网络安全的维度与企业安全评估体系构建

曾夏玲等

中图分类号：F49 文献标识码：A

内容摘要：企业对社会经济的发展有着重要的作用，是社会经济发展不可缺少的一部分。随着信息化技术的发展，企业对网络的依存度不断增强，企业承担了更多的网络信息安全风险。本文从网络安全的角度，对我国企业网络安全体系进行分析，构建了一套多维度企业网络安全评估体系，从而得出较全面的企业网络安全评估结果，并提出提升企业网络安全的策略，帮助企业规避安全风险，为我国企业的稳步发展提供保障。

关键词：企业 互联网 安全 评估 策略

“互联网+”时代是随着互联网的发展而产生的一个新兴的社会及商业发展阶段，它促进了各种新型的互联网创业项目及公司的诞生，越来越多的传统企业接轨互联网以跟上信息时代的发展。根据中国互联网安全领袖峰会发起的国内企业信息安全调查报告显示，企业运营已离不开互联网，超过90%的企业完全或高度地依靠互联网开展业务（见图1）。根据图2数据显示，不同行业对互联网的依赖程度有所不同，其中制造业对互联网的依存度最低，但也达到了69.4%；金融、电信、IT/科技/互联网、商业/贸易行业对互联网的依存度最高，均超过了90%。企业的正常运营已经与网络息息相关，对网络的依存度也越来越高。

企业网络安全及评估现状

随着信息化技术的发展，企业对互联网高度依存，然而企业的网络安全状况却不容乐观，图3所示是不同行业近三年发生信息安全的频率，均超过了30%，其中电信行业发生信息安全事故的频率已达到64%，信息安全状况令人堪忧，对企业的运营及发展造成了很大的影响和经济损失。

面对网络中广泛认知的病毒等安全威胁，虽然有70%以上的企业已有所投入，但由于投入的水平参差不齐，很难建立起有效的信息风险防范。网络攻击时刻发生，攻击手段不断变化，在安全问题上没有一劳永逸的解决方案，信息安全建设应是一个持续的过程，需要企业建立完善的安全防护计划。因而如何评估并构建企业网络安全体系，发现和规避企业网络风险，对企业的发展具有重要的指导意义。

网络安全评估即网络风险评估，它是评定网络安全风险大小的过程，以确定网络信息的风险等级和优先风险控制顺序。它是企业网络安全管理工作的一项重要措施，对网络安全方法和信息保护措施等一系列重大决策的确定起着重要作用。

网络安全维度下企业安全评估体系构建及对策

（一）多维度企业安全评价指标体系构建

安全维度理论即利用不同维度来评估和提升企业网络安全的方法。网络安全所面临的威胁主要包括对网络中信息的威胁和对网络中设备的威胁，而企业网络安全所面临的威胁存在其特殊性，影响企业网络安全的因素不只是来自网络上的恶意攻击和入侵，还包括企业内部管理制度的建立、企业员工安全防范意识的教育等多方面原因。因而本文从环境安全、管理安全、硬件安全、软件安全、系统安全和数据安全六个维度出发，建立企业安全评价指标体系F，如表1所示。每个维度下又包含多个维度，即二级指标，这些指标是具体的技术手段和评价指标。

（二）基于模糊综合评判的企业安全评估体系

确定评价指标的权重。权重是表示某一因素重要性的相对数值，反映了该指标在指标体系中所起作用的大小。确定各因素的权重，实际上是对所有因素的重要性进行排序，这在因素比较多时要进行重要性排序是比较困难的，如果只是对两两因素进行重要性比较则容易实现。权重确定的方法常用的有专家调查法、德尔菲加权法、层次分析法等，由于构建的指标体系是层次结构，因而采用层次分析法，通过同层元素两两比较建立模糊一致矩阵，进而通过求解权重方程组得到各层元素的权重值。