交通運輸網(wǎng)絡(luò)安全績效體系及綜合評價法研究

鄭茂林　夏小紅　王曉榮

摘要：開展網(wǎng)絡(luò)安全績效評估對提高網(wǎng)絡(luò)安全規(guī)劃、建設(shè)、管理工作具有重要的指導意義。該文從管理和技術(shù)兩個層面建立三級評價指標，構(gòu)建交通運輸行業(yè)網(wǎng)絡(luò)安全績效評價體系。結(jié)合當前網(wǎng)絡(luò)安全績效評估實際提出指標改進的思路、績效評價步驟和綜合評價方法。

關(guān)鍵詞：網(wǎng)絡(luò)安全；績效評價；指標體系；綜合評價法

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）01-0095-03

1 引言

近年，全球網(wǎng)絡(luò)安全事件頻發(fā)，威脅日益突出，風險不斷向政治、經(jīng)濟、社會等各領(lǐng)域傳導滲透。交通運輸是國民經(jīng)濟中基礎(chǔ)性、先導性、戰(zhàn)略性產(chǎn)業(yè)，各級交通運輸行業(yè)管理部門在日益嚴峻的網(wǎng)絡(luò)安全形勢下，開展網(wǎng)絡(luò)安全績效評價是如何有效應(yīng)對網(wǎng)絡(luò)安全威脅、提高行業(yè)網(wǎng)絡(luò)安全管理水平的新課題。

2 開展網(wǎng)絡(luò)安全績效評估的意義

按照《網(wǎng)絡(luò)安全法》和國家網(wǎng)絡(luò)安全政策，近年來通過全方位的管理和技術(shù)措施，有效防范網(wǎng)絡(luò)安全威脅，有力處置網(wǎng)絡(luò)安全事件，嚴厲打擊危害網(wǎng)絡(luò)安全的違法犯罪活動，切實保障了國家網(wǎng)絡(luò)安全。開展網(wǎng)絡(luò)安全績效評估提高了網(wǎng)絡(luò)安全管理的決策水平，使決策過程更加規(guī)范化、程序化和科學化，對于指導如何有效開展網(wǎng)絡(luò)安全規(guī)劃、建設(shè)、管理工作具有重要的指導意義。

3 網(wǎng)絡(luò)安全績效評估簡介

ISO/IEC27000、NIST、COBIT等國際標準化組織都提出了網(wǎng)絡(luò)安全績效評價的概念。如ISO/IEC27000提出了網(wǎng)絡(luò)安全風險評估和風險處理的原則、流程和要求，并從安全方針、信息安全管理機構(gòu)、資產(chǎn)管理、人力資源管理、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)維護、安全事件管理、業(yè)務(wù)聯(lián)系性管理、法規(guī)符合性管理等方面進行風險控制和評估。我國發(fā)布了有關(guān)網(wǎng)絡(luò)安全評價標準，如信息系統(tǒng)安全保障評估框架、信息安全風險評估實施指南、信息安全風險評估規(guī)范、信息安全管理評估要求等國家標準。

在網(wǎng)絡(luò)安全績效評價的理論探討方面，目前主要有以下兩種方式：一是主觀評價法，如主要依據(jù)專家評價判斷為基礎(chǔ)的多級模糊綜合評價模型[1]、熵權(quán)模糊綜合評價模型[2]等。二是客觀評價法，如有人提出基于數(shù)據(jù)樣本為基礎(chǔ)的神經(jīng)網(wǎng)絡(luò)綜合評價模型[3]。這兩種方法因為對參與評價的人員要求高，數(shù)據(jù)樣本難以獲得等原因，在網(wǎng)絡(luò)安全管理工作中缺乏可操作性和可實踐基礎(chǔ)。

4 交通運輸行業(yè)網(wǎng)絡(luò)安全績效評估現(xiàn)狀

交通運輸行業(yè)高度重視網(wǎng)絡(luò)安全考核評價工作，交通運輸部于2019年發(fā)布了網(wǎng)絡(luò)安全工作考核評價試行規(guī)則，規(guī)范和指導行業(yè)開展網(wǎng)絡(luò)安全考核評價和監(jiān)督檢查工作。該規(guī)則重點評價網(wǎng)絡(luò)安全管理工作，共18個等權(quán)重的管理類指標，其中6個基本關(guān)鍵指標設(shè)置為扣分項。滿分為100分，通過逐項打分、匯總得分的方式進行考核評價。結(jié)果劃分為優(yōu)良、良好、合格、不合格四個等級。

在實際工作中，該評價方法對評價人的專業(yè)水平要求不高，具有易理解、可操作和相對合理的優(yōu)點。其評價結(jié)果在一定程度上客觀地反映了組織機構(gòu)網(wǎng)絡(luò)安全管理水平，但是仍然存在如下不足：一是只對網(wǎng)絡(luò)安全管理工作進行了評價，沒有將技術(shù)層面納入評價范圍。二是在結(jié)合交通運輸行業(yè)特點上顯得不足。

5 交通運輸行業(yè)網(wǎng)絡(luò)安全績效評估價指標體系構(gòu)建

交通運輸行業(yè)網(wǎng)絡(luò)安全績效評價是通過建立合理的評價指標體系，運用科學可行的評價模型和方法，從管理和技術(shù)兩個層面對組織機構(gòu)或部門在某一時段內(nèi)的網(wǎng)絡(luò)安全管理績效做出客觀、準確的判斷過程。重點考慮網(wǎng)絡(luò)安全的合法合規(guī)性，突出評價指標的交通運輸行業(yè)特點，同時要兼顧評價指標的易理解性、可操作性。交通運輸行業(yè)網(wǎng)絡(luò)安全績效評價建立三級指標體系，一級指標包含管理和技術(shù)兩大類。

管理類指標主要以國家法律法規(guī)，部省網(wǎng)絡(luò)安全管理制度規(guī)范為依據(jù)選取，由12個二級評價指標和46個三級指標組成。技術(shù)類指標主要參照等級保護2.0標準為依據(jù)，由安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全擴展要求（以云計算為例）6個二級評價指標和27個三級指標組成。詳細指標體系見表1。

6 交通運輸網(wǎng)絡(luò)安全績效評價指標改進思路

以交通運輸部2019年發(fā)布的網(wǎng)絡(luò)安全工作考核評價試行規(guī)則考核指標為基礎(chǔ)，全部保留18個考核指標，針對交通運輸行業(yè)網(wǎng)絡(luò)安全績效考核工作存在的不足，主要從三方面進行改進。

6.1 適當增加網(wǎng)絡(luò)安全績效考核“一票否決”項

對于在網(wǎng)絡(luò)安全工作中發(fā)生了特別嚴重的網(wǎng)絡(luò)安全事件，并且對交通運輸行業(yè)帶來特別嚴重損害的情形，應(yīng)該設(shè)置網(wǎng)絡(luò)安全績效考核一票否決項。只要發(fā)生了《交通運輸部網(wǎng)安全事件應(yīng)急預案》中Ⅰ級（特別重大）網(wǎng)絡(luò)安全事件的情形，則考核結(jié)果為不及格（得分＜60分）。

6.2 結(jié)合交通運輸行業(yè)特點增加網(wǎng)絡(luò)安全績效考核評估項

對于涉及交通運輸行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施和重要業(yè)務(wù)信息系統(tǒng)建管和運維的組織機構(gòu)，則應(yīng)增加“關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)網(wǎng)絡(luò)安全管理”績效評價指標，主要從6個方面進行評價：1） 等保2.0落實情況；2） 運維管理“三員”分立落實情況；3） 系統(tǒng)災備情況；4） 應(yīng)急預案演練情況；5） 風險評估和隱患整改情況；6） 網(wǎng)絡(luò)安全專項設(shè)計方案評審、實施驗收情況。

除上述指標外，根據(jù)各地區(qū)、各領(lǐng)域交通運輸工作的實際和各時期網(wǎng)絡(luò)安全管理的重點，還可補充選取管理類部分三級動態(tài)評價指標作為輔助評價指標。

6.3 適量增加技術(shù)類網(wǎng)絡(luò)安全績效評價指標

要對技術(shù)類網(wǎng)絡(luò)安全績效評價指標開展科學、全面的評價，一是要求有專業(yè)的網(wǎng)絡(luò)安全檢測工具、專業(yè)的網(wǎng)絡(luò)安全技術(shù)人員；二是需要消耗較高的時間和經(jīng)濟成本。從可操作性為出發(fā)點選取技術(shù)類網(wǎng)絡(luò)安全績效評價指標作為補充、輔助評價指標。

7 績效評價指標權(quán)重和賦值的確定方法

指標權(quán)重是評價指標重要性的百分比，反映該指標對評價對象的重要性程度。目前，指標權(quán)重的確定方法分兩類：一類主觀權(quán)重確定法，如：專家調(diào)查法（德爾菲法）、層次分析法等；另一類是客觀權(quán)重確定法，如標準離差法、灰色關(guān)聯(lián)法、熵權(quán)法等。

目前，由于缺少交通運輸行業(yè)網(wǎng)絡(luò)安全績效評價有關(guān)定量分析數(shù)據(jù)，對于指標權(quán)重、指標的賦值，只能依靠專家和管理者的專業(yè)知識和經(jīng)驗為依據(jù)來確定。一級評價指標的權(quán)重采用專家調(diào)查法確定，還可進行簡化處理，如管理類、技術(shù)類權(quán)重取值為{（0.9，0.1）;（0.8，0.2）; （0.7，0.3）;（0.6，0.4）;（0.5，0.5）}。二級評價指標參照交通運輸部2019年發(fā)布的網(wǎng)絡(luò)安全工作考核評價試行規(guī)則，全部采取等權(quán)重指標。三級評價指標的得分值根據(jù)經(jīng)驗采取主觀賦值法進行。

8 交通運輸行業(yè)網(wǎng)絡(luò)安全績效評價

8.1 績效評價步驟

采用綜合評價法進行績效評價，評價步驟如圖1所示。

8.2 綜合評價計算法

采取綜合評價法進行交通運輸行業(yè)網(wǎng)絡(luò)安全績效評價，具體算法如下：

8.3 評價數(shù)據(jù)歸一化處理和評價考核等級結(jié)論

在對不同組織機構(gòu)進行評價時，由于可評價項目各不同，因此各組織機構(gòu)的滿分也不相同。為了使評價數(shù)據(jù)具有可比性，可采取對評價數(shù)據(jù)進行歸一化處理，先使其指標值落在[0，1]區(qū)間內(nèi)，然后乘以100得到歸一化處理之后的總得分。具體處理方法如下：

歸一化處理績效評價得分總計W的計算公式3為：

將網(wǎng)絡(luò)安全績效按照評價分值劃分為4個等級：優(yōu)良、良好、合格和不合格，構(gòu)成評價集V={A，B，C，D}，績效各級別按綜合分值評判，其評判標準見表2。

9 結(jié)束語

網(wǎng)絡(luò)安全績效評估結(jié)果分為定量、定性兩種。定量結(jié)果是一個滿分制的分數(shù)，可以用于排名；定性結(jié)果為優(yōu)良、良好、合格和不合格四個等級。評價結(jié)果可以作為網(wǎng)絡(luò)安全工作考核的重要依據(jù)。

參考文獻：

[1] 黃麗民，王華.網(wǎng)絡(luò)安全多級模糊綜合評價方法[J].遼寧工程技術(shù)大學學報，2004，23（4）：510-513.

[2] 莊鎖法，陳興梅.基于熵的高校網(wǎng)絡(luò)安全模糊綜合評價方法研究[J].信息技術(shù)，2010，34（10）：11-14.

[3] 樓文高，姜麗，孟祥輝.計算機網(wǎng)絡(luò)安全綜合評價的神經(jīng)網(wǎng)絡(luò)模型[J].計算機工程與應(yīng)用，2007，43（32）：128-131.

【通聯(lián)編輯：代影】