xué)校網(wǎng)站安全評價(jià)指標(biāo)體系

根據(jù)以上對各個(gè)指標(biāo)的分析，本文構(gòu)建的福建省學(xué)校網(wǎng)站安全評價(jià)指標(biāo)體系，具體如圖3-1所示。

3.3 采用層次分析法確定各指標(biāo)權(quán)重

3.3.1構(gòu)造判斷矩陣

將同層次指標(biāo)相對于上一層進(jìn)行兩兩比較，判斷其重要性，根據(jù)經(jīng)驗(yàn)，將指標(biāo)定量化，構(gòu)造判斷矩陣。對于任何n階判斷矩陣（Aij）都需要滿足以下對任意兩個(gè)因素之間的相對重要性進(jìn)行判斷及量化，設(shè)置的1～9標(biāo)度的含義如表3-1所示。

通過邀請 10 位行業(yè)專家，參照指數(shù)標(biāo)度原則對整體指標(biāo)體系進(jìn)行打分，構(gòu)造目標(biāo)層A對于準(zhǔn)則層B的判斷矩陣， 即判斷矩陣A，如表3-2所示。

3.3.2權(quán)重計(jì)算

所謂權(quán)重計(jì)算，要求求出判斷矩陣A的最大特征根和它相應(yīng)的特征向量，權(quán)重向量由特征向量經(jīng)過標(biāo)準(zhǔn)化所得。以下為權(quán)重計(jì)算的步驟：

（1）將判斷矩陣中的各列進(jìn)行歸一化，參照公式（3-1）所得結(jié)果如表3-3所示：

（2）將各列歸一化后的矩陣按行相加，參照公式（3-2）所得結(jié)果如表3-4所示：

（3）將向量歸一化，參照公式（3-3）所得結(jié)果如下：

把列向量歸一化后得到特征向量W=（0.137，0.239，0.623）T，將其標(biāo)準(zhǔn)化后得到權(quán)重向量W=（0.137，0.239，0.624）T。

（4）計(jì)算判斷矩陣的最大特征根λmax，在公式（3-4）中，（AW）i是AW的第i個(gè)元素，表示向量，為矩陣A與特征向量W相乘的結(jié)果。

通過計(jì)算得：最大特征值λmax=3.024 ，AW= （0.413，0.722，1.891）T。

3.3.3一致性檢驗(yàn)

經(jīng)過構(gòu)造判斷矩陣并確定權(quán)重向量后，還需要進(jìn)行一致性檢驗(yàn)[5]。雖然在構(gòu)造判斷矩陣A時(shí)沒有要求判斷具有完全一致性，但也不允許偏離一致性過多，應(yīng)在容許的范圍內(nèi)。在此將通過計(jì)算一致性指標(biāo)和檢驗(yàn)系數(shù)進(jìn)行檢驗(yàn)。

CI，用來度量判斷矩陣偏離一致性的指標(biāo)，公式（3-5）如下：

說明：

① CI越大，判斷矩陣的一致性越差;當(dāng)CI=0時(shí)表示判斷矩陣具有完全一致性。

② RI，平均隨機(jī)一致性指標(biāo)，是指計(jì)算過多個(gè)隨機(jī)發(fā)生的判斷矩陣其一致性指標(biāo)的平均值。

1～9階矩陣的RI值如下表3-5。

③ CR，為檢驗(yàn)系數(shù)，CR越小，判斷矩陣一致性越好;一般當(dāng)CR<0.10時(shí)，即認(rèn)為判斷矩陣的一致性在可接受的范圍內(nèi)。其公式（3-6）如下：

計(jì)算過程如下：

根據(jù)公式（3-5）得：

查表3-5得：

根據(jù)公式（3-6）得：

結(jié)果表明判斷矩陣A層次排序具有相對滿意的一致性。

同樣地，構(gòu)造準(zhǔn)則層Bi對于方案層C的判斷矩陣，即判斷矩陣Bi（i=1，2，3），如表3-6至表3-8所示。

按照同上公式計(jì)算分別求出其最大特征值λmax和特征向量Wi（i=1，2，3），并依次進(jìn)行一致性檢驗(yàn)。計(jì)算結(jié)果如表3-9所示。

結(jié)果表明判斷矩陣B1、B2、B3 層次排序也具有滿意的一致性。

計(jì)算和得出各指標(biāo)的相對權(quán)重，并在表中呈現(xiàn)各因素的權(quán)重排序，具體如下表3-10。

模糊綜合評價(jià)法建立評價(jià)模型

由層次分析法確定的權(quán)重向量所得到的因素權(quán)重集Wi，與模糊評價(jià)得到的評價(jià)矩陣Ri合成運(yùn)算，得到結(jié)果如下：

將 共同構(gòu)成一層指標(biāo)對于總體目標(biāo)的評價(jià)矩陣R，即

將一層指標(biāo)的權(quán)重向量W與評價(jià)矩陣R進(jìn)行模糊運(yùn)算，結(jié)果如下：

將以上結(jié)果根據(jù)最大隸屬度原則，結(jié)合評語集的定義，得出總體評價(jià)為良好，即評定福建省學(xué)校網(wǎng)站的安全程度為良好。該評價(jià)結(jié)果與問卷調(diào)查統(tǒng)計(jì)中各學(xué)校網(wǎng)站使用者即評價(jià)者的評價(jià)結(jié)果基本相符，證明該評價(jià)方法具有一定的有效性，能夠作為參考依據(jù)之一。

福建省學(xué)校網(wǎng)站安全建議

通過以上評價(jià)與分析，為福建省各學(xué)校網(wǎng)站提出以下安全建議。

（1）從規(guī)劃設(shè)計(jì)到建設(shè)，全流程關(guān)注安全。學(xué)校的門戶網(wǎng)站，從規(guī)劃、設(shè)計(jì)到建設(shè)，每一個(gè)環(huán)節(jié)都做到有所規(guī)范、有所限制，不可任由網(wǎng)站的設(shè)計(jì)制作者帶有太強(qiáng)的自主隨意性。

（2）不僅要注重硬件防火，應(yīng)用層安全也要保障。對存在諸多網(wǎng)絡(luò)漏洞的互聯(lián)網(wǎng)信息服務(wù)IIS進(jìn)行安全加固，從其日志入手，開啟安全日志保護(hù);在系統(tǒng)安裝的服務(wù)期間，只安裝必需的網(wǎng)絡(luò)服務(wù)和開放必要的TCP/IP協(xié)議端口;注意管理員用戶名的修改以及設(shè)置密碼時(shí)的復(fù)雜性;設(shè)置賬戶管理的權(quán)限時(shí)，盡可能限制每個(gè)賬戶的管理權(quán)限，并設(shè)置不同安全等級的訪問賬戶;設(shè)置禁用Guest用戶，關(guān)閉文件共享和遠(yuǎn)程功能;對出現(xiàn)的漏洞安裝補(bǔ)丁，安裝安全軟件，謹(jǐn)記經(jīng)常殺毒、清理木馬。

（3）對設(shè)備、系統(tǒng)及時(shí)更新、升級，與時(shí)俱進(jìn)。各學(xué)校應(yīng)加大投入網(wǎng)絡(luò)建設(shè)，對陳舊的設(shè)備進(jìn)行更新，避免長時(shí)間運(yùn)行后存在安全隱患。對網(wǎng)絡(luò)設(shè)備的更新包括硬件和軟件，使其適應(yīng)當(dāng)今網(wǎng)絡(luò)技術(shù)的發(fā)展;應(yīng)及時(shí)安裝安全補(bǔ)丁，使系統(tǒng)的安全性得到增強(qiáng);升級反病毒軟件，及時(shí)更新安全軟件，更快地識(shí)別并清除。

（4）網(wǎng)站文件分類管理，有序管理。不同的資料，給予不同訪問權(quán)限和讀寫權(quán)限，刪除互聯(lián)網(wǎng)信息服務(wù)IIS中的默認(rèn)站點(diǎn)和目錄，再創(chuàng)建新的自己的網(wǎng)站;選擇開啟日志記錄，方便日后分析網(wǎng)站的安全;根據(jù)不同網(wǎng)頁、文件存在的目錄分別設(shè)置相應(yīng)的讀、寫權(quán)限，確保安全，使其能夠得到有序的管理。

（5）建立嚴(yán)格的備份和恢復(fù)機(jī)制。為預(yù)防突發(fā)性災(zāi)難事件的發(fā)生帶來的威脅，必須建立嚴(yán)格的備份和恢復(fù)機(jī)制，包括定期的備份，根據(jù)各種數(shù)據(jù)不同的實(shí)際情況設(shè)置不同的備份計(jì)劃，同時(shí)定期對數(shù)據(jù)進(jìn)行恢復(fù)檢測，以確保各類數(shù)據(jù)的準(zhǔn)確性、可用性。

（6）完善網(wǎng)絡(luò)安全防護(hù)體系。安裝硬件防火墻、入侵檢測系統(tǒng)、Web應(yīng)用防火墻等安全軟件以構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系。發(fā)揮入侵檢測系統(tǒng)的實(shí)時(shí)監(jiān)控功能，結(jié)合防火墻進(jìn)行阻擋黑客的行動(dòng);使用Web應(yīng)用防火墻有效攔截諸如網(wǎng)站掛馬、SQL注入等非法請求，幫助網(wǎng)站管理員分析網(wǎng)站安全的具體情況并得以采取針對性的措施;同時(shí)定期掃描信息系統(tǒng)的漏洞。

（7）安排專業(yè)的管理人員，加強(qiáng)管理。安排專業(yè)的管理人員，負(fù)責(zé)網(wǎng)絡(luò)設(shè)備、服務(wù)器等方面的安全管理;注重加強(qiáng)日常的管理和維護(hù)，定期地做巡檢和記錄;制定并完善相應(yīng)的網(wǎng)站安全制度。

結(jié)論

論文先剖析福建省學(xué)校網(wǎng)站運(yùn)行狀況以及目前存在的安全問題，通過使用層次分析法和模糊綜合評價(jià)法，構(gòu)建福建省學(xué)校網(wǎng)站安全評價(jià)體系，建立評價(jià)模型，對福建省高校網(wǎng)站安全進(jìn)行評價(jià)和分析，并提出有針對性的建議。

參考文獻(xiàn)

[1]孫雨，胡蘇望，李國斌.運(yùn)用層次分析法構(gòu)建高校網(wǎng)站評價(jià)指標(biāo)體系[J].中國遠(yuǎn)程教育，2011，31（12）：45-48+95-96.

[2]邢文超.我國高校網(wǎng)站評價(jià)體系研究[D].山東師范大學(xué)，2010.

[3]付德宇，劉敏，代成琴等.高校網(wǎng)站客觀評價(jià)指標(biāo)及評價(jià)方法的探討[J].華中師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，63（S1）：1-3.

[4]邱建國，劉光.大學(xué)校園網(wǎng)站評價(jià)指標(biāo)體系構(gòu)建：現(xiàn)狀、依據(jù)及內(nèi)容[J].山西高等學(xué)校社會(huì)科學(xué)學(xué)報(bào)，2009，21（10）：122-125.

[5]李玲娟，豆坤.層次分析法中判斷矩陣的一致性研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2009，19（10）：131-133.? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?責(zé)編/龐貝