企业信息安全评价模型研究
2017-10-20 04:42丁升
数码设计 2017年12期
关键词:安全评价
丁升
摘要:基于企业、网站信息泄露现象日益突出的问题,建立了信息安全评价模型,通过AHP法计算安全评价指标权重,最终得出系统安全分值,确立系统安全等级。此模型的建立对维护企业信息安全,促进社会和谐稳定具有一定的意义。
关键词:信息泄露;AHP;安全评价
中图分类号:F270.7;TP309 文献标识码:A 文章编号:1672-9129(2017)12-0010-01
Abstract:Based on the increasingly prominent problem of information disclosure in enterprises and websites, we set up the information security evaluation model. The weight of safety evaluation index is calculated by AHP method, and the system safety score is finally obtained, and the system security level is established. The information security evaluation model is of certain significance for maintaining Internet users' information security and promoting social harmony and stability.
Key words:information disclosure; AHP; security evaluation
隨着互联网的飞速发展,人类已进入信息化社会,生产力得到了极大的提高,人们的生产、生活、学习方式,甚至人们的思维方式都发生了改变。与此同时,信息化的发展,特别是Internet的发展,给社会和企业带来了一系列的问题,尤其是信息泄露问题,造成企业名誉、财产受损。信息泄露已成为人们共同面临的挑战,因此,对企业信息系统进行安全评价有利于维护企业健康运营,同时也有利于促进社会和谐和人类社会文明进步。
1 信息安全评价流程
信息系统安全评价是信息安全管理的基础,通过对企业或网站信息系统的安全现状进行评价,明确现实情况与安全目标的差距,找出信息系统存在的不安全问题,制定安全策略以降低信息泄露风险的概率。具体流程[1]如下:
(1)明确评价对象的范围,收集材料、信息,成立信息安全评价小组;
(2)对收集的材料进行安全分析,包括安全需求统计分析、威胁分析、弱点分析以及影响分析等[2],确立安全信息评价指标;
(3)确定指标权重;
(4)确立信息安全评价依据,计算信息系统安全分数值;
(5)形成信息安全评价报告,针对评价结果进行整改。
(6)整改措施施行后,重新进行评价,直到达到信息安全要求为止。
2 信息安全评价指标确定
指标确定主要从三个方面进行考虑:人的因素、管理因素、设备因素。人的因素又可分为人员素质、人员技术水平;管理的因素主要分为人员教育培训、组织管理制度、信息应急方案制定;设备的因素可分为设备的质量、病毒与漏洞防护更新。
3 信息安全评价
3.1 评价指标分值确定
为使评价结果清晰准确,将信息系统评价指标划分为4个不同的状态等级,即=(优,良,中,差)=(4,3,2,1),采用专家评分法对指标进行赋值,构造指标评价分值向量V=(v1,v2,…v7)。
3.2 指标权重确定
AHP,即层次分析法,是美国运筹学家匹茨堡大学教授托马斯·塞蒂提出的一种定性与定量相结合的层次权重决策分析方法[3]。该方法将系统分解为多个目标或准则,进而分解为多指标的若干层次,通过定性指标模糊量化方法算出指标权重,以作为多方案优化决策的系统方法,具体计算过程如下:
(1)建立递阶层次结构模型
在全面分析企业信息泄露问题的基础上,按有关各个影响因素的隶属关系建立递阶层次结构。其中,同一层的诸因素从属于上一层的因素或对上层因素有影响,同时又支配下一层的因素或受到下层因素的作用。
(2)构造判断矩阵
3.3 信息系统评价分值计算
指标权重得出后,可根据公式(3)计算信息系统安全评价最终得分。
F=v1w1+v2w2+…+v7w7 (4)
从公式(3)中,不仅可以判断出企业信息系统安全现状,同时也可得到每项指标的得分,我们可以通过对分值较低的指标进行整改,然后重新进行评价,直至信息安全等级达到优等水平。
4 结论
信息泄露严重危害了企业的名誉和财产安全,也给社会带来了恶劣的影响。本文通过分析信息安全的影响因素,结合企业实际,建立了指标评价体系,通过层次分析法确定指标权重,最终得出企业信息系统安全的评价等级,并针对评价结果,提出整改措施。此评价模型的建立有助于企业了解信息系统的安全状态,降低信息泄露的风险。
参考文献
[1]张泽虹,赵冬梅信息安全管理与风险评估北京:电子工业出版社,2010
[2]基于AHP与模糊数学的信息安全风险评估模型[J].信息安全与交通保密,2014:100-103
[3]郑毅. 基于灰色理论的信息系统安全风险评估研究[D]. 成都理工大学,2013,5
