伍 威

(廣州華南商貿(mào)職業(yè)學(xué)院， 廣東 廣州 510000)

引言

企業(yè)銷售信息系統(tǒng)的安全是一個(gè)系統(tǒng)工程，單純依靠人工措施來(lái)防范威脅是無(wú)法從根本上解決信息系統(tǒng)安全這一問(wèn)題的。因此，需構(gòu)建一個(gè)安全系統(tǒng)，對(duì)其進(jìn)行全面的控制和管理。在整個(gè)信息系統(tǒng)中，傳遞和存儲(chǔ)信息的處理、傳遞和存儲(chǔ)是企業(yè)銷售信息安全傳輸?shù)年P(guān)鍵環(huán)節(jié)，需在安全環(huán)境下進(jìn)行，是保障企業(yè)銷售信息系統(tǒng)的關(guān)鍵，也是保障系統(tǒng)安全的重要依據(jù)。當(dāng)前，急需解決的主要問(wèn)題是，對(duì)企業(yè)銷售信息系統(tǒng)進(jìn)行安全評(píng)估，分析信息正確性、信息系統(tǒng)的威脅和信息系統(tǒng)的實(shí)際使用情況。常規(guī)的企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法主要有兩種：張明慧[1]提出了一種定性風(fēng)險(xiǎn)評(píng)估方法，借助于專家對(duì)事物的經(jīng)驗(yàn)，找出信息系統(tǒng)中的風(fēng)險(xiǎn)因素，并針對(duì)這些風(fēng)險(xiǎn)因素提出解決方法和糾正措施。然而，對(duì)風(fēng)險(xiǎn)評(píng)價(jià)是將系統(tǒng)中的各個(gè)風(fēng)險(xiǎn)因素分別進(jìn)行評(píng)價(jià)，忽視了對(duì)整個(gè)系統(tǒng)的安全性評(píng)價(jià)，難以確定系統(tǒng)的綜合風(fēng)險(xiǎn)水平。詹雄[2]提出了一種定量風(fēng)險(xiǎn)評(píng)估方法，該方法是根據(jù)我國(guó)構(gòu)建的數(shù)學(xué)模型，利用科學(xué)技術(shù)對(duì)同類和類似企業(yè)銷售信息系統(tǒng)進(jìn)行定量分析。然而，該方法主觀性很強(qiáng)，無(wú)法精準(zhǔn)判斷不同風(fēng)險(xiǎn)對(duì)企業(yè)銷售所帶來(lái)的影響。為了解決這些問(wèn)題，提出了基于模糊數(shù)學(xué)的企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法。

一、基于模糊數(shù)學(xué)的企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

全面考慮模糊數(shù)學(xué)中的線性變換原理與隸屬度，對(duì)各種因素給企業(yè)銷售信息系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)作出綜合評(píng)價(jià)。[1]使用模糊數(shù)學(xué)方法來(lái)解決不確定性評(píng)價(jià)問(wèn)題，其最大的特點(diǎn)是能夠解決評(píng)估思維混亂問(wèn)題，缺乏量化數(shù)據(jù)，難以確定實(shí)際評(píng)估結(jié)果。[2]企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)是一個(gè)受諸多因素影響、各要素各有其層次的復(fù)雜過(guò)程，實(shí)踐證明，該方法在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)中是可行的，具有較好的效果。[3]

(一)建立評(píng)估指標(biāo)體系

依據(jù)國(guó)家信息系統(tǒng)評(píng)價(jià)規(guī)范、信息技術(shù)安全評(píng)價(jià)標(biāo)準(zhǔn)和待評(píng)價(jià)信息系統(tǒng)的特點(diǎn)，確定評(píng)價(jià)因子。評(píng)估因素可分為不同的類別，這些因素中的每一個(gè)都被稱為單因素，不同類型的組合被稱為一級(jí)因素，即為評(píng)估因子集合；單個(gè)評(píng)價(jià)因子可以包含一個(gè)二級(jí)評(píng)價(jià)因子，二級(jí)評(píng)價(jià)因子可以逐層分解，直到最底層變成不可分割的單一因子，從而建立多層次的信息系統(tǒng)評(píng)價(jià)指標(biāo)體系。[4]

信息系統(tǒng)是一個(gè)復(fù)雜的過(guò)程，如何利用有限的資源，選擇合適的項(xiàng)目，滿足企業(yè)發(fā)展的要求，是企業(yè)成功的關(guān)鍵。[5]解決問(wèn)題的一般方法是在發(fā)現(xiàn)問(wèn)題之后，組織就有機(jī)會(huì)去做，組織也會(huì)受益。因此，選擇正確的切入點(diǎn)是成功的重要一步。在獲得領(lǐng)導(dǎo)支持后，定期對(duì)所有信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)問(wèn)題和機(jī)會(huì)，提出建議，開(kāi)展信息項(xiàng)目。[6]它的執(zhí)行重點(diǎn)是通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)理解信息系統(tǒng)的現(xiàn)狀，為制定技術(shù)實(shí)施策略和選擇信息項(xiàng)目提供依據(jù)。將企業(yè)銷售信息系統(tǒng)作為風(fēng)險(xiǎn)評(píng)估對(duì)象，該評(píng)估過(guò)程主要分為四個(gè)階段，分別是評(píng)估準(zhǔn)備階段、風(fēng)險(xiǎn)評(píng)估階段、風(fēng)險(xiǎn)分析階段、采取預(yù)防措施階段。每個(gè)階段對(duì)應(yīng)數(shù)值的輸入與輸出，為獲取企業(yè)銷售真實(shí)信息，各個(gè)階段輸出結(jié)果的精準(zhǔn)性是尤為重要的。[7]評(píng)估過(guò)程是根據(jù)企業(yè)銷售管理信息化的需要，結(jié)合模糊數(shù)學(xué)模型，對(duì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估，進(jìn)而了解企業(yè)資產(chǎn)、銷售模式的弱點(diǎn)、內(nèi)部管理的缺陷以及信息系統(tǒng)的安全。通過(guò)詳細(xì)數(shù)據(jù)，獲取精準(zhǔn)評(píng)估結(jié)果。[8]

(二)單因素評(píng)價(jià)

對(duì)于單因素的評(píng)價(jià)，利用子集合U中的單因子ui(i=1,2,…,n)來(lái)評(píng)價(jià)信息系統(tǒng)的隸屬度rij，進(jìn)而確定第i個(gè)因素ui的評(píng)價(jià)結(jié)果，即將其作為評(píng)價(jià)指標(biāo)，所獲得的標(biāo)注集是標(biāo)注集合的模糊子集，即標(biāo)注集的模糊向量。

對(duì)于標(biāo)注的模糊子集，需先確定影響信息系統(tǒng)安全的因素，以此描述企業(yè)銷售信息系統(tǒng)所面對(duì)的風(fēng)險(xiǎn)，即滿足：

(三)構(gòu)造綜合評(píng)價(jià)矩陣

通過(guò)上述評(píng)價(jià)的單因素，獲取標(biāo)注集的模糊向量，并將單因素的評(píng)價(jià)結(jié)果作為行，由此形成綜合評(píng)價(jià)矩陣R，如下所示：

(1)

公式(1)中，R表示綜合評(píng)價(jià)矩陣。

(四)確定因素重要程度模糊集

第一，成本核算的精細(xì)化管理沒(méi)有相應(yīng)的專業(yè)化信息系統(tǒng)，成本核算就不能很好的與醫(yī)院系統(tǒng)中的數(shù)據(jù)相匹配。若是進(jìn)行人工數(shù)據(jù)處理，不僅工作量大，容易出現(xiàn)紕漏，而且耗時(shí)較長(zhǎng)，不利于成本精細(xì)化管理工作的實(shí)施。第二，成本核算中沒(méi)有重視成本與收益平衡的管理，大部分都只看中結(jié)果而忽略過(guò)程。第三，大部分的核算方法都較為滯后，很少考查各科室的資源配備以及使用的具體情況，且沒(méi)有記錄。第四，醫(yī)院各科室、各項(xiàng)目的服務(wù)都具有連帶性和復(fù)雜性以及相互配合性，導(dǎo)致成本核算數(shù)據(jù)既龐大又雜亂，以至于無(wú)法清晰反應(yīng)出成本的增加和根本問(wèn)題所在，也就無(wú)法及時(shí)發(fā)現(xiàn)醫(yī)院在成本管理中存在的問(wèn)題，導(dǎo)致無(wú)法有效規(guī)避那些潛在的風(fēng)險(xiǎn)。

(2)

根據(jù)公式(2)，確定因素重要程度模糊集。企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)是一個(gè)動(dòng)態(tài)的概念，具有適用性和環(huán)境相關(guān)性。[9]第一，企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)是在特定時(shí)間和特定環(huán)境下出現(xiàn)的，環(huán)境一旦改變，就會(huì)改變企業(yè)銷售信息系統(tǒng)所面臨的風(fēng)險(xiǎn)；第二，風(fēng)險(xiǎn)的客觀性是不符合人們意愿的風(fēng)險(xiǎn)，不管人們?nèi)绾慰创L(fēng)險(xiǎn)，它都有其特定的規(guī)律；第三，風(fēng)險(xiǎn)雖然是可觀察到的，但人們對(duì)風(fēng)險(xiǎn)的感知是一種主觀行為，不同的人對(duì)風(fēng)險(xiǎn)的感知可能有很大的不同；第四，人們能夠認(rèn)識(shí)和衡量風(fēng)險(xiǎn)。[10-11]基于風(fēng)險(xiǎn)的客觀存在，人們可以根據(jù)風(fēng)險(xiǎn)所處的環(huán)境，歸納出風(fēng)險(xiǎn)的類型、發(fā)生的條件和損失的程度。

(五)模糊評(píng)價(jià)集

由于缺少歷史項(xiàng)目數(shù)據(jù)，領(lǐng)域?qū)＜視?huì)用模糊的語(yǔ)言，例如“不可能”“可能”等，對(duì)風(fēng)險(xiǎn)的可能性進(jìn)行模糊評(píng)估，包括極不可能、不可能、中等和可能，利用該方法編制危險(xiǎn)因子預(yù)測(cè)問(wèn)卷是非?？尚械摹?/p>

查詢概率矩陣，可以預(yù)測(cè)出下一個(gè)可能出現(xiàn)的狀態(tài)，得到灰色馬爾科夫預(yù)測(cè)模型計(jì)算值分別為0.501、0.474 7、0.482 2、0.508 1、0.531 8、0.560 9、0.569 7、0.540 7、0.529 4。

(六)基于模糊數(shù)學(xué)的風(fēng)險(xiǎn)評(píng)估模型構(gòu)建與分析

采用模糊數(shù)學(xué)的思想，克服了絕對(duì)值計(jì)算的困難，對(duì)風(fēng)險(xiǎn)評(píng)價(jià)因素進(jìn)行分類與定性描述。危險(xiǎn)評(píng)估因素(如損失、威脅發(fā)生頻率和利用漏洞的可能性)分為低、中、高三個(gè)層次，然后，給每一層分配一個(gè)合理的相對(duì)值，比如，可忽略對(duì)應(yīng)數(shù)值1、低對(duì)應(yīng)數(shù)值2、中對(duì)應(yīng)數(shù)值3、高對(duì)應(yīng)數(shù)值4。相關(guān)性不具有實(shí)際物理意義，但符合絕對(duì)意義。[13]舉例來(lái)說(shuō)，如果損失的絕對(duì)值較大，分配一個(gè)較高的級(jí)別，則相對(duì)損失較大。雖然企業(yè)銷售風(fēng)險(xiǎn)仍然是三要素價(jià)值的函數(shù)，但計(jì)算值并不能代表絕對(duì)期望損失值量化方法的實(shí)際意義，但它仍然能夠反映出相對(duì)意義上的風(fēng)險(xiǎn)程度，從而確定風(fēng)險(xiǎn)等級(jí)并進(jìn)行相應(yīng)的比較。[14]

結(jié)合模糊數(shù)學(xué)理論，以威脅為基礎(chǔ)，建立損失、威脅頻度和脆弱性相對(duì)使用概率矩陣。[15]表1為各損失相對(duì)矩陣表(注：表中級(jí)別和數(shù)值可以根據(jù)系統(tǒng)的實(shí)際情況進(jìn)行調(diào)整)。

由表1可知，加入某一項(xiàng)因素所面臨的風(fēng)險(xiǎn)可能會(huì)導(dǎo)致企業(yè)銷售信息系統(tǒng)不安全，此時(shí)，企業(yè)銷售和管理所面臨的損失程度也是較為嚴(yán)重的，威脅出現(xiàn)的頻率等級(jí)是高的，脆弱點(diǎn)對(duì)應(yīng)的等級(jí)較低。為了提高評(píng)估結(jié)果精準(zhǔn)度，亦可以設(shè)計(jì)更詳細(xì)復(fù)雜的矩陣。此時(shí)，如果資產(chǎn)受到威脅，就會(huì)有損失。更為嚴(yán)重的是，這種威脅發(fā)生的頻率很高，相應(yīng)的漏洞被利用的可能性也很高。為達(dá)到更高的精度，可設(shè)計(jì)出更為精密和復(fù)雜的集合，如下所示：

河道受建筑物、構(gòu)筑物或其他條件限制不能采用復(fù)式斷面的河段，可采用梯形或矩形斷面，以及梯形、矩形與復(fù)式混合斷面形式。矩形或坡降很大的梯形斷面，河道深度大于2.5m時(shí)，應(yīng)考慮設(shè)置防護(hù)措施保護(hù)人身安全。

表1 各損失相對(duì)矩陣表

U={U1,U2,…,Un}

(3)

結(jié)合表4，可得到二級(jí)風(fēng)險(xiǎn)指標(biāo)所對(duì)應(yīng)的不同后果影響評(píng)價(jià)結(jié)果，如表5所示。

V={V1,V2,…,Vm}

(4)

針對(duì)量化評(píng)估集合中的不同元素種類，需確定對(duì)應(yīng)的評(píng)估等級(jí)，由此得到元素量化值xi1,xi2,…,xim。將量化值進(jìn)行相應(yīng)處理后，可得到量化集合x(chóng)i：

Step 2：風(fēng)險(xiǎn)評(píng)估

(5)

除了財(cái)務(wù)專業(yè)知識(shí)之外，財(cái)務(wù)管理人員還應(yīng)具有良好的財(cái)務(wù)分析和風(fēng)險(xiǎn)預(yù)測(cè)能力。由于融資需要，部分國(guó)有企業(yè)缺乏人事管理競(jìng)爭(zhēng)意識(shí)，導(dǎo)致經(jīng)營(yíng)和財(cái)務(wù)賬戶出現(xiàn)不良狀況。

為防止全島失電情況發(fā)生，跨海輸電線路往往不可能輕易停電，加之海上作業(yè)修復(fù)難度大、耗時(shí)長(zhǎng)的弱點(diǎn)，受損海底光纜線路不可能在短時(shí)間完整修復(fù)，島嶼間的電力通信只能依靠啟用備用光纜或迂回光纖路由來(lái)維持支撐。備用設(shè)備和路由若在此時(shí)也發(fā)生故障，則將會(huì)致使該片區(qū)電力業(yè)務(wù)的徹底中斷，觸發(fā)電網(wǎng)安全生產(chǎn)事故。海纜線路施工檢修作業(yè)如圖4所示。

(6)

依據(jù)公式(6)中元素實(shí)際評(píng)估等級(jí)，確定評(píng)估系數(shù)，此時(shí)評(píng)估等級(jí)對(duì)應(yīng)的數(shù)值為1，非實(shí)際評(píng)估等級(jí)為0，由此得到的評(píng)估等級(jí)系數(shù)子集可表示為：

對(duì)各相對(duì)量化因子，形成相應(yīng)的相對(duì)量化矩陣，如果相對(duì)量化集合中各元素所建立的水平集不同，將相對(duì)量化矩陣的元素設(shè)置為0，其中1≤i≤n，1≤j≤m，即：

(7)

累積計(jì)算相對(duì)量化矩陣X和等級(jí)系數(shù)子集Z，由此可得到最終相對(duì)最化值，如公式(8)所示：

（1）The products are nice,but theprice is alittlebit high.

Y=(x,z)=trXZT

(8)

二、信息安全風(fēng)險(xiǎn)評(píng)估在企業(yè)信息銷售管理中的應(yīng)用

在對(duì)基于模糊數(shù)學(xué)的企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)依據(jù)評(píng)估準(zhǔn)則，設(shè)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估在企業(yè)信息銷售管理中的具體應(yīng)用流程，如下所示：

Step 1：評(píng)估準(zhǔn)備

確定被評(píng)估的企業(yè)銷售信息系統(tǒng)，分析系統(tǒng)中記錄的歷史安全數(shù)值，確定當(dāng)前信息系統(tǒng)運(yùn)行狀態(tài)，獲取相應(yīng)安全威脅和事件的集合。

xi={xi1,xi2,…,xim}

計(jì)算不同指標(biāo)，判別各個(gè)風(fēng)險(xiǎn)元素對(duì)應(yīng)的模糊可能系數(shù)，進(jìn)而確定風(fēng)險(xiǎn)指標(biāo)體系，如表2所示。

表2 風(fēng)險(xiǎn)指標(biāo)體系

由表2可知，對(duì)于風(fēng)險(xiǎn)指標(biāo)體系中的各個(gè)因素，分析其對(duì)應(yīng)的模糊可能性，如表3所示。

表3 風(fēng)險(xiǎn)因素對(duì)應(yīng)的模糊可能性

通過(guò)對(duì)風(fēng)險(xiǎn)因素進(jìn)行加權(quán)處理后，得到二級(jí)風(fēng)險(xiǎn)指標(biāo)的可能性，如表4所示。

根據(jù)Morisky-Green(MG)[3]標(biāo)準(zhǔn)設(shè)計(jì)慢性蕁麻疹患者治療依從性調(diào)查問(wèn)卷,主要內(nèi)容包括以下四個(gè)方面①在過(guò)去的三個(gè)月內(nèi),是否有按照醫(yī)囑進(jìn)行規(guī)律服藥;②在過(guò)去的三個(gè)月中是否有自行更改服藥劑量的行為;③當(dāng)病情改善時(shí)是否自行停藥;④ 當(dāng)不在家時(shí),是否曾經(jīng)停藥。每個(gè)問(wèn)題按照總是、有時(shí)、偶爾、從不分別賦予1到4分,將四個(gè)問(wèn)題的得分相加既為總分,規(guī)定總分≥12分者為依從性較好。

表4 二級(jí)風(fēng)險(xiǎn)指標(biāo)的風(fēng)險(xiǎn)可能性

公式(3)中，集合不同因素，建立評(píng)估等級(jí)集合，這時(shí)對(duì)因素進(jìn)行量化處理后，獲取的評(píng)估等級(jí)的元素，則：

表5 各個(gè)風(fēng)險(xiǎn)對(duì)不同后果的影響評(píng)價(jià)

結(jié)合表5各個(gè)風(fēng)險(xiǎn)對(duì)不同后果的影響評(píng)價(jià)結(jié)果，獲取模糊語(yǔ)言表，如表6所示。

2.4 關(guān)注突出成就和社會(huì)熱點(diǎn)，培養(yǎng)學(xué)生的社會(huì)責(zé)任意識(shí) 生物學(xué)知識(shí)與生產(chǎn)、生活和社會(huì)息息相關(guān)，如健康知識(shí)、飲食常識(shí)、環(huán)保知識(shí)、遺傳病的預(yù)防、吸煙的危害、轉(zhuǎn)基因食品的安全問(wèn)題等；生命科學(xué)的突出成就與人類的健康生活和國(guó)家的社會(huì)經(jīng)濟(jì)利益密切相關(guān)，如諾貝爾生理學(xué)或醫(yī)學(xué)獎(jiǎng)對(duì)維護(hù)人類健康的意義、袁隆平雜交水稻對(duì)人類社會(huì)的貢獻(xiàn)等。教學(xué)中，教師要鼓勵(lì)學(xué)生運(yùn)用所學(xué)的生物學(xué)知識(shí)去參與個(gè)人和社會(huì)事務(wù)的討論，嘗試解決生活中的生物學(xué)問(wèn)題，激發(fā)學(xué)生熱愛(ài)自然、熱愛(ài)生命、熱愛(ài)生物科學(xué)、關(guān)心和維護(hù)地球生態(tài)環(huán)境的責(zé)任意識(shí)，樹(shù)立建設(shè)祖國(guó)和家鄉(xiāng)的義務(wù)感和責(zé)任感。

表6 模糊語(yǔ)言表

由表6可以看出，企業(yè)風(fēng)險(xiǎn)和銷售業(yè)務(wù)風(fēng)險(xiǎn)的風(fēng)險(xiǎn)水平較高，因此，企業(yè)銷售信息系統(tǒng)應(yīng)將這兩項(xiàng)作為重點(diǎn)展開(kāi)深入研究。

Step 3：風(fēng)險(xiǎn)分析

依據(jù)上述內(nèi)容，確定各項(xiàng)風(fēng)險(xiǎn)因素是否達(dá)到容許風(fēng)險(xiǎn)程度。如果能達(dá)到，則說(shuō)明信息系統(tǒng)是安全的；否則，則是不安全的，進(jìn)入Step4。

由于目前的企業(yè)大多屬于經(jīng)營(yíng)權(quán)和所屬權(quán)背離，所以公司的董事會(huì)與監(jiān)理會(huì)需要展現(xiàn)其應(yīng)該具備的功能，對(duì)管理階層開(kāi)展的工作實(shí)施監(jiān)管，嚴(yán)謹(jǐn)預(yù)防管理階層造假，蒙蔽審計(jì)者，導(dǎo)致企業(yè)在信譽(yù)層面出現(xiàn)虧空，同時(shí)給公司長(zhǎng)久的發(fā)展收益帶來(lái)影響。另外作為企業(yè)的董事層，需要多加入企業(yè)的人才挑選與培養(yǎng)，重視公司財(cái)務(wù)近期的情況的時(shí)候，針對(duì)財(cái)務(wù)部門用人機(jī)制需要嚴(yán)格把控，嚴(yán)謹(jǐn)防止一人多崗，崗位不劃分的狀況出現(xiàn)。

Step4：采取預(yù)防措施

與此同時(shí)nZVI在實(shí)際應(yīng)用中也存在一些問(wèn)題[53]：1)在其制備的過(guò)程中極易受到多種因素的影響，難以人為控制；2) nZVI顆粒比表面積巨大，在空氣中非常容易被氧化從而使得其反應(yīng)活性下降；或是發(fā)生團(tuán)聚反應(yīng)，形成亞微米級(jí)或者微米級(jí)的較大顆粒，導(dǎo)致其納米材料的優(yōu)勢(shì)下降；3)納米單質(zhì)金屬具有一定的生物毒性，且在具體應(yīng)用中納米零價(jià)鐵難回收、易流失，會(huì)對(duì)周邊環(huán)境形成潛在的二次污染[54].

根據(jù)威脅數(shù)值大小，制定有針對(duì)性預(yù)警和防范措施。

三、實(shí)例分析

(一)企業(yè)信息管理系統(tǒng)

企業(yè)信息管理是企業(yè)信息化發(fā)展的一項(xiàng)重要管理措施，其通過(guò)物聯(lián)網(wǎng)設(shè)置網(wǎng)絡(luò)服務(wù)器、交換機(jī)和防火墻，由此實(shí)現(xiàn)企業(yè)內(nèi)部與外部之間的信息共享。通過(guò)搭建內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)設(shè)備自動(dòng)化，有效提高企業(yè)工作效率。

企業(yè)信息管理系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，如圖1所示。

由圖1可知，結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)，該管理系統(tǒng)主要存在的威脅，如表7所示。

圖1 企業(yè)信息管理系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

表7 企業(yè)銷售信息管理系統(tǒng)主要安全威脅

由表7可知，在威脅后果方面，按照標(biāo)準(zhǔn)和安全報(bào)告，大致分為系統(tǒng)故障、重要信息損壞和信息失竊，按照評(píng)估制度及相關(guān)標(biāo)準(zhǔn)確定詳細(xì)資料。

(二)實(shí)例指標(biāo)確定

設(shè)定容許風(fēng)險(xiǎn)值為0.5，對(duì)于某個(gè)企業(yè)銷售信息系統(tǒng)，系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果如表8所示。

表8 信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果

由表8可知，Q1引起安全事件發(fā)生的概率較高，最高威脅風(fēng)險(xiǎn)值為0.68，在后兩次評(píng)估過(guò)程中，變化相對(duì)平穩(wěn)，下降到容許風(fēng)險(xiǎn)值范圍內(nèi)；Q2造成的安全事件出現(xiàn)概率較低，在8次評(píng)估過(guò)程中，評(píng)估結(jié)果都在容許風(fēng)險(xiǎn)值范圍內(nèi)，最高威脅風(fēng)險(xiǎn)值為0.36；在前2次評(píng)估過(guò)程中，Q3造成的安全事件出現(xiàn)概率比Q1高，最高威脅風(fēng)險(xiǎn)值為0.66,在后幾次評(píng)估過(guò)程中，比Q1低，且在4～8次評(píng)估過(guò)程中，安全事件發(fā)生概率在容許風(fēng)險(xiǎn)值范圍內(nèi)；Q4引起安全事件發(fā)生概率比Q3低，最高威脅風(fēng)險(xiǎn)值為0.62，在4～8次評(píng)估過(guò)程中，安全事件發(fā)生概率在容許風(fēng)險(xiǎn)值范圍內(nèi)；Q5引起安全事件發(fā)生概率較高，大部分評(píng)估結(jié)果都超過(guò)了容許風(fēng)險(xiǎn)值范圍。

(三)實(shí)例對(duì)比結(jié)果分析

依據(jù)上述確定的實(shí)例指標(biāo)，分別使用定性風(fēng)險(xiǎn)評(píng)估、定量風(fēng)險(xiǎn)評(píng)估和基于模糊數(shù)學(xué)的風(fēng)險(xiǎn)評(píng)估方法，對(duì)比分析企業(yè)銷售信息管理系統(tǒng)受到威脅后的評(píng)估結(jié)果，如圖2所示。

(a)定性風(fēng)險(xiǎn)評(píng)估

(b)定量風(fēng)險(xiǎn)評(píng)估

(c)基于模糊數(shù)學(xué)的風(fēng)險(xiǎn)評(píng)估方法圖2 三種方法風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)比分析

由圖2可知，使用定性風(fēng)險(xiǎn)評(píng)估方法在評(píng)估次數(shù)為3次時(shí)，Q5造成的安全事件出現(xiàn)的概率最高，風(fēng)險(xiǎn)值為0.67；Q2造成的安全事件出現(xiàn)的概率較低，在8次評(píng)估過(guò)程中，評(píng)估結(jié)果都在容許風(fēng)險(xiǎn)值范圍內(nèi)；Q1、Q3、Q4在前4次評(píng)估過(guò)程中，威脅風(fēng)險(xiǎn)值均較高，超過(guò)了容許風(fēng)險(xiǎn)值范圍。使用該方法與實(shí)例指標(biāo)不一致，說(shuō)明該方法評(píng)估結(jié)果不精準(zhǔn)。

使用定量風(fēng)險(xiǎn)評(píng)估方法在評(píng)估次數(shù)為4次時(shí)，Q5造成的安全事件出現(xiàn)的概率最高，風(fēng)險(xiǎn)值為0.76；Q2造成的安全事件出現(xiàn)的概率較低，在8次評(píng)估過(guò)程中，評(píng)估結(jié)果都在容許風(fēng)險(xiǎn)值范圍內(nèi)；Q1、Q3、Q4在前3次評(píng)估過(guò)程中，威脅風(fēng)險(xiǎn)值均較高，超過(guò)了容許風(fēng)險(xiǎn)值范圍。使用該方法與實(shí)例指標(biāo)不一致，說(shuō)明該方法評(píng)估結(jié)果不精準(zhǔn)。

使用基于模糊數(shù)學(xué)的風(fēng)險(xiǎn)評(píng)估方法在評(píng)估次數(shù)為3次時(shí)，Q5引起安全事件發(fā)生的概率最高，最高威脅風(fēng)險(xiǎn)值為0.80；Q2引起安全事件發(fā)生的概率較低，在容許風(fēng)險(xiǎn)值范圍內(nèi)；Q4在前2次評(píng)估過(guò)程中，由最低0.2的威脅風(fēng)險(xiǎn)值快速升高到0.62，在4～8次評(píng)估過(guò)程中，威脅風(fēng)險(xiǎn)值在容許風(fēng)險(xiǎn)值范圍內(nèi)；Q1在前4次評(píng)估過(guò)程中，威脅風(fēng)險(xiǎn)值超過(guò)了容許風(fēng)險(xiǎn)值范圍，在4～8次評(píng)估過(guò)程中，威脅風(fēng)險(xiǎn)值在容許風(fēng)險(xiǎn)值范圍內(nèi)；Q3前3次評(píng)估過(guò)程中，威脅風(fēng)險(xiǎn)值超過(guò)了容許風(fēng)險(xiǎn)值范圍，在3～8次評(píng)估過(guò)程中，威脅風(fēng)險(xiǎn)值在容許風(fēng)險(xiǎn)值范圍內(nèi)。使用該方法與實(shí)例指標(biāo)一致，說(shuō)明該方法評(píng)估結(jié)果精準(zhǔn)。

2. 缺乏大數(shù)據(jù)處理平臺(tái)，已有數(shù)據(jù)中心亟待整合。隨著大數(shù)據(jù)、云計(jì)算等技術(shù)的推廣，審計(jì)機(jī)關(guān)日漸認(rèn)識(shí)到大數(shù)據(jù)技術(shù)的重要性，但很多地方審計(jì)機(jī)關(guān)尚未建立大數(shù)據(jù)分析平臺(tái)，數(shù)據(jù)資源閑置浪費(fèi)，數(shù)據(jù)孤島現(xiàn)象嚴(yán)峻。即使是已開(kāi)展大數(shù)據(jù)處理平臺(tái)建設(shè)的地方，也多以自建數(shù)據(jù)中心為出發(fā)點(diǎn)，存在數(shù)量多、規(guī)模小、無(wú)序發(fā)展、重建輕用、資源利用率低等現(xiàn)象，亟待進(jìn)行資源融合。截至2015年底，我國(guó)數(shù)據(jù)中心達(dá)46.9萬(wàn)個(gè)，絕大部分以企業(yè)自建為主，公共服務(wù)IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)數(shù)量仍較少。[24]

(四)實(shí)例結(jié)論

當(dāng)前的情況是充分了解企業(yè)信息系統(tǒng)的現(xiàn)狀，選擇相應(yīng)的應(yīng)對(duì)措施以滿足企業(yè)業(yè)務(wù)需求的過(guò)程。及早發(fā)現(xiàn)問(wèn)題，有針對(duì)性地實(shí)施信息項(xiàng)目，可以為信息系統(tǒng)的規(guī)劃、管理和控制提供事實(shí)依據(jù)，也是信息系統(tǒng)規(guī)劃、實(shí)施和管理基礎(chǔ)。

通過(guò)企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的問(wèn)題，可以通過(guò)以下四種途徑來(lái)解決：

1.降低風(fēng)險(xiǎn)

要解決組織不可接受的風(fēng)險(xiǎn)，必須采取相應(yīng)的措施和機(jī)制，使之降至可以接受的范圍。確定需要降低的信息項(xiàng)目輸入風(fēng)險(xiǎn)。

2018年9月14日，農(nóng)業(yè)農(nóng)村部組織召開(kāi)非洲豬瘟防控部際協(xié)調(diào)會(huì)議，傳達(dá)學(xué)習(xí)中央領(lǐng)導(dǎo)同志重要指示批示精神，交流各部門防控工作進(jìn)展，研究督查工作方案，完善聯(lián)防聯(lián)控協(xié)作機(jī)制。農(nóng)業(yè)農(nóng)村部部長(zhǎng)韓長(zhǎng)賦在會(huì)上強(qiáng)調(diào)，各有關(guān)部門要堅(jiān)決貫徹黨中央、國(guó)務(wù)院決策部署，充分認(rèn)識(shí)加強(qiáng)聯(lián)防聯(lián)控的重要意義，高度重視，各負(fù)其責(zé)，聯(lián)合行動(dòng)，密切配合，共同做好非洲豬瘟防控工作。

2.規(guī)避風(fēng)險(xiǎn)

出來(lái)才發(fā)現(xiàn)天已經(jīng)很晚了，半邊天繁星閃爍，半邊天烏云密布，風(fēng)涼絲絲的，像是暴雨要來(lái)了。我們從白云賓館左邊的一個(gè)小巷里拐進(jìn)去，好幾次我想擠到前面去，想問(wèn)問(wèn)那個(gè)我一直沒(méi)有看見(jiàn)的劉偉，我們這是要到哪里去，去干什么，但我跟在泰森的身后，他龐大的身體把前面擋得嚴(yán)嚴(yán)實(shí)實(shí)，試了幾次都沒(méi)有成功。

使用簡(jiǎn)便的方法來(lái)規(guī)避容易規(guī)避的風(fēng)險(xiǎn)，例如改變操作程序規(guī)避風(fēng)險(xiǎn)。

3.轉(zhuǎn)移風(fēng)險(xiǎn)

在一些特定的風(fēng)險(xiǎn)上，發(fā)生的概率很低，但是一旦發(fā)生，這些因素會(huì)對(duì)組織造成重大影響。如無(wú)法減少或避免，在受讓方同意的情況下，可采用風(fēng)險(xiǎn)轉(zhuǎn)移方法。舉例來(lái)說(shuō)，可通過(guò)保障系統(tǒng)轉(zhuǎn)移系統(tǒng)遭受自然災(zāi)害襲擊的風(fēng)險(xiǎn)。

4.接受風(fēng)險(xiǎn)

由于現(xiàn)實(shí)和經(jīng)濟(jì)上的原因，在采取措施減少風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)或者在系統(tǒng)運(yùn)行中必須存在并且必須接受的風(fēng)險(xiǎn)之后，都可以歸類為可接受風(fēng)險(xiǎn)。

結(jié)束語(yǔ)

常規(guī)風(fēng)險(xiǎn)控制方法不能有效地解決風(fēng)險(xiǎn)評(píng)估中不確定性的影響，引入模糊數(shù)學(xué)使計(jì)算過(guò)程簡(jiǎn)化，并將數(shù)據(jù)預(yù)處理融入風(fēng)險(xiǎn)計(jì)算過(guò)程。以模糊數(shù)學(xué)為基礎(chǔ)構(gòu)建的風(fēng)險(xiǎn)評(píng)估模型，能夠分析出不同因素對(duì)企業(yè)銷售信息系統(tǒng)風(fēng)險(xiǎn)的影響程度，從而克服傳統(tǒng)評(píng)估中數(shù)據(jù)和人為因素的不足，把它簡(jiǎn)化為自然語(yǔ)言，使之更客觀、科學(xué)。由實(shí)例分析結(jié)果可知，該方法所得到的評(píng)價(jià)結(jié)果與實(shí)際分析結(jié)果一致。