大數(shù)據(jù)背景下的網(wǎng)絡信息安全控制機制與評價體系分析

張 彭，韓 燕

（1.泰州市自然資源和規(guī)劃局，江蘇 泰州 225300；2.城市投資建設集團有限公司，江蘇 泰州 225300）

1 理論概述

1.1 大數(shù)據(jù)

大數(shù)據(jù)是依托于互聯(lián)網(wǎng)與計算機技術(shù)而誕生與發(fā)展的數(shù)據(jù)信息，數(shù)據(jù)量龐大，規(guī)模巨大，結(jié)構(gòu)多樣，難以運用常規(guī)數(shù)據(jù)處理方式進行采集、提取與儲存。大數(shù)據(jù)概念的提出意味著現(xiàn)階段的數(shù)據(jù)處理模式、信息技術(shù)框架均不同以往，要求信息處理模式采用更為智能、高效的手段從龐大海量的大數(shù)據(jù)中挖掘信息價值。

1.2 網(wǎng)絡信息安全

網(wǎng)絡信息安全具有抗否認性、可控性、可用性、保密性、完整性特征，結(jié)合我國網(wǎng)絡形勢來看，網(wǎng)絡信息安全包括四大方面，即數(shù)據(jù)安全、程序安全、系統(tǒng)安全、環(huán)境安全，可借助密碼技術(shù)、計算機科學、信息安全技術(shù)等手段強化信息數(shù)據(jù)加密、落實病毒防范、控制數(shù)據(jù)訪問，以此方可保障網(wǎng)絡信息安全性。

1.3 網(wǎng)絡信息安全控制評價

“控制”在管理學原理中屬于“管理”的職能之一，其主要由控制工具與手段、控制對象、控制者三大要素構(gòu)成，為保障控制效果，要求網(wǎng)絡信息安全控制機制職能與三大控制要素相匹配，因此，在構(gòu)建網(wǎng)絡信息安全控制機制時，需從三大控制要素入手。第一，控制者。主要指網(wǎng)絡信息安全相關主體，如網(wǎng)絡用戶、服務商、管理人員等。第二，控制對象。包括信息系統(tǒng)、數(shù)據(jù)庫、各類資源（如時間、財務等）。第三，控制工具與手段。主要指管理方法、法規(guī)調(diào)理、原則制度、組織機構(gòu)等，通過該類方式提升網(wǎng)絡信息安全控制效率。

2 基于大數(shù)據(jù)的網(wǎng)絡信息安全控制機制

2.1 核心動力：人員層

2.2.1 網(wǎng)絡用戶

網(wǎng)絡信息安全問題產(chǎn)生的根源在于網(wǎng)絡用戶行為，且保護網(wǎng)絡信息安全的本質(zhì)在于維護網(wǎng)絡用戶正當權(quán)益，因此，網(wǎng)絡用戶是網(wǎng)絡信息安全控制機制的重要主體。為強化安全控制，應對網(wǎng)絡用戶行為思維進行正確引導，培養(yǎng)用戶樹立安全意識，提醒網(wǎng)絡用戶規(guī)范自身行為，通過網(wǎng)絡用戶自我管理而減少信息安全問題的發(fā)生。網(wǎng)絡用戶缺乏安全意識是導致網(wǎng)絡信息安全問題的主要原因注意，提高網(wǎng)絡用戶安全意識則是在思想層次上構(gòu)筑安全“防火墻”，從根源處防止發(fā)生信息安全問題。在網(wǎng)絡信息安全控制機制運行期間，要求網(wǎng)絡用戶樹立信息安全意識，定期升級系統(tǒng)，安裝防火墻，對來源不明的網(wǎng)頁與軟件不可隨意打開，避免網(wǎng)絡用戶錯誤操作而引發(fā)網(wǎng)絡信息安全問題。

2.2.2 服務提供商

網(wǎng)絡信息服務提供商在整個網(wǎng)絡信息安全控制機制中屬于信息持有者及數(shù)據(jù)提供者，與網(wǎng)絡用戶不同，服務提供商擁有網(wǎng)絡信息處理主動權(quán)，在享有該主動權(quán)的同時，服務提供商還需承擔相應的安全責任。因此，為全面控制網(wǎng)絡信息安全，要求息安全管理者強化對服務提供商的管理與監(jiān)督，要求網(wǎng)絡信息服務提供商按照法律法規(guī)主動承擔與履行自身網(wǎng)絡信息安全責任，維護網(wǎng)絡用戶合法合規(guī)權(quán)益，合理開發(fā)網(wǎng)絡數(shù)據(jù)信息。

2.2.3 安全管理者

安全管理者是網(wǎng)絡信息安全控制機制最為關鍵的人員層主體，其主要采用“疏”“堵”兩種形式對網(wǎng)絡信息安全問題進行控制，要求管理者具備預防與規(guī)避網(wǎng)絡信息安全問題的能力，通過強有力的管理監(jiān)督手段降低網(wǎng)絡信息安全問題發(fā)生率。隨著大數(shù)據(jù)、信息技術(shù)在各行各業(yè)中的充分應用，互聯(lián)網(wǎng)環(huán)境與網(wǎng)絡用戶間的關聯(lián)愈發(fā)緊密，導致網(wǎng)絡信息安全問題日益復雜，在此環(huán)境下，不僅需在網(wǎng)絡信息安全問題發(fā)生后立即治理，還需在安全問題發(fā)生前做好事前疏導與安全教育，通過營造規(guī)范化網(wǎng)絡文明環(huán)境防止安全問題的發(fā)生。

2.3 環(huán)境支撐：環(huán)境層

2.3.1 網(wǎng)絡設施

網(wǎng)絡設施是否完善直接決定了網(wǎng)絡信息安全程度。在大數(shù)據(jù)時代，云計算、區(qū)塊鏈、物聯(lián)網(wǎng)等前沿技術(shù)發(fā)展迅速，網(wǎng)絡設置運算要求、承載標準日漸提升，自從5G全面商用后，網(wǎng)絡信息數(shù)據(jù)處理規(guī)模已達TB、PB、EB級，在此形勢下，如何低成本、高效率運用大數(shù)據(jù)成為網(wǎng)絡信息管理的重點，而在網(wǎng)絡信息數(shù)據(jù)管理期間，則對網(wǎng)絡設施造成了極大的運算、承載壓力。因此，為控制網(wǎng)絡信息安全問題發(fā)生，應構(gòu)建具有存儲管理海量信息的網(wǎng)絡設施（如網(wǎng)絡平臺、計算體系等）。

2.3.2 網(wǎng)絡文化

網(wǎng)絡文化可直接或間接影響網(wǎng)絡信息的傳播、獲取過程，并在潛移默化中影響網(wǎng)絡用戶行為，而在龐大的互聯(lián)網(wǎng)信息數(shù)據(jù)量中，不可避免地會存在負面思潮，如陰謀論、受害者有罪論等，人們接觸過多難辨真假的網(wǎng)絡信息后，容易在有限信息基礎上主觀解讀事件，以此產(chǎn)生負面輿論，甚至造成網(wǎng)絡暴力。該類不健康網(wǎng)絡文化對網(wǎng)絡信息安全的危害極大，因此，在構(gòu)建網(wǎng)絡信息安全控制機制期間，應注意培植健康文化。

2.3.3 政策法規(guī)

政策法規(guī)是監(jiān)督網(wǎng)絡行為、管理信息安全的標準，對網(wǎng)絡信息安全管理工作具有指導效果，可借助政策法規(guī)的強制力嚴格管控網(wǎng)絡信息安全。近年來，我國網(wǎng)絡信息安全相關的立法工作逐漸完善，如《電子簽名法》《國家安全法》《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》《互聯(lián)網(wǎng)信息服務管理辦法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》等現(xiàn)已逐步完善，在網(wǎng)絡信息安全控制管理過程中，則可依據(jù)現(xiàn)行政策法規(guī)開展管理工作，將法治化滲透到網(wǎng)絡信息安全層面上[1]。

2.4 技術(shù)支撐：技術(shù)層

技術(shù)層主要為網(wǎng)絡信息安全控制機制提供技術(shù)支撐，借助各類技術(shù)手段保障網(wǎng)絡信息安全。在大數(shù)據(jù)環(huán)境下，可從安全防護、實時監(jiān)測兩個角度控制網(wǎng)絡信息安全。安全防護技術(shù)包括加密技術(shù)、防火墻技術(shù)等，可用于提升網(wǎng)絡數(shù)據(jù)安全層次，降低網(wǎng)絡攻擊對網(wǎng)絡信息數(shù)據(jù)的危害。實時監(jiān)測技術(shù)可在較短時間內(nèi)檢測定位網(wǎng)絡系統(tǒng)漏洞，并采集黑客攻擊數(shù)據(jù)，但現(xiàn)階段實時監(jiān)測技術(shù)難以實時識別網(wǎng)絡黑客攻擊及安全風險，為保障網(wǎng)絡信息安全控制機制構(gòu)建效果，可引進安全審計技術(shù)，借助審計工作保障網(wǎng)絡數(shù)據(jù)信息安全。除此之外，還可運用數(shù)字水印技術(shù)、匿名保護技術(shù)對網(wǎng)絡用戶特征信息加以隱藏，以此實現(xiàn)隱私保護。

網(wǎng)絡信息安全控制機制離不開技術(shù)支撐，只有在技術(shù)手段作用下方可確保數(shù)據(jù)安全傳輸，避免數(shù)據(jù)信息在網(wǎng)絡通信節(jié)點傳輸過程中發(fā)生泄露或篡改。從當前網(wǎng)絡信息安全技術(shù)發(fā)展情況來看，普遍應用的網(wǎng)絡信息安全技術(shù)主要有安全審計技術(shù)、加密技術(shù)、防火墻技術(shù)、安全監(jiān)控技術(shù)等，各類技術(shù)手段相互補充、互為支撐，在多種技術(shù)手段的協(xié)同應用下構(gòu)筑一道完整堅固的網(wǎng)絡安全防護墻，因此，在后續(xù)建立網(wǎng)絡信息安全控制評價體系時，可從上述四種網(wǎng)絡信息安全技術(shù)手段入手，對四類技術(shù)應用效果進行評價判斷。

3 網(wǎng)絡信息安全控制評價體系在大數(shù)據(jù) 背景下的構(gòu)建要點

3.1 構(gòu)建評價指標

3.1.1 人員層評價指標

“人員”一級指標內(nèi)共設置三個二級指標，即網(wǎng)絡用戶、服務提供商、安全管理者，各個二級指標進一步細化，形成三級指標。第一，網(wǎng)絡用戶。從安全意識培養(yǎng)、安全教育引導、網(wǎng)絡行為約束三個角度出發(fā)，將網(wǎng)絡用戶二級評價指標細化分解為三個三級指標，分別為網(wǎng)絡用戶安全意識、安全教育、自我管理。第二，服務提供商。從數(shù)據(jù)處理行為、信息安全責任兩個角度細化分解服務提供商二級評價指標，下設提供商安全行為、安全責任兩個三級指標。第三，安全管理者。從安全素養(yǎng)、專業(yè)素養(yǎng)、技術(shù)素養(yǎng)三個角度提出三級評價指標，分別為安全管理者安全素養(yǎng)、專業(yè)程度、技術(shù)能力[2]。

3.1.2 環(huán)境層評價指標

“環(huán)境”一級指標內(nèi)共設置三個二級指標，即網(wǎng)絡設施、網(wǎng)絡文化、政策法規(guī)，各個二級指標進一步細化，形成三級指標。第一，網(wǎng)絡設施。該二級指標內(nèi)下設數(shù)據(jù)處理能力、設施承載能力兩個三級評價指標，用于強調(diào)網(wǎng)絡設施的數(shù)據(jù)挖掘能力及數(shù)據(jù)存儲傳遞效果。第二，網(wǎng)絡文化。該二級指標內(nèi)下設網(wǎng)絡文化凈化、網(wǎng)絡文化培植兩個三級指標，用于彰顯網(wǎng)絡文化與網(wǎng)絡信息安全間的關聯(lián)。第三，政策法規(guī)。該二級指標內(nèi)下設行為規(guī)范、實施標準、安全立法三個三級評價指標，力圖從規(guī)范、標準、強制力三個方面強化網(wǎng)絡信息安全控制[3]。

3.1.3 技術(shù)層評價指標

“技術(shù)”一級指標內(nèi)共設置防火墻技術(shù)、加密技術(shù)、安全監(jiān)控技術(shù)、安全審計技術(shù)四個二級評價指標，各二級指標可細化分解為三級評價指標。第一，防火墻技術(shù)。該二級評價指標可細化分解為用戶訪問權(quán)限、訪問身份鑒別、防拒絕服務攻擊、防惡意軟件四個三級指標。第二，加密技術(shù)。該二級評價指標可細化分通信加密、存儲加密兩個三級指標。第三，安全監(jiān)控技術(shù)。該二級評價指標可細化分解為數(shù)據(jù)庫訪問控制、應用系統(tǒng)訪問控制、操作系統(tǒng)訪問控制三個三級指標。第四，安全審計技術(shù)。二級評價指標可細化分解為數(shù)據(jù)庫日志審計、應用系統(tǒng)日志審計、操作系統(tǒng)日志審計、防病毒升級審計、入侵檢測控制審計五個三級指標[4]。

3.2 指標權(quán)重計算

3.2.1 權(quán)重計算思路

完成多層次網(wǎng)絡信息安全控制評價指標的設計后，需根據(jù)各項指標的重要性程度計算指標權(quán)重，此時可引入專家賦值法，選取多名網(wǎng)絡信息安全領域的專家、教授、從業(yè)人員對評價指標打分賦值，得出專家賦值結(jié)果后建立判斷矩陣，在此基礎上，應用特征向量運算完成最終評價指標權(quán)重計算工作。本次在構(gòu)建網(wǎng)絡信息安全控制評價體系時，運用積法計算評價指標權(quán)重，步驟如下。第一，歸一化處理判斷矩陣各列元素，整理各列元素一般項；第二，完成歸一化處理后，相加判矩陣各行元素；第三，對求和向量結(jié)果進行整理，該向量結(jié)果則為特征向量近似解；第四，對判斷矩陣內(nèi)最大特征根進行計算，在此基礎上計算一致性指標，根據(jù)一致性指標計算結(jié)果展開權(quán)重計算，若判斷矩陣偏離一致性指標，則需修正判斷矩陣[5]。

3.2.2 權(quán)重計算結(jié)果

對上述所提到的網(wǎng)絡信息安全控制評價指標權(quán)重計算結(jié)果進行總結(jié)，具體如下。第一，“人員”一級指標。“人員”一級指標的一級權(quán)重為0.297，網(wǎng)絡用戶、服務提供商、安全管理者的二級權(quán)重分別為0.120、0.272、0.608。第二，“環(huán)境”一級指標?！碍h(huán)境”一級指標的一級權(quán)重為0.164，網(wǎng)絡設施、網(wǎng)絡文化、政策法規(guī)的二級權(quán)重分別為0.231、0.104、0.665。第三，“技術(shù)”一級指標?！凹夹g(shù)”一級指標的一級權(quán)重為0.539，防火墻技術(shù)、加密技術(shù)、安全監(jiān)控技術(shù)、安全審計技術(shù)的二級權(quán)重均為0.250。根據(jù)各級指標的最終權(quán)重數(shù)值則可判得出各級評價指標對網(wǎng)絡信息安全控制的重要性，在實質(zhì)性網(wǎng)絡信息安全管理工作中，則可按照評價指標權(quán)重占比情況展開針對性管控，以此保障網(wǎng)絡信息安全控制效果。

4 結(jié)束語

綜上所述，人員、技術(shù)、環(huán)境是網(wǎng)絡信息安全控制關鍵要素，在構(gòu)建網(wǎng)絡信息安全控制機制時，應從上述三個角度出發(fā)，以此確保所構(gòu)建的控制機制富有實效。評價體系應與控制機制相匹配，要求各項評價指標能夠切實反映控制機制效果，此時可設置多層次、多角度的評價體系，從人員、環(huán)境、技術(shù)三個方面構(gòu)建評價指標，并根據(jù)各指標對網(wǎng)絡安全的重要程度計算權(quán)重，得出權(quán)重結(jié)果，以此方可保障網(wǎng)絡信息安全控制評價體系的完整性。■