鐵路網絡安全能力成熟度模型研究

王 慧，吳一卓

（1.中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；2.中國鐵道科學研究院 研究生部，北京 100081）

傳統網絡安全工程多采用“基于威脅”的思想，強調“監管合規”，以已知的特定威脅和基于該威脅的攻擊場景為背景，進行針對性分析。但傳統合規管理不能全面分析企業網絡安全能力，尤其在發現或應對未知網絡攻擊、威脅方面存在管理手段滯后等問題。如何量化評價企業網絡安全整體防護水平，合理分析企業在網絡安全制度管理、關鍵技術應用等方面的不足，成為網絡安全能力體系建設的關注點。

在數字化發展時期，網絡安全能力成熟度模型作為一套可以量化企業網絡安全體系建設和防護能力的工程化的模型，已被應用到網絡安全體系建設中[1]。該模型可應用于量化評價網絡安全工作在信息系統規劃建設各個階段環節的能力，發現差距與短板；也可通過能力評估，進一步指導網絡安全體系建設，持續保障企業網絡安全體系能夠動態地適應大安全環境。

文獻[2]中提出了數據安全能力的成熟度模型，數據安全能力成熟度模型（DSMM，Data security capability maturity model）涵蓋3 個維度，包括安全能力維度、能力成熟度等級維度和數據安全過程維度，3 者形成三位一體的模型，針對數據全生命周期采用不同的能力評估方法，對組織數據安全能力進行評估。

文獻[3]提出了自適應安全框架（ASA，Adaptive Security Architecture），該框架涵蓋了防御、檢測、響應、預測4 個維度，將網絡安全看作一個循環的過程，通過對安全威脅的持續化地實時動態分析，不斷優化自身的安全防御機制。在應對云計算、大數據、物聯網、移動互聯網、人工智能時代所面臨的安全威脅方面效果顯著。

文獻[4]提出將零信任自適應安全技術引入軌道交通行業。利用端邊云防護設備和ASA，通過對網絡活動數據特征提取、模型訓練等過程，構建信任評估模型，能夠應對未知的網絡威脅，有效解決云計算中面臨的全新攻擊。

文獻[5]創建了適用于金融領域的網絡安全風險分析模型，該模型借鑒國際主流網絡安全架構，形成了時間、空間雙維度，縱深、主動、自適應多視角防御頂層設計，以及統一管理、梯次部署的網絡安全防御技術架構，以此指導中國銀行的網絡安全建設實踐。

電力行業在面對新的威脅和攻擊時采用ASA 來應對云大物移智時代所面臨的安全形勢，構建了網絡安全防護體系，提升感知覆蓋物聯網感知層全環節網絡安全態勢的能力，實現了預警、防護、檢測與響應的閉環[6]。

基于上述研究，本文結合鐵路網絡安全等級保護測評、商用密碼應用安全性評估、關鍵信息基礎設施網絡安全風險評估、鐵路網絡安全風險治理和數據安全管理方面的經驗，設計了基于數據安全能力成熟度模型和ASA 的網絡安全能力成熟度模型，并提出了一套網絡安全能力成熟度評價指標。旨在加強鐵路行業的網絡安全能力，有效、一致地評估和衡量網絡安全能力，實現內部共享、相互借鑒、有效提高網絡安全能力的目標。

1 網絡安全能力成熟度模型架構

本文提出的網絡安全能力成熟度模型架構由3個維度組成，分別為網絡安全能力維度、能力成熟度等級維度和網絡安全過程維度。成熟度模型架構如圖1 所示。

圖1 網絡安全能力成熟度模型架構

1.1 網絡安全能力維度

網絡安全能力維度明確組織在網絡安全領域應具備的能力，該維度通過對組織各網絡安全過程應具備的能力進行量化，從而評估每項安全過程的實現能力，包括管理、技術和運營維護（簡稱：運維）等3 個方面[2]。

（1）管理從承擔網絡安全工作的組織應具備的組織管理能力角度，從組織架構的合理性、人員工作職責的明確性，以及組織運作、溝通協調的有效性等3 個方面進行能力等級區分[7]。

（2）技術從組織的網絡安全工作技術的各個方面，包括網絡安全技術能力、網絡安全技術工具自動化，以及網絡安全技術工具用于安全制度流程的效果等3 個方面進行能力等級區分。

（3）運維從對軟硬件運行環境和業務系統進行綜合管理的角度，從運維活動的周期性和及時性、管理辦法實施的有效性，以及相關管理辦法的制定、發布、修訂的規范性等3 個方面進行能力等級區分。

1.2 能力成熟度等級維度

成熟度等級定義了國家鐵路（簡稱：國鐵）企業在網絡安全能力的某個方面的進展程度，網絡安全能力成熟度評估將根據國鐵企業在各個方面上的具體表現確定國鐵企業的網絡安全能力成熟度等級及改進的方向。

將能力成熟度等級劃分為4 個級別，具體包括：1 級基礎防范、2 級體系化控制、3 級主動性防御、4 級進攻性防御。網絡安全能力成熟度等級描述如表1所示。

表1 網絡安全能力成熟度等級

1.3 網絡安全過程維度

網絡安全過程維度在自適應安全框架的基礎上劃分為5 個過程，包括防御、檢測、響應、預測和通用安全；在5 個網絡安全過程的基礎上進一步將各個過程劃分成若干個域，便于實際評定等級。

（1）防御過程是指采用一些技術手段來防御攻擊。這個過程的主要目的是減少被攻擊面，從而減少攻擊方的進攻渠道，并在攻擊產生影響前及時做出應對[8]。主要包括身份認證、訪問控制、密碼應用、數據安全、應用安全、計算環境、入侵防范、邊界防護等。

（2）檢測過程是對系統進行檢查，防止部分攻擊逃過防御過程從而對系統產生威脅，該過程的主要目的是發現出某些未知的攻擊以及其他潛在的風險。主要包括密碼測評、網絡安全等級保護、漏洞掃描、病毒檢測、滲透檢測、風險評估等。

（3）響應過程是對正在面臨的攻擊進行調查，對攻擊來源進行溯源分析，查明攻擊者的IP 等信息，并且及時對系統進行修復和增強，并采用新的防御或檢測手段來避免未來可能發生的事故。主要包括容災備份、溯源反制、應急管理、攻防演練、修復改善等。

（4）預測過程是將防御、檢測、響應這3 個過程結合來進一步提升系統，逐漸實現對未知的、新型的攻擊進行預測，并對發現的攻擊行為進行分級記錄。將過程的結果反饋到防御、檢測和響應過程，讓網絡安全過程成為一個閉環。主要包括安全監測、態勢感知、情報威脅、安全審計等。

（5）通用安全過程包含了上述4 個過程之外的網絡安全過程項，主要包括信創應用、信息通報、供應鏈安全、組織和人員管理、安全培訓、合作方管理、監督檢查、考核評價、資產管理和集中管控等。

2 網絡安全能力成熟度評價指標

2.1 評價指標設計

網絡安全能力成熟度模型定義了防御、檢測、響應、預測和通用安全等5 個核心過程，細分為33個過程域（PA，Process Area）、4 個成熟度等級及396 項指標評定標準。

PA 集是實現同一安全過程的相關網絡安全基本實踐的集合。每個PA 有對應的編號，分別采用遞增的數值01，02，···，表示，本文提出的PA 歸類為網絡安全過程域和通用安全域，PA 集共包含33 個PA，如圖2 所示。

圖2 PA 集

使用連續性表示法將過程域按類劃分，可靈活 選擇待改進的過程域；使用階段式表示法將過程域按承受度等級劃分，在每個成熟度等級上預定義了一組過程域。將每個PA 分為4 個等級，每個等級分別包括管理、技術、運維等3 個角度的指標。以防御過程為例，防御過程指標結構層次如圖3 所示。

圖3 防御過程指標結構層次

2.2 指標描述舉例

以防御過程中的身份鑒別PA 為例，分別從管理、技術和運維這3 個網絡安全能力指標的角度給出達到每一個等級的要求，詳細說明該域的能力成熟度等級評定標準。每個PA 的側重點各不相同，PA 的等級要求也循序漸進，可能會存在達到某一等級的要求不包括全部3 個角度的情況。

基于組織的網絡安全需求和人員工作職責建立身份鑒別機制，防止可能存在的未授權訪問風險。該過程項的網絡安全能力等級描述如下。

（1）等級1：基礎防范

管理：應由業務團隊相關人員負責管理核心業務系統的用戶身份及管理權限。應明確核心業務中身份鑒別的相關安全要求。

技術：應對用戶進行身份鑒別，身份鑒別信息需定期更換。應具有登錄失敗處理功能，應采用登錄連接超時自動退出等相關措施。

（2）等級2：體系化控制

管理：組織應設立統一的崗位和人員，負責對組織內身份鑒別相關事務進行管理。應制定組織的身份鑒別相關規章制度，明確對身份鑒別的相關要求；應按最少夠用原則，為不同賬戶授予完成各自承擔任務所需的最小權限，并且形成三權分立。

技術：應建立組織層面的身份鑒別管理系統，支持組織所有主要應用接入，實現對組織人員的統一身份鑒別。

運維：應定期對用戶賬號情況進行檢查，及時刪除或停用多余的、過期的賬戶和角色，避免共享賬戶和角色權限沖突的存在。

（3）等級3：主動性防御

管理：建立網絡安全角色清單，明確網絡安全角色的安全要求、分配策略、授權機制和權限范圍。

技術：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現[9]。

（4）等級4：進攻性防御

技術：應建立人力資源管理與身份鑒別管理、權限管理的聯動控制。應建立網絡安全主動防御機制或措施，如基于用戶行為或設備行為的安全控制機制。

2.3 等級評定標準

每個域的等級評定都是從管理、技術和運維這3 個網絡安全能力進行評定，級別越高，代表網絡安全能力越強。對于每個PA 的每個等級，需要同時滿足本等級和所有低于該等級的等級描述，才能認為該PA 達到了本等級的能力水平[2]。在根據標準分別評定所有域的等級后，根據某一網絡安全過程中所有域的結果來綜合判定該網絡安全過程的能力成熟度等級。

設達到n級的PA 的數量為Nn（1≤n≤4），該網絡安全過程中PA 的總數量為N，計算網絡安全過程n級能力符合度Ln的公式為

其中，Ln為某一網絡安全過程達到n級的能力符合度，n取1，2，3，4。當n=1 時，該網絡安全過程達到1 級的能力符合度為，根據其他行業相關管理經驗，假設若某一等級的能力符合度大于等于60%，則認為能力成熟度基本達到該等級[10-11]。所以若L1＞60%，則認為該網絡安全過程整體達到1 級，其他級別同理。在分別計算每一網絡過程的能力成熟度等級后，用相同方法根據等級結果計算組織的整體網絡安全能力成熟度等級。

表2 是一個企業的網絡安全能力成熟度評分結果，以該表的防御過程為例，其1 級能力符合度L1=(0+8)/8=100%＞60%，2 級 能 力 符 合L2=(1+7)/8=100%＞60%，3 級能力符合度L3=(4+3)/8=87.5%＞60%，4 級能力符合度L4=(3+0)/8=37.5%＜60%，所以認為其防御過程的網絡安全能力成熟度等級達到3 級。以此類推其余過程的等級如表2 所示，檢測過程的網絡安全能力成熟度等級為3 級，響應過程的網絡安全能力成熟度等級為2 級，預測過程的網絡安全能力成熟度等級為2 級，通用安全的網絡安全能力成熟度等級為3 級。

表2 網絡安全能力成熟度評分結果

用相同的方法對組織整體的網絡安全能力符合度進行計算，1 級能力符合度L1=(0+5)/5=100%＞60%，2 級能力符合L2=(2+3)/5=100%＞60%，3 級能力符合度L3=(3+0)/5=60%=60%，4 級能力符合度L4=(0+0)/5=0%＜60%，所以最終計算出該企業的整體網絡安全能力成熟度等級為3 級。

3 結束語

本文從網絡安全管理、網絡安全技術、網絡安全運維這3 個維度，構建了鐵路網絡安全能力成熟度模型，提出了一套網絡安全能力成熟度評價指標為評估各單位網絡安全能力水平提供了參考依據，對鐵路信息系統網絡安全管理工作具有重要意義。未來還須與鐵路網絡安全現狀相結合，對本文提出的網絡安全能力成熟度模型的指標體系進行及時更新和調整，進一步促進安全管理、技術防護、安全運維相關工作的開展，提升鐵路企業的網絡安全能力。