大数据背景下的网络信息安全控制机制与评价体系分析

张 彭，韩 燕

（1.泰州市自然资源和规划局，江苏 泰州 225300；2.城市投资建设集团有限公司，江苏 泰州 225300）

1 理论概述

1.1 大数据

大数据是依托于互联网与计算机技术而诞生与发展的数据信息，数据量庞大，规模巨大，结构多样，难以运用常规数据处理方式进行采集、提取与储存。大数据概念的提出意味着现阶段的数据处理模式、信息技术框架均不同以往，要求信息处理模式采用更为智能、高效的手段从庞大海量的大数据中挖掘信息价值。

1.2 网络信息安全

网络信息安全具有抗否认性、可控性、可用性、保密性、完整性特征，结合我国网络形势来看，网络信息安全包括四大方面，即数据安全、程序安全、系统安全、环境安全，可借助密码技术、计算机科学、信息安全技术等手段强化信息数据加密、落实病毒防范、控制数据访问，以此方可保障网络信息安全性。

1.3 网络信息安全控制评价

“控制”在管理学原理中属于“管理”的职能之一，其主要由控制工具与手段、控制对象、控制者三大要素构成，为保障控制效果，要求网络信息安全控制机制职能与三大控制要素相匹配，因此，在构建网络信息安全控制机制时，需从三大控制要素入手。第一，控制者。主要指网络信息安全相关主体，如网络用户、服务商、管理人员等。第二，控制对象。包括信息系统、数据库、各类资源（如时间、财务等）。第三，控制工具与手段。主要指管理方法、法规调理、原则制度、组织机构等，通过该类方式提升网络信息安全控制效率。

2 基于大数据的网络信息安全控制机制

2.1 核心动力：人员层

2.2.1 网络用户

网络信息安全问题产生的根源在于网络用户行为，且保护网络信息安全的本质在于维护网络用户正当权益，因此，网络用户是网络信息安全控制机制的重要主体。为强化安全控制，应对网络用户行为思维进行正确引导，培养用户树立安全意识，提醒网络用户规范自身行为，通过网络用户自我管理而减少信息安全问题的发生。网络用户缺乏安全意识是导致网络信息安全问题的主要原因注意，提高网络用户安全意识则是在思想层次上构筑安全“防火墙”，从根源处防止发生信息安全问题。在网络信息安全控制机制运行期间，要求网络用户树立信息安全意识，定期升级系统，安装防火墙，对来源不明的网页与软件不可随意打开，避免网络用户错误操作而引发网络信息安全问题。

2.2.2 服务提供商

网络信息服务提供商在整个网络信息安全控制机制中属于信息持有者及数据提供者，与网络用户不同，服务提供商拥有网络信息处理主动权，在享有该主动权的同时，服务提供商还需承担相应的安全责任。因此，为全面控制网络信息安全，要求息安全管理者强化对服务提供商的管理与监督，要求网络信息服务提供商按照法律法规主动承担与履行自身网络信息安全责任，维护网络用户合法合规权益，合理开发网络数据信息。

2.2.3 安全管理者

安全管理者是网络信息安全控制机制最为关键的人员层主体，其主要采用“疏”“堵”两种形式对网络信息安全问题进行控制，要求管理者具备预防与规避网络信息安全问题的能力，通过强有力的管理监督手段降低网络信息安全问题发生率。随着大数据、信息技术在各行各业中的充分应用，互联网环境与网络用户间的关联愈发紧密，导致网络信息安全问题日益复杂，在此环境下，不仅需在网络信息安全问题发生后立即治理，还需在安全问题发生前做好事前疏导与安全教育，通过营造规范化网络文明环境防止安全问题的发生。

2.3 环境支撑：环境层

2.3.1 网络设施

网络设施是否完善直接决定了网络信息安全程度。在大数据时代，云计算、区块链、物联网等前沿技术发展迅速，网络设置运算要求、承载标准日渐提升，自从5G全面商用后，网络信息数据处理规模已达TB、PB、EB级，在此形势下，如何低成本、高效率运用大数据成为网络信息管理的重点，而在网络信息数据管理期间，则对网络设施造成了极大的运算、承载压力。因此，为控制网络信息安全问题发生，应构建具有存储管理海量信息的网络设施（如网络平台、计算体系等）。

2.3.2 网络文化

网络文化可直接或间接影响网络信息的传播、获取过程，并在潜移默化中影响网络用户行为，而在庞大的互联网信息数据量中，不可避免地会存在负面思潮，如阴谋论、受害者有罪论等，人们接触过多难辨真假的网络信息后，容易在有限信息基础上主观解读事件，以此产生负面舆论，甚至造成网络暴力。该类不健康网络文化对网络信息安全的危害极大，因此，在构建网络信息安全控制机制期间，应注意培植健康文化。

2.3.3 政策法规

政策法规是监督网络行为、管理信息安全的标准，对网络信息安全管理工作具有指导效果，可借助政策法规的强制力严格管控网络信息安全。近年来，我国网络信息安全相关的立法工作逐渐完善，如《电子签名法》《国家安全法》《计算机信息系统国际联网保密管理规定》《互联网信息服务管理办法》《中华人民共和国计算机信息系统安全保护条例》等现已逐步完善，在网络信息安全控制管理过程中，则可依据现行政策法规开展管理工作，将法治化渗透到网络信息安全层面上[1]。

2.4 技术支撑：技术层

技术层主要为网络信息安全控制机制提供技术支撑，借助各类技术手段保障网络信息安全。在大数据环境下，可从安全防护、实时监测两个角度控制网络信息安全。安全防护技术包括加密技术、防火墙技术等，可用于提升网络数据安全层次，降低网络攻击对网络信息数据的危害。实时监测技术可在较短时间内检测定位网络系统漏洞，并采集黑客攻击数据，但现阶段实时监测技术难以实时识别网络黑客攻击及安全风险，为保障网络信息安全控制机制构建效果，可引进安全审计技术，借助审计工作保障网络数据信息安全。除此之外，还可运用数字水印技术、匿名保护技术对网络用户特征信息加以隐藏，以此实现隐私保护。

网络信息安全控制机制离不开技术支撑，只有在技术手段作用下方可确保数据安全传输，避免数据信息在网络通信节点传输过程中发生泄露或篡改。从当前网络信息安全技术发展情况来看，普遍应用的网络信息安全技术主要有安全审计技术、加密技术、防火墙技术、安全监控技术等，各类技术手段相互补充、互为支撑，在多种技术手段的协同应用下构筑一道完整坚固的网络安全防护墙，因此，在后续建立网络信息安全控制评价体系时，可从上述四种网络信息安全技术手段入手，对四类技术应用效果进行评价判断。

3 网络信息安全控制评价体系在大数据 背景下的构建要点

3.1 构建评价指标

3.1.1 人员层评价指标

“人员”一级指标内共设置三个二级指标，即网络用户、服务提供商、安全管理者，各个二级指标进一步细化，形成三级指标。第一，网络用户。从安全意识培养、安全教育引导、网络行为约束三个角度出发，将网络用户二级评价指标细化分解为三个三级指标，分别为网络用户安全意识、安全教育、自我管理。第二，服务提供商。从数据处理行为、信息安全责任两个角度细化分解服务提供商二级评价指标，下设提供商安全行为、安全责任两个三级指标。第三，安全管理者。从安全素养、专业素养、技术素养三个角度提出三级评价指标，分别为安全管理者安全素养、专业程度、技术能力[2]。

3.1.2 环境层评价指标

“环境”一级指标内共设置三个二级指标，即网络设施、网络文化、政策法规，各个二级指标进一步细化，形成三级指标。第一，网络设施。该二级指标内下设数据处理能力、设施承载能力两个三级评价指标，用于强调网络设施的数据挖掘能力及数据存储传递效果。第二，网络文化。该二级指标内下设网络文化净化、网络文化培植两个三级指标，用于彰显网络文化与网络信息安全间的关联。第三，政策法规。该二级指标内下设行为规范、实施标准、安全立法三个三级评价指标，力图从规范、标准、强制力三个方面强化网络信息安全控制[3]。

3.1.3 技术层评价指标

“技术”一级指标内共设置防火墙技术、加密技术、安全监控技术、安全审计技术四个二级评价指标，各二级指标可细化分解为三级评价指标。第一，防火墙技术。该二级评价指标可细化分解为用户访问权限、访问身份鉴别、防拒绝服务攻击、防恶意软件四个三级指标。第二，加密技术。该二级评价指标可细化分通信加密、存储加密两个三级指标。第三，安全监控技术。该二级评价指标可细化分解为数据库访问控制、应用系统访问控制、操作系统访问控制三个三级指标。第四，安全审计技术。二级评价指标可细化分解为数据库日志审计、应用系统日志审计、操作系统日志审计、防病毒升级审计、入侵检测控制审计五个三级指标[4]。

3.2 指标权重计算

3.2.1 权重计算思路

完成多层次网络信息安全控制评价指标的设计后，需根据各项指标的重要性程度计算指标权重，此时可引入专家赋值法，选取多名网络信息安全领域的专家、教授、从业人员对评价指标打分赋值，得出专家赋值结果后建立判断矩阵，在此基础上，应用特征向量运算完成最终评价指标权重计算工作。本次在构建网络信息安全控制评价体系时，运用积法计算评价指标权重，步骤如下。第一，归一化处理判断矩阵各列元素，整理各列元素一般项；第二，完成归一化处理后，相加判矩阵各行元素；第三，对求和向量结果进行整理，该向量结果则为特征向量近似解；第四，对判断矩阵内最大特征根进行计算，在此基础上计算一致性指标，根据一致性指标计算结果展开权重计算，若判断矩阵偏离一致性指标，则需修正判断矩阵[5]。

3.2.2 权重计算结果

对上述所提到的网络信息安全控制评价指标权重计算结果进行总结，具体如下。第一，“人员”一级指标。“人员”一级指标的一级权重为0.297，网络用户、服务提供商、安全管理者的二级权重分别为0.120、0.272、0.608。第二，“环境”一级指标。“环境”一级指标的一级权重为0.164，网络设施、网络文化、政策法规的二级权重分别为0.231、0.104、0.665。第三，“技术”一级指标。“技术”一级指标的一级权重为0.539，防火墙技术、加密技术、安全监控技术、安全审计技术的二级权重均为0.250。根据各级指标的最终权重数值则可判得出各级评价指标对网络信息安全控制的重要性，在实质性网络信息安全管理工作中，则可按照评价指标权重占比情况展开针对性管控，以此保障网络信息安全控制效果。

4 结束语

综上所述，人员、技术、环境是网络信息安全控制关键要素，在构建网络信息安全控制机制时，应从上述三个角度出发，以此确保所构建的控制机制富有实效。评价体系应与控制机制相匹配，要求各项评价指标能够切实反映控制机制效果，此时可设置多层次、多角度的评价体系，从人员、环境、技术三个方面构建评价指标，并根据各指标对网络安全的重要程度计算权重，得出权重结果，以此方可保障网络信息安全控制评价体系的完整性。■