基于AHP方法的我國(guó)信息安全政策方案優(yōu)化決策研究

黃玥 周麗霞 蒲攀

（黑龍江大學(xué)信息管理學(xué)院，黑龍江哈爾濱150080）

基于AHP方法的我國(guó)信息安全政策方案優(yōu)化決策研究

黃玥 周麗霞 蒲攀

（黑龍江大學(xué)信息管理學(xué)院，黑龍江哈爾濱150080）

由于網(wǎng)絡(luò)化進(jìn)程的不斷深入，傳統(tǒng)的信息安全政策法規(guī)已不能很好地適應(yīng)當(dāng)今社會(huì)公眾對(duì)信息安全政策法規(guī)的需求，為此，工信部于2010年起草了《信息安全條例》。本文運(yùn)用層次分析法（AHP），通過(guò)對(duì)現(xiàn)行信息安全政策法規(guī)的實(shí)施績(jī)效進(jìn)行評(píng)價(jià)，從而產(chǎn)生優(yōu)選方案，進(jìn)而為信息安全政策法規(guī)的優(yōu)化決策提供一定的參考。

信息安全；政策；層次分析法；方案；優(yōu)化

2012年7月國(guó)務(wù)院發(fā)布了《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)〔2012〕23號(hào)），該意見(jiàn)將“國(guó)家信息安全保障體系基本形成”作為信息化發(fā)展的主要目標(biāo)之一［1］。近年來(lái)，隨著國(guó)內(nèi)外信息安全問(wèn)題的頻繁出現(xiàn)，尤其是去年美國(guó)“棱鏡門(mén)”事件的披露，使得有關(guān)維護(hù)信息安全問(wèn)題再次成為全民熱議的焦點(diǎn)。公共政策的制定是通過(guò)一系列行政決策實(shí)現(xiàn)的，決策的科學(xué)性、及時(shí)性、有效性不僅是公共政策制定的基礎(chǔ)，也是政府施行實(shí)行有效管理的前提和條件。鑒于我國(guó)信息安全政策法律法規(guī)的種種現(xiàn)狀及社會(huì)對(duì)信息安全法律法規(guī)的發(fā)展需求，本文采用層次分析法（AHP）對(duì)我國(guó)現(xiàn)行信息安全相關(guān)政策法規(guī)的施行績(jī)效進(jìn)行定量與定性相結(jié)合的綜合評(píng)價(jià)，在此基礎(chǔ)上進(jìn)行多指標(biāo)、多方案的優(yōu)化決策。

1 層次分析法（AHP）

1.1 AHP的基本思路

層次分析法的基本思路是評(píng)價(jià)者通過(guò)將復(fù)雜問(wèn)題分解若干層次和若干要素，并在同一層次的各要素之間簡(jiǎn)單地進(jìn)行比較、判斷和計(jì)算，就可以得出不同替代方案的重要度，從而為選擇最優(yōu)方案提供決策支持［8］?？偟膩?lái)說(shuō)，層次分析法最大的優(yōu)點(diǎn)是提出了層次本身。

AHP是美國(guó)著名運(yùn)籌學(xué)家，匹茲堡大學(xué)教授托馬斯·薩帝（Thomas L.Saaty）于20世紀(jì)70年代初提出的一種層次權(quán)重決策分析方法［9］，適用于結(jié)構(gòu)較為復(fù)雜、決策準(zhǔn)則較多且不易量化的決策問(wèn)題，具有高度的有效性、可靠性、簡(jiǎn)明性和廣泛的適用性。

信息安全政策方案評(píng)價(jià)是一個(gè)多目標(biāo)、多層次、結(jié)構(gòu)復(fù)雜的過(guò)程，層次結(jié)構(gòu)分析法正是解決信息安全政策方案評(píng)價(jià)問(wèn)題的有效方法。

1.2 AHP的基本步驟

（1）提出尚待決策的復(fù)雜問(wèn)題，將其概念化、層次化，并選擇評(píng)判的各個(gè)標(biāo)準(zhǔn)；

（2）分析各標(biāo)準(zhǔn)、各因素間的關(guān)系，建立層次結(jié)構(gòu)模型；

（3）構(gòu)建兩兩比較的判斷矩陣；

（4）計(jì)算各因素對(duì)每一標(biāo)準(zhǔn)的相對(duì)權(quán)重；

（5）進(jìn)行判斷矩陣的一致性檢驗(yàn)；

（6）利用權(quán)數(shù)或特征向量求出各方案的優(yōu)劣次序。

2 基于AHP的我國(guó)信息安全政策方案優(yōu)化決策

2.1 AHP評(píng)價(jià)指標(biāo)選擇

本文假定選取已頒布的3個(gè)實(shí)施效果良好的有關(guān)信息安全的政策法規(guī)，通過(guò)AHP方法對(duì)各自實(shí)施績(jī)效進(jìn)行評(píng)價(jià)，最終依據(jù)評(píng)價(jià)結(jié)果，提供得分最高的信息安全政策方案，在政府?dāng)M對(duì)有關(guān)信息安全政策內(nèi)容進(jìn)行修訂時(shí)，輔助政府進(jìn)行優(yōu)化決策，以使其更加適應(yīng)如今社會(huì)公眾對(duì)信息安全政策尤其是網(wǎng)絡(luò)信息安全政策的要求。

劉婷婷、馬海群在《我國(guó)信息安全政策績(jī)效評(píng)價(jià)指標(biāo)體系初探》中指出，對(duì)信息安全政策的績(jī)效評(píng)價(jià)應(yīng)該從信息安全政策效應(yīng)評(píng)價(jià)、信息安全政策效率評(píng)價(jià)和信息安全政策回應(yīng)度評(píng)價(jià)這3個(gè)方面入手，進(jìn)而圍繞這3個(gè)方面來(lái)選取評(píng)價(jià)體系的評(píng)價(jià)子指標(biāo)［10］。在其隨后的研究《信息安全政策績(jī)效評(píng)價(jià)的指標(biāo)體系框架構(gòu)建》中，為了保障指標(biāo)體系的科學(xué)和理性，在構(gòu)建了20個(gè)指標(biāo)因子的指標(biāo)體系基礎(chǔ)上，采用了專家問(wèn)卷法對(duì)指標(biāo)體系進(jìn)行完善和優(yōu)化。問(wèn)卷的發(fā)放對(duì)象主要包括了信息政策研究領(lǐng)域內(nèi)的權(quán)威專家、信息企業(yè)的負(fù)責(zé)人、信息安全政策相關(guān)的政府部門(mén)工作人員等。問(wèn)卷主要采用了里克特式量表，共分為評(píng)價(jià)指標(biāo)評(píng)分和請(qǐng)專家對(duì)不合理指標(biāo)進(jìn)行修訂的開(kāi)放性問(wèn)題兩個(gè)部分［11］。

現(xiàn)參照層次分析法的步驟對(duì)假定的3個(gè)信息安全政策進(jìn)行基于AHP的優(yōu)化決策。依據(jù)劉婷婷、馬海群對(duì)信息安全政策績(jī)效評(píng)價(jià)指標(biāo)體系的構(gòu)建，本文根據(jù)績(jī)效評(píng)價(jià)結(jié)果進(jìn)行方案的優(yōu)選，則評(píng)價(jià)指標(biāo)的選取參照其研究結(jié)果，即評(píng)價(jià)參考因素有：①接受信息安全教育培訓(xùn)的人數(shù)、成功實(shí)現(xiàn)個(gè)人信息保護(hù)的人數(shù)、成功實(shí)現(xiàn)實(shí)體信息保護(hù)的實(shí)體數(shù)目、信息保護(hù)設(shè)備的投入使用數(shù)（“目標(biāo)實(shí)現(xiàn)度”子標(biāo)準(zhǔn)）；②信息安全單位部門(mén)的建成數(shù)、信息安全相關(guān)企業(yè)平均資產(chǎn)額、信息安全相關(guān)企業(yè)平均利潤(rùn)額、信息安全產(chǎn)品市場(chǎng)占有率（“經(jīng)濟(jì)效應(yīng)”子標(biāo)準(zhǔn)）；③對(duì)激發(fā)信息保護(hù)意愿的影響、對(duì)信息安全技術(shù)推動(dòng)的影響、對(duì)社會(huì)和諧穩(wěn)定減少犯罪的影響、對(duì)人員就業(yè)的影響（“社會(huì)效應(yīng)”子標(biāo)準(zhǔn)）；④政策的成本效益比率（“經(jīng)濟(jì)效率”子標(biāo)準(zhǔn)）；⑤政策了解程度、政策滿意度、與其他政策協(xié)調(diào)性（“政府政策”子標(biāo)準(zhǔn)）；⑥政府部門(mén)的工作態(tài)度、政府部門(mén)的工作效率（“政府服務(wù)”子標(biāo)準(zhǔn)）。

將以上所有指標(biāo)概念化、層次化后，可將信息安全政策績(jī)效評(píng)價(jià)的指標(biāo)歸納為4個(gè)參考標(biāo)準(zhǔn)：（1）目標(biāo)實(shí)現(xiàn)度（包括第①項(xiàng)）；（2）經(jīng)濟(jì)效益（包括第②④項(xiàng)）；（3）政府回應(yīng)度（包括第⑤⑥項(xiàng)）；（4）社會(huì)效應(yīng)（包括第③項(xiàng)）。

2.2 層次結(jié)構(gòu)模型圖

該問(wèn)題的層次結(jié)構(gòu)模型圖分為3個(gè)層次，即目標(biāo)層、標(biāo)準(zhǔn)層和決策層，如圖1所示。

圖1 信息安全政策方案優(yōu)選的層次結(jié)構(gòu)模型圖

2.3 構(gòu)建兩兩比較的判斷矩陣

以下引入相對(duì)重要性的標(biāo)度，如表1所示。

表1 相對(duì)重要性標(biāo)度

下面以單一標(biāo)準(zhǔn)——信息安全政策的“社會(huì)效應(yīng)”為例（其它標(biāo)準(zhǔn)同理），來(lái)評(píng)判3個(gè)政策，假定通過(guò)調(diào)查社會(huì)公眾和相關(guān)專家的意見(jiàn)得到結(jié)論，即政策A的社會(huì)效應(yīng)比政策B較好，根據(jù)表1知a12＝5；政策A比政策C非常好有余，絕對(duì)好不足，則a13＝8；政策B比政策C略好，則a23＝3。每個(gè)政策與自己比都是同等重要，則a11＝a22＝a33＝1。其余標(biāo)度則由倒數(shù)的定義得出。則兩兩比較的判斷矩陣如表2所示。

表2 兩兩比較的判斷矩陣

同理，求得在目標(biāo)實(shí)現(xiàn)度、經(jīng)濟(jì)效益及政府回應(yīng)度方面的兩兩比較的判斷矩陣如表3所示。

表3 判斷矩陣比對(duì)

2.4 各因素的相對(duì)權(quán)重

基于以上判斷矩陣，通過(guò)以下步驟求出政策A、政策B、政策C在“社會(huì)效應(yīng)”標(biāo)準(zhǔn)下的相對(duì)權(quán)重。

（1）先求出判斷矩陣每一列的總和，如表5所示。

表4 判斷矩陣各列和

（2）建立標(biāo)準(zhǔn)兩兩比較的判斷矩陣，如表5所示。

表5 標(biāo)準(zhǔn)比對(duì)判斷矩陣

（3）計(jì)算標(biāo)準(zhǔn)判斷矩陣的權(quán)重，如表6所示。

表6 標(biāo)準(zhǔn)權(quán)重計(jì)算

從表6可以看出選擇政策A、B、C的3個(gè)方案在“社會(huì)效應(yīng)”方面的權(quán)重分別為0.737，0.186，0.077，其權(quán)重之和為1。我們稱［0.737，0.186，0.077］為信息安全政策方案選擇問(wèn)題中社會(huì)效應(yīng)方面的特征向量。

同理，由表3的判斷矩陣求得在目標(biāo)實(shí)現(xiàn)度、經(jīng)濟(jì)效益、政府回應(yīng)度方面的權(quán)重，即這三方面的特征向量如表7所示。

表7 標(biāo)準(zhǔn)權(quán)重分析

（4）通過(guò)標(biāo)準(zhǔn)的兩兩比較的判斷矩陣，計(jì)算每個(gè)標(biāo)準(zhǔn)在總目標(biāo)滿意的信息安全政策方案上的相對(duì)重要程度，即求得每個(gè)標(biāo)準(zhǔn)的權(quán)重，得到標(biāo)準(zhǔn)的特征向量，如表8所示。并通過(guò)以上標(biāo)準(zhǔn)的判斷矩陣，求得標(biāo)準(zhǔn)的特征向量［0.481，0.199，0.072，0.248］。

表8 標(biāo)準(zhǔn)重要程度比對(duì)

2.5 判斷矩陣的一致性檢驗(yàn)

仍以選擇政策的“社會(huì)效應(yīng)”這一標(biāo)準(zhǔn)為例（其它標(biāo)準(zhǔn)同理），進(jìn)行一致性檢驗(yàn)，步驟如下：

（1）由被檢驗(yàn)的兩兩比較的判斷矩陣乘以其特征向量，所得向量稱之為賦權(quán)和向量，在本文中即

（2）每個(gè)賦權(quán)和向量的分量分別除以對(duì)應(yīng)的特征向量的分量，本文中為：

（3）計(jì)算出第2步結(jié)果中的平均值，記為λmax，本文中為：（4）計(jì)算一致性指標(biāo)

說(shuō)明：n為比較因素的數(shù)目，在本文中即為可供選擇的信息安全政策的數(shù)目3，則CI

說(shuō)明：這里的RI是自由度指標(biāo)，見(jiàn)表9。

表9 自由度指標(biāo)RI的值

同理，通過(guò)計(jì)算“目標(biāo)實(shí)現(xiàn)度”，“經(jīng)濟(jì)效益”，“政府回應(yīng)度”以及“4個(gè)標(biāo)準(zhǔn)”的兩兩比較的判斷矩陣的一致性CR值，可得它們都小于等于0.01。因此，這些判斷矩陣都滿足一致性要求，即其相應(yīng)的特征向量都有效。

2.6 利用權(quán)數(shù)或特征向量求出各政策的優(yōu)劣次序

根據(jù)以上求出的4個(gè)標(biāo)準(zhǔn)的特征向量，以及4個(gè)在單一標(biāo)準(zhǔn)下的3個(gè)可供選擇的信息安全政策的特征向量，整理如表10所示。

表10 各元素的特征向量

利用以上權(quán)數(shù)或向量可以計(jì)算出每個(gè)政策的總得分，即總權(quán)重。

信息安全政策A在“社會(huì)效應(yīng)”中權(quán)數(shù)為0.737，而“社會(huì)效應(yīng)”在實(shí)施績(jī)效較高的信息安全政策的總目標(biāo)中所占的重要性（即權(quán)數(shù)）為0.481，故政策A由于其社會(huì)效應(yīng)情況在總目標(biāo)中的得分為0.481×0.737；同理可得政策A由于其目標(biāo)實(shí)現(xiàn)度情況在總目標(biāo)中的得分為0.199×0.123；由于其經(jīng)濟(jì)效益情況在總目標(biāo)中的得分為0.072×0.087；由于其政府回應(yīng)度情況在總目標(biāo)中的得分為0.248×0.265，則政策A在總目標(biāo)中總得分（即總權(quán)重）為0.481×0.737＋0.199×0.123＋0.072×0.087＋0.248×0.265＝0.450。同理可得政策B在總目標(biāo)中總得分為0.481×0.186＋0.199× 0.320＋0.072×0.274＋0.248×0.655＝0.335。政策C在總目標(biāo)中總得分為0.481×0.077＋0.199×0.557＋0.072× 0.639＋0.248×0.080＝0.214。

通過(guò)比較可知政策A的得分（即權(quán)重）為0.450最高，政策B的得分次之，而政策C的得分最低。故通過(guò)權(quán)衡可知，在已頒布實(shí)施的3個(gè)信息安全政策中，政策A是績(jī)效評(píng)價(jià)得分最高的方案，即最優(yōu)方案。當(dāng)政府需要對(duì)現(xiàn)行實(shí)施效果良好的信息安全政策方案進(jìn)行修改執(zhí)行時(shí)，政策A將是最優(yōu)選擇，即選擇政策A能夠更高效地輔助政府進(jìn)行信息安全政策方案修訂的優(yōu)化決策。

此外，根據(jù)表10中各單一標(biāo)準(zhǔn)下的權(quán)數(shù)可以看出，政策A在社會(huì)效應(yīng)方面遠(yuǎn)遠(yuǎn)優(yōu)于政策B和C，但在目標(biāo)實(shí)現(xiàn)度、經(jīng)濟(jì)效益方面均比政策B和C低，在政府回應(yīng)度方面處于中間位置。據(jù)此可以在對(duì)政策A進(jìn)行修訂時(shí)，有一個(gè)較為明確的方向，即在提高目標(biāo)實(shí)現(xiàn)度和經(jīng)濟(jì)效益方面可以參考政策C，在加強(qiáng)政府回應(yīng)度方面可以參考政策B的模式。

3 結(jié)論

2010年工業(yè)和信息化部完成的《信息安全條例（報(bào)送稿）》對(duì)信息網(wǎng)絡(luò)環(huán)境下法律主體的權(quán)利、義務(wù)，各種危害網(wǎng)絡(luò)與信息系統(tǒng)安全行為等內(nèi)容作了規(guī)定［13］。2012年3月舉行的十一屆全國(guó)人大五次會(huì)議期間，王東洲等36位代表提出議案認(rèn)為，當(dāng)前信息化的發(fā)展面臨著安全問(wèn)題突出、管理體制和機(jī)制改革滯后等問(wèn)題。全國(guó)人大財(cái)經(jīng)委員會(huì)建議通過(guò)制定完善相關(guān)法規(guī)、規(guī)章，解決代表議案所提的問(wèn)題［14］。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組召開(kāi)第一次會(huì)議，習(xí)近平在會(huì)議中把網(wǎng)絡(luò)安全保障有力列為網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略部署的目標(biāo)之一［15］。

可以看出，由于網(wǎng)絡(luò)化進(jìn)程的不斷深入，傳統(tǒng)的信息安全政策法規(guī)已經(jīng)顯現(xiàn)出一定的局限性與滯后性，但是網(wǎng)絡(luò)信息安全政策法規(guī)又屬于信息政策法規(guī)的組成部分，它的制定不能完全脫離傳統(tǒng)的信息安全政策法規(guī)，因此對(duì)現(xiàn)行實(shí)施績(jī)效良好的信息安全政策法規(guī)進(jìn)行適當(dāng)?shù)匮a(bǔ)充和完善，不失為一種行之有效的方法。本文運(yùn)用AHP方法對(duì)現(xiàn)行實(shí)施績(jī)效良好的信息安全政策法規(guī)進(jìn)行了優(yōu)選，可以為相關(guān)政策法規(guī)的修訂提供一定的參考。

［1］中華人民共和國(guó)國(guó)務(wù)院.國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)［Z］.2012－07－17.

［2］層次分析法［EB／OL］.http：∥baike.baidu.com／subview／364279／5071768.htm，2014－12－09.

［3］李志勇.基于AHP的數(shù)字圖書(shū)館績(jī)效評(píng)價(jià)指標(biāo)體系研究［J］.圖書(shū)館工作與研究，2012，（9）：46－48.

［4］劉婷婷，馬海群.我國(guó)信息安全政策績(jī)效評(píng)價(jià)指標(biāo)體系初探

Study on The Optimizing of Information Security Policy Based on AHP

Huang YueZhou LixiaPu Pan
（College of Information Management，Heilongjiang University，Harbin 150080，China）

Due to the deepening of the network process，the traditional information security policies and regulations were not well adapted to today's society the public demand for information security policies and regulations，to this end，the Ministry drafted the“information security regulations”in 2010.This article used the method of analytic hierarchy process（AHP），by means of evaluating the performance of the existing information security policies and regulations，so as to produce a preferred embodiment，and then provided certain reference for optimizing decision－making of information security policies and regulations.

information security policy；analytic hierarchy process；AHP；policy program optimization

10.3969／j．issn．1008－0821．2015．03．014

G203

A

1008－0821（2015）03－0077－05

2014－12－09

本文為國(guó)家社科項(xiàng)目“面向數(shù)字圖書(shū)館信息網(wǎng)絡(luò)傳播的政策法規(guī)研究”（項(xiàng)目編號(hào)：12BTQ010）階段成果。

黃癑（1988－），女，碩士研究生，研究方向：情報(bào)學(xué)理論。