綜合性集團網絡安全水平評價指標體系構建與實證研究

曹 龍 吉 梁 朱 彤

(中核核信信息技術(北京)有限公司 北京 100048)

(caolong@cnnc.com.cn)

當前國際形勢正處于百年未有之大變局，網絡安全事件頻發，對于綜合性集團企業而言，由于網絡安全關乎集團生產安全、辦公秩序和輿論影響等，因此至關重要.隨著國家網絡安全法、網絡安全責任制要求的正式頒布實施，及網絡安全等級保護制度等標準規范的全面執行，網絡安全管理要求更加規范和細化.為深入貫徹落實國家網絡安全法規制度及上級主管部門網絡安全管理要求，集團企業應圍繞網絡安全責任制落實、網絡安全管理體系、網絡安全技術體系等方面進一步推進落實網絡安全管理責任，為各項業務的快速發展提供有效的網絡安全保障.

當前網絡安全水平評價已有部分研究基礎，但多是集中于單一行業如互聯網產業安全評價指標體系[1]、電力信息安全水平評價指標體系[2]、石油石化系統信息安全態勢評估指標體系[3]等，或是針對于單一系統角度如關鍵信息基礎設施保護水平評價指標體系[4]、重要信息系統信息安全保障能力評價[5]等.但在實際情況中，部分大型集團往往橫跨房地產、醫療、礦山、金融等多個業務領域，在涉及多個行業的前提下，尤其是網絡不同(互聯網、工控網、內網等)、業務不同，網絡安全水平的統一評價成為了網絡安全管理閉環中的實際難點和痛點.

集團企業以PDCA循環中的P(plan)，C(check)，A(act)落實網絡安全運營管理[6].在P計劃階段，制定網絡安全規劃、明確目標系統、編制技術防護體系和管理體系等；在C檢查階段，進行網絡安全各類檢查、通報、考核評價；在A處理階段，驗證檢查整改結果、總結失敗教訓、加固系統、培訓人員等.可見考核評價是發現成員單位問題進行循環推進的重要一環，對后續能力提升方向提供實際指引，對閉環管理中的補齊短板意義重大.

1 跨行業網絡安全水平評價的思路

當前網絡安全水平評價大體分為2個思路：1)基于最佳實踐的網絡安全評價，如等級保護體系[7]是管理體系和技術體系的最佳實踐，為網絡和信息系統提供合規性的最佳實踐要求；再如ISO27002[8](信息安全管理要求)為各類單位提供了可認證的網絡安全管理體系最佳實踐要求.但最佳實踐難免陷入一個系統或一個層面的合規性問題角度，難以全面考慮網絡安全實際面臨的攻防對抗問題，無法在不同級別、不同行業適用同一套評價體系.2)基于能力的網絡安全評價體系，在“三化六防”(實戰化、體系化、常態化的新理念，動態防御、主動防御、縱深防御、精準防護、整體防護、聯防聯控的新舉措)[9]的新思想指導下，基于能力的評價模型的構建可以忽略系統、網絡、行業的不同[5]，因此本文是以安全運營的環節為框架，以能力評價為核心，構建跨行業網絡安全統一評價指標體系.

2 指標體系的構建

以上述思路為基礎，在指標體系構成的同時結合國家法律法規標準要求[10-12]、上級主管部門要求[13]，同時結合集團企業實際工作需要，對整體網絡安全數據進行采集備案，做到“底數清、基線明、方向準、流程定”.評價指標體系架構涵蓋網絡安全治理、網絡安全管理、網絡安全技術[14]等各方面內容，以能力評價維度進行統籌構建，為集團企業下屬各單位的網絡安全工作提供導向，為考核評價提供依據.

本文建立的指標體系共分3層：第1層為網絡安全管理能力和網絡安全運營能力，以及調查采集項目.第2層包括合規執行能力、組織領導能力、戰略規劃能力、資源保障能力、體系管理能力5個管理能力維度和防御保障能力、監測發現能力、應急處置能力、溯源取證能力[15]和專項工作落實5個安全運營能力.另外，為了掌握下屬各單位基本工作情況等，設置了供應鏈安全情況、新技術應用與防護、基本工作情況3個采集項目.第3層為具體指標項目，共61項能力指標、96個采集項.具體如圖1所示(第3層限于篇幅，不予贅述).

圖1 跨行業網絡安全水平評價指標體系分布圖

2.1 網絡安全管理能力

“七分管理，三分技術”已經是網絡安全領域的一句至理名言，可見管理能力對于網絡安全的重要性，從日常經驗來看，增強網絡安全意識、提高口令密碼強度、定期打補丁升級即可避免大部分的攻擊.本文對網絡安全管理能力評價重點關注以下5個維度.

2.1.1 合規執行能力

在網絡安全方面合規性要求紛繁復雜，本文主要考慮國家及上級主管部門要求的合規落實情況.評價指標包括：

1) 關鍵信息基礎設施的保護情況，關鍵信息基礎設施在網絡安全法、密碼法、網絡安全審查辦法中都有明確要求，如設置專門的管理機構、識別認定規則、每年1次安全檢測、發布一系列制度規范和規程等.

2) 等級保護工作情況[16-17]，等級保護2.0制度已全面實施一段時間，在公安部門的大力推動下，定級備案測評工作開展情況，檢查與核查情況都是合規的重要組成部分.

2.1.2 組織領導能力

對于網絡安全法及網絡安全責任制的落實，領導的重視和參與對整個單位的網絡安全工作推進非常重要.評價指標包括：

1) 單位負責人對網絡安全工作的參與方式、領導小組的設立情況及職責、領導班子會議中關于網絡安全議題的次數都直接反映了領導層對網絡安全工作的關注度.

2) 網絡安全機構的設置情況、網絡安全機構的職責，確保了領導的關注能夠在何種程度上，落實到單位的實際管理過程中.

2.1.3 戰略規劃能力

“大國發展，規劃先行”，網絡安全工作的穩步推進，也需要先行詳細規劃，后續逐步落實，螺旋式上升.

1) 單位中長期規劃的地位決定了后期執行的力度，近期的就是“十四五”網絡安全規劃的情況.

2) 年度網絡安全工作計劃和報告與中長期規劃的符合程度，業務部門對于年度工作計劃的參與.

2.1.4 資源保障能力

網絡安全工作對于非網絡安全主營業務的單位來說，主要目標就是確保系統的連續穩定運行，因此并不能直接產生經濟效益，也是一項需要長期投入、可視化效果卻不明顯的工作.

1) 人力資源投入是網絡安全投入中最重要的部分之一，包括網絡安全專職人員數量、技術管理人員技能證書的獲取情況、職業發展通道建設情況.

2) 資金投入必不可少，包括網絡安全資金投入保障機制、網絡安全預算的管理方式、占上一年度營收的百分比、實際投入占網絡安全預算的比例、網絡安全預算使用方向情況.

2.1.5 體系管理能力

健全的網絡安全管理制度標準規范用于規范整個單位網絡安全管理.包括：網絡安全制度建設情況，如等級保護制度、機房制度、人力資源管理、事件管理、設備管理等；網絡安全培訓執行情況，制定計劃，并按照計劃落實執行；考核評價機制執行情況；網絡安全檢查與風險評估機制執行情況；應急管理工作的開展情況等.

2.2 網絡安全運營能力

考慮網絡安全實戰化的思想，面對網絡攻防，最大的目的就是在網絡攻防中防得住、扛得住，因此網絡安全運營能力的建設按照“預警—保護—檢測—反應—恢復—反擊”6個階段進行考慮.

2.2.1 防御保障能力

國內以等級保護為基準的“一個中心，三重防護”的縱深防御思想成為主流，在防御中將越來越注重整體防御、主動防御.評價指標包括以下方面：

1) 物理環境防護情況，防止物理破壞，加強環境監控和管控；網絡安全架構情況，網絡防入侵、網絡防惡意代碼、分區分域、網絡加密、準入控制等；計算環境策略情況，默認用戶名口令配置、多余賬戶刪除、非必要端口服務關閉、訪問控制顆粒度等.

2) 終端防護方式，統一軟硬件安裝、病毒防護、安全審計、補丁升級等；數據管控情況，數據加密、數據防泄露、數據分級分類、數據輸出審計等；電子郵件防護情況，數字證書等.

2.2.2 監測發現能力

在建立縱深防護體系之后，能夠抵御大部分日常攻擊，但高級威脅仍不可避免，另外監測發現能力的建設，是后續事件處置的前置條件，因此在部分重要時期，監測發現能力也是最應加強的網絡安全能力.評價指標包括以下方面：

1) 態勢感知和監測預警體系建設情況；網絡和信息系統中主機、網絡設備、業務系統、安全設備、終端等的運行監測覆蓋情況等.

2) 應用系統上線前檢測情況、年內定期安全檢查內容情況、漏洞掃描的范圍和周期、日志分析的情況和能力等.

2.2.3 應急處置能力

當監測環節發現異常之后，應急處置并恢復的速度、力度都將導致損失的差異.評價指標包括：

1) 單位應急預案建設范圍和顆粒度情況；應急隊伍建設情況；

2) 災備建設情況；業務、系統、配置等數據的備份情況及恢復測試情況.

2.2.4 溯源取證能力

恢復系統運行或解決風險漏洞之后，針對問題的經過和根本原因進行溯源取證，總結經驗教訓是下一步改進重要的輸入.評價指標包括：設備、應用等臺賬的管控情況；日志、情報等收集情況等.

2.2.5 專項工作落實

在網絡安全管理過程中，集團企業推進一系列網絡安全專項整治行動和任務.各單位對此類專項工作的落實情況也應作為考核評價的指標，以促進網絡安全整體形勢的管控和推進.這類指標不具有代表性，如物聯網與工控系統的安全管理工作開展情況、承擔集團企業網絡安全試點工作的情況、在集團網絡安全檢查中被發現的高危風險問題情況等.

2.3 調查采集項

為集團企業及時掌控網絡安全全局，設置調查采集項目，用于收集、匯總、統計、分析整個集團網絡安全各類情況，為下一步工作規劃提供依據和支撐.

2.3.1 自主可控情況

考慮供應鏈安全，評價指標涵蓋自主可控工作的開展情況，門戶網站、生產管理系統的IPv6改造進度情況等.

2.3.2 新技術應用與防護

新技術新應用層出不窮，科技變革影響著網絡安全行業發展方向和進度，因此必須擁抱科技、接受改革.評價指標包括大數據分析類產品部署情況、數據挖掘情況、云技術使用情況、虛擬化技術使用情況、移動互聯技術使用情況等.

2.3.3 基本工作情況

此項收集單位網絡安全基本情況，評價指標包括網絡安全專/兼職人員數量，網絡安全預算金額，網絡安全培訓費用、人數、名目，電子郵件賬戶數量，網絡和信息系統的數量、運維方式，密碼算法使用情況，相關人員的聯絡方式等.

3 評價體系的構建

對于評價指標的量化方式，根據第1層網絡安全管理能力、網絡安全運營能力和調查采集項共分2類，前兩者能力評價為單指標分別計分，其指標建立之后，每項指標均需建立指標要求、指標量化方式、指標權重3項屬性.調查采集項依據指標完整度計分.

3.1 評價指標要求

針對每項指標，設置具體的網絡安全工作的程度/水平或具體量值，可以簡單理解為選項或所需填值范圍.

例：Q50. 各類數據備份情況______(可多選).

A.業務數據備份；B.業務系統代碼備份；C.操作系統備份；D.網絡設備配置備份；E.未備份.

3.2 評價指標量化方式

在能力評價指標量化方式的選擇中，本文指標的量化選擇“絕對比率值法”“相對比率值法”“選項賦值法”3種方式.

1) 絕對比率值法

根據網絡安全指標實際情況，依據指標評價要求進行比率或比值的計算，并將比率或比值進行百分制化，作為此項指標的量化值.賦值方法如式(1)所示：

(1)

其中PQ為第Q個指標的量化值(0～100)，n為第Q個指標的要素數量，Ri為第i個要素的比值，精確到小數點后3位.

例：網絡和信息系統設備運行監測覆蓋比率指標，適用此類量化方式.

2) 相對比率值法

根據網絡安全指標實際情況，無法直接進行比值量化的類型，賦值方法如式(2)所示：

(2)

其中JQ為單位第Q個指標的填寫參數，JQ(max)為此次水平評價所有參評單位中第Q個指標填寫參數的極大值，JQ(min)為此次水平評價所有參評單位中第Q個指標填寫參數的極小值.

例：網絡專職人員占職工總數的比率這項指標，適用此量化方法.若采用“絕對比率值法”則需要所有在職員工均為網絡安全專職人員，此指標才能滿分，明顯不合理.

3) 選項賦值法

根據評價指標要求和網絡安全工作實際現狀進行賦值.

例：Q3. 單位網絡安全等級保護定級備案工作開展情況______.

A.尚未整體開展定級與備案；

B.有整體工作計劃，正在推進當中；

C.有整體工作計劃，50%以上的主要系統已定級備案；

D.有整體工作計劃，80%以上的主要系統已定級備案；

E.已完成定級備案工作，第3級(含)以上網絡系統本年度均已通過測評和整改.

量化規則：

A.0分；B.30分；C.60分；D.80分；E.100分.

3.3 評價指標權重

參考等級保護測評權重體系[18-20]，并在重點指標加大權重，因此每項評價指標根據重要程度分別設置了2，1，0.5，0.2這4種權重，表1為匯總形成的評價指標權重分配表(限于篇幅僅展示到第2層指標的權重分布).

表1 評價指標權重分配表

調查采集項信息不具備能力評價的屬性，但為集團企業網絡安全管理提供數據支撐，有其存在的必要性，故為鼓勵填報，賦予權重3，采用完整度計分.本文調查采集項共96個采集項，采用絕對比率值法進行量化.

3.4 評價體系的計算

10項能力的評價計算，結合每項指標的要求進行實際評價，得出量化值(不適用的可直接舍棄)，結合每項指標的權重進行權重和的計算.最終網絡安全水平指數，為當前單位網絡安全工作水平的整體客觀反映.

賦值方法如式(3)所示：

(3)

其中Lev為最終網絡安全水平指數，WQ為第Q個指標的權重，PC為采集指標項的完整度，WC為采集指標項的權重，本文定義為3，m為10種能力指標的項數，本文定義為61.

4 試點情況

為驗證指標體系和評價體系的合理性和可行性，我們在年度網絡安全檢查工作中進行了試點應用.疫情原因，選取了建筑行業、非金屬礦行業、能源行業、環保行業、房地產5個領域的5家單位作為試點，雖試點單位不多，但具備跨行業的代表性.通過試點應用，獲得了較為完備的網絡安全水平評價數據，但僅涉及網絡安全管理能力和安全運營能力2大部分的10項能力.如圖2和圖3所示：

圖2 網絡安全管理能力和網絡安全運營能力得分情況

圖3 試點單位的得分情況

根據試點填報情況進行分析總結，建筑試點得分69.98分，非金屬礦試點得分67.82分，能源試點得分64.87分，環保試點得分64.31分，房地產試點得分40.17分.同時分析多次攻防演習結論、滲透測試風險數量、資源投入現狀、現場檢查匯報等情況綜合判斷，得分情況基本能夠客觀反映其本單位的網絡安全能力實際水平.另外發現：

1) 各單位安全管理能力普遍偏高于安全運營能力.說明在集團企業當前管理模式下，法律法規和管理要求的落實情況相對稍好.但安全運營能力的下沉度仍有很大發展空間.

2) 各單位網絡安全能力發展不均衡嚴重.試點的房地產單位明顯在各個方面弱于其他單位，而各單位的能力建設也參差不齊，各有短板.因此集團應加強標準規范建設，強基增效.

3) 資源保障能力與安全運營能力耦合性強.人力物力財力資源投入的程度，很大程度決定了安全運營能力的強度，房地產試點網絡安全水平較低，根本原因就是領導參與度不足，重視不夠，未投入相應資源.因此建議各單位根據自身規模投入適度資源.

4) 各單位網絡安全能力不同，對評價指標的理解程度不同.建議在施行網絡安全統一水平評價之前，精確每個指標要求，明確每個程度的描述，并形成解讀文件，進行培訓和宣貫，并以現場抽查為支撐，保障各單位填報數據的準確性.

5 總結及建議

網絡安全水平評價是整體網絡安全能力提升中的重要一環，是推動各單位網絡安全能力提升的重要動力，也是各單位網絡連續穩定運行的必要保障.本文以綜合性集團企業網絡安全管理為視角，以安全運營為主體框架，以能力評價為核心，以提升整個集團網絡安全能力為目的，構建網絡安全水平統一評價指標體系，并在5個行業的5個單位進行試點應用，在本集團內驗證了評價指標體系的合理性和可行性.

網絡安全行業，唯一不變的是變化本身，因此指標體系仍需進行動態調整，尤其需要依托國家要求，滿足集團實際需求、跟進技術變革方向等.本文為綜合性集團企業的網絡安全水平評價作了一次有益的嘗試，未來基于該體系，加入行業特征指標，可發展出下屬各單位的專用體系，擴大評價指標體系的適用范圍.