網絡安全的維度與企業安全評估體系構建

曾夏玲等

中圖分類號：F49 文獻標識碼：A

內容摘要：企業對社會經濟的發展有著重要的作用，是社會經濟發展不可缺少的一部分。隨著信息化技術的發展，企業對網絡的依存度不斷增強，企業承擔了更多的網絡信息安全風險。本文從網絡安全的角度，對我國企業網絡安全體系進行分析，構建了一套多維度企業網絡安全評估體系，從而得出較全面的企業網絡安全評估結果，并提出提升企業網絡安全的策略，幫助企業規避安全風險，為我國企業的穩步發展提供保障。

關鍵詞：企業 互聯網 安全 評估 策略

“互聯網+”時代是隨著互聯網的發展而產生的一個新興的社會及商業發展階段，它促進了各種新型的互聯網創業項目及公司的誕生，越來越多的傳統企業接軌互聯網以跟上信息時代的發展。根據中國互聯網安全領袖峰會發起的國內企業信息安全調查報告顯示，企業運營已離不開互聯網，超過90%的企業完全或高度地依靠互聯網開展業務（見圖1）。根據圖2數據顯示，不同行業對互聯網的依賴程度有所不同，其中制造業對互聯網的依存度最低，但也達到了69.4%；金融、電信、IT/科技/互聯網、商業/貿易行業對互聯網的依存度最高，均超過了90%。企業的正常運營已經與網絡息息相關，對網絡的依存度也越來越高。

企業網絡安全及評估現狀

隨著信息化技術的發展，企業對互聯網高度依存，然而企業的網絡安全狀況卻不容樂觀，圖3所示是不同行業近三年發生信息安全的頻率，均超過了30%，其中電信行業發生信息安全事故的頻率已達到64%，信息安全狀況令人堪憂，對企業的運營及發展造成了很大的影響和經濟損失。

面對網絡中廣泛認知的病毒等安全威脅，雖然有70%以上的企業已有所投入，但由于投入的水平參差不齊，很難建立起有效的信息風險防范。網絡攻擊時刻發生，攻擊手段不斷變化，在安全問題上沒有一勞永逸的解決方案，信息安全建設應是一個持續的過程，需要企業建立完善的安全防護計劃。因而如何評估并構建企業網絡安全體系，發現和規避企業網絡風險，對企業的發展具有重要的指導意義。

網絡安全評估即網絡風險評估，它是評定網絡安全風險大小的過程，以確定網絡信息的風險等級和優先風險控制順序。它是企業網絡安全管理工作的一項重要措施，對網絡安全方法和信息保護措施等一系列重大決策的確定起著重要作用。

網絡安全維度下企業安全評估體系構建及對策

（一）多維度企業安全評價指標體系構建

安全維度理論即利用不同維度來評估和提升企業網絡安全的方法。網絡安全所面臨的威脅主要包括對網絡中信息的威脅和對網絡中設備的威脅，而企業網絡安全所面臨的威脅存在其特殊性，影響企業網絡安全的因素不只是來自網絡上的惡意攻擊和入侵，還包括企業內部管理制度的建立、企業員工安全防范意識的教育等多方面原因。因而本文從環境安全、管理安全、硬件安全、軟件安全、系統安全和數據安全六個維度出發，建立企業安全評價指標體系F，如表1所示。每個維度下又包含多個維度，即二級指標，這些指標是具體的技術手段和評價指標。

（二）基于模糊綜合評判的企業安全評估體系

確定評價指標的權重。權重是表示某一因素重要性的相對數值，反映了該指標在指標體系中所起作用的大小。確定各因素的權重，實際上是對所有因素的重要性進行排序，這在因素比較多時要進行重要性排序是比較困難的，如果只是對兩兩因素進行重要性比較則容易實現。權重確定的方法常用的有專家調查法、德爾菲加權法、層次分析法等，由于構建的指標體系是層次結構，因而采用層次分析法，通過同層元素兩兩比較建立模糊一致矩陣，進而通過求解權重方程組得到各層元素的權重值。