网络安全的维度与企业安全评估体系构建

■ 曾夏玲　王　冲　副教授（、江西科技师范大学　南昌　33003 、江西外语外贸职业学院　南昌　330099）

网络安全的维度与企业安全评估体系构建

■ 曾夏玲1王冲2副教授（1、江西科技师范大学南昌330013 2、江西外语外贸职业学院南昌330099）

企业对社会经济的发展有着重要的作用，是社会经济发展不可缺少的一部分。随着信息化技术的发展，企业对网络的依存度不断增强，企业承担了更多的网络信息安全风险。本文从网络安全的角度，对我国企业网络安全体系进行分析，构建了一套多维度企业网络安全评估体系，从而得出较全面的企业网络安全评估结果，并提出提升企业网络安全的策略，帮助企业规避安全风险，为我国企业的稳步发展提供保障。

企业互联网安全评估策略

“互联网+”时代是随着互联网的发展而产生的一个新兴的社会及商业发展阶段，它促进了各种新型的互联网创业项目及公司的诞生，越来越多的传统企业接轨互联网以跟上信息时代的发展。根据中国互联网安全领袖峰会发起的国内企业信息安全调查报告显示，企业运营已离不开互联网，超过90%的企业完全或高度地依靠互联网开展业务（见图1）。根据图2数据显示，不同行业对互联网的依赖程度有所不同，其中制造业对互联网的依存度最低，但也达到了69.4%；金融、电信、IT/科技/互联网、商业/贸易行业对互联网的依存度最高，均超过了90%。企业的正常运营已经与网络息息相关，对网络的依存度也越来越高。

企业网络安全及评估现状

随着信息化技术的发展，企业对互联网高度依存，然而企业的网络安全状况却不容乐观，图3所示是不同行业近三年发生信息安全的频率，均超过了30%，其中电信行业发生信息安全事故的频率已达到64%，信息安全状况令人堪忧，对企业的运营及发展造成了很大的影响和经济损失。

面对网络中广泛认知的病毒等安全威胁，虽然有70%以上的企业已有所投入，但由于投入的水平参差不齐，很难建立起有效的信息风险防范。网络攻击时刻发生，攻击手段不断变化，在安全问题上没有一劳永逸的解决方案，信息安全建设应是一个持续的过程，需要企业建立完善的安全防护计划。因而如何评估并构建企业网络安全体系，发现和规避企业网络风险，对企业的发展具有重要的指导意义。

网络安全评估即网络风险评估，它是评定网络安全风险大小的过程，以确定网络信息的风险等级和优先风险控制顺序。它是企业网络安全管理工作的一项重要措施，对网络安全方法和信息保护措施等一系列重大决策的确定起着重要作用。

网络安全维度下企业安全评估体系构建及对策

（一）多维度企业安全评价指标体系构建

安全维度理论即利用不同维度来评估和提升企业网络安全的方法。网络安全所面临的威胁主要包括对网络中信息的威胁和对网络中设备的威胁，而企业网络安全所面临的威胁存在其特殊性，影响企业网络安全的因素不只是来自网络上的恶意攻击和入侵，还包括企业内部管理制度的建立、企业员工安全防范意识的教育等多方面原因。因而本文从环境安全、管理安全、硬件安全、软件安全、系统安全和数据安全六个维度出发，建立企业安全评价指标体系F，如表1所示。每个维度下又包含多个维度，即二级指标，这些指标是具体的技术手段和评价指标。

（二）基于模糊综合评判的企业安全评估体系

确定评价指标的权重。权重是表示某一因素重要性的相对数值，反映了该指标在指标体系中所起作用的大小。确定各因素的权重，实际上是对所有因素的重要性进行排序，这在因素比较多时要进行重要性排序是比较困难的，如果只是对两两因素进行重要性比较则容易实现。权重确定的方法常用的有专家调查法、德尔菲加权法、层次分析法等，由于构建的指标体系是层次结构，因而采用层次分析法，通过同层元素两两比较建立模糊一致矩阵，进而通过求解权重方程组得到各层元素的权重值。

Fi的下一层指标是更低一层的评价指标，通过下一层评价指标两两之间的重要性比较构成Fi的模糊判断矩阵R（Fi）。其中两两指标之间的重要性专家按表2中的数量标度来进行标度，且满足rji=1-rij，则所构建的模糊判断矩阵R（Fi）=（rij）是模糊一致矩阵，因而不需要再检验矩阵的一致性。

根据模糊一致矩阵的性质，通过下面的关系式求解权重值W（Fi）：

图1　企业业务对互联网的依赖程度

表1　多维度安全评价指标体系

Rjk（Fi）=0.5+α（W（Fij）-W（Fik）），j，k=1，2，…，ni其中，0＜α≤0.5，α用来度量评价对象的差异程度，可通过设定不同的α大小从而求出多个不同的权重值，然后从其中选择一个较合适的权重值W（Fi）。

建立评语集。评语是评价者对评价因素进行评估时反映评估结果的语言值，评语集是所有可能做出的各种总的评价结果组成的集合，表示为E=［e1，e2，…，em］，m为总的评语数。如果某个评价因素与某个评语的隶属度比其他的评语都高，则该指标的“安全度”评定为该评语，即遵循最优隶属原则。

隶属度。用模糊关系来表示各评价因素属于各评语的隶属度，指标体系中任意节点Fij在ek（ek∈E）之上的隶属函数表示为mek（Fij）。本文给出二级指标在E上的隶属度计算方法，仅说明定量因素的隶属度函数构造方法。设定量因素Fij的取值空间为［Vm，VM］，采用半矩形与三角形分布构造评价因素在评语集上的隶属度函数。而对于一些较难以定量描述的定性因素，则通过专家及同行协议打分后量化表示，并采用模糊统计的方法构造隶属度函数。

单级因素模糊评判矩阵。单因素模糊评价是只从一个评价因素作为评价对象来评判，得出其在评语集E上的隶属程度。在三层评价指标体系中，二级指标的隶属度计算已在上文给出，对指标体系中任意二级指标Fij在ek（ek∈E）之上的隶属函数表示为rk（Fij）=mek（Fij），因此对指标Fij的单因素模糊评价可得到模糊集r（Fij）=［r1（Fij），r2（Fij），…，rm（Fij）］。而对指标体系中的一级指标而言，其后续所有二级指标的单因素模糊评价构成了该一级指标的模糊评判矩阵。如对于一级指标Fi=｛Fi1，Fi2，…，Fini｝，该指标的模糊评判矩阵为R（Fi）=［r（Fi1），r（Fi2），…，r（Fin）］T。

多级模糊综合评判。根据层次分析法求解出的指标权重，对一级指标 构成的模糊评判矩阵R（Fi）进行模糊运算，得到该因素在评语集E上的评估结果B（Fi）。

计算公式为：B（Fi）=（bi1，bi2，…，bi4）=WFi。R（Fi），其中“ 。”是模糊关系的合成运算。

Bi是一个隶属向量，对它作归一化处理，构建出mem（Fi））=（bi1/S，bi2/S，…，bim/S），

据此构造总体评价的模糊评判矩阵R（F）=［r（F1），r（F2），r（F3），r（F4）r（F5）］T，对R（F）进行模糊运算，得到总体评估结果B= W（F）。R（F）=（b1，b2，…，bm），将B归一化处理，得C=［c1，c2，…，cm］，若评语集用数量化表示，即E=［k1，k2，…，则总评分为［c1，c2，…，cm］［k1，

（三）提升企业网络安全的对策

图2　不同行业对互联网的依赖程度

图3　不同行业近三年发生信息安全事故的频率

表2　重要关系的数量标度

企业提升网络安全的对策应主要从管理和技术两个方面展开，其涵盖了六个维度的评价指标体系，多维度地保护企业安全。安全技术对策方面，企业根据安全评估发现的安全漏洞及安全隐患，完善该指标的具体安全技术手段，如数据加密技术、防火墙、入侵检测、防毒软件等安全技术。这些技术方式主要由企业的专业技术人员来完成，因而企业要加强专业人才技术的培养和发展。此外，加强行业交流与合作机制是有效保障企业安全的有效手段。互联网推动了产业链的互联互通，因而企业需加强行业交流和合作机制，加强安全技术的沟通与交流，互助互强，在合作中共同进步，共同打造更安全的企业网络环境。

企业的管理对策往往是被忽略的，企业的安全事故不仅是来自外部的威胁，很大一部分也来自于企业内部，因而加强企业的安全管理，提高全员的安全意识，是提升企业网络安全的一项重要措施。管理方式措施主要从企业层面和员工层面展开，应建立完善的管理制度。建立完善的企业内部访问权限分配，实现不同等级的访问权限控制，并建立完善的监督机制。对于企业内部网络资源的访问，可采用权限分配的方式来限制和控制内部资源的访问，防止病毒从内部入侵。对一些重要私密数据，采取数据加密、身份认证等方式进行加密，防止信息泄露。对于服务器中的数据分配专人负责，定时进行数据备份，防止意外情况造成数据丢失。制定事故发生的预案，当发生事故时及时修护，保障系统稳定运行。而员工层面，最重要的是要提升安全意识，定期组织员工安全培训，强化员工的安全防范意识，学习有效的安全防护手段。

综上所述，企业运营已离不开互联网，网络安全问题是影响企业发展的关键因素之一。本文从网络安全的维度出发，建立了多维度安全评价指标体系，并提出基于模糊综合评判的安全评估体系，对企业的网络安全进行全面的科学评估，及早发现安全漏洞与安全隐患，进而从管理和技术两个维度提出提升企业网络安全的对策，能一定程度地提升企业的网络安全能力和水平。然而在信息技术高速发展的今天，任何技术手段都无法保证绝对安全，因此企业要加强行业交流和合作机制，从多维度来进行安全防护，提升企业的安全防护能力，促进企业在互联网时代下的发展。

1.范红，冯登国，吴亚非.信息安全风险评估方法与应用［M］.清华大学出版社，2006

2.徐玮晟，张保稳，李生红.网络安全评估方法研究进展［J］.信息安全与通信保密，2009（10）

3.龚瀛，栗勇兵，董启雄.网络安全评价指标体系的建立［J］.科技信息，2009（27）

4.宫婷.关于电子商务网络安全的技术问题［J］.商业时代，2012（5）

5.王欣.计算机信息安全策略的纬度思考与电子商务设计［D］.电子科技大学，2007

6. 中国互联网安全领袖峰会.国内首个CTO企业信息安全调查报告［EB/OL］. http：//blog.sina.com.cn/s/ blog_6f50ebbb0102wbak.html.2015

F49

A