大数据环境下企业信息安全水平综合评价模型的思考

窦 博 董基伟 马文军



大数据环境下企业信息安全水平综合评价模型的思考

窦 博 董基伟 马文军

中国石化管道储运有限公司信息化管理处，江苏 徐州 221008

企业构建信息安全水平综合评价模型能够提升信息安全。基于此，阐述了大数据环境下，企业构建信息安全水平综合评价模型的重要性，同时提出了评价模型的构建方法，包括评价模型基础部分构建方法、指标权重的确权方法、综合评价模型的构建方法等。通过论述这些内容，为企业信息管理人员提供一些参考。

大数据；企业信息安全水平；评价模型

引言

大数据环境下，企业的信息安全会面临着诸多威胁。由于企业每天产生的数据和信息非常多，这些信息都涉及企业运营管理状况和资本情况，对保密性要求很高。因此，为确保企业的平稳运行，需要构建基于大数据的企业信息安全管理综合评价模型，来解决企业信息安全可能受到的威胁。

1 企业构建信息安全水平综合评价模型的重要性

企业的信息管理安全会影响营运效果，因此，企业应重视信息安全水平综合评价模型的构建。

首先，企业要对信息安全程度进行评价，主要是对管理成效、人员结构等内容进行全面的评价，来构建符合企业经营情况的评价体系。

其次，在所有的信息指标确定后，需要将其作为一级指标，来统领二级指标。二级指标的设置和制定需要按照定性的思想，根据不同部门的工作性质制定针对性的评价方法。一般来说，企业的财务部在企业信息的地位比较重要，针对财务部门需要制定一级别指标，来确保企业的财务经营信息安全。

针对企业的人员进行评价，将人员的培训和操作意识作为评价的方法，针对信息安全意识高的员工，要将其纳入企业信息安全管理的评价系统中，来提升员工的信息管理水平；针对信息安全意识薄弱的员工，企业要通过开展“信息安全培训会”，来提升其安全意识。针对企业的信息安全级别进行评估，主要是针对办公电脑、机房等设备环境的安全性进行评估，包括员工的电脑需要设置初始密码和登陆密码；是否更改路由器密码；定期做好文件备份工作；有无安装电脑杀毒软件等[1]。

2 大数据环境下企业信息安全水平综合评价模型构建方法

2.1 评价模型基础部分构建

企业在构建信息安全评价模型的时候，要充分考虑企业现有的信息安全的所有考核项目。如果考核的项目具有模糊性，需要应用AHP综合评价方法，来综合分析企业的信息安全。作为企业的信息安全评价模型的基础构架，具体实施的流程是：首先，对模型中的各项指标进行评分，比较彼此的异同，具有相同节点的指标需要归为一类，然后进行指标的评断，确定模型的矩阵；其次，按照模型的矩形，来计算企业不同部门安全信息占企业的比重，进而确定所有部门的指标；最后，通过定性每个部门之间的指标，然后使用AHP模糊法，根据不同指标的从属关系，形成指标定量评价。

2.2 指标权重的确权方法

在当前，相关人员可以通过“专家打分法”实现对企业各环节指标安全性的权重分析。在这一方法中，应通过电子邮件的方式请企业高层人员、企业项目管理者等专业人士组成“专家团队”，根据其丰富的工作经验、优秀的专业眼光，对企业实际的信息安全情况进行权重评分，从而分析出各类安全指标的等级。

具体来讲，这一评价方法主要包括以下三个步骤：

首先，相关工作人员需要将诸如“物理安全—硬件设备安全、中心机房安全”“人员安全—员工安全意识、员工操作行为”“技术安全—信息安全产品、大数据传输技术”等各类指标进行收集整理，并通过计算机系统生成相应的评价表格，再发放到“专家团队”成员的电子邮箱当中。

其次，“专家团队”在收到表格之后，会从专业的角度对各项信息安全指标的价值重要性、故障影响力进行打分。一般来讲，0分为“绝对没有影响”，10分则为“严重影响”。

最后，相关人员在受到所有打分表格后，即可将相关信息导入到计算机系统的yaahp软件中，进行一致性的指标计算和矩阵分析，最终获得出物理、人员、技术、应用、管理等指标项目的最终分数。

2.3 综合评价模型的构建方法

在综合评价模型的实际构建中，基于人员、技术、管理等指标的影响因素具有一定动态性和不确定性，相关人员很难获取到精准度高、持续性强的信息安全指标信息。所以，在比较各类指标进行基本的评分权重后，人员需要在系统中应用AHP模糊综合评价法构建出可行的评价模型，实现“评价指标集确定—权重集确定—模糊评价矩阵确定—二级指标评价矩阵确定—多级模糊综合评价”的全流程化评价体系，由此建立起由文献资料及安全标准信息收集出发，至总体模糊综合评价值产出结束的系统模型，促成各类数据参数的多层次分析。

此外，将权重评奖方法和AHP方法相结合，分析企业信息安全评价系统的安全性，并将MATLA 7.0用在计算中，能够得到数值，如果数值≥80，说明企业的信息安全属于高级别；如果数值60～80，表明企业的信息安全水平处于中等；如果数值＜60，说明企业的信安全处于差等，随时可以产生信息安全隐患。企业的人力、物理及管理三个内容是企业信息安全等级评价的重点，如果等级指标处于中等偏下，需要在物理、人员安全及管理等方向进行优化，来提升企业信息安全质量[2]。

3 结论

综上所述，由于企业日常的经营管理工作会涉及人员、技术、环境等多个方面的指标因素，所以在分析企业信息安全性时，也要将这些因素全面、有序地纳入到评价体系的内容设置中。同时，企业相关人员在构建评价模型时，还应秉持目标性、动态性、系统性的原则，以“专家打分法”“AHP模糊综合评价法”等科学方法为手段，构建出科学、系统的企业信息安全水平评价体系，促使企业在大数据环境下实现安全、平稳的经营发展。

[1]李广英.基于大数据环境下企业信息安全水平综合评价模型的分析[J].信息系统工程，2017（11）：72.

[2]尹淋雨. 大数据环境下企业信息安全水平综合评价模型研究[D].蚌埠：安徽财经大学，2015.

Thinking on Comprehensive Evaluation Model of Enterprise Information Security Level under Big Data Environment

Dou Bo Dong Jiwei Ma Wenjun

Information Management Office of Sinopec Pipeline Storage and Transportation Co., Ltd., Jiangsu Xuzhou 221008

To build a comprehensive evaluation model of information security level, enterprises can improve information security. Based on this, the paper discusses, enterprise information security level of importance of constructing the comprehensive evaluation model under the environment of big data, and puts forward the method of constructing evaluation model, including the method of constructing evaluation model based on the part of the right，method of index weight and method of constructing the comprehensive evaluation model. Through the discussion of these contents, it provides some reference for the information management personnel of the enterprise.

big data; the level of enterprise information security; evaluation model

TP309

A

1009-6434（2017）12-0058-02