交通運輸網絡安全績效體系及綜合評價法研究

鄭茂林　夏小紅　王曉榮

摘要：開展網絡安全績效評估對提高網絡安全規劃、建設、管理工作具有重要的指導意義。該文從管理和技術兩個層面建立三級評價指標，構建交通運輸行業網絡安全績效評價體系。結合當前網絡安全績效評估實際提出指標改進的思路、績效評價步驟和綜合評價方法。

關鍵詞：網絡安全；績效評價；指標體系；綜合評價法

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）01-0095-03

1 引言

近年，全球網絡安全事件頻發，威脅日益突出，風險不斷向政治、經濟、社會等各領域傳導滲透。交通運輸是國民經濟中基礎性、先導性、戰略性產業，各級交通運輸行業管理部門在日益嚴峻的網絡安全形勢下，開展網絡安全績效評價是如何有效應對網絡安全威脅、提高行業網絡安全管理水平的新課題。

2 開展網絡安全績效評估的意義

按照《網絡安全法》和國家網絡安全政策，近年來通過全方位的管理和技術措施，有效防范網絡安全威脅，有力處置網絡安全事件，嚴厲打擊危害網絡安全的違法犯罪活動，切實保障了國家網絡安全。開展網絡安全績效評估提高了網絡安全管理的決策水平，使決策過程更加規范化、程序化和科學化，對于指導如何有效開展網絡安全規劃、建設、管理工作具有重要的指導意義。

3 網絡安全績效評估簡介

ISO/IEC27000、NIST、COBIT等國際標準化組織都提出了網絡安全績效評價的概念。如ISO/IEC27000提出了網絡安全風險評估和風險處理的原則、流程和要求，并從安全方針、信息安全管理機構、資產管理、人力資源管理、物理和環境安全、通信和操作管理、訪問控制、系統開發維護、安全事件管理、業務聯系性管理、法規符合性管理等方面進行風險控制和評估。我國發布了有關網絡安全評價標準，如信息系統安全保障評估框架、信息安全風險評估實施指南、信息安全風險評估規范、信息安全管理評估要求等國家標準。

在網絡安全績效評價的理論探討方面，目前主要有以下兩種方式：一是主觀評價法，如主要依據專家評價判斷為基礎的多級模糊綜合評價模型[1]、熵權模糊綜合評價模型[2]等。二是客觀評價法，如有人提出基于數據樣本為基礎的神經網絡綜合評價模型[3]。這兩種方法因為對參與評價的人員要求高，數據樣本難以獲得等原因，在網絡安全管理工作中缺乏可操作性和可實踐基礎。

4 交通運輸行業網絡安全績效評估現狀

交通運輸行業高度重視網絡安全考核評價工作，交通運輸部于2019年發布了網絡安全工作考核評價試行規則，規范和指導行業開展網絡安全考核評價和監督檢查工作。該規則重點評價網絡安全管理工作，共18個等權重的管理類指標，其中6個基本關鍵指標設置為扣分項。滿分為100分，通過逐項打分、匯總得分的方式進行考核評價。結果劃分為優良、良好、合格、不合格四個等級。

在實際工作中，該評價方法對評價人的專業水平要求不高，具有易理解、可操作和相對合理的優點。其評價結果在一定程度上客觀地反映了組織機構網絡安全管理水平，但是仍然存在如下不足：一是只對網絡安全管理工作進行了評價，沒有將技術層面納入評價范圍。二是在結合交通運輸行業特點上顯得不足。

5 交通運輸行業網絡安全績效評估價指標體系構建

交通運輸行業網絡安全績效評價是通過建立合理的評價指標體系，運用科學可行的評價模型和方法，從管理和技術兩個層面對組織機構或部門在某一時段內的網絡安全管理績效做出客觀、準確的判斷過程。重點考慮網絡安全的合法合規性，突出評價指標的交通運輸行業特點，同時要兼顧評價指標的易理解性、可操作性。交通運輸行業網絡安全績效評價建立三級指標體系，一級指標包含管理和技術兩大類。

管理類指標主要以國家法律法規，部省網絡安全管理制度規范為依據選取，由12個二級評價指標和46個三級指標組成。技術類指標主要參照等級保護2.0標準為依據，由安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全擴展要求（以云計算為例）6個二級評價指標和27個三級指標組成。詳細指標體系見表1。

6 交通運輸網絡安全績效評價指標改進思路

以交通運輸部2019年發布的網絡安全工作考核評價試行規則考核指標為基礎，全部保留18個考核指標，針對交通運輸行業網絡安全績效考核工作存在的不足，主要從三方面進行改進。

6.1 適當增加網絡安全績效考核“一票否決”項

對于在網絡安全工作中發生了特別嚴重的網絡安全事件，并且對交通運輸行業帶來特別嚴重損害的情形，應該設置網絡安全績效考核一票否決項。只要發生了《交通運輸部網安全事件應急預案》中Ⅰ級（特別重大）網絡安全事件的情形，則考核結果為不及格（得分＜60分）。

6.2 結合交通運輸行業特點增加網絡安全績效考核評估項

對于涉及交通運輸行業關鍵信息基礎設施和重要業務信息系統建管和運維的組織機構，則應增加“關鍵信息基礎設施、重要信息系統網絡安全管理”績效評價指標，主要從6個方面進行評價：1） 等保2.0落實情況；2） 運維管理“三員”分立落實情況；3） 系統災備情況；4） 應急預案演練情況；5） 風險評估和隱患整改情況；6） 網絡安全專項設計方案評審、實施驗收情況。

除上述指標外，根據各地區、各領域交通運輸工作的實際和各時期網絡安全管理的重點，還可補充選取管理類部分三級動態評價指標作為輔助評價指標。

6.3 適量增加技術類網絡安全績效評價指標

要對技術類網絡安全績效評價指標開展科學、全面的評價，一是要求有專業的網絡安全檢測工具、專業的網絡安全技術人員；二是需要消耗較高的時間和經濟成本。從可操作性為出發點選取技術類網絡安全績效評價指標作為補充、輔助評價指標。

7 績效評價指標權重和賦值的確定方法

指標權重是評價指標重要性的百分比，反映該指標對評價對象的重要性程度。目前，指標權重的確定方法分兩類：一類主觀權重確定法，如：專家調查法（德爾菲法）、層次分析法等；另一類是客觀權重確定法，如標準離差法、灰色關聯法、熵權法等。

目前，由于缺少交通運輸行業網絡安全績效評價有關定量分析數據，對于指標權重、指標的賦值，只能依靠專家和管理者的專業知識和經驗為依據來確定。一級評價指標的權重采用專家調查法確定，還可進行簡化處理，如管理類、技術類權重取值為{（0.9，0.1）;（0.8，0.2）; （0.7，0.3）;（0.6，0.4）;（0.5，0.5）}。二級評價指標參照交通運輸部2019年發布的網絡安全工作考核評價試行規則，全部采取等權重指標。三級評價指標的得分值根據經驗采取主觀賦值法進行。

8 交通運輸行業網絡安全績效評價

8.1 績效評價步驟

采用綜合評價法進行績效評價，評價步驟如圖1所示。

8.2 綜合評價計算法

采取綜合評價法進行交通運輸行業網絡安全績效評價，具體算法如下：

8.3 評價數據歸一化處理和評價考核等級結論

在對不同組織機構進行評價時，由于可評價項目各不同，因此各組織機構的滿分也不相同。為了使評價數據具有可比性，可采取對評價數據進行歸一化處理，先使其指標值落在[0，1]區間內，然后乘以100得到歸一化處理之后的總得分。具體處理方法如下：

歸一化處理績效評價得分總計W的計算公式3為：

將網絡安全績效按照評價分值劃分為4個等級：優良、良好、合格和不合格，構成評價集V={A，B，C，D}，績效各級別按綜合分值評判，其評判標準見表2。

9 結束語

網絡安全績效評估結果分為定量、定性兩種。定量結果是一個滿分制的分數，可以用于排名；定性結果為優良、良好、合格和不合格四個等級。評價結果可以作為網絡安全工作考核的重要依據。

參考文獻：

[1] 黃麗民，王華.網絡安全多級模糊綜合評價方法[J].遼寧工程技術大學學報，2004，23（4）：510-513.

[2] 莊鎖法，陳興梅.基于熵的高校網絡安全模糊綜合評價方法研究[J].信息技術，2010，34（10）：11-14.

[3] 樓文高，姜麗，孟祥輝.計算機網絡安全綜合評價的神經網絡模型[J].計算機工程與應用，2007，43（32）：128-131.

【通聯編輯：代影】