網(wǎng)絡(luò)安全的維度與企業(yè)安全評(píng)估體系構(gòu)建

■ 曾夏玲　王　沖　副教授（、江西科技師范大學(xué)　南昌　33003 、江西外語(yǔ)外貿(mào)職業(yè)學(xué)院　南昌　330099）

網(wǎng)絡(luò)安全的維度與企業(yè)安全評(píng)估體系構(gòu)建

■ 曾夏玲1王沖2副教授（1、江西科技師范大學(xué)南昌330013 2、江西外語(yǔ)外貿(mào)職業(yè)學(xué)院南昌330099）

企業(yè)對(duì)社會(huì)經(jīng)濟(jì)的發(fā)展有著重要的作用，是社會(huì)經(jīng)濟(jì)發(fā)展不可缺少的一部分。隨著信息化技術(shù)的發(fā)展，企業(yè)對(duì)網(wǎng)絡(luò)的依存度不斷增強(qiáng)，企業(yè)承擔(dān)了更多的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。本文從網(wǎng)絡(luò)安全的角度，對(duì)我國(guó)企業(yè)網(wǎng)絡(luò)安全體系進(jìn)行分析，構(gòu)建了一套多維度企業(yè)網(wǎng)絡(luò)安全評(píng)估體系，從而得出較全面的企業(yè)網(wǎng)絡(luò)安全評(píng)估結(jié)果，并提出提升企業(yè)網(wǎng)絡(luò)安全的策略，幫助企業(yè)規(guī)避安全風(fēng)險(xiǎn)，為我國(guó)企業(yè)的穩(wěn)步發(fā)展提供保障。

企業(yè)互聯(lián)網(wǎng)安全評(píng)估策略

“互聯(lián)網(wǎng)+”時(shí)代是隨著互聯(lián)網(wǎng)的發(fā)展而產(chǎn)生的一個(gè)新興的社會(huì)及商業(yè)發(fā)展階段，它促進(jìn)了各種新型的互聯(lián)網(wǎng)創(chuàng)業(yè)項(xiàng)目及公司的誕生，越來(lái)越多的傳統(tǒng)企業(yè)接軌互聯(lián)網(wǎng)以跟上信息時(shí)代的發(fā)展。根據(jù)中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)發(fā)起的國(guó)內(nèi)企業(yè)信息安全調(diào)查報(bào)告顯示，企業(yè)運(yùn)營(yíng)已離不開互聯(lián)網(wǎng)，超過(guò)90%的企業(yè)完全或高度地依靠互聯(lián)網(wǎng)開展業(yè)務(wù)（見圖1）。根據(jù)圖2數(shù)據(jù)顯示，不同行業(yè)對(duì)互聯(lián)網(wǎng)的依賴程度有所不同，其中制造業(yè)對(duì)互聯(lián)網(wǎng)的依存度最低，但也達(dá)到了69.4%；金融、電信、IT/科技/互聯(lián)網(wǎng)、商業(yè)/貿(mào)易行業(yè)對(duì)互聯(lián)網(wǎng)的依存度最高，均超過(guò)了90%。企業(yè)的正常運(yùn)營(yíng)已經(jīng)與網(wǎng)絡(luò)息息相關(guān)，對(duì)網(wǎng)絡(luò)的依存度也越來(lái)越高。

企業(yè)網(wǎng)絡(luò)安全及評(píng)估現(xiàn)狀

隨著信息化技術(shù)的發(fā)展，企業(yè)對(duì)互聯(lián)網(wǎng)高度依存，然而企業(yè)的網(wǎng)絡(luò)安全狀況卻不容樂觀，圖3所示是不同行業(yè)近三年發(fā)生信息安全的頻率，均超過(guò)了30%，其中電信行業(yè)發(fā)生信息安全事故的頻率已達(dá)到64%，信息安全狀況令人堪憂，對(duì)企業(yè)的運(yùn)營(yíng)及發(fā)展造成了很大的影響和經(jīng)濟(jì)損失。

面對(duì)網(wǎng)絡(luò)中廣泛認(rèn)知的病毒等安全威脅，雖然有70%以上的企業(yè)已有所投入，但由于投入的水平參差不齊，很難建立起有效的信息風(fēng)險(xiǎn)防范。網(wǎng)絡(luò)攻擊時(shí)刻發(fā)生，攻擊手段不斷變化，在安全問題上沒有一勞永逸的解決方案，信息安全建設(shè)應(yīng)是一個(gè)持續(xù)的過(guò)程，需要企業(yè)建立完善的安全防護(hù)計(jì)劃。因而如何評(píng)估并構(gòu)建企業(yè)網(wǎng)絡(luò)安全體系，發(fā)現(xiàn)和規(guī)避企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)，對(duì)企業(yè)的發(fā)展具有重要的指導(dǎo)意義。

網(wǎng)絡(luò)安全評(píng)估即網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，它是評(píng)定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)大小的過(guò)程，以確定網(wǎng)絡(luò)信息的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制順序。它是企業(yè)網(wǎng)絡(luò)安全管理工作的一項(xiàng)重要措施，對(duì)網(wǎng)絡(luò)安全方法和信息保護(hù)措施等一系列重大決策的確定起著重要作用。

網(wǎng)絡(luò)安全維度下企業(yè)安全評(píng)估體系構(gòu)建及對(duì)策

（一）多維度企業(yè)安全評(píng)價(jià)指標(biāo)體系構(gòu)建

安全維度理論即利用不同維度來(lái)評(píng)估和提升企業(yè)網(wǎng)絡(luò)安全的方法。網(wǎng)絡(luò)安全所面臨的威脅主要包括對(duì)網(wǎng)絡(luò)中信息的威脅和對(duì)網(wǎng)絡(luò)中設(shè)備的威脅，而企業(yè)網(wǎng)絡(luò)安全所面臨的威脅存在其特殊性，影響企業(yè)網(wǎng)絡(luò)安全的因素不只是來(lái)自網(wǎng)絡(luò)上的惡意攻擊和入侵，還包括企業(yè)內(nèi)部管理制度的建立、企業(yè)員工安全防范意識(shí)的教育等多方面原因。因而本文從環(huán)境安全、管理安全、硬件安全、軟件安全、系統(tǒng)安全和數(shù)據(jù)安全六個(gè)維度出發(fā)，建立企業(yè)安全評(píng)價(jià)指標(biāo)體系F，如表1所示。每個(gè)維度下又包含多個(gè)維度，即二級(jí)指標(biāo)，這些指標(biāo)是具體的技術(shù)手段和評(píng)價(jià)指標(biāo)。

（二）基于模糊綜合評(píng)判的企業(yè)安全評(píng)估體系

確定評(píng)價(jià)指標(biāo)的權(quán)重。權(quán)重是表示某一因素重要性的相對(duì)數(shù)值，反映了該指標(biāo)在指標(biāo)體系中所起作用的大小。確定各因素的權(quán)重，實(shí)際上是對(duì)所有因素的重要性進(jìn)行排序，這在因素比較多時(shí)要進(jìn)行重要性排序是比較困難的，如果只是對(duì)兩兩因素進(jìn)行重要性比較則容易實(shí)現(xiàn)。權(quán)重確定的方法常用的有專家調(diào)查法、德爾菲加權(quán)法、層次分析法等，由于構(gòu)建的指標(biāo)體系是層次結(jié)構(gòu)，因而采用層次分析法，通過(guò)同層元素兩兩比較建立模糊一致矩陣，進(jìn)而通過(guò)求解權(quán)重方程組得到各層元素的權(quán)重值。

Fi的下一層指標(biāo)是更低一層的評(píng)價(jià)指標(biāo)，通過(guò)下一層評(píng)價(jià)指標(biāo)兩兩之間的重要性比較構(gòu)成Fi的模糊判斷矩陣R（Fi）。其中兩兩指標(biāo)之間的重要性專家按表2中的數(shù)量標(biāo)度來(lái)進(jìn)行標(biāo)度，且滿足rji=1-rij，則所構(gòu)建的模糊判斷矩陣R（Fi）=（rij）是模糊一致矩陣，因而不需要再檢驗(yàn)矩陣的一致性。

根據(jù)模糊一致矩陣的性質(zhì)，通過(guò)下面的關(guān)系式求解權(quán)重值W（Fi）：

圖1　企業(yè)業(yè)務(wù)對(duì)互聯(lián)網(wǎng)的依賴程度

表1　多維度安全評(píng)價(jià)指標(biāo)體系

Rjk（Fi）=0.5+α（W（Fij）-W（Fik）），j，k=1，2，…，ni其中，0＜α≤0.5，α用來(lái)度量評(píng)價(jià)對(duì)象的差異程度，可通過(guò)設(shè)定不同的α大小從而求出多個(gè)不同的權(quán)重值，然后從其中選擇一個(gè)較合適的權(quán)重值W（Fi）。

建立評(píng)語(yǔ)集。評(píng)語(yǔ)是評(píng)價(jià)者對(duì)評(píng)價(jià)因素進(jìn)行評(píng)估時(shí)反映評(píng)估結(jié)果的語(yǔ)言值，評(píng)語(yǔ)集是所有可能做出的各種總的評(píng)價(jià)結(jié)果組成的集合，表示為E=［e1，e2，…，em］，m為總的評(píng)語(yǔ)數(shù)。如果某個(gè)評(píng)價(jià)因素與某個(gè)評(píng)語(yǔ)的隸屬度比其他的評(píng)語(yǔ)都高，則該指標(biāo)的“安全度”評(píng)定為該評(píng)語(yǔ)，即遵循最優(yōu)隸屬原則。

隸屬度。用模糊關(guān)系來(lái)表示各評(píng)價(jià)因素屬于各評(píng)語(yǔ)的隸屬度，指標(biāo)體系中任意節(jié)點(diǎn)Fij在ek（ek∈E）之上的隸屬函數(shù)表示為mek（Fij）。本文給出二級(jí)指標(biāo)在E上的隸屬度計(jì)算方法，僅說(shuō)明定量因素的隸屬度函數(shù)構(gòu)造方法。設(shè)定量因素Fij的取值空間為［Vm，VM］，采用半矩形與三角形分布構(gòu)造評(píng)價(jià)因素在評(píng)語(yǔ)集上的隸屬度函數(shù)。而對(duì)于一些較難以定量描述的定性因素，則通過(guò)專家及同行協(xié)議打分后量化表示，并采用模糊統(tǒng)計(jì)的方法構(gòu)造隸屬度函數(shù)。

單級(jí)因素模糊評(píng)判矩陣。單因素模糊評(píng)價(jià)是只從一個(gè)評(píng)價(jià)因素作為評(píng)價(jià)對(duì)象來(lái)評(píng)判，得出其在評(píng)語(yǔ)集E上的隸屬程度。在三層評(píng)價(jià)指標(biāo)體系中，二級(jí)指標(biāo)的隸屬度計(jì)算已在上文給出，對(duì)指標(biāo)體系中任意二級(jí)指標(biāo)Fij在ek（ek∈E）之上的隸屬函數(shù)表示為rk（Fij）=mek（Fij），因此對(duì)指標(biāo)Fij的單因素模糊評(píng)價(jià)可得到模糊集r（Fij）=［r1（Fij），r2（Fij），…，rm（Fij）］。而對(duì)指標(biāo)體系中的一級(jí)指標(biāo)而言，其后續(xù)所有二級(jí)指標(biāo)的單因素模糊評(píng)價(jià)構(gòu)成了該一級(jí)指標(biāo)的模糊評(píng)判矩陣。如對(duì)于一級(jí)指標(biāo)Fi=｛Fi1，F(xiàn)i2，…，F(xiàn)ini｝，該指標(biāo)的模糊評(píng)判矩陣為R（Fi）=［r（Fi1），r（Fi2），…，r（Fin）］T。

多級(jí)模糊綜合評(píng)判。根據(jù)層次分析法求解出的指標(biāo)權(quán)重，對(duì)一級(jí)指標(biāo) 構(gòu)成的模糊評(píng)判矩陣R（Fi）進(jìn)行模糊運(yùn)算，得到該因素在評(píng)語(yǔ)集E上的評(píng)估結(jié)果B（Fi）。

計(jì)算公式為：B（Fi）=（bi1，bi2，…，bi4）=WFi。R（Fi），其中“ ?！笔悄：P(guān)系的合成運(yùn)算。

Bi是一個(gè)隸屬向量，對(duì)它作歸一化處理，構(gòu)建出mem（Fi））=（bi1/S，bi2/S，…，bim/S），

據(jù)此構(gòu)造總體評(píng)價(jià)的模糊評(píng)判矩陣R（F）=［r（F1），r（F2），r（F3），r（F4）r（F5）］T，對(duì)R（F）進(jìn)行模糊運(yùn)算，得到總體評(píng)估結(jié)果B= W（F）。R（F）=（b1，b2，…，bm），將B歸一化處理，得C=［c1，c2，…，cm］，若評(píng)語(yǔ)集用數(shù)量化表示，即E=［k1，k2，…，則總評(píng)分為［c1，c2，…，cm］［k1，

（三）提升企業(yè)網(wǎng)絡(luò)安全的對(duì)策

圖2　不同行業(yè)對(duì)互聯(lián)網(wǎng)的依賴程度

圖3　不同行業(yè)近三年發(fā)生信息安全事故的頻率

表2　重要關(guān)系的數(shù)量標(biāo)度

企業(yè)提升網(wǎng)絡(luò)安全的對(duì)策應(yīng)主要從管理和技術(shù)兩個(gè)方面展開，其涵蓋了六個(gè)維度的評(píng)價(jià)指標(biāo)體系，多維度地保護(hù)企業(yè)安全。安全技術(shù)對(duì)策方面，企業(yè)根據(jù)安全評(píng)估發(fā)現(xiàn)的安全漏洞及安全隱患，完善該指標(biāo)的具體安全技術(shù)手段，如數(shù)據(jù)加密技術(shù)、防火墻、入侵檢測(cè)、防毒軟件等安全技術(shù)。這些技術(shù)方式主要由企業(yè)的專業(yè)技術(shù)人員來(lái)完成，因而企業(yè)要加強(qiáng)專業(yè)人才技術(shù)的培養(yǎng)和發(fā)展。此外，加強(qiáng)行業(yè)交流與合作機(jī)制是有效保障企業(yè)安全的有效手段。互聯(lián)網(wǎng)推動(dòng)了產(chǎn)業(yè)鏈的互聯(lián)互通，因而企業(yè)需加強(qiáng)行業(yè)交流和合作機(jī)制，加強(qiáng)安全技術(shù)的溝通與交流，互助互強(qiáng)，在合作中共同進(jìn)步，共同打造更安全的企業(yè)網(wǎng)絡(luò)環(huán)境。

企業(yè)的管理對(duì)策往往是被忽略的，企業(yè)的安全事故不僅是來(lái)自外部的威脅，很大一部分也來(lái)自于企業(yè)內(nèi)部，因而加強(qiáng)企業(yè)的安全管理，提高全員的安全意識(shí)，是提升企業(yè)網(wǎng)絡(luò)安全的一項(xiàng)重要措施。管理方式措施主要從企業(yè)層面和員工層面展開，應(yīng)建立完善的管理制度。建立完善的企業(yè)內(nèi)部訪問權(quán)限分配，實(shí)現(xiàn)不同等級(jí)的訪問權(quán)限控制，并建立完善的監(jiān)督機(jī)制。對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)資源的訪問，可采用權(quán)限分配的方式來(lái)限制和控制內(nèi)部資源的訪問，防止病毒從內(nèi)部入侵。對(duì)一些重要私密數(shù)據(jù)，采取數(shù)據(jù)加密、身份認(rèn)證等方式進(jìn)行加密，防止信息泄露。對(duì)于服務(wù)器中的數(shù)據(jù)分配專人負(fù)責(zé)，定時(shí)進(jìn)行數(shù)據(jù)備份，防止意外情況造成數(shù)據(jù)丟失。制定事故發(fā)生的預(yù)案，當(dāng)發(fā)生事故時(shí)及時(shí)修護(hù)，保障系統(tǒng)穩(wěn)定運(yùn)行。而員工層面，最重要的是要提升安全意識(shí)，定期組織員工安全培訓(xùn)，強(qiáng)化員工的安全防范意識(shí)，學(xué)習(xí)有效的安全防護(hù)手段。

綜上所述，企業(yè)運(yùn)營(yíng)已離不開互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全問題是影響企業(yè)發(fā)展的關(guān)鍵因素之一。本文從網(wǎng)絡(luò)安全的維度出發(fā)，建立了多維度安全評(píng)價(jià)指標(biāo)體系，并提出基于模糊綜合評(píng)判的安全評(píng)估體系，對(duì)企業(yè)的網(wǎng)絡(luò)安全進(jìn)行全面的科學(xué)評(píng)估，及早發(fā)現(xiàn)安全漏洞與安全隱患，進(jìn)而從管理和技術(shù)兩個(gè)維度提出提升企業(yè)網(wǎng)絡(luò)安全的對(duì)策，能一定程度地提升企業(yè)的網(wǎng)絡(luò)安全能力和水平。然而在信息技術(shù)高速發(fā)展的今天，任何技術(shù)手段都無(wú)法保證絕對(duì)安全，因此企業(yè)要加強(qiáng)行業(yè)交流和合作機(jī)制，從多維度來(lái)進(jìn)行安全防護(hù)，提升企業(yè)的安全防護(hù)能力，促進(jìn)企業(yè)在互聯(lián)網(wǎng)時(shí)代下的發(fā)展。

1.范紅，馮登國(guó)，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用［M］.清華大學(xué)出版社，2006

2.徐瑋晟，張保穩(wěn)，李生紅.網(wǎng)絡(luò)安全評(píng)估方法研究進(jìn)展［J］.信息安全與通信保密，2009（10）

3.龔瀛，栗勇兵，董啟雄.網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系的建立［J］.科技信息，2009（27）

4.宮婷.關(guān)于電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)問題［J］.商業(yè)時(shí)代，2012（5）

5.王欣.計(jì)算機(jī)信息安全策略的緯度思考與電子商務(wù)設(shè)計(jì)［D］.電子科技大學(xué)，2007

6. 中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì).國(guó)內(nèi)首個(gè)CTO企業(yè)信息安全調(diào)查報(bào)告［EB/OL］. http：//blog.sina.com.cn/s/ blog_6f50ebbb0102wbak.html.2015

F49

A