信息系统的定性及定量评价方法研究

内容摘要：本文分析了信息化建设在企业发展中的作用、现状以及信息化的风险，对信息系统进行评价的意义，提出了从三个方面对信息系统进行综合评价的方法和建议。

关键词：信息化 风险 评价

进入21世纪后，信息化已成为企业的中枢，左右着企业的命运。如何规避信息化带来的风险，使企业生产运作能安全、可靠、有效地运行，并给企业带来利润，正是当前各企业领导和IT研究人员关注的热点。

规避信息化风险的意义

信息化改造在一定程度上为提升企业竞争力做出了贡献，带来了一定的利润，提高了员工的工作效率，但也带来了一些负面影响。因此企业必须清楚，信息系统建设中的巨大投入到底能给企业带来了多大利润，投入产出比是否合适。

从另一个角度看，虽然信息化风险巨大，但是企业要生存、要提升竞争力，要与国际接轨，参与国际市场竞争又必须重视信息化建设。为避免信息化带来的风险，保证信息系统安全、可靠、高效地运行，企业领导必须做到从项目审批、开发、验收、运行维护等诸多方面进行审查。因此规避信息化风险、避免盲目投资、提高利用率，对企业来说具有非常重要的意义。

信息系统综合评价方法

信息系统安全性及评价方法

企业信息系统的安全性主要涉及到两方面的内容：资产安全性和数据安全性的保护程度。对资产的安全性来说主要考虑资产是否有被非法使用的可能性或已被非法使用过，由此造成的损失可能有多大；对数据的安全性主要考虑是否有错误数据产生，并确定错误的大小及其可能发生或已经发生的损失程度。

评价资产保护的一种方法是计算资产被破坏、盗窃或以非法目的使用所造成的预期损失。当这种损失不能确定时，可采用不同概率分布的方法进行计算。

如：假设因资产保护不当造成的损失，其中预期损失额为600000元的概率为0.4，损失额为800000元的概率为0.5，损失额为1000000元的概率为0.1，那么预期损失额为：

EL=∑Pi Li =600000×0.4+800000×0.5+1000000×0.1=740000

在对系统安全性进行综合评价时经常使用贝叶斯模型法。这种方法从理论上说是一种循环的过程，其操作步骤是：

先假设，系统的最终评估结果是：系统安全的概率p(s) =90%，系统不安全的概率p(u) =10%；肯定一个不安全的系统可能引起的费用是100000元(如法律诉讼费等) ；否定一个安全的系统可能引起的费用为5000元。

如果做出肯定的结论，那么可能的损失为0.9×0+0.1×100000=10000元；如果做出否定的结论，那么可能的损失为0.9×5000+0.1×0=4500元。

很明显，在缺乏进一步的安全证据的情况下，为使损失降到最少，一般要作出否定的决定，即认为该系统是不安全的。

如果有进一步的证据证明系统是安全的（即使如此，由于测试数据不可能综合完全地测试整个系统，因此系统仍有不安全的因素），而先前有不安全的结论，利用贝叶斯模型方法是：

P(肯定的测试结果|系统是安全的）=P(F│S)=0.8

P(肯定的测试结果|系统是不安全的）=P(F│U)=0.2

P(S│F)=P(F│S)P(S)/P(F)=P(F│S)P(S)/(P(F│S)P(S)+P(F│U)P(U))=0.8×0.9/(0.8×0.9+0.2×0.1)=0.97

P(U│F)=1-P(S│F)=1-0.97=0.03

利用这些新的百分率，可重新估算可能的损失。

如果所作结论是肯定的，可能的损失为 0.97×0+0.03×100000=3000元；如果所作结论是否定的，可能的损失为 0.97×5000+0.03×0=4850元。这一结论与先前结论相比较，做出肯定的结论损失减小了。

利用这种方法需要不断收集系统安全的新证据，不断地改变系统安全与不安全的百分比。在一般情况下，更多的信息在为我们带来更多收益的同时，也增加了为获得这些信息所付出的费用。基于这一点，对评估人员来说，必须适时地终止对证据、信息的收集活动，转而对系统做出最终的评估。

信息系统可靠性及评价方法

信息系统可靠性是指系统在规定的时间内无故障运行的概率，也就是系统维持其功能和性能水平的能力。信息系统可靠性分硬件可靠性和软件可靠性。软件可靠性可以用软件可靠度、软件故障率、平均故障间隔时间、平均故障修复时间来表示。

定义软件可靠度的前提是：软件对象必须明确，必须指明它与其它软件的界限；软件故障必须明确；必须无硬件故障；无数据输入错误；软件运行环境和支持环境正确；根据上述条件可得到软件可靠度公式为：

R(n)=P {n次运行不发生故障}

或表示为： R=1-lim(nf/n)

其中n是软件运行的次数，nf使n次运行中发生故障的次数。

软件故障率是指单位时间内软件发生故障的概率。用λ(t)表示在单位时间t系统发生故障的密度，则λ(t) Δt就表示软件正确运行到时刻t时，单位时间内发生故障的概率。

λ(t) Δt=P{tt} 于是：R(t+Δt)=P{T>(t+Δt)}=P{(T>t)∧在区间[t, t+Δt] 内软件不发生故障}=R(t)[1-λ(t)Δt] 将上式对t求微分，得到dR=-λ(t)R(t)dt 。

λ(t)反映故障引起的失效频度及系统的成熟性，R(t)与λ(t)之间呈负指数函数关系。但对小软件和具体的系统应根据收集到的数据确定可靠性函数。

平均故障间隔时间：是指相邻两次故障工作时间的数学期望。假设Tv为软件正常工作的总时间，d为系统由于软件问题而停止工作的次数，则平均故障间隔时间=Tv /(d+1)。对一些容错系统或模块系统来说，一些模块的失效未必导致整个系统停止运行，但将导致一段时间内系统工作不正常。

平均故障修复时间：表示软件从发生故障到软件恢复规定功能所需要的时间。但必须说明，随着软件规模的增大，修复时间可能会加长。所以修复时间是一个随机变量。

信息系统的有效性及评价方法

信息系统的性能指标主要有如下几项内容。时间性指标：它描述的是作业输入系统到系统输出结果所需要的时间周期。而时间周期又与系统的用户数有密切关系。吞吐率指标：描述的是在给定时间内系统处理的工作量。对于在线事务处理来说，吞吐率是每秒处理多少事务；对于通讯网络来说，吞吐率是指每秒传输多少数据包或多少比特。所以吞吐率的衡量单位是按工作单位（作业、人物、指令）来定义的。吞吐率与时间性指标的关系如图，所示。利用率指标：以系统资源处于忙状态的时间为度量标准。系统资源是指计算机系统中能分配给某项任务的所有设施，包括系统中的硬件、软件和数据资源。系统未被利用的时间称为空闲时间。对一般的系统而言，系统空闲与忙的时间片均匀地分布在整个运行时间内，因此系统资源既不能太忙，也不能太闲。可靠性指标：是表征系统处理用户工作的可用性或处理过程失败或错误的概率。一般人们更关注两次故障之间的工作时间分布特征。

企业在信息化中投入巨大，具有很高的风险，经验证明信息系统的规模越大，功能越复杂，风险也就越大。随着信息化在社会各领域的普及和应用，对信息系统的评价方法和评价技术的研究也在不断深入并被广大企业认可。

参考资料：

1.梅惠娟，开创未来[M] ，中国经济出版社，1997

2.格林斯坦、法因曼，电子商务[M]，机械工业出版社，2000

3.杨波，网络安全理论与应用[M]，电子工业出版社，2002