网络通信与安全本栏目责任编辑:代影ComputerKnowledgeandTechnology电脑知识与技术第19卷第1期(2023年1月)交通运输网络安全绩效体系及综合评价法研究郑茂林,夏小红,王晓荣(湖北省交通运输厅通信信息中心,湖北武汉430030)摘要:开展网络安全绩效评估对提高网络安全规划、建设、管理工作具有重要的指导意义。该文从管理和技术两个层面建立三级评价指标,构建交通运输行业网络安全绩效评价体系。结合当前网络安全绩效评估实际提出指标改进的思路、绩效评价步骤和综合评价方法。关键词:网络安全;绩效评价;指标体系;综合评价法中图分类号:TP393文献标识码:A文章编号:1009-3044(2023)01-0095-03开放科学(资源服务)标识码(OSID):1引言近年,全球网络安全事件频发,威胁日益突出,风险不断向政治、经济、社会等各领域传导渗透。交通运输是国民经济中基础性、先导性、战略性产业,各级交通运输行业管理部门在日益严峻的网络安全形势下,开展网络安全绩效评价是如何有效应对网络安全威胁、提高行业网络安全管理水平的新课题。2开展网络安全绩效评估的意义按照《网络安全法》和国家网络安全政策,近年来通过全方位的管理和技术措施,有效防范网络安全威胁,有力处置网络安全事件,严厉打击危害网络安全的违法犯罪活动,切实保障了国家网络安全。开展网络安全绩效评估提高了网络安全管理的决策水平,使决策过程更加规范化、程序化和科学化,对于指导如何有效开展网络安全规划、建设、管理工作具有重要的指导意义。3网络安全绩效评估简介ISO/IEC27000、NIST、COBIT等国际标准化组织都提出了网络安全绩效评价的概念。如ISO/IEC27000提出了网络安全风险评估和风险处理的原则、流程和要求,并从安全方针、信息安全管理机构、资产管理、人力资源管理、物理和环境安全、通信和操作管理、访问控制、系统开发维护、安全事件管理、业务联系性管理、法规符合性管理等方面进行风险控制和评估。我国发布了有关网络安全评价标准,如信息系统安全保障评估框架、信息安全风险评估实施指南、信息安全风险评估规范、信息安全管理评估要求等国家标准。在网络安全绩效评价的理论探讨方面,目前主要有以下两种方式:一是主观评价法,如主要依据专家评价判断为基础的多级模糊综合评价模型[1]、熵权模糊综合评价模型[2]等。二是客观评价法,如有人提出基于数据样本为基础的神经网络综合评价模型[3]。这两种方法因为对参与评价的人员要求高,数据样本难以获得等原因,...
