賀曉春

(四川信息職業(yè)技術學院, 廣元 628040)

CERNET網(wǎng)絡安全管理成熟度模型的研究與構建①

賀曉春

(四川信息職業(yè)技術學院, 廣元 628040)

針對CERNET網(wǎng)絡存在規(guī)劃、建設和管理的缺陷, 通過對網(wǎng)絡安全管理主要因素分析、網(wǎng)絡安全管理成熟度梯度模型劃分, 提出了成熟度五個層次-五個梯度矩陣, 構建了一種網(wǎng)絡安全管理成熟度模型. 該模型不僅能檢視CERNET網(wǎng)絡安全管理漏洞和缺陷, 利用該模型對四川信息職業(yè)技術學院校園網(wǎng)安全管理進行了實證分析, 結果表明該院的成熟度為規(guī)范級, 同時促進了網(wǎng)絡安全管理水平的提高.

CERNET網(wǎng)絡; 安全規(guī)約; 構建; 成熟度

引言

中國教育和科研計算機網(wǎng)絡(China Education and Research Network, CERNET)經(jīng)過20多年的發(fā)展, 各級各類教育和科技機構有2000多家, 其中高等學校在1600所以上, 聯(lián)網(wǎng)主機數(shù)量超過120萬臺, CERNET用戶超過2000 萬人, CERNET校園網(wǎng)已經(jīng)不僅僅是一個為學校教學、科研和管理等提供平臺的角色, 同時還要滿足全體師生網(wǎng)上辦公、資料共享、數(shù)字化教學、文獻檢索、網(wǎng)絡社交、網(wǎng)上娛樂、網(wǎng)絡購物等需求. 但是CERNET校園網(wǎng)絡建設和發(fā)展過程中, 普遍存在著“重技術、輕安全、輕管理”的現(xiàn)象[1]. 伴隨著網(wǎng)絡的快速發(fā)展, 網(wǎng)絡主機規(guī)模的急劇增加, 網(wǎng)絡用戶的快速增長和各類網(wǎng)絡應用的增長, 各類的網(wǎng)絡入侵增多及網(wǎng)絡病毒的廣泛傳播, 使得校園網(wǎng)的安全問題面臨著諸多嚴峻的挑戰(zhàn). 為了應對CERNET校園網(wǎng)網(wǎng)絡安全, 國內主流的采用了定量評價方法、定性評價方法、定性與定量相結合的評價方法來評估CERNET校園網(wǎng)網(wǎng)絡安全及網(wǎng)絡安全管理. 由于上述方法的主觀性太強, 對評價者自身水平的要求很高, 適用性相對較差, 而網(wǎng)絡安全評價是一個復雜的過程, 需要考慮的因素諸多, 因此僅僅只使用定性評價方法很難非常準確地對網(wǎng)絡安全進行一個評判[2]. 鑒于此, 本文提出了CERNET校園網(wǎng)網(wǎng)絡安全管理成熟度模型的構建, 并利用該模型對四川信息職業(yè)技術學院校園網(wǎng)安全的管理水平進行了驗證分析.

1 傳統(tǒng)項目管理成熟度模型

項目管理成熟度模型是評價和改進組織項目管理水平的一種框架方法[3]. 依據(jù)項目管理成熟度模型可以將企業(yè)項目管理水平依次劃分為相應等級, 從而形成一個有序的管理水平平臺. CERNET校園網(wǎng)管理部門可以借鑒項目管理成熟度模型來檢驗自身的CERNET校園網(wǎng)項目管理水平, 認識到自身管理工作存在的不足, 以便為改進網(wǎng)絡管理工作提供參考和依據(jù), 最終使網(wǎng)絡安全管理水平不斷提高[4]. 項目管理成熟度模型提出以后逐漸演化為多種具體形式, 如CMM(Capability Maturity Model for Software)模型、OPM3(Organization Project Management Maturity Model)模型、K-PMMM模型等最為常見.

1.1 CMM模型

CMM模型主要用于軟件承包能力的評價及質量改善方面[5], 重點側重軟件開發(fā)過程的項目管理能力提高. 截止到目前, CMM模型已經(jīng)成為最權威的項目管理評估認證體系, CMM模型包括初始級、可重復級、定義級、管理級、優(yōu)化級五個基本等級.

1.2 OPM3模型

OPM3模型定義了評估組織通過對項目進行管理與控制以實現(xiàn)自身戰(zhàn)略目標, 提高企業(yè)項目管理水平及市場競爭力的方法. OPM3模型的基本目標是通過評估企業(yè)項目管理能力, 不斷改善企業(yè)的項目管理水平,以實現(xiàn)其預定戰(zhàn)略意圖.

1.3 K-PMMM模型

K-PMMM模型基于問卷調查分析法[4], 由不同層次進行項目管理能力的評估, 該模型的應用采用了與眾不同的問卷調查方法. 通過有效設置問題并獲取答案,找到影響企業(yè)項目管理能力的主要因素和存在問題, 為企業(yè)改進項目管理能力提供依據(jù). K-PMMM模型將企業(yè)項目管理能力劃分為5個基本層次, 由低到高依次為通用術語、通用過程、單一方法、基準比較、持續(xù)改進.

2 CERNET網(wǎng)絡安全管理成熟度模型構建

2.1 成熟度層次-梯度矩陣構建

依據(jù)項目管理成熟度模型理論, 結合CERNET校園網(wǎng)安全管理工作的特點, 構造層次-梯度矩陣, 作為成熟度的評判與診斷安全問題依據(jù).

2.1.1 影響網(wǎng)絡安全成熟度的主要因素

校園網(wǎng)絡安全既有軟件又有硬件, 既有外部環(huán)境影響又有內部因素左右, 并且許多方面是相互制約相互影響的, 因每人看待問題角度不同而產(chǎn)生的結論也不同, 因此根據(jù)國家對網(wǎng)絡安全相關制度, 查詢多方資料結合網(wǎng)絡管理經(jīng)驗提出如下指標體系, 影響整個CERNET校園網(wǎng)網(wǎng)絡安全管理成熟度的因素主要有實體安全管理能力, 網(wǎng)絡安全管理措施, 網(wǎng)絡通信安全管理, 系統(tǒng)安全管理, 安全技術措施5個層面.

實體安全管理能力主要包含網(wǎng)絡設備安全管理維護能力、媒體安全管理維護能力、網(wǎng)絡安全管理環(huán)境等方面.

網(wǎng)絡安全管理措施主要包含組織機構、規(guī)章制度、應急預案、安全培訓等方面.

網(wǎng)絡通信安全管理主要包含信息傳輸安全、審計跟蹤措施、訪問控制措施等方面.

系統(tǒng)安全管理主要包含操作系統(tǒng)安全、應用軟件安全、數(shù)據(jù)庫系統(tǒng)狀態(tài)監(jiān)控措施、用戶身份鑒別、用戶數(shù)據(jù)備份等方面.

安全技術措施主要包含恢復技術措施、安全審計功能、系統(tǒng)操作日志、服務器備份措施、防黑客入侵措施、計算機病毒防范措施等方面.

2.1.2 校園網(wǎng)絡安全管理成熟度模型梯度劃分

依據(jù)前文項目管理成熟度模型理論和國家安全法、GB20984, GB25058、GB22081等信息安全等級保護等評估與實施的國家規(guī)定的規(guī)范標準, 結合高校校園網(wǎng)絡安全管理工作的特點, 將高校校園網(wǎng)絡安全管理成熟度模型劃分為混亂級、初始級、規(guī)劃級、優(yōu)化級和持續(xù)改進級等五個梯級. 高校校園網(wǎng)絡安全管理成熟度模型的五個梯級定義如下:

混亂級是高校校園網(wǎng)絡安全管理的最低級別, 處于混亂級成熟度水平的高校校園網(wǎng)絡部門不能有效的識別網(wǎng)絡安全危險源, 也不能采取針對性的措施對網(wǎng)絡安全危險源進行防范管理, 不能采取事前控制方式對網(wǎng)絡安全風險進行提前防范, 所采取的手段和方法也多是經(jīng)驗式和臨時式的.

初始級指處于高校校園網(wǎng)絡部門已經(jīng)較為重視校園網(wǎng)絡安全管理工作的重要性, 并采取了部分措施保障高校校園網(wǎng)絡安全管理工作的順利執(zhí)行.

規(guī)范級指高校校園網(wǎng)絡部門已經(jīng)具備了較成熟的計算機網(wǎng)絡實體安全管理能力, 能夠對計算機和網(wǎng)絡通信設備進行較完善的維護管理, 并建立了較完善的校園網(wǎng)絡安全管理環(huán)境.

優(yōu)化級指高校校園網(wǎng)絡部門已經(jīng)具備了十分完善的網(wǎng)絡安全管理體系, 該階段的網(wǎng)絡安全管理工作已經(jīng)集成化.

持續(xù)改進級是高校校園網(wǎng)絡管理工作的最高水平標準, 該水平的高校校園網(wǎng)絡管理部門有能力對校園網(wǎng)絡管理工作進行自我優(yōu)化和改進創(chuàng)新.

上述界定的高校校園網(wǎng)絡管理成熟度的五個梯度為高校校園網(wǎng)絡安全管理工作的不斷改進奠定了基礎,為高校校園網(wǎng)絡安全管理工作提供了一個有序的方法,高校校園網(wǎng)絡安全管理可以依據(jù)上述劃定的梯度標準評價其網(wǎng)絡安全管理工作的成熟度.

2.1.3 高校校園網(wǎng)絡安全管理成熟度的五個層面

在確定了高校校園網(wǎng)絡安全管理成熟度的五個梯度以后, 對高校校園網(wǎng)絡安全管理成熟度的主要層面研究也是高校校園網(wǎng)絡安全管理成熟度模型的重要組成內容. 依據(jù)前文對高校校園網(wǎng)絡安全管理影響因素進行的分析, 將高校校園網(wǎng)絡安全管理成熟度界定為以下五個方面, 即: 實體安全管理能力、網(wǎng)絡安全管理措施、網(wǎng)絡通信安全管理、系統(tǒng)安全管理、安全技術措施. 表1為高校校園網(wǎng)絡安全管理成熟度的五個層面,針對高校校園網(wǎng)絡安全管理成熟度的不同梯級界定了各層面的詳細標準.

表1 高校校園網(wǎng)絡安全管理成熟度的五個層面

2.1.4 校園網(wǎng)絡安全管理成熟度的梯度-層次模型構建

定義. Ai(i=1,..5)為CERNET校園網(wǎng)網(wǎng)絡安全管理成熟度界定的5個層面Ai=(實體安全管理能力, 網(wǎng)絡安全管理措施, 網(wǎng)絡通信安全管理, 系統(tǒng)安全管理, 安全技術措施). Gj(j=1,..5)為網(wǎng)絡安全管理成熟度的5個梯度Gj=(混亂級, 初始級, 規(guī)劃級, 優(yōu)化級, 持續(xù)改進級)Sij為對應的是安全合規(guī)和現(xiàn)狀, 描述當前層面網(wǎng)絡安全面臨的問題與改進措施. 故校園網(wǎng)絡安全管理成熟度的梯度-層次模型構建如下式(1)所示:

2.2 CERNET網(wǎng)絡安全管理成熟度模型評價體系與指標

網(wǎng)絡安全管理成熟度評價指標體系是一套能夠綜合、全面反映高校校園網(wǎng)絡安全特征, 并且相互影響、相互制約、相互補充的具有內在關聯(lián)的指標集合. 模型基于對國內外已提出的網(wǎng)絡安全評價標準進行研究,提出CERNET校園網(wǎng)網(wǎng)絡安全管理成熟度評價指標.

定義. U為CERNET網(wǎng)絡安全管理成熟度; Bi(i=1,2, 3, 4, 5)為實施層, 包含網(wǎng)絡設備安全管理維護能等21個指標.

說明: Ai(i=1, 2, 3, 4, 5)此時可以作為U的一級評價指標, A為評價體系的控制層, A1指標為實體安全管理能力, A2指標為網(wǎng)絡安全管理措施, A3指標為網(wǎng)絡通信安全管理, A4指標為系統(tǒng)安全管理, A5指標為安全技術措施理成熟度評價指標, 見表2所示.

表2 高校校園網(wǎng)絡安全管理成熟度評價指標

2.3 CERNET校園網(wǎng)網(wǎng)絡安全管理成熟度模型指標權重和成熟度值的計算

評價指標權重計算采用層次分析法和熵值法確定綜合權重, 以確保權重結果的精確性和合理性.

其中: α為層次分析法計算權重的權重; 1-α為熵值法計算權重的權重. 該權重值可以采用經(jīng)驗法由專家直接確定.

2.3.1 層次分析權重w層次求法

步驟1. 假設因素Y有合集X構成, 其中X={x1, x2,…xn}, 那么可以利用層次分析法將合集X中任意兩因素按照其重要程度進行比較分析, 最終獲得集合B,B={b1, b2, …bn}, 那么bij即表示為Xi對Y的重要程度. 然后建立按照層次分析法建立層次模型, 然后在構造判斷矩陣, 在層次結構模型中從第2層開始分析, 依次分析下層因素對上層因素的影響, 按照重要性標度含義表,構造相應的判斷比較矩陣, 輸出最底層判斷矩陣位置.

步驟2. 計算權向量進行一致性檢驗

計算最大特征根和對應的特征向量, 經(jīng)檢驗滿足一致性的特征向量即為權向量, 如果不能通過一致性檢驗, 則需要重新構造判斷矩陣并計算權向量進行一致性檢驗. 一致性指標CI計算公式為:

當CR<0.1時, 既滿足一致性檢驗, 反之, 則應該重新構造判斷比較矩陣.

2.3.2 熵值權重w熵值求法

① 假設n個主體和m個評價指標, 其中xij為第i個主體對應的第j個指標.

② 將各指標進行標準化處理, 使之同質化. 正向指標:

③ 計算第j項指標下第i個主體占該指標的比重:

④ 計算第j項指標的熵值.

其中, k＞0, , ej≥0

⑤ 計算指標j的權值:

2.3.3 網(wǎng)絡安全管理成熟度U的計算采用模糊綜合評判法

定義. U為模糊綜合評價因素組成的集合; V為評價因素的評語集

U={u1, u2, …, un}, U為擬評價項目待評價的評價因素, Ui為影響評價對象的各個評價因素. V={v1, v2,…, vm}說明: 對于評語集中評語等級數(shù)一般不能取值過大, 以防影響評價結果的判定, 對于評價等級通常可以選擇m=5, 如一般規(guī)模評價集V={很小, 較小, 一般,較大, 很大}.

步驟1. 根據(jù)U和V確定權重A

模糊綜合評判的一項重要工作就是合理的確定判斷權重, 該權重值直接影響風險評價結果. 權重的確定主要取決于評判專家的主觀認識以及評判因素的客觀影響程度. 其中:

步驟2. 進行單因素評價, 建立模糊關系矩陣

對U集合中的諸因素ui分別做出對評語集合V中諸評語的單因素評判, 進而得到一個實際上表示U和V之間模糊關系的模糊矩陣R:

矩陣中的行向量表示某個因素對各等級評語的隸屬度.

步驟3. 模糊綜合評價

將表示各指標權重向量的A與各評價指標的隸屬度矩陣R用合適的算子進行模糊運算, 并進行歸一化,得到模糊評價綜合效果B:

其中bj表示評價對象從整體上對評語集的隸屬度, 多級模糊綜合運算進行模糊綜合評價, 用Bi作為ui的單因素評價結果, 可得到隸屬度矩陣R:

步驟4. 評價結果向量的分析

對綜合評判結果B=(b1, b2, …bm)進行歸一化處理.

B′為等價的評價結果, B′的直觀解釋是b′k表示評價等級vk在綜合評價結果中占的百分比, (b′1, b′2, …,b′m)給出了m個評價等級所占百分比的分布.

3 實證分析與評價

選取四川信息職業(yè)技術學院校園網(wǎng)絡為研究對象,并在信息中心內部抽取3人, 外部抽取2人, 組成5人評價小組, 對校園網(wǎng)絡安全管理成熟度進行評價. 論文由評估小組五名成員對各指標進行評價, 共收回5份評價問卷, 調查問卷回收率為100%. 為滿足一致性檢驗要求, 對5分評價結果進行分別進行一致性檢驗, 結果顯示5份評價結果均滿足一致性檢驗要求.

按照上述模型計算, 按照層次分析法計算步驟計算評價指標權重, 詳細見下文.

3.1 構造判斷矩陣U-A

計算目標層U指標權重及一致性檢驗. 如表3.

表3 目標層U指標權重計算及一致性檢驗

3.2 構造Ai-B矩陣

并以A5(安全技術措施)為例構造判斷矩陣A5-B(表4), 計算目標層A5指標權重及一致性檢驗.

表4 目標層A5指標權重計算及一致性檢驗

3.3 綜合權重計算

依據(jù)熵值法計算步驟, 計算熵值中的信息熵, 結合層次分析法計算綜合權重, 見表5. 由于層次分析法主觀性較強, 而熵權法計算的結果客觀性較強, 權重值α取50%的計算方式確定綜合權重(以A5-安全技術措施為例).

表5 綜合權重計算

3.4 成熟度計算與評價

專家投票選擇校園網(wǎng)絡安全管理成熟度對應梯級的主要依據(jù)為論文中針對網(wǎng)絡安全管理成熟度不同梯級界定的各層面詳細標準. 表5為5名評價專家的評價結果, 評價結果表示為不同評價指標在各自成熟度梯度上的表決票數(shù). (以A5-安全技術措施為例)

依據(jù)前文的模糊綜合評判法, 結合表6網(wǎng)絡安全管理成熟度評價結果計算安全技術措施成熟度評價值.

表6 網(wǎng)絡安全管理成熟度評價結果

由此可以確定四川信息職業(yè)技術學院校園網(wǎng)安全技術措施成熟度屬于(混亂級, 初始級, 規(guī)范級, 優(yōu)化級,持續(xù)改進級)的模糊隸屬度為(0.1056, 0.9017, 2.8182,0.6403, 0.5342), 經(jīng)標準化處理后的模糊隸屬度為(2.11%, 18.03%, 56.36%, 12.81%, 10.68%), 依據(jù)最大隸屬原則, 四川信息職業(yè)技術學院校園網(wǎng)安全技術措施成熟度為規(guī)范級.

3.5 網(wǎng)絡安全總體成熟度評價

依據(jù)前文各評價指標成熟度計算結果確定網(wǎng)絡安全總體成熟度.

由此可以確定四川信息職業(yè)技術學院校園網(wǎng)網(wǎng)絡安全總體成熟度屬于(混亂級, 初始級, 規(guī)范級, 優(yōu)化級,持續(xù)改進級)的模糊隸屬度為(0.2071, 1.5750, 2.3674,0.7094, 0.1411), 經(jīng)標準化處理后的模糊隸屬度為(4.15%, 31.50%, 47.35%, 14.19%, 2.81%), 依據(jù)最大隸屬原則, 四川信息職業(yè)技術學院校園網(wǎng)網(wǎng)絡安全總體成熟度為規(guī)范級. 四川信息職業(yè)技術學院校園網(wǎng)絡已經(jīng)具備了較成熟的計算機網(wǎng)絡實體安全管理能力, 建立了較完善的校園網(wǎng)絡安全管理環(huán)境. 成立了專門的網(wǎng)絡安全小組, 制定了完善的網(wǎng)絡安全管理規(guī)章制度和應急預案. 校園網(wǎng)絡信息傳輸進行了安全的數(shù)據(jù)加密措施, 并對網(wǎng)絡通信系統(tǒng)進行審計跟蹤和訪問控制措施. 針對校園網(wǎng)絡操作系統(tǒng)設置了不同級別并細化相應的權限; 對應用軟件進行了身份鑒別、數(shù)據(jù)保密等安全機制要求, 經(jīng)常性的對系統(tǒng)安全進行掃描并修補系統(tǒng)漏洞, 采用計算機網(wǎng)絡用戶數(shù)據(jù)日常備份方式增強系統(tǒng)安全. 采用必要的數(shù)據(jù)恢復技術, 每天對設備運行情況進行跟蹤記錄, 積極采用各種手段和應用先進技術設備防范黑客入侵和病毒侵擾.

4 結論

通過分析項目管理成熟度模型相關理論, 構建了高校校園網(wǎng)絡安全管理成熟度模型. 通過實證分析得出四川信息職業(yè)技術學院校園網(wǎng)絡安全總體成熟度為規(guī)范級, 網(wǎng)絡安全管理工作已經(jīng)制度化和標準化. 但通過成熟度評價可知在某些評價指標方面還存在一些不足, 如針對媒體安全管理維護能力還有待進一步改善,數(shù)據(jù)庫系統(tǒng)狀態(tài)監(jiān)控方面還又必要進一步完善措施.目前關于校園網(wǎng)絡安全管理評價的研究還處于不斷發(fā)展和完善的過程, 本文在某些問題上的研究還存在一些不足, 比如評價指標的選取, 選擇不同評價方法可能對評價結果造成較大影響, 需要在今后的工作中進行進一步的深入探討和研究.

1王強民, 張保穩(wěn), 張競. 高校信息系統(tǒng)安全等級保護工作的現(xiàn)狀分析. 第二屆全國信息安全等級保護技術大會論文集.合肥, 中國. 2013.

2陳娜. 高校校園網(wǎng)絡安全評價分析研究[碩士學位論文]. 太原: 山西財經(jīng)大學, 2011.

3江漢臣, 強茂山. 四種項目管理成熟度模型的比較研究. 項目管理技術, 2013, 11(7): 17–22.

4李常寶, 桂軼杰. 校園網(wǎng)絡安全管理成熟度評價體系的研究與構建. 山東商業(yè)職業(yè)技術學院學報, 2016, 16(3): 102–106.

5師成. 北京協(xié)和醫(yī)院CIS項目質量管理研究[碩士學位論文].濟南: 山東大學, 2012.

Research and Construction of CERNET Network Security Management Maturity Model

HE Xiao-Chun
(Sichuan Vocational College of Information Technology, Guangyuan 628040, China)

Aiming at the defects of CERNET in network planning, construction and management, this paper analyzes the main factors of network security management, network security management maturity gradient model division, and puts forward the maturity of the five levels-five gradient matrix, which constructs a network security management maturity model. This model can not only detect the security vulnerabilities in the management of CERNET network, but also improve the safety management level, which is proved by the analysis of defects from Sichuan Vocational College of Information Technology campus network security management with the model, the results of which show that the Academy reaches maturity specification level.

CERNET network; safety regulations; build; maturity

賀曉春.CERNET網(wǎng)絡安全管理成熟度模型的研究與構建.計算機系統(tǒng)應用,2017,26(7):24–29. http://www.c-s-a.org.cn/1003-3254/5856.html

2016-11-03; 收到修改稿時間: 2016-12-12