基于成熟度模型的數字交通網絡安全評價指標體系和評價方法研究

摘要：文章基于成熟度模型建立了數字交通網絡安全評價指標體系，同時構建了某交通機構信息通報和應急處置等工作機制。該機構的機房、核心網絡等已通過等保三級測評，部署了防火墻、負載均衡、入侵檢測、態勢感知設備、堡壘機等網絡安全設備，以保障業務系統的連續性，并初步具備主動防御能力。應用模糊數學理論建立了綜合評價模型，采用定量評價與定性評價相結合的方式，對網絡安全成熟度進行評價。結果顯示，評價結果與實際情況相符，說明該評價指標體系和評價方法有效。

關鍵詞：成熟度模型；網絡安全；評價指標體系；多級模糊綜合評價法

中圖分類號：TP393" " " " 文獻標識碼：A

文章編號：1009-3044（2025）16-0091-04

開放科學（資源服務） 標識碼（OSID）

0 引言

數字交通作為數字中國戰略的重要內容，是數字經濟發展的重要領域。它以數據為關鍵要素和核心驅動，促進物理和虛擬空間的交通運輸活動不斷融合、交互，形成了現代交通運輸體系[1]。國家對公共通信和信息服務、能源、交通等可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施實行重點保護。“十三五”期間，交通運輸信息化數字化發展水平不斷提升，網絡安全與技術支撐體系、網絡安全政策體系基本建立，信息系統安全等級保護能力普遍提升[2]。然而，面對新挑戰，當前網絡安全主動防護、縱深防御及綜合防范能力尚難以滿足新興威脅形勢的需求。2023年，國務院發布了《數字中國建設整體布局規劃》，明確指出要提升數字技術創新和安全保障兩個關鍵能力，筑牢可信可控的數字安全屏障，提高數字安全保障能力，切實維護網絡安全[3]。這對提高數字交通網絡安全防護能力提出了新的更高要求。

目前，我國網絡安全處于合規驅動建設階段。面對網絡攻擊日益向經濟、社會、國防、外交等領域交織滲透，對抗從個人轉向組織甚至國家的情況，公安部明確提出，網絡安全建設要堅持問題導向、實戰引領，樹立極限思維、底線思維和“一盤棋”思想，提檔升級網絡安全工作，全面落實“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“三化六防”措施。這明確了要以提升網絡安全能力為手段，以實戰為目的；工作思路要從以產品主導、功能主導向以能力為主導、在實戰中可持續性改進的網絡安全體系轉變。因此，構建一個能持續改進網絡安全能力的評估體系是適應當前形勢的必然選擇。

1 相關研究現狀

網絡安全業界開發了網絡安全成熟度模型CMM（Capability Maturity Model） ，該模型得到了廣泛應用。例如，美國以CMM作為理論基礎，開發了三個網絡安全認證模型：美國國家標準與技術研究院（NIST） 的CSF（Cybersecurity Framework） 、能源部的C2M2（Cybersecurity Capability Maturity Model） 、國防部的CMMC（Cybersecurity Maturity Model Certification） 。CSF于2013年開發，旨在改善關鍵基礎設施的網絡安全，2024年2月發布了CSF 2.0（原表述“CFK 2.0”有誤） 。C2M2是美國能源部于2012年發布，重點保護關鍵能源基礎設施，2022年6月發布了最新版C2M2 V2.1。美國國防部于2020年9月發布了首版CMMC，目的是增強國防工業基礎30多萬個承包商的網絡安全，2021年發布了CMMC 2.0版本，簡化了認證要求，使其更容易執行。

我國也推出了CMM模型標準，如GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》、GB/T 20261-2020《信息技術 安全技術 系統安全工程能力成熟度模型》和GB/T 41400-2022《信息安全技術 工業控制系統信息安全防護能力成熟度模型》等技術標準，促進了該技術的應用。

國內多個單位也開展了相關探索實踐。公安部第三研究所網安中心自主研發了網絡安全實戰能力成熟度模型，推出的評價體系包含6個安全域、36項安全能力，以“攻防”為導向、以“運營”為核心，從“資源投入、管理流程、技術有效性”三個維度評價各單元成熟度，進而客觀分析整體網絡安全攻防能力成熟度。

2021年，廣東省出臺了《廣東省數字政府網絡安全指數指標體系》，包括4個一級指標、24項二級指標和103項評估要點。廣東省已經連續三年發布了數字政府網絡安全指數評估報告，對廣東省各地市數字政府網絡安全能力進行成熟度分析，成熟度等級從高到低依次為優化級（S） 、完善級（A） 、穩健級（B） 、受控級（C） 和啟動級（D） ，形成了“執行—評估—反饋—改進”的閉環管理模式。廣東省各地市積極探索工作思路，安全管理機制更完善，技術防護體系更健全，應急處置機制更高效，主動防御能力明顯提升，網絡安全防護體系建設取得了良好的工作成效。

2 基于成熟度模型的數字交通網絡安全評價指標體系的建立

為了構建適用于數字交通行業的網絡安全評價指標體系，本文在借鑒國外成熟度模型的基礎上，充分融合了我國現有的等級保護、關鍵信息基礎設施保護、密碼應用、數據安全及個人信息保護等相關機制和措施。結合交通行業的特點，數字交通網絡安全評價指標體系以保障業務系統的連續性和高效運行為核心，涵蓋管理能力、業務能力、運維能力及協同防控能力四個維度，具體指標體系如表1所示。

為了方便將評價結果進行定量和定性相結合的分析，數字交通網絡安全能力成熟度分5個等級，能力特征如表2所示。

3 評價模型的選擇

鑒于網絡安全評價的復雜性，大量評價指標不易量化，因此選用多級模糊綜合評價法進行評價。評價步驟如下：通過收集或專家經驗法得到各項指標的評價數據，將原始數據進行無量綱處理，確定各指標的權重，最后采用多級模糊綜合評價法進行分析。

3.1 模糊綜合評價法

模糊綜合評價法通過構建等級模糊子集，把被評對象的模糊指標進行量化，運用模糊變換原理對各指標進行綜合評價[4]。多級模糊綜合評價法是先對低層次指標進行單級模糊評價，再依次評價高層次指標，直到所有層次的指標全部完成。單級模糊評價法步驟如下：

1） 確定評價對象的p個評價因素集。

[U={u]1，[ u]2， ^ ，[ u]p[}]" "（1）

2） 確定m個評語集，每一個等級對應一個模糊子集。

[V={v]1，[ v]2， ^，[ v]m[}]" （2）

3） 進行單因素評價，逐個對被評價對象從每個因素[u]i（i=1，2， ^，p） 上進行量化，得到模糊關系矩陣R。

R=[R/U1R/U2^R/UP=r11r12^r1mr21r22^r2m^^^MrP1rP2^rPM] （3）

4） 確定評價因素的模糊權向量Q。

Q=[Q1Q2^Qp] （4）

通常進行歸一化處理。即

[i=1n]Qi=1 （i=1，2， ^，n） ，Qi gt;= 0" （5）

5） 計算模糊綜合評價向量B，并進行分析評價。

[Q○R=Q1Q2^Qp○r11r12^r1mr21r22^r2m^^^MrP1rP2^rpm]

=[S1S2^Sp=S]" " "（6）

式中：○代表合成算子。

3.2 評價指標的無量綱化處理

無量綱化處理也叫數據的標準化、規范化，是通過數學變換來消除數據的單位對評價的影響。常見的無量綱化處理有標準化、正向化、逆向化、區間化、求和歸一化等。本文用到的無量綱化數學公式如下。

區間化：將數據壓縮在[a，b]之間，當a=0，b=1時，即歸一化處理；當a=0，b=100時，即常見的百分制。

[x=a+（b-a）（x-xmin）xmax-xmin]" "（7）

式中：x為原始數據，X為區間化后的數據。

求和歸一化：

X=[xx]" " "（當x＞0時）" "（8）

4 評價舉例

對交通行業某機構網絡安全進行能力成熟度評價，該機構制定了網絡安全規劃，建立網絡安全管理制度，建立了信息通報、應急機制；建設了B級機房、萬兆局域網，開發了網站、辦公自動化系統等業務系統，開展了等保定級測評、密碼應用改造等網絡安全合規化建設工作。

4.1 確定指標權重

網絡安全指標的權重可以用專家經驗法、熵值法[5]、層次分析法等確定。本文采用專家經驗法，請10位專家對指標的重要程度進行判斷，根據公式（8） 求和歸一化得到一級指標權重Q=（0.267，0.333，0.233，0.167），二級指標權重為Q1=（0.15，0.2，0.225，0.25，0.175），Q2=（0.2，0.2，0.18， 0.18，0.12，0.12），Q3=（0.175，0.175，0.225，0.2，0.225），Q4=（0.333，0.233，0.267，0.167）。其中Q4，“網絡安全事件”指標為扣分項指標，不參與權重的分配。

4.2 對“管理能力”指標進行評價

在實際工作中，交通行業對“經費保障”指標進行客觀評價：新建信息化項目的網絡安全經費為項目的5%，達到此標準可以得滿分。該機構經費保障符合此要求，經無量綱和歸一化處理，此指標得分為“1”，屬于“優”，考慮權重，則得分為1×0.25=0.25。

其他四個指標選用模糊綜合評價法。確定評語集V={優，良，中，及格，差}，與[95，100]、[85，95）、[75，85）、[60，75）、[0，60]對應，且定義向量H={92，90、85，67，30}。組織專家對其他四個二級指標進行評判，進行歸一化計算得到模糊關系矩陣，記為R1。

[Q1○]R1[=（0.15，0.2，0.225，0.175）○0.10.70.2000.10.70.20000.60.30.1000.40.40.20]

= （0.035，0.45，0.2075，0.0575，0）

將“經費保障”的得分計入則S1= （0.285，0.45，0.2075，0.0575，0）。

4.3 對“業務能力”指標進行評價

“等級保護”和“密碼應用”兩個指標采用信息系統完成的比例進行評價。經評價，等級保護工作完成100%，屬于“優”，得分為0.2；“密碼應用”完成90%，屬于“良”，考慮權重，得到0.162，還有10%未完成，屬于“差”，得到0.018。“個人信息保護”指標以“用戶同意”“最小必要”和去標識化、脫敏等的覆蓋率為評價標準，經評價全部完成，屬于“優”，考慮權重，得到0.12。其他三個指標采用模糊綜合評價法進行評價。同理，可得到模糊關系矩陣R2如下，經計算得到S2= （0.32，0.246，0.262，0.134，0.038）。

R2=[000.50.400.1000.70.3000.70.300]

4.4 對“運維能力”和“協同防控能力”指標進行評價

方法同上，可以分別得到模糊關系矩陣R3和R4，計算得S3= （0，0，0.665，0.2925，0.0425），S4= （0，0.1068，0.58，0.2566，0.0566）。

R3[=000.60.40000.70.30000.7020.1000.50.40.1000.80.20]

R4[=000.50.40.1000.70.20.100.40.50.10000.70.30]

4.5 計算該機構能力模糊綜合評價向量

根據公式（6）計算：

[Q○]R[=（0.267，0.333，0.233，0.167）○0.2850.450.2750.057500.320.2460.2620.1340.038000.6650.29250.042500.10680.580.25660.0566]

=（0.1826，0.2199，0.3945，0.1710，0.032）

4.6 對該機構的網絡安全能力成熟度進行評價

按照隸屬度最大原則判斷，S=（0.1826，0.2199，0.3945，0.1710，0.032），S3=0.3945隸屬度最大，該機構網絡安全能力成熟度為“合規級”。

為了更為直觀地比較評價結果，根據向量H={92，90，85，67，30}和模糊評價向量S=（0.1826，0.2199，0.3945，0.1710，0.032），按照加權平均進行計算，得分為82分，屬于“合規級”。

5 結束語

該機構按照法律法規的要求，完成了等級保護、密碼應用等各項合規性建設；建立了信息通報、應急處置等工作機制，機房、核心網絡等已通過等保三級測評，部署了防火墻、負載均衡、入侵檢測、態勢感知設備、堡壘機等網絡安全設備，能夠保障業務系統的連續性，初步具備主動防御能力。此外，該機構與省委網信辦、公安網安機構等建立了工作聯系，可及時接收預警威脅信息，并組織自查整改。本文采用定量與定性相結合的模糊綜合評價法所得出的結論與實際情況相符。

基于成熟度模型的評價指標體系，其核心是在實踐中持續改進與完善：一是根據國家網絡安全相關要求，對指標和評估要點進行持續、動態的改進和完善，以準確評價數字交通網絡安全能力。二是隨著經驗的積累，采用更多客觀評價方法替代主觀評價方法，使評價結果更加客觀。三是以評價結果為依據，持續改進和提高評價對象的網絡安全能力，以適應新的網絡安全形勢，切實落實“三化六防”措施。

參考文獻：

[1] 交通運輸部.數字交通發展規劃綱要[EB/OL].[2023-10-20].https：//xxgk.mot.gov.cn/2020/jigou/zhghs/202006/t20200630_3321233.html

[2] 交通運輸部.數字交通“十四五”發展規劃[EB/OL].[2023-10-20].http：//big5.mot.gov.cn/gate/big5/www.mot.gov.cn/zhuanti/shisiwujtysfzgh/202201/P020220112576470472593.pdf.

[3] 國務院.數字中國建設整體布局規劃[EB/OL].[2023-10-20].https：//www.gov.cn/zhengce/2023-02/27/content_5743484.htm.

[4] 黃麗民，王華.網絡安全多級模糊綜合評價方法[J].遼寧工程技術大學學報，2004，23（4）：510-513.

[5] 莊鎖法，陳興梅.基于熵的高校網絡安全模糊綜合評價方法研究[J].信息技術，2010，34（10）：11-14.

【通聯編輯：代影】