[发明专利]一种基于界壳综合实力的企业信息系统安全评价模型

说明书

本发明公开了一种基于界壳综合实力的企业信息系统安全评价模型，包括：第一构建模块，用于根据企业信息系统防护阶段构建三层界壳防护体系；确定模块，用于根据构建的三层界壳防护体系，利用主成分分析和界壳综合实力，确定三层界壳防护体系中各评价指标权重；第二构建模块，用于根据确定的各评价指标权重，运用模糊综合评判法构建多维度企业信息系统安全评价模型。本发明能够对企业信息系统安全进行更全面的评价，有利于增强研究结果的可信性和有效性。

技术领域

本发明涉及企业信息系统安全技术领域，尤其涉及一种基于界壳综合实力的企业信息系统安全评价模型。

背景技术

IBM Security和Ponemon Institute联合发布全球2017年数据泄露成本调研报告，指出众多行业和规模企业数据泄露事件平均规模(丢失或被盗的记录条数)较往年上升1.8％，信息安全已经成为企业生产与发展的关键要素，研究企业信息系统安全具有一定的理论价值和现实意义。

大数据、云计算、人工智能、移动物联网等新型高端技术的快速发展，加速了信息在社会化大环境中的传播，企业信息系统安全评价面临新的挑战。冯登国等(云计算安全研究[J].软件学报,2011,22(1):71-83)对现有成果进行综述说明，分析了信息安全风险评估的主要内容，如评价标准、评价模型、评价发展前景等，但未提出新的评价方法。张利等(信息安全风险评估的综合评估方法综述[J].清华大学学报(自然科学版),2012(10):1364-1369)尝试性提出四种改进型信息安全综合评估的方法，并比较分析了各方法的优势，但未给出具体评价模型。赵冬梅等(基于BP神经网络的信息安全风险评估[J].计算机工程与应用，2007,43(1):139-141)运用非线性的BP神经网络方法建立信息安全评价体系，消除了人为主观影响，但样本的数量及正确性难以界定。黄启发等(基于协同学的企业信息安全综合评价模型[J].现代情报,2012,32(8):113-117)基于协同学理论，从技术、管理、制度、监管四个角度，对单个企业内部信息安全进行评价，但未说明不同行业的企业信息系统安全评价方法。H.Cholez等提出企业信息系统安全的成熟度模型，实现中小型企业信息系统安全测度，但未考虑地区因素对企业信息系统安全的影响。现有文献使用的评价方法各有偏重点，选取的评价指标涉及范围大小不一，一定程度上影响了研究结果的准确性和有效性。

在界壳理论中，物质、能量、信息通过界门与外部环境发生交换，界门控制交换的数量和种类。与耗散结构理论、控制论、一般系统理论相比，界壳理论更加重视周界对系统生存和发展的影响。目前界壳理论在自然科学、地质学和安全与管理多领域中均有应用。

因此，本发明基于界壳理论，通过挖掘企业信息系统安全影响因素，提供了一种基于界壳综合实力的企业信息系统安全评价模型。

发明内容

本发明的目的是针对现有技术的缺陷，提供了一种基于界壳综合实力的企业信息系统安全评价模型，能够对企业信息系统安全进行更全面的评价，有利于增强研究结果的可信性和有效性。

为了实现以上目的，本发明采用以下技术方案：

一种基于界壳综合实力的企业信息系统安全评价模型，包括：

第一构建模块，用于根据企业信息系统防护阶段构建三层界壳防护体系；

确定模块，用于根据构建的三层界壳防护体系，利用主成分分析和界壳综合实力，确定三层界壳防护体系中各评价指标权重；

第二构建模块，用于根据确定的各评价指标权重，运用模糊综合评判法构建多维度企业信息系统安全评价模型。

进一步的，所述第一构建模块中三层界壳防护体系包括预防信息受损外层界壳、抵抗内外部攻击中间层界壳、系统更新与维护内层界壳。

进一步的，所述确定模块中三层界壳防护体系中各评价指标包括预防信息受损外层界壳评价指标、抵抗内外部攻击中间层界壳评价指标、系统更新与维护内层界壳评价指标。