李婉+周金明+杨认真

摘要：大数据时代的信息安全水平的测度与评价，对企业信息安全体系建设以及提高企业信息化水平极为重要。针对大数据环境下的企业信息安全管理体系进行分析和研究，发现国内企业在大数据安全管理方面仍然存在不足之处。文章旨在探索信息安全水体系的构建，研究大数据安全管理体系的评价及信息安全风险对策。以NH公司为例，分层分析并构建评价模型，进而模型求解得到最终评价结果。通过实例说明方法的有效性和可行性。

Abstract： The measurement and evaluation of information security level in big data age is very important to the construction of enterprise information security system and the improvement of enterprise informatization level. According to the analysis and research of the enterprise information security management system under the big data environment， it is found that the domestic enterprises still have shortcomings in the big data security management. The article aims to explore the construction of information security water system， study the evaluation of big data security management system and information security risk countermeasures. Taking NH Company as an example， the evaluation model is analyzed and constructed， and then the final evaluation result is obtained by solving the model. The effectiveness and feasibility of the method are illustrated by an example.

关键词：大数据；信息安全；管理体系；层次分析

Key words： large data；information security；management system；AHP

中图分类号：TP309 文献标识码：A 文章编号：1006-4311（2017）34-0058-03

0 引言

“大数据”为企业开辟了一个解决问题的新路径，比如通过数据可以深度挖潜利益相关者的思维模式和喜好，并将其转化成企業独有的经营方式。单靠积累的经验或直接推断做出决策往往比较主观，无法保证每一项决策都精准无误，而基于海量的数据、信息做出的管理决策，科学性和可行性更高[1]。

然而，企业为了提高自身竞争力，利用信息系统存储大数据，通过信息手段更加科学地维护企业内部信息安全、完整，基于海量的数据信息不断改进经营决策，这对企业运营效率的提升大有裨益。但是，企业必须在使用信息系统的过程中引入各种措施对系统中的数据加强安保[2，3]。如今网络系统中存在病毒感染、黑客入侵等各种网络安全问题，企业核心数据信息一旦遭到非法入侵，所造成的经济损失和名誉损失往往是不可估量的。对企业而言，维护数据安全无疑是日常经营管理工作的重点内容[4]。我国企业的信息安全问题主要表现在：企业重视不足；缺少长远目标规划；信息安全制度的缺失；信息安全管理人才的流失；企业的信息化人才匮乏，在建设大数据系统的进程中，没有给企业的信息安全管理人员足够的培养平台；信息安全评估体系不够完善。

1 大数据环境下企业信息安全水平评价体系构建

综合评价指标体系的构建需满足科学性原则、系统优化原则、通用可比原则、实用性原则和目标导向原则等原则[5]，基于大数据背景和数据信息风险的来源构建企业信息安全评价指标体系（见表1）。

2 大数据环境下企业信息安全水平评价模型的构建

2.1 企业信息安全评价方法的确定

针对企业信息安全水平的评价，采用层次分析法确定二级指标的权重，分别对各项指标的打分，最终得到企业信息安全评价结果。层次分析法主要是通过定性或量化的手段来处理各种不确定性因素，以此进一步提升安全管理水平[6]。

①分层分析处理各种因素，并将现有信息资源构造成树状结构的层次结构模型。各层次之间的各因素通常有的具有关联性，但是也有不相关联的，且每个层次的因素个数也未必相同。

②构造判断矩阵。构造判断矩阵是重要环节，需要对同一层次的各因素进行两两对比，比较时，应尽量避免不同性质的因素相互比较。同时，应根据具体实际情况，降低主观因素的造成的不客观影响。设n个因素C1，C2，…， Cn。对上一层O的影响程度。对任意两个因素Ci和Cj，用aij表示Ci和Cj对O的影响程度之比，按1～9的比例标度来度量aij（i，j=1，2，...，n）。比例标度采用1～9九个等级。若判断矩阵A的元素满足aik akj=aij，（i，j，k=1，2，…，n），则A为一致性矩阵。

③权重向量确定。将A的各列（或行）向量求几何平均后归一化，可以近似作为权重，即

ui=，（i=1，2，…，n）

④一致性检验。一般情况下，需要对判断矩阵进行一致性检验，并不是所有从实际中得到的判断矩阵都是一致的，一致性的程度应在容许的范围内。endprint

2.2 NH公司的信息安全评价

根据对企业信息安全评价指标体系的构成分析，本文应用层次分析法和安全检查表法对NH公司的信息安全进行评价。首先，通过层次分析法得到体系中各项二级指标的权重，再通过安全检查表法对体系中的各项二级指标打分，最终得出NH公司的综合信息安全评价结果。

邀请10位专家进行打分，进而确定评价指标体系中的二级指标的相对重要性。评分标准为：非常重要（7）、重要（5）、稍微重要（3）、同样重要（1），由于专家在评选的过程中存在不可避免的主观因素，专家应尽可能保持客观且相互独立完成，必要时要进行二次打分。所得打分结果经整理后得到判断矩阵（见表2）。以安全管理机构为例说明模型求解结果及权重的确定。

计算几何平均值得：M11=1.8860，M12=0.5302，M13=1.2009，M14=0.7873，M15=0.8807，M16=1.2009

则各指标的权重为：

u1=（0.291，0.082，0.185，0.121，0.136，0.185）

因此，

W1=（0.239， 0.933， 1.139， 1.266， 1.005， 0.782），λmax=8.046

其中，CI=（λmax-n）/（n-1）=0.022。当n=6时，RI=1.26，CR=CI/RI=0.017<0.10，一致性通过，可以认为安全管理机构二级指标重要程度判断矩阵具有可以接受的满意一致性。

同法，依上述方案的步骤分别可得NH公司其他各项指标的权重向量（见表3）。

2.3 信息安全体系二级指标的评价

评价过程中，笔者采用安全检查表方法对NH公司的信息安全体系进行评价。评分采用10分制，参与评价的工作人员由对各项指标熟悉的工人、工作技术人员及管理人员组成。根据NH公司信息安全体系二级指标权重的确定和评分结果，运用WAA算法得到该体系各项一级指标的总体评价结果（见表4）。

3 結束语

大数据安全体系必须依靠先进的安全技术策略才得以实现，安全技术策略是针对信息系统加强安全防护的主要路径。可靠的安全防御技术是实施安全管理策略的重要载体，它能有效提高信息安全防御水平。在构建信息安全防御体系的过程中，企业应该针对内部成员推出严格的数据保密制度，重点强调安全策略，同时引入有较高职业素养和安全管理技能的专业人才，确保信息安全管理制度能够得到有效落实，从而提高企业大数据信息安全水平。

参考文献：

[1]程刚.企业信息服务水平评价体系研究[J].图书情报工作，2010（18）：76-80.

[2]黄启发，宋彪.基于协同学的企业信息安全综合评价模型[J].现代情报，2012（08）：113-117.

[3]林正奎.基于VaR-Copula的信息安全评价模型研究[J].数学的实践与认识，2012（08）：85-90.

[4]尹淋雨.大数据环境下企业信息安全水平综合评价模型研究[D].安徽财经大学，2015.

[5]王雪涛，袁文秀.基于大数据的企业信息安全影响因素实证研究[J].情报探索，2016（07）：30-34，40.

[6]徐建中，马瑞先.基于AHP的企业循环经济发展水平灰色综合评价研究[J].科技管理研究，2008（04）：46-49.endprint