鐵路物流信息系統安全等級評價方法的研究

張國平，張伯駒，董 偉，呂 煊

（北京慧源集運信息技術有限公司，北京 100070）

鐵路企業以不同形式開展物流業務，物流信息系統基于互聯網搭建，直接面向客戶，提供業務咨詢、物流費用計算、貨物追蹤查詢、投訴與理賠以及網上下單等物流信息服務，已經成為鐵路物流企業正常業務運作的支撐系統。

鐵路物流信息系統處于何種級別的安全防范等級，如何進行定量評價，是鐵路物流企業比較關心的問題。論文基于專家打分法、層次分析法、模糊綜合評價方法和模型，研究提出一套鐵路物流信息系統安全等級定量評價的方法和模型。

1 信息安全指標的選取分析

1.1 實體與環境安全指標

實體與環境指信息系統運行所依賴的軟硬件環境，包括計算機機房及局域網、互聯網接入、服務器及存儲、網絡設備、不間斷電源、精密空調、強電設施，以及信息系統維護人員值班的辦公場所。這些設備設施，必須滿足信息系統安全穩定運行的需要，提供系統安全監控手段和應急處理條件。可從防護措施、備用電源和自備發電機、監控系統等方面進行評估。

1.2 訪問控制指標

訪問控制是網絡安全防范和保護的主要策略，其任務是保證網絡資源不被非法使用和非法訪問。鐵路物流信息系統建立在互聯網通道上，具有開放性特征，可以與企業外部信息系統對接，改變過去信息孤島和信息不能共享的問題。伴隨著開放性的特征，如何提高系統的安全訪問水平，成為構建在互聯網通道上信息系統的共同問題。鐵路物流信息系統同樣面臨著非法訪問和網絡攻擊等問題，如何防范非法訪問，確保正當訪問是同類系統需要解決的關鍵問題。訪問控制主要包括入網訪問控制、網絡權限控制、目錄級安全控制、屬性安全控制以及服務器安全控制等因素。

1.3 安全技術指標

鐵路物流信息系統中存儲的最重要資源就是各類業務數據和客戶資料，信息安全防范的一個重要方面就是控制系統數據不被非法修改、破壞和刪除等惡意攻擊行為，數據的安全防范是信息系統安全防范的重要工作。安全技術指標包括：災難恢復技術、數據加密技術以及防病毒系統等。

2 基于模糊綜合評價法的安全性評價方法

模糊綜合評價是通過構造等級模糊子集把反映被評事物的模糊指標進行量化（即確定隸屬度），然后利用模糊變換原理對各指標綜合。

2.1 確定評價對象的因素論域

P個評價指標，因素論域u={u1, u2,…,up}。

2.2 確定評語等級論域

評語等級論域v={v1, v2,…,vp}，即等級集合。每一個等級可對應一個模糊子集。

2.3 建立模糊關系矩陣

在構造了等級模糊子集后，要逐個對被評事物從每個因素ui(i=1,2,…, p)上進行量化，即確定從單因素來看被評事物對等級模糊子集的隸屬度(R|ui)，進而得到模糊關系矩陣R：

矩陣R中第i行第j列元素rij，表示某個被評事物從因素ui來看對vj等級模糊子集的隸屬度。一個被評事物在某個因素ui方面的表現，是通過模糊向量(R|ui)={ri1,ri2,…,rim}來刻畫的，而在其他評價方法中多是由一個指標實際值來刻畫的，因此，從這個角度講模糊綜合評價要求更多的信息。

2.4 確定評價因素的權向量

在模糊綜合評價中，確定評價因素的權向量：A={a1, a2,…,ap}。權向量A中的元素a1本質上是因素ui對{對被評為事物重要的因素}模糊子集的隸屬度。本文使用層次分析法來確定評價指標間的相對重要性次序。從而確定權系數，并且在合成之前歸一化。即，ai≥0，i=1,2,…, n。

2.5 合成模糊綜合評價結果向量

利用合適的算子將A與各被評事物的R進行合成，得到各被評事物的模糊綜合評價結果向量B。即：

其中b1是由A與R的第j列運算得到的，它表示被評事物從整體上看對vj等級模糊子集的隸屬程度。

利用評價結果向量對各方案進行擇優選擇。

3 模型的應用研究

3.1 評價指標的選擇

論文選取的鐵路物流信息系統安全影響因素包括實體與環境、訪問控制、安全技術等3項指標。

3.2 權重的計算

應用層次分析法，通過信息專家評分的方式對鐵路物流信息系統安全評價模型中各個指標進行評價。對評價結果利用Matlab軟件進行計算，最終得出各指標權重如表1。

表1 安全評價模型指標權重表

通過計算可知，在整個系統中，監控系統是所有實體與環境安全措施中權重最大者（0.325 1），也就是該技術對于鐵路物流信息系統的安全性具有重要的地位，數據加密技術則是僅次于此的技術。當然，信息系統的安全側重點不同，最終得出的總的優先向量也會有所不同。

3.3 建立模糊判斷矩陣

論文選擇中鐵快運公司物流信息系統進行安全等級評價，請5位專家進行評價，得到模糊判斷矩陣R，如表2。

表2 安全評價模型模糊判斷矩陣表

通過模糊判斷矩陣與權重的乘積，計算出該鐵路物流信息系統的安全等級模糊評價結果B為（0.236 04，0.151 76，0.380 14，0.232 06，0，0，0）。

3.4 計算鐵路物流信息系統安全評價最終得分

論文選取的評價集為{100，85，70，60，50，30，0}，計算出該鐵路物流信息系統的安全等級得分為77.037，處于第2檔85分（好）與第3檔70分（較好）之間，該系統安全狀況較好。

4 結束語

論文提出了鐵路物流信息系統評價指標體系和基于模糊綜合評價法的安全評價模型，將其應用在中鐵快運物流信息系統的安全等級評價中，應用結果證明，該評價模型選取的指標因素和各指標權重比較合理，符合中鐵快運物流信息系統的實際情況，對其他鐵路物流企業的物流信息系統安全等級評價具有一定的參考價值。

[1]石淑華.計算機網絡安全技術[M]. 北京：人民郵電出版社，2008，12：201-203.

[2]張吉軍. 模糊層次分析法（FAHP）[J]. 模糊系統與數學，2000（2）.