黃玥 周麗霞 蒲攀

（黑龍江大學(xué)信息管理學(xué)院，黑龍江哈爾濱150080）

基于AHP方法的我國信息安全政策方案優(yōu)化決策研究

黃玥 周麗霞 蒲攀

（黑龍江大學(xué)信息管理學(xué)院，黑龍江哈爾濱150080）

由于網(wǎng)絡(luò)化進程的不斷深入，傳統(tǒng)的信息安全政策法規(guī)已不能很好地適應(yīng)當(dāng)今社會公眾對信息安全政策法規(guī)的需求，為此，工信部于2010年起草了《信息安全條例》。本文運用層次分析法（AHP），通過對現(xiàn)行信息安全政策法規(guī)的實施績效進行評價，從而產(chǎn)生優(yōu)選方案，進而為信息安全政策法規(guī)的優(yōu)化決策提供一定的參考。

信息安全；政策；層次分析法；方案；優(yōu)化

2012年7月國務(wù)院發(fā)布了《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號），該意見將“國家信息安全保障體系基本形成”作為信息化發(fā)展的主要目標(biāo)之一［1］。近年來，隨著國內(nèi)外信息安全問題的頻繁出現(xiàn)，尤其是去年美國“棱鏡門”事件的披露，使得有關(guān)維護信息安全問題再次成為全民熱議的焦點。公共政策的制定是通過一系列行政決策實現(xiàn)的，決策的科學(xué)性、及時性、有效性不僅是公共政策制定的基礎(chǔ)，也是政府施行實行有效管理的前提和條件。鑒于我國信息安全政策法律法規(guī)的種種現(xiàn)狀及社會對信息安全法律法規(guī)的發(fā)展需求，本文采用層次分析法（AHP）對我國現(xiàn)行信息安全相關(guān)政策法規(guī)的施行績效進行定量與定性相結(jié)合的綜合評價，在此基礎(chǔ)上進行多指標(biāo)、多方案的優(yōu)化決策。

1 層次分析法（AHP）

1.1 AHP的基本思路

層次分析法的基本思路是評價者通過將復(fù)雜問題分解若干層次和若干要素，并在同一層次的各要素之間簡單地進行比較、判斷和計算，就可以得出不同替代方案的重要度，從而為選擇最優(yōu)方案提供決策支持［8］。總的來說，層次分析法最大的優(yōu)點是提出了層次本身。

AHP是美國著名運籌學(xué)家，匹茲堡大學(xué)教授托馬斯·薩帝（Thomas L.Saaty）于20世紀(jì)70年代初提出的一種層次權(quán)重決策分析方法［9］，適用于結(jié)構(gòu)較為復(fù)雜、決策準(zhǔn)則較多且不易量化的決策問題，具有高度的有效性、可靠性、簡明性和廣泛的適用性。

信息安全政策方案評價是一個多目標(biāo)、多層次、結(jié)構(gòu)復(fù)雜的過程，層次結(jié)構(gòu)分析法正是解決信息安全政策方案評價問題的有效方法。

1.2 AHP的基本步驟

（1）提出尚待決策的復(fù)雜問題，將其概念化、層次化，并選擇評判的各個標(biāo)準(zhǔn)；

（2）分析各標(biāo)準(zhǔn)、各因素間的關(guān)系，建立層次結(jié)構(gòu)模型；

（3）構(gòu)建兩兩比較的判斷矩陣；

（4）計算各因素對每一標(biāo)準(zhǔn)的相對權(quán)重；

（5）進行判斷矩陣的一致性檢驗；

（6）利用權(quán)數(shù)或特征向量求出各方案的優(yōu)劣次序。

2 基于AHP的我國信息安全政策方案優(yōu)化決策

2.1 AHP評價指標(biāo)選擇

本文假定選取已頒布的3個實施效果良好的有關(guān)信息安全的政策法規(guī)，通過AHP方法對各自實施績效進行評價，最終依據(jù)評價結(jié)果，提供得分最高的信息安全政策方案，在政府?dāng)M對有關(guān)信息安全政策內(nèi)容進行修訂時，輔助政府進行優(yōu)化決策，以使其更加適應(yīng)如今社會公眾對信息安全政策尤其是網(wǎng)絡(luò)信息安全政策的要求。

劉婷婷、馬海群在《我國信息安全政策績效評價指標(biāo)體系初探》中指出，對信息安全政策的績效評價應(yīng)該從信息安全政策效應(yīng)評價、信息安全政策效率評價和信息安全政策回應(yīng)度評價這3個方面入手，進而圍繞這3個方面來選取評價體系的評價子指標(biāo)［10］。在其隨后的研究《信息安全政策績效評價的指標(biāo)體系框架構(gòu)建》中，為了保障指標(biāo)體系的科學(xué)和理性，在構(gòu)建了20個指標(biāo)因子的指標(biāo)體系基礎(chǔ)上，采用了專家問卷法對指標(biāo)體系進行完善和優(yōu)化。問卷的發(fā)放對象主要包括了信息政策研究領(lǐng)域內(nèi)的權(quán)威專家、信息企業(yè)的負(fù)責(zé)人、信息安全政策相關(guān)的政府部門工作人員等。問卷主要采用了里克特式量表，共分為評價指標(biāo)評分和請專家對不合理指標(biāo)進行修訂的開放性問題兩個部分［11］。

現(xiàn)參照層次分析法的步驟對假定的3個信息安全政策進行基于AHP的優(yōu)化決策。依據(jù)劉婷婷、馬海群對信息安全政策績效評價指標(biāo)體系的構(gòu)建，本文根據(jù)績效評價結(jié)果進行方案的優(yōu)選，則評價指標(biāo)的選取參照其研究結(jié)果，即評價參考因素有：①接受信息安全教育培訓(xùn)的人數(shù)、成功實現(xiàn)個人信息保護的人數(shù)、成功實現(xiàn)實體信息保護的實體數(shù)目、信息保護設(shè)備的投入使用數(shù)（“目標(biāo)實現(xiàn)度”子標(biāo)準(zhǔn)）；②信息安全單位部門的建成數(shù)、信息安全相關(guān)企業(yè)平均資產(chǎn)額、信息安全相關(guān)企業(yè)平均利潤額、信息安全產(chǎn)品市場占有率（“經(jīng)濟效應(yīng)”子標(biāo)準(zhǔn)）；③對激發(fā)信息保護意愿的影響、對信息安全技術(shù)推動的影響、對社會和諧穩(wěn)定減少犯罪的影響、對人員就業(yè)的影響（“社會效應(yīng)”子標(biāo)準(zhǔn)）；④政策的成本效益比率（“經(jīng)濟效率”子標(biāo)準(zhǔn)）；⑤政策了解程度、政策滿意度、與其他政策協(xié)調(diào)性（“政府政策”子標(biāo)準(zhǔn)）；⑥政府部門的工作態(tài)度、政府部門的工作效率（“政府服務(wù)”子標(biāo)準(zhǔn)）。

將以上所有指標(biāo)概念化、層次化后，可將信息安全政策績效評價的指標(biāo)歸納為4個參考標(biāo)準(zhǔn)：（1）目標(biāo)實現(xiàn)度（包括第①項）；（2）經(jīng)濟效益（包括第②④項）；（3）政府回應(yīng)度（包括第⑤⑥項）；（4）社會效應(yīng)（包括第③項）。

2.2 層次結(jié)構(gòu)模型圖

該問題的層次結(jié)構(gòu)模型圖分為3個層次，即目標(biāo)層、標(biāo)準(zhǔn)層和決策層，如圖1所示。

圖1 信息安全政策方案優(yōu)選的層次結(jié)構(gòu)模型圖

2.3 構(gòu)建兩兩比較的判斷矩陣

以下引入相對重要性的標(biāo)度，如表1所示。

表1 相對重要性標(biāo)度

下面以單一標(biāo)準(zhǔn)——信息安全政策的“社會效應(yīng)”為例（其它標(biāo)準(zhǔn)同理），來評判3個政策，假定通過調(diào)查社會公眾和相關(guān)專家的意見得到結(jié)論，即政策A的社會效應(yīng)比政策B較好，根據(jù)表1知a12＝5；政策A比政策C非常好有余，絕對好不足，則a13＝8；政策B比政策C略好，則a23＝3。每個政策與自己比都是同等重要，則a11＝a22＝a33＝1。其余標(biāo)度則由倒數(shù)的定義得出。則兩兩比較的判斷矩陣如表2所示。

表2 兩兩比較的判斷矩陣

同理，求得在目標(biāo)實現(xiàn)度、經(jīng)濟效益及政府回應(yīng)度方面的兩兩比較的判斷矩陣如表3所示。

表3 判斷矩陣比對

2.4 各因素的相對權(quán)重

基于以上判斷矩陣，通過以下步驟求出政策A、政策B、政策C在“社會效應(yīng)”標(biāo)準(zhǔn)下的相對權(quán)重。

（1）先求出判斷矩陣每一列的總和，如表5所示。

表4 判斷矩陣各列和

（2）建立標(biāo)準(zhǔn)兩兩比較的判斷矩陣，如表5所示。

表5 標(biāo)準(zhǔn)比對判斷矩陣

（3）計算標(biāo)準(zhǔn)判斷矩陣的權(quán)重，如表6所示。

表6 標(biāo)準(zhǔn)權(quán)重計算

從表6可以看出選擇政策A、B、C的3個方案在“社會效應(yīng)”方面的權(quán)重分別為0.737，0.186，0.077，其權(quán)重之和為1。我們稱［0.737，0.186，0.077］為信息安全政策方案選擇問題中社會效應(yīng)方面的特征向量。

同理，由表3的判斷矩陣求得在目標(biāo)實現(xiàn)度、經(jīng)濟效益、政府回應(yīng)度方面的權(quán)重，即這三方面的特征向量如表7所示。

表7 標(biāo)準(zhǔn)權(quán)重分析

（4）通過標(biāo)準(zhǔn)的兩兩比較的判斷矩陣，計算每個標(biāo)準(zhǔn)在總目標(biāo)滿意的信息安全政策方案上的相對重要程度，即求得每個標(biāo)準(zhǔn)的權(quán)重，得到標(biāo)準(zhǔn)的特征向量，如表8所示。并通過以上標(biāo)準(zhǔn)的判斷矩陣，求得標(biāo)準(zhǔn)的特征向量［0.481，0.199，0.072，0.248］。

表8 標(biāo)準(zhǔn)重要程度比對

2.5 判斷矩陣的一致性檢驗

仍以選擇政策的“社會效應(yīng)”這一標(biāo)準(zhǔn)為例（其它標(biāo)準(zhǔn)同理），進行一致性檢驗，步驟如下：

（1）由被檢驗的兩兩比較的判斷矩陣乘以其特征向量，所得向量稱之為賦權(quán)和向量，在本文中即

（2）每個賦權(quán)和向量的分量分別除以對應(yīng)的特征向量的分量，本文中為：

（3）計算出第2步結(jié)果中的平均值，記為λmax，本文中為：（4）計算一致性指標(biāo)

說明：n為比較因素的數(shù)目，在本文中即為可供選擇的信息安全政策的數(shù)目3，則CI

說明：這里的RI是自由度指標(biāo)，見表9。

表9 自由度指標(biāo)RI的值

同理，通過計算“目標(biāo)實現(xiàn)度”，“經(jīng)濟效益”，“政府回應(yīng)度”以及“4個標(biāo)準(zhǔn)”的兩兩比較的判斷矩陣的一致性CR值，可得它們都小于等于0.01。因此，這些判斷矩陣都滿足一致性要求，即其相應(yīng)的特征向量都有效。

2.6 利用權(quán)數(shù)或特征向量求出各政策的優(yōu)劣次序

根據(jù)以上求出的4個標(biāo)準(zhǔn)的特征向量，以及4個在單一標(biāo)準(zhǔn)下的3個可供選擇的信息安全政策的特征向量，整理如表10所示。

表10 各元素的特征向量

利用以上權(quán)數(shù)或向量可以計算出每個政策的總得分，即總權(quán)重。

信息安全政策A在“社會效應(yīng)”中權(quán)數(shù)為0.737，而“社會效應(yīng)”在實施績效較高的信息安全政策的總目標(biāo)中所占的重要性（即權(quán)數(shù)）為0.481，故政策A由于其社會效應(yīng)情況在總目標(biāo)中的得分為0.481×0.737；同理可得政策A由于其目標(biāo)實現(xiàn)度情況在總目標(biāo)中的得分為0.199×0.123；由于其經(jīng)濟效益情況在總目標(biāo)中的得分為0.072×0.087；由于其政府回應(yīng)度情況在總目標(biāo)中的得分為0.248×0.265，則政策A在總目標(biāo)中總得分（即總權(quán)重）為0.481×0.737＋0.199×0.123＋0.072×0.087＋0.248×0.265＝0.450。同理可得政策B在總目標(biāo)中總得分為0.481×0.186＋0.199× 0.320＋0.072×0.274＋0.248×0.655＝0.335。政策C在總目標(biāo)中總得分為0.481×0.077＋0.199×0.557＋0.072× 0.639＋0.248×0.080＝0.214。

通過比較可知政策A的得分（即權(quán)重）為0.450最高，政策B的得分次之，而政策C的得分最低。故通過權(quán)衡可知，在已頒布實施的3個信息安全政策中，政策A是績效評價得分最高的方案，即最優(yōu)方案。當(dāng)政府需要對現(xiàn)行實施效果良好的信息安全政策方案進行修改執(zhí)行時，政策A將是最優(yōu)選擇，即選擇政策A能夠更高效地輔助政府進行信息安全政策方案修訂的優(yōu)化決策。

此外，根據(jù)表10中各單一標(biāo)準(zhǔn)下的權(quán)數(shù)可以看出，政策A在社會效應(yīng)方面遠遠優(yōu)于政策B和C，但在目標(biāo)實現(xiàn)度、經(jīng)濟效益方面均比政策B和C低，在政府回應(yīng)度方面處于中間位置。據(jù)此可以在對政策A進行修訂時，有一個較為明確的方向，即在提高目標(biāo)實現(xiàn)度和經(jīng)濟效益方面可以參考政策C，在加強政府回應(yīng)度方面可以參考政策B的模式。

3 結(jié)論

2010年工業(yè)和信息化部完成的《信息安全條例（報送稿）》對信息網(wǎng)絡(luò)環(huán)境下法律主體的權(quán)利、義務(wù)，各種危害網(wǎng)絡(luò)與信息系統(tǒng)安全行為等內(nèi)容作了規(guī)定［13］。2012年3月舉行的十一屆全國人大五次會議期間，王東洲等36位代表提出議案認(rèn)為，當(dāng)前信息化的發(fā)展面臨著安全問題突出、管理體制和機制改革滯后等問題。全國人大財經(jīng)委員會建議通過制定完善相關(guān)法規(guī)、規(guī)章，解決代表議案所提的問題［14］。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組召開第一次會議，習(xí)近平在會議中把網(wǎng)絡(luò)安全保障有力列為網(wǎng)絡(luò)強國戰(zhàn)略部署的目標(biāo)之一［15］。

可以看出，由于網(wǎng)絡(luò)化進程的不斷深入，傳統(tǒng)的信息安全政策法規(guī)已經(jīng)顯現(xiàn)出一定的局限性與滯后性，但是網(wǎng)絡(luò)信息安全政策法規(guī)又屬于信息政策法規(guī)的組成部分，它的制定不能完全脫離傳統(tǒng)的信息安全政策法規(guī)，因此對現(xiàn)行實施績效良好的信息安全政策法規(guī)進行適當(dāng)?shù)匮a充和完善，不失為一種行之有效的方法。本文運用AHP方法對現(xiàn)行實施績效良好的信息安全政策法規(guī)進行了優(yōu)選，可以為相關(guān)政策法規(guī)的修訂提供一定的參考。

［1］中華人民共和國國務(wù)院.國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見［Z］.2012－07－17.

［2］層次分析法［EB／OL］.http：∥baike.baidu.com／subview／364279／5071768.htm，2014－12－09.

［3］李志勇.基于AHP的數(shù)字圖書館績效評價指標(biāo)體系研究［J］.圖書館工作與研究，2012，（9）：46－48.

［4］劉婷婷，馬海群.我國信息安全政策績效評價指標(biāo)體系初探

Study on The Optimizing of Information Security Policy Based on AHP

Huang YueZhou LixiaPu Pan
（College of Information Management，Heilongjiang University，Harbin 150080，China）

Due to the deepening of the network process，the traditional information security policies and regulations were not well adapted to today's society the public demand for information security policies and regulations，to this end，the Ministry drafted the“information security regulations”in 2010.This article used the method of analytic hierarchy process（AHP），by means of evaluating the performance of the existing information security policies and regulations，so as to produce a preferred embodiment，and then provided certain reference for optimizing decision－making of information security policies and regulations.

information security policy；analytic hierarchy process；AHP；policy program optimization

10.3969／j．issn．1008－0821．2015．03．014

G203

A

1008－0821（2015）03－0077－05

2014－12－09

本文為國家社科項目“面向數(shù)字圖書館信息網(wǎng)絡(luò)傳播的政策法規(guī)研究”（項目編號：12BTQ010）階段成果。

黃癑（1988－），女，碩士研究生，研究方向：情報學(xué)理論。