信息系统定性及定量评价方法研究.docVIP

信息系统的定性及定量评价方法研究 　　内容摘要：本文分析了信息化建设在企业发展中的作用、现状以及信息化的风险，对信息系统进行评价的意义，提出了从三个方面对信息系统进行综合评价的方法和建议。 　　关键词：信息化 风险 评价 　　 　　进入21世纪后，信息化已成为企业的中枢，左右着企业的命运。如何规避信息化带来的风险，使企业生产运作能安全、可靠、有效地运行，并给企业带来利润，正是当前各企业领导和IT研究人员关注的热点。 　　 　　规避信息化风险的意义 　　 　　信息化改造在一定程度上为提升企业竞争力做出了贡献，带来了一定的利润，提高了员工的工作效率，但也带来了一些负面影响。因此企业必须清楚，信息系统建设中的巨大投入到底能给企业带来了多大利润，投入产出比是否合适。 　　从另一个角度看，虽然信息化风险巨大，但是企业要生存、要提升竞争力，要与国际接轨，参与国际市场竞争又必须重视信息化建设。为避免信息化带来的风险，保证信息系统安全、可靠、高效地运行，企业领导必须做到从项目审批、开发、验收、运行维护等诸多方面进行审查。因此规避信息化风险、避免盲目投资、提高利用率，对企业来说具有非常重要的意义。 　　 　　信息系统综合评价方法 　　 　　信息系统安全性及评价方法 　　企业信息系统的安全性主要涉及到两方面的内容：资产安全性和数据安全性的保护程度。对资产的安全性来说主要考虑资产是否有被非法使用的可能性或已被非法使用过，由此造成的损失可能有多大；对数据的安全性主要考虑是否有错误数据产生，并确定错误的大小及其可能发生或已经发生的损失程度。 　　评价资产保护的一种方法是计算资产被破坏、盗窃或以非法目的使用所造成的预期损失。当这种损失不能确定时，可采用不同概率分布的方法进行计算。 　　如：假设因资产保护不当造成的损失，其中预期损失额为600000元的概率为0.4，损失额为800000元的概率为0.5，损失额为1000000元的概率为0.1，那么预期损失额为： 　　EL=∑Pi Li =600000×0.4+800000×0.5+1000000×0.1=740000 　　在对系统安全性进行综合评价时经常使用贝叶斯??型法。这种方法从理论上说是一种循环的过程，其操作步骤是： 　　先假设，系统的最终评估结果是：系统安全的概率p(s) =90%，系统不安全的概率p(u) =10%；肯定一个不安全的系统可能引起的费用是100000元(如法律诉讼费等) ；否定一个安全的系统可能引起的费用为5000元。 　　如果做出肯定的结论，那么可能的损失为0.9×0+0.1×100000=10000元；如果做出否定的结论，那么可能的损失为0.9×5000+0.1×0=4500元。 　　很明显，在缺乏进一步的安全证据的情况下，为使损失降到最少，一般要作出否定的决定，即认为该系统是不安全的。 　　如果有进一步的证据证明系统是安全的（即使如此，由于测试数据不可能综合完全地测试整个系统，因此系统仍有不安全的因素），而先前有不安全的结论，利用贝叶斯模型方法是： 　　P(肯定的测试结果|系统是安全的）=P(F│S)=0.8 　　P(肯定的测试结果|系统是不安全的）=P(F│U)=0.2 　　P(S│F)=P(F│S)P(S)/P(F)=P(F│S)P(S)/(P(F│S)P(S)+P(F│U)P(U))=0.8×0.9/(0.8×0.9+0.2×0.1)=0.97 　　P(U│F)=1-P(S│F)=1-0.97=0.03 　　利用这些新的百分率，可重新估算可能的损失。 　　如果所作结论是肯定的，可能的损失为 0.97×0+0.03×100000=3000元；如果所作结论是否定的，可能的损失为 0.97×5000+0.03×0=4850元。这一结论与先前结论相比较，做出肯定的结论损失减小了。 　　利用这种方法需要不断收集系统安全的新证据，不断地改变系统安全与不安全的百分比。在一般情况下，更多的信息在为我们带来更多收益的同时，也增加了为获得这些信息所付出的费用。基于这一点，对评估人员来说，必须适时地终止对证据、信息的收集活动，转而对系统做出最终的评估。 　　 　　信息系统可靠性及评价方法 　　信息系统可靠性是指系统在规定的时间内无故障运行的概率，也就是系统维持其功能和性能水平的能力。信息系统可靠性分硬件可靠性和软件可靠性。软件可靠性可以用软件可靠度、软件故障率、平均故障间隔时间、平均故障修复时间来表示。 　　定义软件可靠度的前提是：软件对象必须明确，必须指明它与其它软件的界限；软件故障必须明确；必须无硬件故障；无数据输入错误；软件运行环境和支持环境正确；根据上述条件可得到软件可靠度公式为： 　　R(n)=P {n次运行不发生