曹 龍 吉 梁 朱 彤

(中核核信信息技術(shù)(北京)有限公司 北京 100048)

(caolong@cnnc.com.cn)

當(dāng)前國際形勢正處于百年未有之大變局，網(wǎng)絡(luò)安全事件頻發(fā)，對于綜合性集團(tuán)企業(yè)而言，由于網(wǎng)絡(luò)安全關(guān)乎集團(tuán)生產(chǎn)安全、辦公秩序和輿論影響等，因此至關(guān)重要.隨著國家網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全責(zé)任制要求的正式頒布實(shí)施，及網(wǎng)絡(luò)安全等級保護(hù)制度等標(biāo)準(zhǔn)規(guī)范的全面執(zhí)行，網(wǎng)絡(luò)安全管理要求更加規(guī)范和細(xì)化.為深入貫徹落實(shí)國家網(wǎng)絡(luò)安全法規(guī)制度及上級主管部門網(wǎng)絡(luò)安全管理要求，集團(tuán)企業(yè)應(yīng)圍繞網(wǎng)絡(luò)安全責(zé)任制落實(shí)、網(wǎng)絡(luò)安全管理體系、網(wǎng)絡(luò)安全技術(shù)體系等方面進(jìn)一步推進(jìn)落實(shí)網(wǎng)絡(luò)安全管理責(zé)任，為各項(xiàng)業(yè)務(wù)的快速發(fā)展提供有效的網(wǎng)絡(luò)安全保障.

當(dāng)前網(wǎng)絡(luò)安全水平評價(jià)已有部分研究基礎(chǔ)，但多是集中于單一行業(yè)如互聯(lián)網(wǎng)產(chǎn)業(yè)安全評價(jià)指標(biāo)體系[1]、電力信息安全水平評價(jià)指標(biāo)體系[2]、石油石化系統(tǒng)信息安全態(tài)勢評估指標(biāo)體系[3]等，或是針對于單一系統(tǒng)角度如關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)水平評價(jià)指標(biāo)體系[4]、重要信息系統(tǒng)信息安全保障能力評價(jià)[5]等.但在實(shí)際情況中，部分大型集團(tuán)往往橫跨房地產(chǎn)、醫(yī)療、礦山、金融等多個(gè)業(yè)務(wù)領(lǐng)域，在涉及多個(gè)行業(yè)的前提下，尤其是網(wǎng)絡(luò)不同(互聯(lián)網(wǎng)、工控網(wǎng)、內(nèi)網(wǎng)等)、業(yè)務(wù)不同，網(wǎng)絡(luò)安全水平的統(tǒng)一評價(jià)成為了網(wǎng)絡(luò)安全管理閉環(huán)中的實(shí)際難點(diǎn)和痛點(diǎn).

集團(tuán)企業(yè)以PDCA循環(huán)中的P(plan)，C(check)，A(act)落實(shí)網(wǎng)絡(luò)安全運(yùn)營管理[6].在P計(jì)劃階段，制定網(wǎng)絡(luò)安全規(guī)劃、明確目標(biāo)系統(tǒng)、編制技術(shù)防護(hù)體系和管理體系等；在C檢查階段，進(jìn)行網(wǎng)絡(luò)安全各類檢查、通報(bào)、考核評價(jià)；在A處理階段，驗(yàn)證檢查整改結(jié)果、總結(jié)失敗教訓(xùn)、加固系統(tǒng)、培訓(xùn)人員等.可見考核評價(jià)是發(fā)現(xiàn)成員單位問題進(jìn)行循環(huán)推進(jìn)的重要一環(huán)，對后續(xù)能力提升方向提供實(shí)際指引，對閉環(huán)管理中的補(bǔ)齊短板意義重大.

1 跨行業(yè)網(wǎng)絡(luò)安全水平評價(jià)的思路

當(dāng)前網(wǎng)絡(luò)安全水平評價(jià)大體分為2個(gè)思路：1)基于最佳實(shí)踐的網(wǎng)絡(luò)安全評價(jià)，如等級保護(hù)體系[7]是管理體系和技術(shù)體系的最佳實(shí)踐，為網(wǎng)絡(luò)和信息系統(tǒng)提供合規(guī)性的最佳實(shí)踐要求；再如ISO27002[8](信息安全管理要求)為各類單位提供了可認(rèn)證的網(wǎng)絡(luò)安全管理體系最佳實(shí)踐要求.但最佳實(shí)踐難免陷入一個(gè)系統(tǒng)或一個(gè)層面的合規(guī)性問題角度，難以全面考慮網(wǎng)絡(luò)安全實(shí)際面臨的攻防對抗問題，無法在不同級別、不同行業(yè)適用同一套評價(jià)體系.2)基于能力的網(wǎng)絡(luò)安全評價(jià)體系，在“三化六防”(實(shí)戰(zhàn)化、體系化、常態(tài)化的新理念，動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防護(hù)、聯(lián)防聯(lián)控的新舉措)[9]的新思想指導(dǎo)下，基于能力的評價(jià)模型的構(gòu)建可以忽略系統(tǒng)、網(wǎng)絡(luò)、行業(yè)的不同[5]，因此本文是以安全運(yùn)營的環(huán)節(jié)為框架，以能力評價(jià)為核心，構(gòu)建跨行業(yè)網(wǎng)絡(luò)安全統(tǒng)一評價(jià)指標(biāo)體系.

2 指標(biāo)體系的構(gòu)建

以上述思路為基礎(chǔ)，在指標(biāo)體系構(gòu)成的同時(shí)結(jié)合國家法律法規(guī)標(biāo)準(zhǔn)要求[10-12]、上級主管部門要求[13]，同時(shí)結(jié)合集團(tuán)企業(yè)實(shí)際工作需要，對整體網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行采集備案，做到“底數(shù)清、基線明、方向準(zhǔn)、流程定”.評價(jià)指標(biāo)體系架構(gòu)涵蓋網(wǎng)絡(luò)安全治理、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)[14]等各方面內(nèi)容，以能力評價(jià)維度進(jìn)行統(tǒng)籌構(gòu)建，為集團(tuán)企業(yè)下屬各單位的網(wǎng)絡(luò)安全工作提供導(dǎo)向，為考核評價(jià)提供依據(jù).

本文建立的指標(biāo)體系共分3層：第1層為網(wǎng)絡(luò)安全管理能力和網(wǎng)絡(luò)安全運(yùn)營能力，以及調(diào)查采集項(xiàng)目.第2層包括合規(guī)執(zhí)行能力、組織領(lǐng)導(dǎo)能力、戰(zhàn)略規(guī)劃能力、資源保障能力、體系管理能力5個(gè)管理能力維度和防御保障能力、監(jiān)測發(fā)現(xiàn)能力、應(yīng)急處置能力、溯源取證能力[15]和專項(xiàng)工作落實(shí)5個(gè)安全運(yùn)營能力.另外，為了掌握下屬各單位基本工作情況等，設(shè)置了供應(yīng)鏈安全情況、新技術(shù)應(yīng)用與防護(hù)、基本工作情況3個(gè)采集項(xiàng)目.第3層為具體指標(biāo)項(xiàng)目，共61項(xiàng)能力指標(biāo)、96個(gè)采集項(xiàng).具體如圖1所示(第3層限于篇幅，不予贅述).

圖1 跨行業(yè)網(wǎng)絡(luò)安全水平評價(jià)指標(biāo)體系分布圖

2.1 網(wǎng)絡(luò)安全管理能力

“七分管理，三分技術(shù)”已經(jīng)是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言，可見管理能力對于網(wǎng)絡(luò)安全的重要性，從日常經(jīng)驗(yàn)來看，增強(qiáng)網(wǎng)絡(luò)安全意識、提高口令密碼強(qiáng)度、定期打補(bǔ)丁升級即可避免大部分的攻擊.本文對網(wǎng)絡(luò)安全管理能力評價(jià)重點(diǎn)關(guān)注以下5個(gè)維度.

2.1.1 合規(guī)執(zhí)行能力

在網(wǎng)絡(luò)安全方面合規(guī)性要求紛繁復(fù)雜，本文主要考慮國家及上級主管部門要求的合規(guī)落實(shí)情況.評價(jià)指標(biāo)包括：

1) 關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)情況，關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全法、密碼法、網(wǎng)絡(luò)安全審查辦法中都有明確要求，如設(shè)置專門的管理機(jī)構(gòu)、識別認(rèn)定規(guī)則、每年1次安全檢測、發(fā)布一系列制度規(guī)范和規(guī)程等.

2) 等級保護(hù)工作情況[16-17]，等級保護(hù)2.0制度已全面實(shí)施一段時(shí)間，在公安部門的大力推動(dòng)下，定級備案測評工作開展情況，檢查與核查情況都是合規(guī)的重要組成部分.

2.1.2 組織領(lǐng)導(dǎo)能力

對于網(wǎng)絡(luò)安全法及網(wǎng)絡(luò)安全責(zé)任制的落實(shí)，領(lǐng)導(dǎo)的重視和參與對整個(gè)單位的網(wǎng)絡(luò)安全工作推進(jìn)非常重要.評價(jià)指標(biāo)包括：

1) 單位負(fù)責(zé)人對網(wǎng)絡(luò)安全工作的參與方式、領(lǐng)導(dǎo)小組的設(shè)立情況及職責(zé)、領(lǐng)導(dǎo)班子會(huì)議中關(guān)于網(wǎng)絡(luò)安全議題的次數(shù)都直接反映了領(lǐng)導(dǎo)層對網(wǎng)絡(luò)安全工作的關(guān)注度.

2) 網(wǎng)絡(luò)安全機(jī)構(gòu)的設(shè)置情況、網(wǎng)絡(luò)安全機(jī)構(gòu)的職責(zé)，確保了領(lǐng)導(dǎo)的關(guān)注能夠在何種程度上，落實(shí)到單位的實(shí)際管理過程中.

2.1.3 戰(zhàn)略規(guī)劃能力

“大國發(fā)展，規(guī)劃先行”，網(wǎng)絡(luò)安全工作的穩(wěn)步推進(jìn)，也需要先行詳細(xì)規(guī)劃，后續(xù)逐步落實(shí)，螺旋式上升.

1) 單位中長期規(guī)劃的地位決定了后期執(zhí)行的力度，近期的就是“十四五”網(wǎng)絡(luò)安全規(guī)劃的情況.

2) 年度網(wǎng)絡(luò)安全工作計(jì)劃和報(bào)告與中長期規(guī)劃的符合程度，業(yè)務(wù)部門對于年度工作計(jì)劃的參與.

2.1.4 資源保障能力

網(wǎng)絡(luò)安全工作對于非網(wǎng)絡(luò)安全主營業(yè)務(wù)的單位來說，主要目標(biāo)就是確保系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行，因此并不能直接產(chǎn)生經(jīng)濟(jì)效益，也是一項(xiàng)需要長期投入、可視化效果卻不明顯的工作.

1) 人力資源投入是網(wǎng)絡(luò)安全投入中最重要的部分之一，包括網(wǎng)絡(luò)安全專職人員數(shù)量、技術(shù)管理人員技能證書的獲取情況、職業(yè)發(fā)展通道建設(shè)情況.

2) 資金投入必不可少，包括網(wǎng)絡(luò)安全資金投入保障機(jī)制、網(wǎng)絡(luò)安全預(yù)算的管理方式、占上一年度營收的百分比、實(shí)際投入占網(wǎng)絡(luò)安全預(yù)算的比例、網(wǎng)絡(luò)安全預(yù)算使用方向情況.

2.1.5 體系管理能力

健全的網(wǎng)絡(luò)安全管理制度標(biāo)準(zhǔn)規(guī)范用于規(guī)范整個(gè)單位網(wǎng)絡(luò)安全管理.包括：網(wǎng)絡(luò)安全制度建設(shè)情況，如等級保護(hù)制度、機(jī)房制度、人力資源管理、事件管理、設(shè)備管理等；網(wǎng)絡(luò)安全培訓(xùn)執(zhí)行情況，制定計(jì)劃，并按照計(jì)劃落實(shí)執(zhí)行；考核評價(jià)機(jī)制執(zhí)行情況；網(wǎng)絡(luò)安全檢查與風(fēng)險(xiǎn)評估機(jī)制執(zhí)行情況；應(yīng)急管理工作的開展情況等.

2.2 網(wǎng)絡(luò)安全運(yùn)營能力

考慮網(wǎng)絡(luò)安全實(shí)戰(zhàn)化的思想，面對網(wǎng)絡(luò)攻防，最大的目的就是在網(wǎng)絡(luò)攻防中防得住、扛得住，因此網(wǎng)絡(luò)安全運(yùn)營能力的建設(shè)按照“預(yù)警—保護(hù)—檢測—反應(yīng)—恢復(fù)—反擊”6個(gè)階段進(jìn)行考慮.

2.2.1 防御保障能力

國內(nèi)以等級保護(hù)為基準(zhǔn)的“一個(gè)中心，三重防護(hù)”的縱深防御思想成為主流，在防御中將越來越注重整體防御、主動(dòng)防御.評價(jià)指標(biāo)包括以下方面：

1) 物理環(huán)境防護(hù)情況，防止物理破壞，加強(qiáng)環(huán)境監(jiān)控和管控；網(wǎng)絡(luò)安全架構(gòu)情況，網(wǎng)絡(luò)防入侵、網(wǎng)絡(luò)防惡意代碼、分區(qū)分域、網(wǎng)絡(luò)加密、準(zhǔn)入控制等；計(jì)算環(huán)境策略情況，默認(rèn)用戶名口令配置、多余賬戶刪除、非必要端口服務(wù)關(guān)閉、訪問控制顆粒度等.

2) 終端防護(hù)方式，統(tǒng)一軟硬件安裝、病毒防護(hù)、安全審計(jì)、補(bǔ)丁升級等；數(shù)據(jù)管控情況，數(shù)據(jù)加密、數(shù)據(jù)防泄露、數(shù)據(jù)分級分類、數(shù)據(jù)輸出審計(jì)等；電子郵件防護(hù)情況，數(shù)字證書等.

2.2.2 監(jiān)測發(fā)現(xiàn)能力

在建立縱深防護(hù)體系之后，能夠抵御大部分日常攻擊，但高級威脅仍不可避免，另外監(jiān)測發(fā)現(xiàn)能力的建設(shè)，是后續(xù)事件處置的前置條件，因此在部分重要時(shí)期，監(jiān)測發(fā)現(xiàn)能力也是最應(yīng)加強(qiáng)的網(wǎng)絡(luò)安全能力.評價(jià)指標(biāo)包括以下方面：

1) 態(tài)勢感知和監(jiān)測預(yù)警體系建設(shè)情況；網(wǎng)絡(luò)和信息系統(tǒng)中主機(jī)、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、安全設(shè)備、終端等的運(yùn)行監(jiān)測覆蓋情況等.

2) 應(yīng)用系統(tǒng)上線前檢測情況、年內(nèi)定期安全檢查內(nèi)容情況、漏洞掃描的范圍和周期、日志分析的情況和能力等.

2.2.3 應(yīng)急處置能力

當(dāng)監(jiān)測環(huán)節(jié)發(fā)現(xiàn)異常之后，應(yīng)急處置并恢復(fù)的速度、力度都將導(dǎo)致?lián)p失的差異.評價(jià)指標(biāo)包括：

1) 單位應(yīng)急預(yù)案建設(shè)范圍和顆粒度情況；應(yīng)急隊(duì)伍建設(shè)情況；

2) 災(zāi)備建設(shè)情況；業(yè)務(wù)、系統(tǒng)、配置等數(shù)據(jù)的備份情況及恢復(fù)測試情況.

2.2.4 溯源取證能力

恢復(fù)系統(tǒng)運(yùn)行或解決風(fēng)險(xiǎn)漏洞之后，針對問題的經(jīng)過和根本原因進(jìn)行溯源取證，總結(jié)經(jīng)驗(yàn)教訓(xùn)是下一步改進(jìn)重要的輸入.評價(jià)指標(biāo)包括：設(shè)備、應(yīng)用等臺賬的管控情況；日志、情報(bào)等收集情況等.

2.2.5 專項(xiàng)工作落實(shí)

在網(wǎng)絡(luò)安全管理過程中，集團(tuán)企業(yè)推進(jìn)一系列網(wǎng)絡(luò)安全專項(xiàng)整治行動(dòng)和任務(wù).各單位對此類專項(xiàng)工作的落實(shí)情況也應(yīng)作為考核評價(jià)的指標(biāo)，以促進(jìn)網(wǎng)絡(luò)安全整體形勢的管控和推進(jìn).這類指標(biāo)不具有代表性，如物聯(lián)網(wǎng)與工控系統(tǒng)的安全管理工作開展情況、承擔(dān)集團(tuán)企業(yè)網(wǎng)絡(luò)安全試點(diǎn)工作的情況、在集團(tuán)網(wǎng)絡(luò)安全檢查中被發(fā)現(xiàn)的高危風(fēng)險(xiǎn)問題情況等.

2.3 調(diào)查采集項(xiàng)

為集團(tuán)企業(yè)及時(shí)掌控網(wǎng)絡(luò)安全全局，設(shè)置調(diào)查采集項(xiàng)目，用于收集、匯總、統(tǒng)計(jì)、分析整個(gè)集團(tuán)網(wǎng)絡(luò)安全各類情況，為下一步工作規(guī)劃提供依據(jù)和支撐.

2.3.1 自主可控情況

考慮供應(yīng)鏈安全，評價(jià)指標(biāo)涵蓋自主可控工作的開展情況，門戶網(wǎng)站、生產(chǎn)管理系統(tǒng)的IPv6改造進(jìn)度情況等.

2.3.2 新技術(shù)應(yīng)用與防護(hù)

新技術(shù)新應(yīng)用層出不窮，科技變革影響著網(wǎng)絡(luò)安全行業(yè)發(fā)展方向和進(jìn)度，因此必須擁抱科技、接受改革.評價(jià)指標(biāo)包括大數(shù)據(jù)分析類產(chǎn)品部署情況、數(shù)據(jù)挖掘情況、云技術(shù)使用情況、虛擬化技術(shù)使用情況、移動(dòng)互聯(lián)技術(shù)使用情況等.

2.3.3 基本工作情況

此項(xiàng)收集單位網(wǎng)絡(luò)安全基本情況，評價(jià)指標(biāo)包括網(wǎng)絡(luò)安全專/兼職人員數(shù)量，網(wǎng)絡(luò)安全預(yù)算金額，網(wǎng)絡(luò)安全培訓(xùn)費(fèi)用、人數(shù)、名目，電子郵件賬戶數(shù)量，網(wǎng)絡(luò)和信息系統(tǒng)的數(shù)量、運(yùn)維方式，密碼算法使用情況，相關(guān)人員的聯(lián)絡(luò)方式等.

3 評價(jià)體系的構(gòu)建

對于評價(jià)指標(biāo)的量化方式，根據(jù)第1層網(wǎng)絡(luò)安全管理能力、網(wǎng)絡(luò)安全運(yùn)營能力和調(diào)查采集項(xiàng)共分2類，前兩者能力評價(jià)為單指標(biāo)分別計(jì)分，其指標(biāo)建立之后，每項(xiàng)指標(biāo)均需建立指標(biāo)要求、指標(biāo)量化方式、指標(biāo)權(quán)重3項(xiàng)屬性.調(diào)查采集項(xiàng)依據(jù)指標(biāo)完整度計(jì)分.

3.1 評價(jià)指標(biāo)要求

針對每項(xiàng)指標(biāo)，設(shè)置具體的網(wǎng)絡(luò)安全工作的程度/水平或具體量值，可以簡單理解為選項(xiàng)或所需填值范圍.

例：Q50. 各類數(shù)據(jù)備份情況______(可多選).

A.業(yè)務(wù)數(shù)據(jù)備份；B.業(yè)務(wù)系統(tǒng)代碼備份；C.操作系統(tǒng)備份；D.網(wǎng)絡(luò)設(shè)備配置備份；E.未備份.

3.2 評價(jià)指標(biāo)量化方式

在能力評價(jià)指標(biāo)量化方式的選擇中，本文指標(biāo)的量化選擇“絕對比率值法”“相對比率值法”“選項(xiàng)賦值法”3種方式.

1) 絕對比率值法

根據(jù)網(wǎng)絡(luò)安全指標(biāo)實(shí)際情況，依據(jù)指標(biāo)評價(jià)要求進(jìn)行比率或比值的計(jì)算，并將比率或比值進(jìn)行百分制化，作為此項(xiàng)指標(biāo)的量化值.賦值方法如式(1)所示：

(1)

其中PQ為第Q個(gè)指標(biāo)的量化值(0～100)，n為第Q個(gè)指標(biāo)的要素?cái)?shù)量，Ri為第i個(gè)要素的比值，精確到小數(shù)點(diǎn)后3位.

例：網(wǎng)絡(luò)和信息系統(tǒng)設(shè)備運(yùn)行監(jiān)測覆蓋比率指標(biāo)，適用此類量化方式.

2) 相對比率值法

根據(jù)網(wǎng)絡(luò)安全指標(biāo)實(shí)際情況，無法直接進(jìn)行比值量化的類型，賦值方法如式(2)所示：

(2)

其中JQ為單位第Q個(gè)指標(biāo)的填寫參數(shù)，JQ(max)為此次水平評價(jià)所有參評單位中第Q個(gè)指標(biāo)填寫參數(shù)的極大值，JQ(min)為此次水平評價(jià)所有參評單位中第Q個(gè)指標(biāo)填寫參數(shù)的極小值.

例：網(wǎng)絡(luò)專職人員占職工總數(shù)的比率這項(xiàng)指標(biāo)，適用此量化方法.若采用“絕對比率值法”則需要所有在職員工均為網(wǎng)絡(luò)安全專職人員，此指標(biāo)才能滿分，明顯不合理.

3) 選項(xiàng)賦值法

根據(jù)評價(jià)指標(biāo)要求和網(wǎng)絡(luò)安全工作實(shí)際現(xiàn)狀進(jìn)行賦值.

例：Q3. 單位網(wǎng)絡(luò)安全等級保護(hù)定級備案工作開展情況______.

A.尚未整體開展定級與備案；

B.有整體工作計(jì)劃，正在推進(jìn)當(dāng)中；

C.有整體工作計(jì)劃，50%以上的主要系統(tǒng)已定級備案；

D.有整體工作計(jì)劃，80%以上的主要系統(tǒng)已定級備案；

E.已完成定級備案工作，第3級(含)以上網(wǎng)絡(luò)系統(tǒng)本年度均已通過測評和整改.

量化規(guī)則：

A.0分；B.30分；C.60分；D.80分；E.100分.

3.3 評價(jià)指標(biāo)權(quán)重

參考等級保護(hù)測評權(quán)重體系[18-20]，并在重點(diǎn)指標(biāo)加大權(quán)重，因此每項(xiàng)評價(jià)指標(biāo)根據(jù)重要程度分別設(shè)置了2，1，0.5，0.2這4種權(quán)重，表1為匯總形成的評價(jià)指標(biāo)權(quán)重分配表(限于篇幅僅展示到第2層指標(biāo)的權(quán)重分布).

表1 評價(jià)指標(biāo)權(quán)重分配表

調(diào)查采集項(xiàng)信息不具備能力評價(jià)的屬性，但為集團(tuán)企業(yè)網(wǎng)絡(luò)安全管理提供數(shù)據(jù)支撐，有其存在的必要性，故為鼓勵(lì)填報(bào)，賦予權(quán)重3，采用完整度計(jì)分.本文調(diào)查采集項(xiàng)共96個(gè)采集項(xiàng)，采用絕對比率值法進(jìn)行量化.

3.4 評價(jià)體系的計(jì)算

10項(xiàng)能力的評價(jià)計(jì)算，結(jié)合每項(xiàng)指標(biāo)的要求進(jìn)行實(shí)際評價(jià)，得出量化值(不適用的可直接舍棄)，結(jié)合每項(xiàng)指標(biāo)的權(quán)重進(jìn)行權(quán)重和的計(jì)算.最終網(wǎng)絡(luò)安全水平指數(shù)，為當(dāng)前單位網(wǎng)絡(luò)安全工作水平的整體客觀反映.

賦值方法如式(3)所示：

(3)

其中Lev為最終網(wǎng)絡(luò)安全水平指數(shù)，WQ為第Q個(gè)指標(biāo)的權(quán)重，PC為采集指標(biāo)項(xiàng)的完整度，WC為采集指標(biāo)項(xiàng)的權(quán)重，本文定義為3，m為10種能力指標(biāo)的項(xiàng)數(shù)，本文定義為61.

4 試點(diǎn)情況

為驗(yàn)證指標(biāo)體系和評價(jià)體系的合理性和可行性，我們在年度網(wǎng)絡(luò)安全檢查工作中進(jìn)行了試點(diǎn)應(yīng)用.疫情原因，選取了建筑行業(yè)、非金屬礦行業(yè)、能源行業(yè)、環(huán)保行業(yè)、房地產(chǎn)5個(gè)領(lǐng)域的5家單位作為試點(diǎn)，雖試點(diǎn)單位不多，但具備跨行業(yè)的代表性.通過試點(diǎn)應(yīng)用，獲得了較為完備的網(wǎng)絡(luò)安全水平評價(jià)數(shù)據(jù)，但僅涉及網(wǎng)絡(luò)安全管理能力和安全運(yùn)營能力2大部分的10項(xiàng)能力.如圖2和圖3所示：

圖2 網(wǎng)絡(luò)安全管理能力和網(wǎng)絡(luò)安全運(yùn)營能力得分情況

圖3 試點(diǎn)單位的得分情況

根據(jù)試點(diǎn)填報(bào)情況進(jìn)行分析總結(jié)，建筑試點(diǎn)得分69.98分，非金屬礦試點(diǎn)得分67.82分，能源試點(diǎn)得分64.87分，環(huán)保試點(diǎn)得分64.31分，房地產(chǎn)試點(diǎn)得分40.17分.同時(shí)分析多次攻防演習(xí)結(jié)論、滲透測試風(fēng)險(xiǎn)數(shù)量、資源投入現(xiàn)狀、現(xiàn)場檢查匯報(bào)等情況綜合判斷，得分情況基本能夠客觀反映其本單位的網(wǎng)絡(luò)安全能力實(shí)際水平.另外發(fā)現(xiàn)：

1) 各單位安全管理能力普遍偏高于安全運(yùn)營能力.說明在集團(tuán)企業(yè)當(dāng)前管理模式下，法律法規(guī)和管理要求的落實(shí)情況相對稍好.但安全運(yùn)營能力的下沉度仍有很大發(fā)展空間.

2) 各單位網(wǎng)絡(luò)安全能力發(fā)展不均衡嚴(yán)重.試點(diǎn)的房地產(chǎn)單位明顯在各個(gè)方面弱于其他單位，而各單位的能力建設(shè)也參差不齊，各有短板.因此集團(tuán)應(yīng)加強(qiáng)標(biāo)準(zhǔn)規(guī)范建設(shè)，強(qiáng)基增效.

3) 資源保障能力與安全運(yùn)營能力耦合性強(qiáng).人力物力財(cái)力資源投入的程度，很大程度決定了安全運(yùn)營能力的強(qiáng)度，房地產(chǎn)試點(diǎn)網(wǎng)絡(luò)安全水平較低，根本原因就是領(lǐng)導(dǎo)參與度不足，重視不夠，未投入相應(yīng)資源.因此建議各單位根據(jù)自身規(guī)模投入適度資源.

4) 各單位網(wǎng)絡(luò)安全能力不同，對評價(jià)指標(biāo)的理解程度不同.建議在施行網(wǎng)絡(luò)安全統(tǒng)一水平評價(jià)之前，精確每個(gè)指標(biāo)要求，明確每個(gè)程度的描述，并形成解讀文件，進(jìn)行培訓(xùn)和宣貫，并以現(xiàn)場抽查為支撐，保障各單位填報(bào)數(shù)據(jù)的準(zhǔn)確性.

5 總結(jié)及建議

網(wǎng)絡(luò)安全水平評價(jià)是整體網(wǎng)絡(luò)安全能力提升中的重要一環(huán)，是推動(dòng)各單位網(wǎng)絡(luò)安全能力提升的重要?jiǎng)恿?，也是各單位網(wǎng)絡(luò)連續(xù)穩(wěn)定運(yùn)行的必要保障.本文以綜合性集團(tuán)企業(yè)網(wǎng)絡(luò)安全管理為視角，以安全運(yùn)營為主體框架，以能力評價(jià)為核心，以提升整個(gè)集團(tuán)網(wǎng)絡(luò)安全能力為目的，構(gòu)建網(wǎng)絡(luò)安全水平統(tǒng)一評價(jià)指標(biāo)體系，并在5個(gè)行業(yè)的5個(gè)單位進(jìn)行試點(diǎn)應(yīng)用，在本集團(tuán)內(nèi)驗(yàn)證了評價(jià)指標(biāo)體系的合理性和可行性.

網(wǎng)絡(luò)安全行業(yè)，唯一不變的是變化本身，因此指標(biāo)體系仍需進(jìn)行動(dòng)態(tài)調(diào)整，尤其需要依托國家要求，滿足集團(tuán)實(shí)際需求、跟進(jìn)技術(shù)變革方向等.本文為綜合性集團(tuán)企業(yè)的網(wǎng)絡(luò)安全水平評價(jià)作了一次有益的嘗試，未來基于該體系，加入行業(yè)特征指標(biāo)，可發(fā)展出下屬各單位的專用體系，擴(kuò)大評價(jià)指標(biāo)體系的適用范圍.