黄玥 周丽霞 蒲攀

（黑龙江大学信息管理学院，黑龙江哈尔滨150080）

基于AHP方法的我国信息安全政策方案优化决策研究

黄玥 周丽霞 蒲攀

（黑龙江大学信息管理学院，黑龙江哈尔滨150080）

由于网络化进程的不断深入，传统的信息安全政策法规已不能很好地适应当今社会公众对信息安全政策法规的需求，为此，工信部于2010年起草了《信息安全条例》。本文运用层次分析法（AHP），通过对现行信息安全政策法规的实施绩效进行评价，从而产生优选方案，进而为信息安全政策法规的优化决策提供一定的参考。

信息安全；政策；层次分析法；方案；优化

2012年7月国务院发布了《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号），该意见将“国家信息安全保障体系基本形成”作为信息化发展的主要目标之一［1］。近年来，随着国内外信息安全问题的频繁出现，尤其是去年美国“棱镜门”事件的披露，使得有关维护信息安全问题再次成为全民热议的焦点。公共政策的制定是通过一系列行政决策实现的，决策的科学性、及时性、有效性不仅是公共政策制定的基础，也是政府施行实行有效管理的前提和条件。鉴于我国信息安全政策法律法规的种种现状及社会对信息安全法律法规的发展需求，本文采用层次分析法（AHP）对我国现行信息安全相关政策法规的施行绩效进行定量与定性相结合的综合评价，在此基础上进行多指标、多方案的优化决策。

1 层次分析法（AHP）

1.1 AHP的基本思路

层次分析法的基本思路是评价者通过将复杂问题分解若干层次和若干要素，并在同一层次的各要素之间简单地进行比较、判断和计算，就可以得出不同替代方案的重要度，从而为选择最优方案提供决策支持［8］。总的来说，层次分析法最大的优点是提出了层次本身。

AHP是美国著名运筹学家，匹兹堡大学教授托马斯·萨帝（Thomas L.Saaty）于20世纪70年代初提出的一种层次权重决策分析方法［9］，适用于结构较为复杂、决策准则较多且不易量化的决策问题，具有高度的有效性、可靠性、简明性和广泛的适用性。

信息安全政策方案评价是一个多目标、多层次、结构复杂的过程，层次结构分析法正是解决信息安全政策方案评价问题的有效方法。

1.2 AHP的基本步骤

（1）提出尚待决策的复杂问题，将其概念化、层次化，并选择评判的各个标准；

（2）分析各标准、各因素间的关系，建立层次结构模型；

（3）构建两两比较的判断矩阵；

（4）计算各因素对每一标准的相对权重；

（5）进行判断矩阵的一致性检验；

（6）利用权数或特征向量求出各方案的优劣次序。

2 基于AHP的我国信息安全政策方案优化决策

2.1 AHP评价指标选择

本文假定选取已颁布的3个实施效果良好的有关信息安全的政策法规，通过AHP方法对各自实施绩效进行评价，最终依据评价结果，提供得分最高的信息安全政策方案，在政府拟对有关信息安全政策内容进行修订时，辅助政府进行优化决策，以使其更加适应如今社会公众对信息安全政策尤其是网络信息安全政策的要求。

刘婷婷、马海群在《我国信息安全政策绩效评价指标体系初探》中指出，对信息安全政策的绩效评价应该从信息安全政策效应评价、信息安全政策效率评价和信息安全政策回应度评价这3个方面入手，进而围绕这3个方面来选取评价体系的评价子指标［10］。在其随后的研究《信息安全政策绩效评价的指标体系框架构建》中，为了保障指标体系的科学和理性，在构建了20个指标因子的指标体系基础上，采用了专家问卷法对指标体系进行完善和优化。问卷的发放对象主要包括了信息政策研究领域内的权威专家、信息企业的负责人、信息安全政策相关的政府部门工作人员等。问卷主要采用了里克特式量表，共分为评价指标评分和请专家对不合理指标进行修订的开放性问题两个部分［11］。

现参照层次分析法的步骤对假定的3个信息安全政策进行基于AHP的优化决策。依据刘婷婷、马海群对信息安全政策绩效评价指标体系的构建，本文根据绩效评价结果进行方案的优选，则评价指标的选取参照其研究结果，即评价参考因素有：①接受信息安全教育培训的人数、成功实现个人信息保护的人数、成功实现实体信息保护的实体数目、信息保护设备的投入使用数（“目标实现度”子标准）；②信息安全单位部门的建成数、信息安全相关企业平均资产额、信息安全相关企业平均利润额、信息安全产品市场占有率（“经济效应”子标准）；③对激发信息保护意愿的影响、对信息安全技术推动的影响、对社会和谐稳定减少犯罪的影响、对人员就业的影响（“社会效应”子标准）；④政策的成本效益比率（“经济效率”子标准）；⑤政策了解程度、政策满意度、与其他政策协调性（“政府政策”子标准）；⑥政府部门的工作态度、政府部门的工作效率（“政府服务”子标准）。

将以上所有指标概念化、层次化后，可将信息安全政策绩效评价的指标归纳为4个参考标准：（1）目标实现度（包括第①项）；（2）经济效益（包括第②④项）；（3）政府回应度（包括第⑤⑥项）；（4）社会效应（包括第③项）。

2.2 层次结构模型图

该问题的层次结构模型图分为3个层次，即目标层、标准层和决策层，如图1所示。

图1 信息安全政策方案优选的层次结构模型图

2.3 构建两两比较的判断矩阵

以下引入相对重要性的标度，如表1所示。

表1 相对重要性标度

下面以单一标准——信息安全政策的“社会效应”为例（其它标准同理），来评判3个政策，假定通过调查社会公众和相关专家的意见得到结论，即政策A的社会效应比政策B较好，根据表1知a12＝5；政策A比政策C非常好有余，绝对好不足，则a13＝8；政策B比政策C略好，则a23＝3。每个政策与自己比都是同等重要，则a11＝a22＝a33＝1。其余标度则由倒数的定义得出。则两两比较的判断矩阵如表2所示。

表2 两两比较的判断矩阵

同理，求得在目标实现度、经济效益及政府回应度方面的两两比较的判断矩阵如表3所示。

表3 判断矩阵比对

2.4 各因素的相对权重

基于以上判断矩阵，通过以下步骤求出政策A、政策B、政策C在“社会效应”标准下的相对权重。

（1）先求出判断矩阵每一列的总和，如表5所示。

表4 判断矩阵各列和

（2）建立标准两两比较的判断矩阵，如表5所示。

表5 标准比对判断矩阵

（3）计算标准判断矩阵的权重，如表6所示。

表6 标准权重计算

从表6可以看出选择政策A、B、C的3个方案在“社会效应”方面的权重分别为0.737，0.186，0.077，其权重之和为1。我们称［0.737，0.186，0.077］为信息安全政策方案选择问题中社会效应方面的特征向量。

同理，由表3的判断矩阵求得在目标实现度、经济效益、政府回应度方面的权重，即这三方面的特征向量如表7所示。

表7 标准权重分析

（4）通过标准的两两比较的判断矩阵，计算每个标准在总目标满意的信息安全政策方案上的相对重要程度，即求得每个标准的权重，得到标准的特征向量，如表8所示。并通过以上标准的判断矩阵，求得标准的特征向量［0.481，0.199，0.072，0.248］。

表8 标准重要程度比对

2.5 判断矩阵的一致性检验

仍以选择政策的“社会效应”这一标准为例（其它标准同理），进行一致性检验，步骤如下：

（1）由被检验的两两比较的判断矩阵乘以其特征向量，所得向量称之为赋权和向量，在本文中即

（2）每个赋权和向量的分量分别除以对应的特征向量的分量，本文中为：

（3）计算出第2步结果中的平均值，记为λmax，本文中为：（4）计算一致性指标

说明：n为比较因素的数目，在本文中即为可供选择的信息安全政策的数目3，则CI

说明：这里的RI是自由度指标，见表9。

表9 自由度指标RI的值

同理，通过计算“目标实现度”，“经济效益”，“政府回应度”以及“4个标准”的两两比较的判断矩阵的一致性CR值，可得它们都小于等于0.01。因此，这些判断矩阵都满足一致性要求，即其相应的特征向量都有效。

2.6 利用权数或特征向量求出各政策的优劣次序

根据以上求出的4个标准的特征向量，以及4个在单一标准下的3个可供选择的信息安全政策的特征向量，整理如表10所示。

表10 各元素的特征向量

利用以上权数或向量可以计算出每个政策的总得分，即总权重。

信息安全政策A在“社会效应”中权数为0.737，而“社会效应”在实施绩效较高的信息安全政策的总目标中所占的重要性（即权数）为0.481，故政策A由于其社会效应情况在总目标中的得分为0.481×0.737；同理可得政策A由于其目标实现度情况在总目标中的得分为0.199×0.123；由于其经济效益情况在总目标中的得分为0.072×0.087；由于其政府回应度情况在总目标中的得分为0.248×0.265，则政策A在总目标中总得分（即总权重）为0.481×0.737＋0.199×0.123＋0.072×0.087＋0.248×0.265＝0.450。同理可得政策B在总目标中总得分为0.481×0.186＋0.199× 0.320＋0.072×0.274＋0.248×0.655＝0.335。政策C在总目标中总得分为0.481×0.077＋0.199×0.557＋0.072× 0.639＋0.248×0.080＝0.214。

通过比较可知政策A的得分（即权重）为0.450最高，政策B的得分次之，而政策C的得分最低。故通过权衡可知，在已颁布实施的3个信息安全政策中，政策A是绩效评价得分最高的方案，即最优方案。当政府需要对现行实施效果良好的信息安全政策方案进行修改执行时，政策A将是最优选择，即选择政策A能够更高效地辅助政府进行信息安全政策方案修订的优化决策。

此外，根据表10中各单一标准下的权数可以看出，政策A在社会效应方面远远优于政策B和C，但在目标实现度、经济效益方面均比政策B和C低，在政府回应度方面处于中间位置。据此可以在对政策A进行修订时，有一个较为明确的方向，即在提高目标实现度和经济效益方面可以参考政策C，在加强政府回应度方面可以参考政策B的模式。

3 结论

2010年工业和信息化部完成的《信息安全条例（报送稿）》对信息网络环境下法律主体的权利、义务，各种危害网络与信息系统安全行为等内容作了规定［13］。2012年3月举行的十一届全国人大五次会议期间，王东洲等36位代表提出议案认为，当前信息化的发展面临着安全问题突出、管理体制和机制改革滞后等问题。全国人大财经委员会建议通过制定完善相关法规、规章，解决代表议案所提的问题［14］。2014年2月27日，中央网络安全和信息化领导小组召开第一次会议，习近平在会议中把网络安全保障有力列为网络强国战略部署的目标之一［15］。

可以看出，由于网络化进程的不断深入，传统的信息安全政策法规已经显现出一定的局限性与滞后性，但是网络信息安全政策法规又属于信息政策法规的组成部分，它的制定不能完全脱离传统的信息安全政策法规，因此对现行实施绩效良好的信息安全政策法规进行适当地补充和完善，不失为一种行之有效的方法。本文运用AHP方法对现行实施绩效良好的信息安全政策法规进行了优选，可以为相关政策法规的修订提供一定的参考。

［1］中华人民共和国国务院.国务院关于大力推进信息化发展和切实保障信息安全的若干意见［Z］.2012－07－17.

［2］层次分析法［EB／OL］.http：∥baike.baidu.com／subview／364279／5071768.htm，2014－12－09.

［3］李志勇.基于AHP的数字图书馆绩效评价指标体系研究［J］.图书馆工作与研究，2012，（9）：46－48.

［4］刘婷婷，马海群.我国信息安全政策绩效评价指标体系初探

Study on The Optimizing of Information Security Policy Based on AHP

Huang YueZhou LixiaPu Pan
（College of Information Management，Heilongjiang University，Harbin 150080，China）

Due to the deepening of the network process，the traditional information security policies and regulations were not well adapted to today's society the public demand for information security policies and regulations，to this end，the Ministry drafted the“information security regulations”in 2010.This article used the method of analytic hierarchy process（AHP），by means of evaluating the performance of the existing information security policies and regulations，so as to produce a preferred embodiment，and then provided certain reference for optimizing decision－making of information security policies and regulations.

information security policy；analytic hierarchy process；AHP；policy program optimization

10.3969／j．issn．1008－0821．2015．03．014

G203

A

1008－0821（2015）03－0077－05

2014－12－09

本文为国家社科项目“面向数字图书馆信息网络传播的政策法规研究”（项目编号：12BTQ010）阶段成果。

黄癑（1988－），女，硕士研究生，研究方向：情报学理论。