基于ISM企业信息安全影响因素分级研究.docVIP

基于ISM企业信息安全影响因素分级研究 　　［摘要］随着我国大力推进企业信息化，企业信息安全方面出现许多问题。本文针对现阶段企业信息安全管理出现的问题，以及企业经营活动和信息化过程中可能出现的影响企业信息安全的因素进行识别和判断，通过系统工程中的ISM方法，构建企业信息安全影响因素模型，对企业信息安全影响因素进行分级，从而探析各影响因素间的关系和层级结构。 　　［关键词］ 企业信息安全；ISM；结构模型；分级 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 21. 025 　　［中图分类号］TP309 ［文献标识码］A ［文章编号］1673 - 0194（2011）21- 0043- 03 　　 　　１引言 　　国际标准化组织（ＩＳＯ）对计算机信息的安全性定义为：“为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”，而对于企业来说，其核心则是企业信息的安全。信息安全是指信息的保密性、完整性、可用性的保持［１］。随着企业信息化程度越来越高，在企业经营活动的每个阶段，都有可能存在对信息的保密性、完整性和可用性产生影响的因素。如在业务信息系统设计阶段的一个漏洞，有可能成为黑客的攻击点；由于资金问题，导致硬件设备损坏引起的信息丢失；由于合同的不完善，导致合作者或者自身员工将项目信息泄露等都会给企业造成不同程度的损失。 　　现阶段对企业信息安全的研究主要是构建企业信息安全体系和企业信息安全风险评估方面，提出企业信息安全影响因素，但未对信息安全影响因素进行深入研究。本文针对现阶段企业信息安全管理出现的问题，以及企业经营活动和信息化过程中可能出现的影响企业信息安全的因素进行识别和判断，通过系统工程中的ＩＳＭ方法，构建企业信息安全影响因素模型，对企业信息安全影响因素进行分级，分析各个影响因素间的关系以及因素间的层级结构。 　　２建立基于ＩＳＭ的企业信息安全结构模型 　　企业信息化使得信息作为企业的重要要素，贯穿于企业的每个经营管理过程，同时也加大信息安全的风险。企业信息安全受多重因素的影响，且各因素之间相互联系，相互作用，形成一个具有多层次、多联系的复杂的系统结构。在众多结构模型化技术中，解释结构模型（Iｎｔｅｒｐｒｅｔｉｖｅ Sｔｒｕｃｔｕｒａｌ Mｏｄｅｌｉｎｇ， ＩＳＭ）是当前应用最广泛的结构模型化技术之一。ＩＳＭ是将复杂的系统分解为若干子系统要素，利用人们的实践经验和知识以及计算机的帮助，最终将系统构成一个多级递阶的结构模型［２］。ＩＳＭ以定性分析为主，可以把模糊不清的思想、看法转化为直观的具有良好结构关系的模型。特别适用于变量众多、关系复杂而结构不清晰的系统分析中。通过系统工程中的ＩＳＭ方法，构建企业信息安全影响因素模型，对企业信息安全影响因素进行分级，从而探析各影响因素间的关系和层级结构。 　　２．１企业信息安全影响因素识别与确定 　　 首先组织１０位专家组成ＩＳＭ小组，其中包括企业管理专家、咨询公司顾问、高校信息化研究所研究人员，以及高校ＩＴ专业博士生，分两次进行。首先，对企业信息安全影响因素的问卷进行分析和回答，经过数次讨论，得到企业信息安全影响因素明细表（见表１）。 　　其次，各位专家对得到的企业信息安全影响因素间的逻辑关系进行分析，得出各因素间的邻接矩阵Ａ，Ａ为12阶方阵，Ａ的元素定义为： 　　ａｉｊ ＝1，si 直接影响sj0,si不直接影响sj，（ｉ，ｊ＝０，１，２，…，１1）（式２－１） 　　则Ａ ＝ 000000000000101000000000100000000000000000000000001000000000010000000000001101000000110100000000000100000000 110000110000010001000000000000111100 　　２．２ 构建可达矩阵及结构模型 　　可达矩阵就是用矩阵的形式，描述企业信息安全各个影响因素之间的可到达程度。由邻接矩阵Ａ，得到可达矩阵。根据级间划分，建立重排序的可达矩阵，将影响因素划分为不同层次，从而构建结构模型，为企业信息安全管理提供一个具有层次的、因果关系的影响因素结构框架。 　　２．２．１ 构建可达矩阵 　　可达矩阵可以由邻接矩阵Ａ求得，它表示不同因素之间存在的直接和间接的影响关系，运用布尔代数运算规则对邻接矩阵Ａ进行运算，其运算方法是： 　　Ａ１ ＝（Ａ＋Ｉ）（式２－２） 　　若Ａ１≠Ａ２≠…≠Ａｒ－１＝Ａｒ，ｒ≤ｎ－１，ｎ为矩阵阶数，则Ａｒ－１ ＝（Ａ＋Ｉ）ｒ－１ ＝Ｒ ，矩阵Ｒ为可达矩阵。由于Ｒ运算比较复杂，通过Ｍａｔｌａｂ软件计算得到： 　　Ｒ＝1