鐵路網(wǎng)絡(luò)安全能力成熟度模型研究

王 慧，吳一卓

（1.中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京 100081；2.中國鐵道科學(xué)研究院 研究生部，北京 100081）

傳統(tǒng)網(wǎng)絡(luò)安全工程多采用“基于威脅”的思想，強調(diào)“監(jiān)管合規(guī)”，以已知的特定威脅和基于該威脅的攻擊場景為背景，進行針對性分析。但傳統(tǒng)合規(guī)管理不能全面分析企業(yè)網(wǎng)絡(luò)安全能力，尤其在發(fā)現(xiàn)或應(yīng)對未知網(wǎng)絡(luò)攻擊、威脅方面存在管理手段滯后等問題。如何量化評價企業(yè)網(wǎng)絡(luò)安全整體防護水平，合理分析企業(yè)在網(wǎng)絡(luò)安全制度管理、關(guān)鍵技術(shù)應(yīng)用等方面的不足，成為網(wǎng)絡(luò)安全能力體系建設(shè)的關(guān)注點。

在數(shù)字化發(fā)展時期，網(wǎng)絡(luò)安全能力成熟度模型作為一套可以量化企業(yè)網(wǎng)絡(luò)安全體系建設(shè)和防護能力的工程化的模型，已被應(yīng)用到網(wǎng)絡(luò)安全體系建設(shè)中[1]。該模型可應(yīng)用于量化評價網(wǎng)絡(luò)安全工作在信息系統(tǒng)規(guī)劃建設(shè)各個階段環(huán)節(jié)的能力，發(fā)現(xiàn)差距與短板；也可通過能力評估，進一步指導(dǎo)網(wǎng)絡(luò)安全體系建設(shè)，持續(xù)保障企業(yè)網(wǎng)絡(luò)安全體系能夠動態(tài)地適應(yīng)大安全環(huán)境。

文獻[2]中提出了數(shù)據(jù)安全能力的成熟度模型，數(shù)據(jù)安全能力成熟度模型（DSMM，Data security capability maturity model）涵蓋3 個維度，包括安全能力維度、能力成熟度等級維度和數(shù)據(jù)安全過程維度，3 者形成三位一體的模型，針對數(shù)據(jù)全生命周期采用不同的能力評估方法，對組織數(shù)據(jù)安全能力進行評估。

文獻[3]提出了自適應(yīng)安全框架（ASA，Adaptive Security Architecture），該框架涵蓋了防御、檢測、響應(yīng)、預(yù)測4 個維度，將網(wǎng)絡(luò)安全看作一個循環(huán)的過程，通過對安全威脅的持續(xù)化地實時動態(tài)分析，不斷優(yōu)化自身的安全防御機制。在應(yīng)對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能時代所面臨的安全威脅方面效果顯著。

文獻[4]提出將零信任自適應(yīng)安全技術(shù)引入軌道交通行業(yè)。利用端邊云防護設(shè)備和ASA，通過對網(wǎng)絡(luò)活動數(shù)據(jù)特征提取、模型訓(xùn)練等過程，構(gòu)建信任評估模型，能夠應(yīng)對未知的網(wǎng)絡(luò)威脅，有效解決云計算中面臨的全新攻擊。

文獻[5]創(chuàng)建了適用于金融領(lǐng)域的網(wǎng)絡(luò)安全風(fēng)險分析模型，該模型借鑒國際主流網(wǎng)絡(luò)安全架構(gòu)，形成了時間、空間雙維度，縱深、主動、自適應(yīng)多視角防御頂層設(shè)計，以及統(tǒng)一管理、梯次部署的網(wǎng)絡(luò)安全防御技術(shù)架構(gòu)，以此指導(dǎo)中國銀行的網(wǎng)絡(luò)安全建設(shè)實踐。

電力行業(yè)在面對新的威脅和攻擊時采用ASA 來應(yīng)對云大物移智時代所面臨的安全形勢，構(gòu)建了網(wǎng)絡(luò)安全防護體系，提升感知覆蓋物聯(lián)網(wǎng)感知層全環(huán)節(jié)網(wǎng)絡(luò)安全態(tài)勢的能力，實現(xiàn)了預(yù)警、防護、檢測與響應(yīng)的閉環(huán)[6]。

基于上述研究，本文結(jié)合鐵路網(wǎng)絡(luò)安全等級保護測評、商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險評估、鐵路網(wǎng)絡(luò)安全風(fēng)險治理和數(shù)據(jù)安全管理方面的經(jīng)驗，設(shè)計了基于數(shù)據(jù)安全能力成熟度模型和ASA 的網(wǎng)絡(luò)安全能力成熟度模型，并提出了一套網(wǎng)絡(luò)安全能力成熟度評價指標(biāo)。旨在加強鐵路行業(yè)的網(wǎng)絡(luò)安全能力，有效、一致地評估和衡量網(wǎng)絡(luò)安全能力，實現(xiàn)內(nèi)部共享、相互借鑒、有效提高網(wǎng)絡(luò)安全能力的目標(biāo)。

1 網(wǎng)絡(luò)安全能力成熟度模型架構(gòu)

本文提出的網(wǎng)絡(luò)安全能力成熟度模型架構(gòu)由3個維度組成，分別為網(wǎng)絡(luò)安全能力維度、能力成熟度等級維度和網(wǎng)絡(luò)安全過程維度。成熟度模型架構(gòu)如圖1 所示。

圖1 網(wǎng)絡(luò)安全能力成熟度模型架構(gòu)

1.1 網(wǎng)絡(luò)安全能力維度

網(wǎng)絡(luò)安全能力維度明確組織在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)具備的能力，該維度通過對組織各網(wǎng)絡(luò)安全過程應(yīng)具備的能力進行量化，從而評估每項安全過程的實現(xiàn)能力，包括管理、技術(shù)和運營維護（簡稱：運維）等3 個方面[2]。

（1）管理從承擔(dān)網(wǎng)絡(luò)安全工作的組織應(yīng)具備的組織管理能力角度，從組織架構(gòu)的合理性、人員工作職責(zé)的明確性，以及組織運作、溝通協(xié)調(diào)的有效性等3 個方面進行能力等級區(qū)分[7]。

（2）技術(shù)從組織的網(wǎng)絡(luò)安全工作技術(shù)的各個方面，包括網(wǎng)絡(luò)安全技術(shù)能力、網(wǎng)絡(luò)安全技術(shù)工具自動化，以及網(wǎng)絡(luò)安全技術(shù)工具用于安全制度流程的效果等3 個方面進行能力等級區(qū)分。

（3）運維從對軟硬件運行環(huán)境和業(yè)務(wù)系統(tǒng)進行綜合管理的角度，從運維活動的周期性和及時性、管理辦法實施的有效性，以及相關(guān)管理辦法的制定、發(fā)布、修訂的規(guī)范性等3 個方面進行能力等級區(qū)分。

1.2 能力成熟度等級維度

成熟度等級定義了國家鐵路（簡稱：國鐵）企業(yè)在網(wǎng)絡(luò)安全能力的某個方面的進展程度，網(wǎng)絡(luò)安全能力成熟度評估將根據(jù)國鐵企業(yè)在各個方面上的具體表現(xiàn)確定國鐵企業(yè)的網(wǎng)絡(luò)安全能力成熟度等級及改進的方向。

將能力成熟度等級劃分為4 個級別，具體包括：1 級基礎(chǔ)防范、2 級體系化控制、3 級主動性防御、4 級進攻性防御。網(wǎng)絡(luò)安全能力成熟度等級描述如表1所示。

表1 網(wǎng)絡(luò)安全能力成熟度等級

1.3 網(wǎng)絡(luò)安全過程維度

網(wǎng)絡(luò)安全過程維度在自適應(yīng)安全框架的基礎(chǔ)上劃分為5 個過程，包括防御、檢測、響應(yīng)、預(yù)測和通用安全；在5 個網(wǎng)絡(luò)安全過程的基礎(chǔ)上進一步將各個過程劃分成若干個域，便于實際評定等級。

（1）防御過程是指采用一些技術(shù)手段來防御攻擊。這個過程的主要目的是減少被攻擊面，從而減少攻擊方的進攻渠道，并在攻擊產(chǎn)生影響前及時做出應(yīng)對[8]。主要包括身份認證、訪問控制、密碼應(yīng)用、數(shù)據(jù)安全、應(yīng)用安全、計算環(huán)境、入侵防范、邊界防護等。

（2）檢測過程是對系統(tǒng)進行檢查，防止部分攻擊逃過防御過程從而對系統(tǒng)產(chǎn)生威脅，該過程的主要目的是發(fā)現(xiàn)出某些未知的攻擊以及其他潛在的風(fēng)險。主要包括密碼測評、網(wǎng)絡(luò)安全等級保護、漏洞掃描、病毒檢測、滲透檢測、風(fēng)險評估等。

（3）響應(yīng)過程是對正在面臨的攻擊進行調(diào)查，對攻擊來源進行溯源分析，查明攻擊者的IP 等信息，并且及時對系統(tǒng)進行修復(fù)和增強，并采用新的防御或檢測手段來避免未來可能發(fā)生的事故。主要包括容災(zāi)備份、溯源反制、應(yīng)急管理、攻防演練、修復(fù)改善等。

（4）預(yù)測過程是將防御、檢測、響應(yīng)這3 個過程結(jié)合來進一步提升系統(tǒng)，逐漸實現(xiàn)對未知的、新型的攻擊進行預(yù)測，并對發(fā)現(xiàn)的攻擊行為進行分級記錄。將過程的結(jié)果反饋到防御、檢測和響應(yīng)過程，讓網(wǎng)絡(luò)安全過程成為一個閉環(huán)。主要包括安全監(jiān)測、態(tài)勢感知、情報威脅、安全審計等。

（5）通用安全過程包含了上述4 個過程之外的網(wǎng)絡(luò)安全過程項，主要包括信創(chuàng)應(yīng)用、信息通報、供應(yīng)鏈安全、組織和人員管理、安全培訓(xùn)、合作方管理、監(jiān)督檢查、考核評價、資產(chǎn)管理和集中管控等。

2 網(wǎng)絡(luò)安全能力成熟度評價指標(biāo)

2.1 評價指標(biāo)設(shè)計

網(wǎng)絡(luò)安全能力成熟度模型定義了防御、檢測、響應(yīng)、預(yù)測和通用安全等5 個核心過程，細分為33個過程域（PA，Process Area）、4 個成熟度等級及396 項指標(biāo)評定標(biāo)準(zhǔn)。

PA 集是實現(xiàn)同一安全過程的相關(guān)網(wǎng)絡(luò)安全基本實踐的集合。每個PA 有對應(yīng)的編號，分別采用遞增的數(shù)值01，02，···，表示，本文提出的PA 歸類為網(wǎng)絡(luò)安全過程域和通用安全域，PA 集共包含33 個PA，如圖2 所示。

圖2 PA 集

使用連續(xù)性表示法將過程域按類劃分，可靈活 選擇待改進的過程域；使用階段式表示法將過程域按承受度等級劃分，在每個成熟度等級上預(yù)定義了一組過程域。將每個PA 分為4 個等級，每個等級分別包括管理、技術(shù)、運維等3 個角度的指標(biāo)。以防御過程為例，防御過程指標(biāo)結(jié)構(gòu)層次如圖3 所示。

圖3 防御過程指標(biāo)結(jié)構(gòu)層次

2.2 指標(biāo)描述舉例

以防御過程中的身份鑒別PA 為例，分別從管理、技術(shù)和運維這3 個網(wǎng)絡(luò)安全能力指標(biāo)的角度給出達到每一個等級的要求，詳細說明該域的能力成熟度等級評定標(biāo)準(zhǔn)。每個PA 的側(cè)重點各不相同，PA 的等級要求也循序漸進，可能會存在達到某一等級的要求不包括全部3 個角度的情況。

基于組織的網(wǎng)絡(luò)安全需求和人員工作職責(zé)建立身份鑒別機制，防止可能存在的未授權(quán)訪問風(fēng)險。該過程項的網(wǎng)絡(luò)安全能力等級描述如下。

（1）等級1：基礎(chǔ)防范

管理：應(yīng)由業(yè)務(wù)團隊相關(guān)人員負責(zé)管理核心業(yè)務(wù)系統(tǒng)的用戶身份及管理權(quán)限。應(yīng)明確核心業(yè)務(wù)中身份鑒別的相關(guān)安全要求。

技術(shù)：應(yīng)對用戶進行身份鑒別，身份鑒別信息需定期更換。應(yīng)具有登錄失敗處理功能，應(yīng)采用登錄連接超時自動退出等相關(guān)措施。

（2）等級2：體系化控制

管理：組織應(yīng)設(shè)立統(tǒng)一的崗位和人員，負責(zé)對組織內(nèi)身份鑒別相關(guān)事務(wù)進行管理。應(yīng)制定組織的身份鑒別相關(guān)規(guī)章制度，明確對身份鑒別的相關(guān)要求；應(yīng)按最少夠用原則，為不同賬戶授予完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并且形成三權(quán)分立。

技術(shù)：應(yīng)建立組織層面的身份鑒別管理系統(tǒng)，支持組織所有主要應(yīng)用接入，實現(xiàn)對組織人員的統(tǒng)一身份鑒別。

運維：應(yīng)定期對用戶賬號情況進行檢查，及時刪除或停用多余的、過期的賬戶和角色，避免共享賬戶和角色權(quán)限沖突的存在。

（3）等級3：主動性防御

管理：建立網(wǎng)絡(luò)安全角色清單，明確網(wǎng)絡(luò)安全角色的安全要求、分配策略、授權(quán)機制和權(quán)限范圍。

技術(shù)：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)[9]。

（4）等級4：進攻性防御

技術(shù)：應(yīng)建立人力資源管理與身份鑒別管理、權(quán)限管理的聯(lián)動控制。應(yīng)建立網(wǎng)絡(luò)安全主動防御機制或措施，如基于用戶行為或設(shè)備行為的安全控制機制。

2.3 等級評定標(biāo)準(zhǔn)

每個域的等級評定都是從管理、技術(shù)和運維這3 個網(wǎng)絡(luò)安全能力進行評定，級別越高，代表網(wǎng)絡(luò)安全能力越強。對于每個PA 的每個等級，需要同時滿足本等級和所有低于該等級的等級描述，才能認為該PA 達到了本等級的能力水平[2]。在根據(jù)標(biāo)準(zhǔn)分別評定所有域的等級后，根據(jù)某一網(wǎng)絡(luò)安全過程中所有域的結(jié)果來綜合判定該網(wǎng)絡(luò)安全過程的能力成熟度等級。

設(shè)達到n級的PA 的數(shù)量為Nn（1≤n≤4），該網(wǎng)絡(luò)安全過程中PA 的總數(shù)量為N，計算網(wǎng)絡(luò)安全過程n級能力符合度Ln的公式為

其中，Ln為某一網(wǎng)絡(luò)安全過程達到n級的能力符合度，n取1，2，3，4。當(dāng)n=1 時，該網(wǎng)絡(luò)安全過程達到1 級的能力符合度為，根據(jù)其他行業(yè)相關(guān)管理經(jīng)驗，假設(shè)若某一等級的能力符合度大于等于60%，則認為能力成熟度基本達到該等級[10-11]。所以若L1＞60%，則認為該網(wǎng)絡(luò)安全過程整體達到1 級，其他級別同理。在分別計算每一網(wǎng)絡(luò)過程的能力成熟度等級后，用相同方法根據(jù)等級結(jié)果計算組織的整體網(wǎng)絡(luò)安全能力成熟度等級。

表2 是一個企業(yè)的網(wǎng)絡(luò)安全能力成熟度評分結(jié)果，以該表的防御過程為例，其1 級能力符合度L1=(0+8)/8=100%＞60%，2 級 能 力 符 合L2=(1+7)/8=100%＞60%，3 級能力符合度L3=(4+3)/8=87.5%＞60%，4 級能力符合度L4=(3+0)/8=37.5%＜60%，所以認為其防御過程的網(wǎng)絡(luò)安全能力成熟度等級達到3 級。以此類推其余過程的等級如表2 所示，檢測過程的網(wǎng)絡(luò)安全能力成熟度等級為3 級，響應(yīng)過程的網(wǎng)絡(luò)安全能力成熟度等級為2 級，預(yù)測過程的網(wǎng)絡(luò)安全能力成熟度等級為2 級，通用安全的網(wǎng)絡(luò)安全能力成熟度等級為3 級。

表2 網(wǎng)絡(luò)安全能力成熟度評分結(jié)果

用相同的方法對組織整體的網(wǎng)絡(luò)安全能力符合度進行計算，1 級能力符合度L1=(0+5)/5=100%＞60%，2 級能力符合L2=(2+3)/5=100%＞60%，3 級能力符合度L3=(3+0)/5=60%=60%，4 級能力符合度L4=(0+0)/5=0%＜60%，所以最終計算出該企業(yè)的整體網(wǎng)絡(luò)安全能力成熟度等級為3 級。

3 結(jié)束語

本文從網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全運維這3 個維度，構(gòu)建了鐵路網(wǎng)絡(luò)安全能力成熟度模型，提出了一套網(wǎng)絡(luò)安全能力成熟度評價指標(biāo)為評估各單位網(wǎng)絡(luò)安全能力水平提供了參考依據(jù)，對鐵路信息系統(tǒng)網(wǎng)絡(luò)安全管理工作具有重要意義。未來還須與鐵路網(wǎng)絡(luò)安全現(xiàn)狀相結(jié)合，對本文提出的網(wǎng)絡(luò)安全能力成熟度模型的指標(biāo)體系進行及時更新和調(diào)整，進一步促進安全管理、技術(shù)防護、安全運維相關(guān)工作的開展，提升鐵路企業(yè)的網(wǎng)絡(luò)安全能力。