基于AHP及模糊綜合評價的福建省學(xué)校網(wǎng)站安全評價分析

謝燕祥

摘要：作為我國教育信息化建設(shè)的重要組成部分，學(xué)校的門戶網(wǎng)站已然成為學(xué)校對外宣傳與自我展示的窗口，也逐漸成為各校實行教學(xué)、管理和服務(wù)的平臺。論文針對福建省學(xué)校網(wǎng)站的安全，利用層次分析法 （AHP） 確定各個評價指標的權(quán)重，采用模糊綜合評價法對福建省學(xué)校網(wǎng)站進行實證分析，并提出適用于福建省學(xué)校網(wǎng)站的安全建議。

摘要：學(xué)校網(wǎng)站;網(wǎng)站安全;層次分析法;模糊綜合評價法

研究背景

學(xué)校的門戶網(wǎng)站作為學(xué)校對外宣傳與自我展示的窗口，也逐漸成為各學(xué)校實行教學(xué)、管理和服務(wù)的平臺。一旦學(xué)校的門戶網(wǎng)站出現(xiàn)安全問題，將對學(xué)校的整個教學(xué)服務(wù)系統(tǒng)產(chǎn)生嚴重后果。對于學(xué)校網(wǎng)站的安全評價方面，極少學(xué)者做過深入的研究[1-4]。

研究方法

本次福建省學(xué)校網(wǎng)站安全評價分析采用的主要方法是層次分析法、模糊綜合評價法。

（1）層次分析法。層次分析法（The analytic hierarchy process， AHP），即層級分析法，是將一個復(fù)雜的多目標決策問題作為一個系統(tǒng)，深入分析其本質(zhì)、元素和內(nèi)在關(guān)聯(lián)等，然后將目標分解為多個準則，并分解為多指標的若干層次，彼此之間相互影響、相互制約，再通過定性與定量有機結(jié)合，逐層比較各指標因素計算出排序，最終優(yōu)化決策，適用于為那些難以完全定量分析的較為復(fù)雜的問題做出決策。此方法的一般步驟為：建立遞階層次結(jié)構(gòu)、構(gòu)造判斷矩陣、進行權(quán)重計算、作一致性檢驗。

（2）模糊綜合評價法。模糊綜合評價法（fuzzy comprehensive evaluation method），是對受到多因素制約的事物或?qū)ο蠼柚：龜?shù)學(xué)的隸屬度理論，將定性評價進行定量化，從而做出整體的評價。該方法的基本步驟為：先確定評價因素集和評語集，再確定評價因素的權(quán)重向量，然后進行單因素模糊評價、并確立模糊評價關(guān)系矩陣、將多指標做綜合評價、最后分析模糊綜合評價結(jié)果。

學(xué)校網(wǎng)站安全評價指標體系的構(gòu)建

3.1 學(xué)校網(wǎng)站安全評價指標的確定

根據(jù)學(xué)校網(wǎng)站本身的特點，再結(jié)合福建省各學(xué)校網(wǎng)站的具體情況，本文設(shè)置了一系列關(guān)于學(xué)校網(wǎng)站安全評價的指標，具體如下。

（1）系統(tǒng)安全：系統(tǒng)安全是學(xué)校網(wǎng)站構(gòu)建的基礎(chǔ)，在系統(tǒng)運行周期內(nèi)提供系統(tǒng)安全管理方法，幫助辨識系統(tǒng)中存在的隱患，及時采取有效措施控制危險性。

（2）網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全是學(xué)校網(wǎng)站得以運行的重要條件，為存在網(wǎng)絡(luò)系統(tǒng)中的各種數(shù)據(jù)提供保護，確保網(wǎng)絡(luò)服務(wù)的正常運行。

（3）數(shù)據(jù)應(yīng)用安全：數(shù)據(jù)應(yīng)用安全是學(xué)校網(wǎng)站安全的重要組成部分，為數(shù)據(jù)處理系統(tǒng)提供技術(shù)和管理的安全保護，保護數(shù)據(jù)不遭到他人的隨意更改、破壞和泄露，在系統(tǒng)正常運行中確保系統(tǒng)數(shù)據(jù)的完整性、可用性與保密性。

3.2 構(gòu)建福建省學(xué)校網(wǎng)站安全評價指標體系

根據(jù)以上對各個指標的分析，本文構(gòu)建的福建省學(xué)校網(wǎng)站安全評價指標體系，具體如圖3-1所示。

3.3 采用層次分析法確定各指標權(quán)重

3.3.1構(gòu)造判斷矩陣

將同層次指標相對于上一層進行兩兩比較，判斷其重要性，根據(jù)經(jīng)驗，將指標定量化，構(gòu)造判斷矩陣。對于任何n階判斷矩陣（Aij）都需要滿足以下對任意兩個因素之間的相對重要性進行判斷及量化，設(shè)置的1～9標度的含義如表3-1所示。

通過邀請 10 位行業(yè)專家，參照指數(shù)標度原則對整體指標體系進行打分，構(gòu)造目標層A對于準則層B的判斷矩陣， 即判斷矩陣A，如表3-2所示。

3.3.2權(quán)重計算

所謂權(quán)重計算，要求求出判斷矩陣A的最大特征根和它相應(yīng)的特征向量，權(quán)重向量由特征向量經(jīng)過標準化所得。以下為權(quán)重計算的步驟：

（1）將判斷矩陣中的各列進行歸一化，參照公式（3-1）所得結(jié)果如表3-3所示：

（2）將各列歸一化后的矩陣按行相加，參照公式（3-2）所得結(jié)果如表3-4所示：

（3）將向量歸一化，參照公式（3-3）所得結(jié)果如下：

把列向量歸一化后得到特征向量W=（0.137，0.239，0.623）T，將其標準化后得到權(quán)重向量W=（0.137，0.239，0.624）T。

（4）計算判斷矩陣的最大特征根λmax，在公式（3-4）中，（AW）i是AW的第i個元素，表示向量，為矩陣A與特征向量W相乘的結(jié)果。

通過計算得：最大特征值λmax=3.024 ，AW= （0.413，0.722，1.891）T。

3.3.3一致性檢驗

經(jīng)過構(gòu)造判斷矩陣并確定權(quán)重向量后，還需要進行一致性檢驗[5]。雖然在構(gòu)造判斷矩陣A時沒有要求判斷具有完全一致性，但也不允許偏離一致性過多，應(yīng)在容許的范圍內(nèi)。在此將通過計算一致性指標和檢驗系數(shù)進行檢驗。

CI，用來度量判斷矩陣偏離一致性的指標，公式（3-5）如下：

說明：

① CI越大，判斷矩陣的一致性越差;當CI=0時表示判斷矩陣具有完全一致性。

② RI，平均隨機一致性指標，是指計算過多個隨機發(fā)生的判斷矩陣其一致性指標的平均值。

1～9階矩陣的RI值如下表3-5。

③ CR，為檢驗系數(shù)，CR越小，判斷矩陣一致性越好;一般當CR<0.10時，即認為判斷矩陣的一致性在可接受的范圍內(nèi)。其公式（3-6）如下：

計算過程如下：

根據(jù)公式（3-5）得：

查表3-5得：

根據(jù)公式（3-6）得：

結(jié)果表明判斷矩陣A層次排序具有相對滿意的一致性。

同樣地，構(gòu)造準則層Bi對于方案層C的判斷矩陣，即判斷矩陣Bi（i=1，2，3），如表3-6至表3-8所示。

按照同上公式計算分別求出其最大特征值λmax和特征向量Wi（i=1，2，3），并依次進行一致性檢驗。計算結(jié)果如表3-9所示。

結(jié)果表明判斷矩陣B1、B2、B3 層次排序也具有滿意的一致性。

計算和得出各指標的相對權(quán)重，并在表中呈現(xiàn)各因素的權(quán)重排序，具體如下表3-10。

模糊綜合評價法建立評價模型

由層次分析法確定的權(quán)重向量所得到的因素權(quán)重集Wi，與模糊評價得到的評價矩陣Ri合成運算，得到結(jié)果如下：

將 共同構(gòu)成一層指標對于總體目標的評價矩陣R，即

將一層指標的權(quán)重向量W與評價矩陣R進行模糊運算，結(jié)果如下：

將以上結(jié)果根據(jù)最大隸屬度原則，結(jié)合評語集的定義，得出總體評價為良好，即評定福建省學(xué)校網(wǎng)站的安全程度為良好。該評價結(jié)果與問卷調(diào)查統(tǒng)計中各學(xué)校網(wǎng)站使用者即評價者的評價結(jié)果基本相符，證明該評價方法具有一定的有效性，能夠作為參考依據(jù)之一。

福建省學(xué)校網(wǎng)站安全建議

通過以上評價與分析，為福建省各學(xué)校網(wǎng)站提出以下安全建議。

（1）從規(guī)劃設(shè)計到建設(shè)，全流程關(guān)注安全。學(xué)校的門戶網(wǎng)站，從規(guī)劃、設(shè)計到建設(shè)，每一個環(huán)節(jié)都做到有所規(guī)范、有所限制，不可任由網(wǎng)站的設(shè)計制作者帶有太強的自主隨意性。

（2）不僅要注重硬件防火，應(yīng)用層安全也要保障。對存在諸多網(wǎng)絡(luò)漏洞的互聯(lián)網(wǎng)信息服務(wù)IIS進行安全加固，從其日志入手，開啟安全日志保護;在系統(tǒng)安裝的服務(wù)期間，只安裝必需的網(wǎng)絡(luò)服務(wù)和開放必要的TCP/IP協(xié)議端口;注意管理員用戶名的修改以及設(shè)置密碼時的復(fù)雜性;設(shè)置賬戶管理的權(quán)限時，盡可能限制每個賬戶的管理權(quán)限，并設(shè)置不同安全等級的訪問賬戶;設(shè)置禁用Guest用戶，關(guān)閉文件共享和遠程功能;對出現(xiàn)的漏洞安裝補丁，安裝安全軟件，謹記經(jīng)常殺毒、清理木馬。

（3）對設(shè)備、系統(tǒng)及時更新、升級，與時俱進。各學(xué)校應(yīng)加大投入網(wǎng)絡(luò)建設(shè)，對陳舊的設(shè)備進行更新，避免長時間運行后存在安全隱患。對網(wǎng)絡(luò)設(shè)備的更新包括硬件和軟件，使其適應(yīng)當今網(wǎng)絡(luò)技術(shù)的發(fā)展;應(yīng)及時安裝安全補丁，使系統(tǒng)的安全性得到增強;升級反病毒軟件，及時更新安全軟件，更快地識別并清除。

（4）網(wǎng)站文件分類管理，有序管理。不同的資料，給予不同訪問權(quán)限和讀寫權(quán)限，刪除互聯(lián)網(wǎng)信息服務(wù)IIS中的默認站點和目錄，再創(chuàng)建新的自己的網(wǎng)站;選擇開啟日志記錄，方便日后分析網(wǎng)站的安全;根據(jù)不同網(wǎng)頁、文件存在的目錄分別設(shè)置相應(yīng)的讀、寫權(quán)限，確保安全，使其能夠得到有序的管理。

（5）建立嚴格的備份和恢復(fù)機制。為預(yù)防突發(fā)性災(zāi)難事件的發(fā)生帶來的威脅，必須建立嚴格的備份和恢復(fù)機制，包括定期的備份，根據(jù)各種數(shù)據(jù)不同的實際情況設(shè)置不同的備份計劃，同時定期對數(shù)據(jù)進行恢復(fù)檢測，以確保各類數(shù)據(jù)的準確性、可用性。

（6）完善網(wǎng)絡(luò)安全防護體系。安裝硬件防火墻、入侵檢測系統(tǒng)、Web應(yīng)用防火墻等安全軟件以構(gòu)建網(wǎng)絡(luò)安全防護體系。發(fā)揮入侵檢測系統(tǒng)的實時監(jiān)控功能，結(jié)合防火墻進行阻擋黑客的行動;使用Web應(yīng)用防火墻有效攔截諸如網(wǎng)站掛馬、SQL注入等非法請求，幫助網(wǎng)站管理員分析網(wǎng)站安全的具體情況并得以采取針對性的措施;同時定期掃描信息系統(tǒng)的漏洞。

（7）安排專業(yè)的管理人員，加強管理。安排專業(yè)的管理人員，負責網(wǎng)絡(luò)設(shè)備、服務(wù)器等方面的安全管理;注重加強日常的管理和維護，定期地做巡檢和記錄;制定并完善相應(yīng)的網(wǎng)站安全制度。

結(jié)論

論文先剖析福建省學(xué)校網(wǎng)站運行狀況以及目前存在的安全問題，通過使用層次分析法和模糊綜合評價法，構(gòu)建福建省學(xué)校網(wǎng)站安全評價體系，建立評價模型，對福建省高校網(wǎng)站安全進行評價和分析，并提出有針對性的建議。

參考文獻

[1]孫雨，胡蘇望，李國斌.運用層次分析法構(gòu)建高校網(wǎng)站評價指標體系[J].中國遠程教育，2011，31（12）：45-48+95-96.

[2]邢文超.我國高校網(wǎng)站評價體系研究[D].山東師范大學(xué)，2010.

[3]付德宇，劉敏，代成琴等.高校網(wǎng)站客觀評價指標及評價方法的探討[J].華中師范大學(xué)學(xué)報（自然科學(xué)版），2017，63（S1）：1-3.

[4]邱建國，劉光.大學(xué)校園網(wǎng)站評價指標體系構(gòu)建：現(xiàn)狀、依據(jù)及內(nèi)容[J].山西高等學(xué)校社會科學(xué)學(xué)報，2009，21（10）：122-125.

[5]李玲娟，豆坤.層次分析法中判斷矩陣的一致性研究[J].計算機技術(shù)與發(fā)展，2009，19（10）：131-133.? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?責編/龐貝