数据包络分析方法在军事信息安全保密评估中的应用

刘艳娜，王 瑞，钟 敏，刘文辉

(军事交通学院 基础部，天津 300161)



● 基础科学与技术 Basic Science & Technology

数据包络分析方法在军事信息安全保密评估中的应用

刘艳娜，王 瑞，钟 敏，刘文辉

(军事交通学院 基础部，天津 300161)

对军队保密工作进行客观、准确地分析和评估，从而及时有效地控制风险，防患于未然，是军队信息安全保密工作的重要环节。针对军队保密工作的现状，构建以保密负荷、保密防范、保密威胁、保密挽救为一级指标的军队保密风险评估指标体系，依据该评估指标体系，运用数据包络分析(DEA)方法，对军队信息安全保密风险进行综合评估，从而确定影响保密风险综合结果的具体因素，最后给出军队保密风险控制的策略与建议。

军事信息安全保密；数据包络分析；风险评估

军事信息安全保密工作事关国家的安全、荣誉和利益，是隐蔽战线进行的没有硝烟的战争。军事信息安全保密既是确保国家政治稳定、经济发展的重要前提，也是建设信息化军队、打赢未来信息化战争的基本要求[1]。军事信息安全保密工作是指从维护国防和军队的安全与利益出发，为保守军事秘密而进行各种防范措施活动的综合。其内容包括：开展宣传教育，建立和健全组织机构、规章制度，研制、开发和应用防止窃密、泄密的手段、技术设备，进行保密检查和监督，追查和处理失、泄密事件，开展保密工作理论研究，实施奖惩等[2]。我军历来重视军队保密工作，在防范窃密活动、消除泄密隐患、确保秘密安全方面做了大量有效的工作。随着信息网络技术的飞速发展，窃密与反窃密、渗透与反渗透的斗争更加尖锐复杂，我军保密工作仍然面临着严峻的形势。

目前，我军保密工作存在的主要问题：一是涉密人员保密素质不高，二是保密基础设施不完善，三是保密制度建设不完整，四是定密管理缺乏科学性，五是秘密管控力度不够。为有效控制上述问题，必须对军事信息安全保密风险进行有效识别，认真搜集、整理军队保密风险的相关因素、风险事故和损失暴露等方面的信息，准确制订军队保密风险指标体系，为军队进行保密风险评估提供必要的支撑。

1 军事信息安全保密风险评估指标体系的构建

刘怀彦等[2]建立了军队保密绩效评估指标体系，用于军队保密绩效的评估。本文结合工作中的实际情况，考虑了更全面的因素，与文献[2]涉及军事信息安全保密工作的诸多因素整合在一起进行分类、整理，将它们分别归类于保密负荷、保密防范、保密威胁和保密挽救4个分类，从而建立起军事信息安全保密风险评估指标体系(如图1所示)。

图1 军事信息安全保密风险评估指标体系

军事信息安全保密风险评估指标体系中，第一层为评判目标；第二层为一级指标，是评估指标的准则层，由评估的需求确定；第三层为二级指标，由与军事信息安全保密风险相关的因素构成，是评估指标的因素层。

2 数据包络分析(DEA)方法的应用

2.1 数据包络分析方法

自1978年Charnes等首次提出数据包络分析(data envelopment analysis, DEA)方法以来，DEA方法已经成为一种非常重要的管理决策工具并在理论及应用方面得到了快速发展[3]。数据包络分析方法是将传统工程效率问题，利用Charnes变换转化为线性规划问题，通过求解对应线性规划模型，可以计算获得不同决策单元(decision making unit，DMU)的效率[4]。将原始样本数据划分为输入指标和输出指标，采用线性规划方法对DMU进行有效性评价，其目的是反映DMU能否达到“以尽可能少的投入，获得最大效益”的决策结果。这种方法以个体经济学理论为基础，以经济系统中的生产可能集合找出效率前沿，再以此效率前沿作为衡量效率的指标。生产可能集合是在既定技术条件下，各种投入和产出组合形成的集合，而效率前沿即所有可行的投入组合所可能形成的最大产出的集合。数据包络分析法可以通过线性规划的方法计算出效率前沿，再通过效率前沿评价各个决策单元的生产效率。在效率前沿上的决策单元是相对有效率的(其效率值等于1)，没有在效率前沿上的决策单元是相对无效率的(其效率值是小于1的正数)[5]。魏权龄[6]率先引进数据包络分析法，对该方法进行了详细的阐述。

如果某评价系统共有n个DMU，评价指标体系由m个输入指标和s个输出指标组成，其中第j个DMU的输入和输出向量分别为

Xj=(x1j,x2j，…，xmj)T>0

Yj=(x1j，x2j,…，xsj)T>0j=1，2，…,n

已知Charnes-Cooper变换，对第j0个决策单元进行评价的带有非阿基米德无穷小量ε的C2R模型为

maxμTYj0

其对偶规划为

设ε为非阿基米德无穷小，并且线性规划最优解为λ0、S0-、S0+、θ0，则有：若θ0=1，则决策单元j0为弱DEA有效；若θ0=1，并且S0-=0，S0+=0，则决策单元j0为DEA有效[7]。

2.2 使用数据包络分析法对军队保密风险进行评估

数据包络分析方法不要求评价指标具有独立性，不必预先估计确定评价指标权重，减少了人为主观因素的影响，评价结果可以得到一个量化的投入产出效率值，结果明确便于决策层理解含义。

保密负荷和保密威胁指标可由资料查得或是由当地实际主观得到，不参与数据包络分析法的分析。保密防范和保密挽救指标需根据调查报告得到，通过数据包络分析法进行各项分析，即运用数据包络分析对图1中保密防范和保密挽救指标下属的7个二级指标所涉及的诸多因素进行分析，寻找差异，判断有效性，进而准确掌握单位或部门保密工作的开展情况和实际效果，提高保密风险的管理水平。下面以A单位为例说明运用数据包络分析法进行军事信息安全保密风险综合评估的具体过程。

(1)细化评估指标体系。考虑工作中的实际情况，将保密防范和保密挽救指标下属的7个二级指标再进行细化，确立数据包络分析所需的评估指标体系。

(2)确定评语集。 组织专家进行相关指标的重要性评判，由于各个指标的评判具有一定的模糊性，很难用一个具体的分值来定，所以把评判结果分为5个级别，建立评语集：{很好，好，比较好，一般，差}。指标中的每一项在实施评估的过程中，专家组成员明确各个评语的含义和评估特征点，避免人为因素所引起的评估偏差。

(3)指标数据的采集与量化。

数据的采集方法。主要通过问卷调查的方式获得保密防范和保密挽救指标的相关数据。

汇总文档的建立。对采集的数据进行分析处理，并对数据的有效性和真实性进行验证，确保数据质量。然后将经过有效性检验的数据按照指标体系的19项三级指标，形成19个汇总文档，要求不能含有主观判断，以免影响供评估专家的评判。

专家意见表的填写。评估专家在细致调查和认真阅读汇总文档的基础上，综合分析评判，填写专家意见表。专家意见表的数据既可以确定各项指标权重值，又可以作为DEA分析的输出值。领导对于单位保密工作的期望值可作为DEA的输出值。

(4)保密防范与保密挽救评价结果的确定。 运用灰色聚类方法对统计的数据进行处理，并对(很好，好，比较好，一般，差)5个级别分别赋值5、4、3、2、1，得到保密防范与保密挽救的评估等级分别为“好”和“较好”，其量化结果分别为“4”“3”。

(5)保密威胁潜力的评价。 根据实地情况，分析A单位威胁并对该单位威胁等级进行评价。由专家打分给出相应权重值，最后得出结果为：保密威胁一般，得到威胁潜力量化值为2。

(6)通过调查资料得到保密风险损失值。保密负荷评估结果为：负荷很高，量化结果值为5。

(7)运用DEA进行综合评估。

保密风险评价值的确定。采用线性评价关系，将前面4个一级指标标准化，对评估结果的5个等级分别赋值5、4、3、2、1。假设保密防范、保密威胁、保密挽救、保密负荷的级别分别为4、3、5、2，其权重分别为A=(0.23, 0.25, 0.25, 0.27)，由此得出保密风险评价值

Q=0．23×4+0．25×3+0．25×5+ 0．27×2=3．46

将此评估结果与保密风险评价表(见表1)进行对照，可以看出调查单位的保密风险评价结果为“好”。

表1 保密风险评价

DEA风险评估。将保密风险评价值、专家的评价值、上级领导的期望值作为DEA的输出值，将指标评价体系评价者的评价值作为DEA的输入值。使用DEA对于19项三级指标进行评价(见表2)。最后，利用DEA-Solver软件分析数据，得出评估结果(见表3)。

3 军事信息安全保密风险控制策略

运用DEA方法对军事信息安全保密风险进行综合评估后需科学、合理地分析评估结果，进而提出风险控制策略。

注：表格第一行中的(I)表示输入值，(O)表示输出值。

3.1 评估结果的解读

以A单位为例，采集与保密风险相关的各因素指标值，由DEA的评估方法得到该单位的保密风险总体评价值为“好”。由表3可知，除了“组织机构建设”一项外，其他18项评估值均为1，即评估值有效。对于有效性又好、评估值又低的评价因素，说明专家评估值为低的真实性很高；相反，对于有效性不好、评估值低的评价因素，说明专家评估值为低的真实性不高。对于有效性又好，评估值又高的评价因素，说明专家评估值为高的真实性很高；相反，对于有效性不好，评估值高的评价因素，说明专家评估值为高的真实性不高。例如：上述因素中的保密检查与教育的有效性很差，评估人员的评价值高，而专家评价值低，说明专家评价值真实性不高；泄密查处及时度的有效性好，评估人员的评价值低，而专家评价值低，说明专家评价值真实性高。总结上述分析结果，得到该单位保密风险等级和各个相关因素的具体评价如下。

(1)好的方面：一是人员保密意识很好，专家评价值很高，但被调查人员评估一般，这说明还有待更好地完善；二是该单位制度建设和保密设施建设都很完善，被调查人员评估结果和专家评估结果相差不大，意见一致。

(2)存在的问题：一是人员保密技能，隐患查找及时度、准确度等方面表现较差，不仅被调查人员认为在这几个方面明显存在不足，专家也这样认为；二是该单位 “保密检查与教育”被调查人员的评估值与专家评估值相差很大，被调查人员认为教育很到位，专家认为不到位，这说明调查人员有可能在调查时虚假填写；三是，该单位的组织机构建设的评估值与整体波动相差大，评估值无效。由表2、表3可知，该项评估人员间的评估值相差较大需要重新调查。

3.2 军队保密风险控制策略的制订

基于上述评估结果，有针对性提出风险控制策略。由于潜在的威胁无法控制，对于风险控制策略只能从保密负荷、保密防范、保密挽救等3个方面、8个因素(降低秘密数量、减少知悉范围、准确定位保密时限、提升人员保密素质、完善保密制度、提高保密手段、加大泄密查处力度、加强隐患排除)等进行控制，按照保密要求加强管理，将风险防患于未然。

4 结 语

本文建立的以保密负荷、保密防范、保密威胁和保密挽救为主要指标的模型包含了军队保密工作的各个方面，运用数据包络法对军队保密风险防腐剂行全面、综合地评估。改进了已有模型[8]侧重于影响因素的一部分或具体的某一方面对军队保密风险的影响，从整体上考虑各种因素所形成的综合效应与安全保密的关系，可以较好地掌握现实和潜在的保密风险状况，其评估结果可以反映出单位在保密管理工作中存在的漏洞和薄弱环节，为明确保密管理重点奠定了基础。

[1] 陈启健，陈创东. 信息安全保密法规体系的构建与完善[J].空军工程大学学报，2005(6)：79-84．

[2] 刘怀彦，杨世松.军队保密风险管理[M]. 北京：军事科学出版社，2009.

[3] 木仁，李蒙，马占新．数据包络分析方法中一种新偏序关系确定方法[J].内蒙古大学学报(自然科学版)，2016，47(1)：1-7．

[4] ADEL H M，ALI E，MADJID T．A Taxonomy and Review of the Fuzzy Data Envelopment Analysis Literature：Two Decades in the Making[J]．European Journal of Operational Research，2011，214(3)：457-472．

[5] 王广生.基于数据包络分析方法的电商行业上市公司效率研究[J].西华大学学报，2016(1)：44-52.

[6] 魏权龄．评价相对有效性的DEA方法：运筹学的新领域[M].北京：中国人民大学出版社，1988．

[7] 魏权龄，赵迎迎.DEA模型在资金分配和管理中的应用[J].数学的实践与认识， 2011，41(1)：64-70.

[8] 范红,冯登国,吴亚非.信息安全风险评估方法与应用[M].北京：清华大学出版社，2006.

(编辑：史海英)

Application of Data Envelopment Analysis in Military Information Security Assessment

LIU Yanna, WANG Rui, ZHONG Min, LIU Wenhui

(General Courses Department, Military Transportation University, Tianjin 300161, China)

Analyzing and assessing military security work objectively and accurately for controlling risk effectively is the key link in military information security work. According to current situation of military security work, the paper firstly establishes risk assessment index system which including security loading, security prevention, security threat, and security saving. Then, it assesses the risk of military information security with DEA (data envelopment analysis) according to the assessment index system, and determines the concrete influencing factors affecting security risk result. Finally, it puts forward some strategies and suggestions on controlling military security risk.

military information security; data envelopment analysis(DEA); risk assessment

2016-07-01；

2016-10-19．

刘艳娜(1979—)，女，硕士，讲师．

10．16807/j.cnki.12-1372/e.2017.03.022

O22

A

1674-2192(2017)03- 0091- 05