交通运输网络安全绩效体系及综合评价法研究_郑茂林.pdf

网络通信与安全本栏目责任编辑：代影Computer Knowledge and Technology电脑知识与技术第19卷第1期(2023年1月）第19卷第1期(2023年1月）交通运输网络安全绩效体系及综合评价法研究郑茂林，夏小红，王晓荣（湖北省交通运输厅 通信信息中心，湖北 武汉 430030)摘要：开展网络安全绩效评估对提高网络安全规划、建设、管理工作具有重要的指导意义。该文从管理和技术两个层面建立三级评价指标，构建交通运输行业网络安全绩效评价体系。结合当前网络安全绩效评估实际提出指标改进的思路、绩效评价步骤和综合评价方法。关键词：网络安全；绩效评价；指标体系；综合评价法中图分类号：TP393文献标识码：A文章编号：1009-3044(2023)01-0095-03开放科学（资源服务）标识码(OSID)：1 引言近年，全球网络安全事件频发，威胁日益突出，风险不断向政治、经济、社会等各领域传导渗透。交通运输是国民经济中基础性、先导性、战略性产业，各级交通运输行业管理部门在日益严峻的网络安全形势下，开展网络安全绩效评价是如何有效应对网络安全威胁、提高行业网络安全管理水平的新课题。2 开展网络安全绩效评估的意义按照 网络安全法 和国家网络安全政策，近年来通过全方位的管理和技术措施，有效防范网络安全威胁，有力处置网络安全事件，严厉打击危害网络安全的违法犯罪活动，切实保障了国家网络安全。开展网络安全绩效评估提高了网络安全管理的决策水平，使决策过程更加规范化、程序化和科学化，对于指导如何有效开展网络安全规划、建设、管理工作具有重要的指导意义。3 网络安全绩效评估简介ISO/IEC27000、NIST、COBIT 等国际标准化组织都 提 出 了 网 络 安 全 绩 效 评 价 的 概 念。如 ISO/IEC27000提出了网络安全风险评估和风险处理的原则、流程和要求，并从安全方针、信息安全管理机构、资产管理、人力资源管理、物理和环境安全、通信和操作管理、访问控制、系统开发维护、安全事件管理、业务联系性管理、法规符合性管理等方面进行风险控制和评估。我国发布了有关网络安全评价标准，如信息系统安全保障评估框架、信息安全风险评估实施指南、信息安全风险评估规范、信息安全管理评估要求等国家标准。在网络安全绩效评价的理论探讨方面，目前主要有以下两种方式：一是主观评价法，如主要依据专家评价判断为基础的多级模糊综合评价模型1、熵权模糊综合评价模型2等。二是客观评价法，如有人提出基于数据样本为基础的神经网络综合评价模型3。这两种方法因为对参与评价的人员要求高，数据样本难以获得等原因，在网络安全管理工作中缺乏可操作性和可实践基础。4 交通运输行业网络安全绩效评估现状交通运输行业高度重视网络安全考核评价工作，交通运输部于2019年发布了网络安全工作考核评价试行规则，规范和指导行业开展网络安全考核评价和监督检查工作。该规则重点评价网络安全管理工作，共18个等权重的管理类指标，其中6个基本关键指标设置为扣分项。满分为100分，通过逐项打分、汇总得分的方式进行考核评价。结果划分为优良、良好、合格、不合格四个等级。在实际工作中，该评价方法对评价人的专业水平要求不高，具有易理解、可操作和相对合理的优点。其评价结果在一定程度上客观地反映了组织机构网络安全管理水平，但是仍然存在如下不足：一是只对网络安全管理工作进行了评价，没有将技术层面纳入评价范围。二是在结合交通运输行业特点上显得不足。5 交通运输行业网络安全绩效评估价指标体系构建交通运输行业网络安全绩效评价是通过建立合理的评价指标体系，运用科学可行的评价模型和方法，从管理和技术两个层面对组织机构或部门在某一时段内的网络安全管理绩效做出客观、准确的判断过收稿日期：2022-04-27作者简介：郑茂林(1969)，女，湖北红安人，正高级工程师，学士，主要研究方向为交通运输行业信息化和网络安全。E-mail：http：/Tel：+86-551-65690963 65690964ISSN 1009-3044Computer Knowledge and Technology电脑知识与技术Vol.19,No.1,January202395DOI:10.14004/ki.ckt.2023.0006本栏目责任编辑：代影网络通信与安全Computer Knowledge and Technology电脑知识与技术第19卷第1期(2023年1月）第19卷第1期(2023年1月）程。重点考虑网络安全的合法合规性，突出评价指标的交通运输行业特点，同时要兼顾评价指标的易理解性、可操作性。交通运输行业网络安全绩效评价建立三级指标体系，一级指标包含管理和技术两大类。管理类指标主要以国家法律法规，部省网络安全管理制度规范为依据选取，由12个二级评价指标和46个三级指标组成。技术类指标主要参照等级保护2.0标准为依据，由安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全扩展要求（以云计算为例）6个二级评价指标和27个三级指标组成。详细指标体系见表1。表1 交通运输行业网络安全绩效评价指标体系一级指标管理类指标二级指标1.组织机构2.制度建设3.党委（党组）责任落实4.重大网络安全工作贯彻落实5.等保工作落实6.应急预案发布7.信息通报与预警机制建立8.交通运输行业关键信息基础设施、重要信息系统网络安全管理9.网络安全日常管理10.人员管理三级指标（动态选取指标）1)党委（党组）责任落实情况；2)职责分工落实情况；3)网络安全组织机构落实情况1)网络安全方针、网络安全规划制定情况；2)网络安全管理制度制定情况；3)网络安全相关管理制度建设情况（机房管理制度、人员管理制度、运维管理等）1)党委（党组）召开网络安全专题会议情况；2)党委会、办公会有关网络安全重要议题讨论决策情况；3)重要领导网络安全责任书签订情况；4)网络安全关键岗位人员保密责任书签订情况1)国家、部省重保期间领导网络安全值守情况；2)应急处置队伍值守情况；3)重要应用、关键信息设置重保落实情况；4)国家、部省重要网络安全重点工作落实情况；5)网络安全建设管理“三同时”落实情况1)定级、备案情况；2)测评整改情况；3)等保2.0标准落实情况1)文件形式发布网络安全工作应急预案的情况；2)重要业务系统、重要信息网络（平台）等专项预案制定情况；3)应急机制建立运行情况1)组织机构建立网络安全信息通报机制；2)网络安全预警信息获取渠道情况；3)对预警信息响应机制的建立1)等保2.0落实情况；2)运维管理“三员”分立落实情况；3)系统灾备情况；4)应急预案演练情况；5)风险评估和隐患整改情况；6)网络安全专项设计方案评审、实施验收情况1)机房管理落实情况；2)重要存储介质管理落实情况；3)办公环境（含无线网络）网络安全管理情况；4)定期网络安全自查、整改情况；5)定期向上级管理职能部门报告网络安全工作总结的情况；6)网络安全日常管理台账记录情况1)内部人员（含上岗、离职）网络安全管理规定；2)外部人员网络安全管理规定；3)网络安全专（兼）职技术人员持证上岗和培训落实情况；4)服务外包与第三方签订网络安全保密协议情况；5)全员网络安全意识教育培训情况技术类指标11.供应链网络安全管理12.网络安全经费投入情况1.安全物理环境2.安全通信网络3.安全区域边界4.安全计算环境5.安全管理中心6.安全扩展要求（以云计算为例）1)重要数据资源存放在中国境内；2)关键信息设施的软硬件符合国家法律法规规定（网络安全产品、商用密码产品等）；3)外包代码审计1)每年度安排网络安全专项经费；2)专项经费投入额1)电子门禁系统；2)机房防盗报警系统；3)机房监控报警系统；4)火灾消防系统；5)机房专用空调；6)水敏检测设备；7)机房供电备用系统（或UPS)1)网域的划分；2)关键线路、设备冗余；3)负载均衡1)边界防火墙；2)Web应用防火墙；3)防篡改系统；4)准出（入）控制设备；5)IPS（或IDS)1)日志审计系统；2)网络杀毒软件；3)数据备份系统；4)漏洞扫描设备；5)管理员账号密码（弱密码、明文传输）；6)个人信息保护1)堡垒机(+Ukey认证）；2)网络集中管控；3)网络安全态势感知系统1)应保证云计算平台不承载高于其安全保护等级的业务应用系统；2)云客户端虚拟网络之间隔离；3)重要数据、个人敏感信息存储6 交通运输网络安全绩效评价指标改进思路以交通运输部2019年发布的网络安全工作考核评价试行规则考核指标为基础，全部保留18个考核指标，针对交通运输行业网络安全绩效考核工作存在的不足，主要从三方面进行改进。6.1 适当增加网络安全绩效考核“一票否决”项对于在网络安全工作中发生了特别严重的网络安全事件，并且对交通运输行业带来特别严重损害的情形，应该设置网络安全绩效考核一票否决项。只要发生了 交通运输部网安全事件应急预案 中级（特别重大）网络安全事件的情形，则考核结果为不及格（得分60分）。6.2 结合交通运输行业特点增加网络安全绩效考核评估项对于涉及交通运输行业关键信息基础设施和重要业务信息系统建管和运维的组织机构，则应增加“关键信息基础设施、重要信息系统网络安全管理”绩效评价指标，主要从6个方面进行评价：1)等保2.0落实情况；2)运维管理“三员”分立落实情况；3)系统灾备情况；4)应急预案演练情况；5)风险评估和隐患整改情况；6)网络安全专项设计方案评审、实施验收情况。除上述指标外，根据各地区、各领域交通运输工作的实际和各时期网络安全管理的重点，还可补充选取管理类部分三级动态评价指标作为辅助评价指标。96网络通信与安全本栏目责任编辑：代影Computer Knowledge and Technology电脑知识与技术第19卷第1期(2023年1月）第19卷第1期(2023年1月）6.3 适量增加技术类网络安全绩效评价指标要对技术类网络安全绩效评价指标开展科学、全面的评价，一是要求有专业的网络安全检测工具、专业的网络安全技术人员；二是需要消耗较高的时间和经济成本。从可操作性为出发点选取技术类网络安全绩效评价指标作为补充、辅助评价指标。7 绩效评价指标权重和赋值的确定方法指标权重是评价指标重要性的百分比，反映该指标对评价对象的重要性程度。目前，指标权重的确定方法分两类：一类主观权重确定法，如：专家调查法（德尔菲法）、层次分析法等；另一类是客观权重确定法，如标准离差法、灰色关联法、熵权法等。目前，由于缺少交通运输行业网络安全绩效评价有关定量分析数据，对于指标权重、指标的赋值，只能依靠专家和管理者的专业知识和经验为依据来确定。一级评价指标的权重采用专家调查法确定，还可进行简化处理，如管理类、技术类权重取值为(0.9,0.1);(0.8,0.2);(0.7,0.3);(0.6,0.4);(0.5,0.5)。二级评价指标参照交通运输部2019年发布的网络安全工作考核评价试行规则，全部采取等权重指标。三级评价指标的得分值根据经验采取主观赋值法进行。8 交通运输行业网络安全绩效评价8.1 绩效评价步骤采用综合评价法进行绩效评价，评价步骤如图1所示。8.2 综合评价计算法采取综合评价法进行交通运输行业网络安全绩效评价，具体算法如下：设管理类三级指标的满分赋值为Gj，该项指标评价得分值为gj，其中j的取值范围j=1,2,3m；技术类三级指标的满分赋值为Ti，该项指标评价得分值为ti，其中i的取值范围j=1,2,3n。设管理类和技术类二级指标均为等权重指标；一级管理类指标权重为q，则一级技术类指标权重为(1-q)。则绩效评价得分总计w的计算公式1为：公式1：w=qj=1mgj+(1-q)i=1nti绩效评价指标满分v的计算公式2为：公式2：v=qj=1mGj+(1-q)i=1nTi8.3 评价数据归一化处理和评价考核等级结论在对不同组织机构进行评价时，由于可评价项目各不同，因此各组织机构的满分也不相同。为了使评价数据具有可比性，可采取对评价数据进行归一化处理，先使其指标值落在0,1区间