基于模糊数学的企业销售信息系统风险评估方法

伍 威

(广州华南商贸职业学院， 广东 广州 510000)

引言

企业销售信息系统的安全是一个系统工程，单纯依靠人工措施来防范威胁是无法从根本上解决信息系统安全这一问题的。因此，需构建一个安全系统，对其进行全面的控制和管理。在整个信息系统中，传递和存储信息的处理、传递和存储是企业销售信息安全传输的关键环节，需在安全环境下进行，是保障企业销售信息系统的关键，也是保障系统安全的重要依据。当前，急需解决的主要问题是，对企业销售信息系统进行安全评估，分析信息正确性、信息系统的威胁和信息系统的实际使用情况。常规的企业销售信息系统风险评估方法主要有两种：张明慧[1]提出了一种定性风险评估方法，借助于专家对事物的经验，找出信息系统中的风险因素，并针对这些风险因素提出解决方法和纠正措施。然而，对风险评价是将系统中的各个风险因素分别进行评价，忽视了对整个系统的安全性评价，难以确定系统的综合风险水平。詹雄[2]提出了一种定量风险评估方法，该方法是根据我国构建的数学模型，利用科学技术对同类和类似企业销售信息系统进行定量分析。然而，该方法主观性很强，无法精准判断不同风险对企业销售所带来的影响。为了解决这些问题，提出了基于模糊数学的企业销售信息系统风险评估方法。

一、基于模糊数学的企业销售信息系统风险评估

全面考虑模糊数学中的线性变换原理与隶属度，对各种因素给企业销售信息系统带来的风险作出综合评价。[1]使用模糊数学方法来解决不确定性评价问题，其最大的特点是能够解决评估思维混乱问题，缺乏量化数据，难以确定实际评估结果。[2]企业销售信息系统风险评价是一个受诸多因素影响、各要素各有其层次的复杂过程，实践证明，该方法在信息系统风险评价中是可行的，具有较好的效果。[3]

(一)建立评估指标体系

依据国家信息系统评价规范、信息技术安全评价标准和待评价信息系统的特点，确定评价因子。评估因素可分为不同的类别，这些因素中的每一个都被称为单因素，不同类型的组合被称为一级因素，即为评估因子集合；单个评价因子可以包含一个二级评价因子，二级评价因子可以逐层分解，直到最底层变成不可分割的单一因子，从而建立多层次的信息系统评价指标体系。[4]

信息系统是一个复杂的过程，如何利用有限的资源，选择合适的项目，满足企业发展的要求，是企业成功的关键。[5]解决问题的一般方法是在发现问题之后，组织就有机会去做，组织也会受益。因此，选择正确的切入点是成功的重要一步。在获得领导支持后，定期对所有信息资产进行风险评估，发现问题和机会，提出建议，开展信息项目。[6]它的执行重点是通过风险评估来理解信息系统的现状，为制定技术实施策略和选择信息项目提供依据。将企业销售信息系统作为风险评估对象，该评估过程主要分为四个阶段，分别是评估准备阶段、风险评估阶段、风险分析阶段、采取预防措施阶段。每个阶段对应数值的输入与输出，为获取企业销售真实信息，各个阶段输出结果的精准性是尤为重要的。[7]评估过程是根据企业销售管理信息化的需要，结合模糊数学模型，对信息系统面临的风险进行评估，进而了解企业资产、销售模式的弱点、内部管理的缺陷以及信息系统的安全。通过详细数据，获取精准评估结果。[8]

(二)单因素评价

对于单因素的评价，利用子集合U中的单因子ui(i=1,2,…,n)来评价信息系统的隶属度rij，进而确定第i个因素ui的评价结果，即将其作为评价指标，所获得的标注集是标注集合的模糊子集，即标注集的模糊向量。

对于标注的模糊子集，需先确定影响信息系统安全的因素，以此描述企业销售信息系统所面对的风险，即满足：

(三)构造综合评价矩阵

通过上述评价的单因素，获取标注集的模糊向量，并将单因素的评价结果作为行，由此形成综合评价矩阵R，如下所示：

(1)

公式(1)中，R表示综合评价矩阵。

(四)确定因素重要程度模糊集

第一，成本核算的精细化管理没有相应的专业化信息系统，成本核算就不能很好的与医院系统中的数据相匹配。若是进行人工数据处理，不仅工作量大，容易出现纰漏，而且耗时较长，不利于成本精细化管理工作的实施。第二，成本核算中没有重视成本与收益平衡的管理，大部分都只看中结果而忽略过程。第三，大部分的核算方法都较为滞后，很少考查各科室的资源配备以及使用的具体情况，且没有记录。第四，医院各科室、各项目的服务都具有连带性和复杂性以及相互配合性，导致成本核算数据既庞大又杂乱，以至于无法清晰反应出成本的增加和根本问题所在，也就无法及时发现医院在成本管理中存在的问题，导致无法有效规避那些潜在的风险。

(2)

根据公式(2)，确定因素重要程度模糊集。企业销售信息系统风险是一个动态的概念，具有适用性和环境相关性。[9]第一，企业销售信息系统风险是在特定时间和特定环境下出现的，环境一旦改变，就会改变企业销售信息系统所面临的风险；第二，风险的客观性是不符合人们意愿的风险，不管人们如何看待风险，它都有其特定的规律；第三，风险虽然是可观察到的，但人们对风险的感知是一种主观行为，不同的人对风险的感知可能有很大的不同；第四，人们能够认识和衡量风险。[10-11]基于风险的客观存在，人们可以根据风险所处的环境，归纳出风险的类型、发生的条件和损失的程度。

(五)模糊评价集

由于缺少历史项目数据，领域专家会用模糊的语言，例如“不可能”“可能”等，对风险的可能性进行模糊评估，包括极不可能、不可能、中等和可能，利用该方法编制危险因子预测问卷是非常可行的。

查询概率矩阵，可以预测出下一个可能出现的状态，得到灰色马尔科夫预测模型计算值分别为0.501、0.474 7、0.482 2、0.508 1、0.531 8、0.560 9、0.569 7、0.540 7、0.529 4。

(六)基于模糊数学的风险评估模型构建与分析

采用模糊数学的思想，克服了绝对值计算的困难，对风险评价因素进行分类与定性描述。危险评估因素(如损失、威胁发生频率和利用漏洞的可能性)分为低、中、高三个层次，然后，给每一层分配一个合理的相对值，比如，可忽略对应数值1、低对应数值2、中对应数值3、高对应数值4。相关性不具有实际物理意义，但符合绝对意义。[13]举例来说，如果损失的绝对值较大，分配一个较高的级别，则相对损失较大。虽然企业销售风险仍然是三要素价值的函数，但计算值并不能代表绝对期望损失值量化方法的实际意义，但它仍然能够反映出相对意义上的风险程度，从而确定风险等级并进行相应的比较。[14]

结合模糊数学理论，以威胁为基础，建立损失、威胁频度和脆弱性相对使用概率矩阵。[15]表1为各损失相对矩阵表(注：表中级别和数值可以根据系统的实际情况进行调整)。

由表1可知，加入某一项因素所面临的风险可能会导致企业销售信息系统不安全，此时，企业销售和管理所面临的损失程度也是较为严重的，威胁出现的频率等级是高的，脆弱点对应的等级较低。为了提高评估结果精准度，亦可以设计更详细复杂的矩阵。此时，如果资产受到威胁，就会有损失。更为严重的是，这种威胁发生的频率很高，相应的漏洞被利用的可能性也很高。为达到更高的精度，可设计出更为精密和复杂的集合，如下所示：

河道受建筑物、构筑物或其他条件限制不能采用复式断面的河段，可采用梯形或矩形断面，以及梯形、矩形与复式混合断面形式。矩形或坡降很大的梯形断面，河道深度大于2.5m时，应考虑设置防护措施保护人身安全。

表1 各损失相对矩阵表

U={U1,U2,…,Un}

(3)

结合表4，可得到二级风险指标所对应的不同后果影响评价结果，如表5所示。

V={V1,V2,…,Vm}

(4)

针对量化评估集合中的不同元素种类，需确定对应的评估等级，由此得到元素量化值xi1,xi2,…,xim。将量化值进行相应处理后，可得到量化集合xi：

Step 2：风险评估

(5)

除了财务专业知识之外，财务管理人员还应具有良好的财务分析和风险预测能力。由于融资需要，部分国有企业缺乏人事管理竞争意识，导致经营和财务账户出现不良状况。

为防止全岛失电情况发生，跨海输电线路往往不可能轻易停电，加之海上作业修复难度大、耗时长的弱点，受损海底光缆线路不可能在短时间完整修复，岛屿间的电力通信只能依靠启用备用光缆或迂回光纤路由来维持支撑。备用设备和路由若在此时也发生故障，则将会致使该片区电力业务的彻底中断，触发电网安全生产事故。海缆线路施工检修作业如图4所示。

(6)

依据公式(6)中元素实际评估等级，确定评估系数，此时评估等级对应的数值为1，非实际评估等级为0，由此得到的评估等级系数子集可表示为：

对各相对量化因子，形成相应的相对量化矩阵，如果相对量化集合中各元素所建立的水平集不同，将相对量化矩阵的元素设置为0，其中1≤i≤n，1≤j≤m，即：

(7)

累积计算相对量化矩阵X和等级系数子集Z，由此可得到最终相对最化值，如公式(8)所示：

（1）The products are nice,but theprice is alittlebit high.

Y=(x,z)=trXZT

(8)

二、信息安全风险评估在企业信息销售管理中的应用

在对基于模糊数学的企业销售信息系统风险评估时，应依据评估准则，设计信息安全风险评估在企业信息销售管理中的具体应用流程，如下所示：

Step 1：评估准备

确定被评估的企业销售信息系统，分析系统中记录的历史安全数值，确定当前信息系统运行状态，获取相应安全威胁和事件的集合。

xi={xi1,xi2,…,xim}

计算不同指标，判别各个风险元素对应的模糊可能系数，进而确定风险指标体系，如表2所示。

表2 风险指标体系

由表2可知，对于风险指标体系中的各个因素，分析其对应的模糊可能性，如表3所示。

表3 风险因素对应的模糊可能性

通过对风险因素进行加权处理后，得到二级风险指标的可能性，如表4所示。

根据Morisky-Green(MG)[3]标准设计慢性荨麻疹患者治疗依从性调查问卷,主要内容包括以下四个方面①在过去的三个月内,是否有按照医嘱进行规律服药;②在过去的三个月中是否有自行更改服药剂量的行为;③当病情改善时是否自行停药;④ 当不在家时,是否曾经停药。每个问题按照总是、有时、偶尔、从不分别赋予1到4分,将四个问题的得分相加既为总分,规定总分≥12分者为依从性较好。

表4 二级风险指标的风险可能性

公式(3)中，集合不同因素，建立评估等级集合，这时对因素进行量化处理后，获取的评估等级的元素，则：

表5 各个风险对不同后果的影响评价

结合表5各个风险对不同后果的影响评价结果，获取模糊语言表，如表6所示。

2.4 关注突出成就和社会热点，培养学生的社会责任意识 生物学知识与生产、生活和社会息息相关，如健康知识、饮食常识、环保知识、遗传病的预防、吸烟的危害、转基因食品的安全问题等；生命科学的突出成就与人类的健康生活和国家的社会经济利益密切相关，如诺贝尔生理学或医学奖对维护人类健康的意义、袁隆平杂交水稻对人类社会的贡献等。教学中，教师要鼓励学生运用所学的生物学知识去参与个人和社会事务的讨论，尝试解决生活中的生物学问题，激发学生热爱自然、热爱生命、热爱生物科学、关心和维护地球生态环境的责任意识，树立建设祖国和家乡的义务感和责任感。

表6 模糊语言表

由表6可以看出，企业风险和销售业务风险的风险水平较高，因此，企业销售信息系统应将这两项作为重点展开深入研究。

Step 3：风险分析

依据上述内容，确定各项风险因素是否达到容许风险程度。如果能达到，则说明信息系统是安全的；否则，则是不安全的，进入Step4。

由于目前的企业大多属于经营权和所属权背离，所以公司的董事会与监理会需要展现其应该具备的功能，对管理阶层开展的工作实施监管，严谨预防管理阶层造假，蒙蔽审计者，导致企业在信誉层面出现亏空，同时给公司长久的发展收益带来影响。另外作为企业的董事层，需要多加入企业的人才挑选与培养，重视公司财务近期的情况的时候，针对财务部门用人机制需要严格把控，严谨防止一人多岗，岗位不划分的状况出现。

Step4：采取预防措施

与此同时nZVI在实际应用中也存在一些问题[53]：1)在其制备的过程中极易受到多种因素的影响，难以人为控制；2) nZVI颗粒比表面积巨大，在空气中非常容易被氧化从而使得其反应活性下降；或是发生团聚反应，形成亚微米级或者微米级的较大颗粒，导致其纳米材料的优势下降；3)纳米单质金属具有一定的生物毒性，且在具体应用中纳米零价铁难回收、易流失，会对周边环境形成潜在的二次污染[54].

根据威胁数值大小，制定有针对性预警和防范措施。

三、实例分析

(一)企业信息管理系统

企业信息管理是企业信息化发展的一项重要管理措施，其通过物联网设置网络服务器、交换机和防火墙，由此实现企业内部与外部之间的信息共享。通过搭建内部网络结构，实现设备自动化，有效提高企业工作效率。

企业信息管理系统网络结构，如图1所示。

由图1可知，结合网络结构，该管理系统主要存在的威胁，如表7所示。

图1 企业信息管理系统网络结构

表7 企业销售信息管理系统主要安全威胁

由表7可知，在威胁后果方面，按照标准和安全报告，大致分为系统故障、重要信息损坏和信息失窃，按照评估制度及相关标准确定详细资料。

(二)实例指标确定

设定容许风险值为0.5，对于某个企业销售信息系统，系统风险评估结果如表8所示。

表8 信息安全风险评估结果

由表8可知，Q1引起安全事件发生的概率较高，最高威胁风险值为0.68，在后两次评估过程中，变化相对平稳，下降到容许风险值范围内；Q2造成的安全事件出现概率较低，在8次评估过程中，评估结果都在容许风险值范围内，最高威胁风险值为0.36；在前2次评估过程中，Q3造成的安全事件出现概率比Q1高，最高威胁风险值为0.66,在后几次评估过程中，比Q1低，且在4～8次评估过程中，安全事件发生概率在容许风险值范围内；Q4引起安全事件发生概率比Q3低，最高威胁风险值为0.62，在4～8次评估过程中，安全事件发生概率在容许风险值范围内；Q5引起安全事件发生概率较高，大部分评估结果都超过了容许风险值范围。

(三)实例对比结果分析

依据上述确定的实例指标，分别使用定性风险评估、定量风险评估和基于模糊数学的风险评估方法，对比分析企业销售信息管理系统受到威胁后的评估结果，如图2所示。

(a)定性风险评估

(b)定量风险评估

(c)基于模糊数学的风险评估方法图2 三种方法风险评估结果对比分析

由图2可知，使用定性风险评估方法在评估次数为3次时，Q5造成的安全事件出现的概率最高，风险值为0.67；Q2造成的安全事件出现的概率较低，在8次评估过程中，评估结果都在容许风险值范围内；Q1、Q3、Q4在前4次评估过程中，威胁风险值均较高，超过了容许风险值范围。使用该方法与实例指标不一致，说明该方法评估结果不精准。

使用定量风险评估方法在评估次数为4次时，Q5造成的安全事件出现的概率最高，风险值为0.76；Q2造成的安全事件出现的概率较低，在8次评估过程中，评估结果都在容许风险值范围内；Q1、Q3、Q4在前3次评估过程中，威胁风险值均较高，超过了容许风险值范围。使用该方法与实例指标不一致，说明该方法评估结果不精准。

使用基于模糊数学的风险评估方法在评估次数为3次时，Q5引起安全事件发生的概率最高，最高威胁风险值为0.80；Q2引起安全事件发生的概率较低，在容许风险值范围内；Q4在前2次评估过程中，由最低0.2的威胁风险值快速升高到0.62，在4～8次评估过程中，威胁风险值在容许风险值范围内；Q1在前4次评估过程中，威胁风险值超过了容许风险值范围，在4～8次评估过程中，威胁风险值在容许风险值范围内；Q3前3次评估过程中，威胁风险值超过了容许风险值范围，在3～8次评估过程中，威胁风险值在容许风险值范围内。使用该方法与实例指标一致，说明该方法评估结果精准。

2. 缺乏大数据处理平台，已有数据中心亟待整合。随着大数据、云计算等技术的推广，审计机关日渐认识到大数据技术的重要性，但很多地方审计机关尚未建立大数据分析平台，数据资源闲置浪费，数据孤岛现象严峻。即使是已开展大数据处理平台建设的地方，也多以自建数据中心为出发点，存在数量多、规模小、无序发展、重建轻用、资源利用率低等现象，亟待进行资源融合。截至2015年底，我国数据中心达46.9万个，绝大部分以企业自建为主，公共服务IDC(互联网数据中心)数量仍较少。[24]

(四)实例结论

当前的情况是充分了解企业信息系统的现状，选择相应的应对措施以满足企业业务需求的过程。及早发现问题，有针对性地实施信息项目，可以为信息系统的规划、管理和控制提供事实依据，也是信息系统规划、实施和管理基础。

通过企业销售信息系统风险评估发现的问题，可以通过以下四种途径来解决：

1.降低风险

要解决组织不可接受的风险，必须采取相应的措施和机制，使之降至可以接受的范围。确定需要降低的信息项目输入风险。

2018年9月14日，农业农村部组织召开非洲猪瘟防控部际协调会议，传达学习中央领导同志重要指示批示精神，交流各部门防控工作进展，研究督查工作方案，完善联防联控协作机制。农业农村部部长韩长赋在会上强调，各有关部门要坚决贯彻党中央、国务院决策部署，充分认识加强联防联控的重要意义，高度重视，各负其责，联合行动，密切配合，共同做好非洲猪瘟防控工作。

2.规避风险

出来才发现天已经很晚了，半边天繁星闪烁，半边天乌云密布，风凉丝丝的，像是暴雨要来了。我们从白云宾馆左边的一个小巷里拐进去，好几次我想挤到前面去，想问问那个我一直没有看见的刘伟，我们这是要到哪里去，去干什么，但我跟在泰森的身后，他庞大的身体把前面挡得严严实实，试了几次都没有成功。

使用简便的方法来规避容易规避的风险，例如改变操作程序规避风险。

3.转移风险

在一些特定的风险上，发生的概率很低，但是一旦发生，这些因素会对组织造成重大影响。如无法减少或避免，在受让方同意的情况下，可采用风险转移方法。举例来说，可通过保障系统转移系统遭受自然灾害袭击的风险。

4.接受风险

由于现实和经济上的原因，在采取措施减少风险、规避风险或者在系统运行中必须存在并且必须接受的风险之后，都可以归类为可接受风险。

结束语

常规风险控制方法不能有效地解决风险评估中不确定性的影响，引入模糊数学使计算过程简化，并将数据预处理融入风险计算过程。以模糊数学为基础构建的风险评估模型，能够分析出不同因素对企业销售信息系统风险的影响程度，从而克服传统评估中数据和人为因素的不足，把它简化为自然语言，使之更客观、科学。由实例分析结果可知，该方法所得到的评价结果与实际分析结果一致。