综合性集团网络安全水平评价指标体系构建与实证研究

曹 龙 吉 梁 朱 彤

(中核核信信息技术(北京)有限公司 北京 100048)

(caolong@cnnc.com.cn)

当前国际形势正处于百年未有之大变局，网络安全事件频发，对于综合性集团企业而言，由于网络安全关乎集团生产安全、办公秩序和舆论影响等，因此至关重要.随着国家网络安全法、网络安全责任制要求的正式颁布实施，及网络安全等级保护制度等标准规范的全面执行，网络安全管理要求更加规范和细化.为深入贯彻落实国家网络安全法规制度及上级主管部门网络安全管理要求，集团企业应围绕网络安全责任制落实、网络安全管理体系、网络安全技术体系等方面进一步推进落实网络安全管理责任，为各项业务的快速发展提供有效的网络安全保障.

当前网络安全水平评价已有部分研究基础，但多是集中于单一行业如互联网产业安全评价指标体系[1]、电力信息安全水平评价指标体系[2]、石油石化系统信息安全态势评估指标体系[3]等，或是针对于单一系统角度如关键信息基础设施保护水平评价指标体系[4]、重要信息系统信息安全保障能力评价[5]等.但在实际情况中，部分大型集团往往横跨房地产、医疗、矿山、金融等多个业务领域，在涉及多个行业的前提下，尤其是网络不同(互联网、工控网、内网等)、业务不同，网络安全水平的统一评价成为了网络安全管理闭环中的实际难点和痛点.

集团企业以PDCA循环中的P(plan)，C(check)，A(act)落实网络安全运营管理[6].在P计划阶段，制定网络安全规划、明确目标系统、编制技术防护体系和管理体系等；在C检查阶段，进行网络安全各类检查、通报、考核评价；在A处理阶段，验证检查整改结果、总结失败教训、加固系统、培训人员等.可见考核评价是发现成员单位问题进行循环推进的重要一环，对后续能力提升方向提供实际指引，对闭环管理中的补齐短板意义重大.

1 跨行业网络安全水平评价的思路

当前网络安全水平评价大体分为2个思路：1)基于最佳实践的网络安全评价，如等级保护体系[7]是管理体系和技术体系的最佳实践，为网络和信息系统提供合规性的最佳实践要求；再如ISO27002[8](信息安全管理要求)为各类单位提供了可认证的网络安全管理体系最佳实践要求.但最佳实践难免陷入一个系统或一个层面的合规性问题角度，难以全面考虑网络安全实际面临的攻防对抗问题，无法在不同级别、不同行业适用同一套评价体系.2)基于能力的网络安全评价体系，在“三化六防”(实战化、体系化、常态化的新理念，动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控的新举措)[9]的新思想指导下，基于能力的评价模型的构建可以忽略系统、网络、行业的不同[5]，因此本文是以安全运营的环节为框架，以能力评价为核心，构建跨行业网络安全统一评价指标体系.

2 指标体系的构建

以上述思路为基础，在指标体系构成的同时结合国家法律法规标准要求[10-12]、上级主管部门要求[13]，同时结合集团企业实际工作需要，对整体网络安全数据进行采集备案，做到“底数清、基线明、方向准、流程定”.评价指标体系架构涵盖网络安全治理、网络安全管理、网络安全技术[14]等各方面内容，以能力评价维度进行统筹构建，为集团企业下属各单位的网络安全工作提供导向，为考核评价提供依据.

本文建立的指标体系共分3层：第1层为网络安全管理能力和网络安全运营能力，以及调查采集项目.第2层包括合规执行能力、组织领导能力、战略规划能力、资源保障能力、体系管理能力5个管理能力维度和防御保障能力、监测发现能力、应急处置能力、溯源取证能力[15]和专项工作落实5个安全运营能力.另外，为了掌握下属各单位基本工作情况等，设置了供应链安全情况、新技术应用与防护、基本工作情况3个采集项目.第3层为具体指标项目，共61项能力指标、96个采集项.具体如图1所示(第3层限于篇幅，不予赘述).

图1 跨行业网络安全水平评价指标体系分布图

2.1 网络安全管理能力

“七分管理，三分技术”已经是网络安全领域的一句至理名言，可见管理能力对于网络安全的重要性，从日常经验来看，增强网络安全意识、提高口令密码强度、定期打补丁升级即可避免大部分的攻击.本文对网络安全管理能力评价重点关注以下5个维度.

2.1.1 合规执行能力

在网络安全方面合规性要求纷繁复杂，本文主要考虑国家及上级主管部门要求的合规落实情况.评价指标包括：

1) 关键信息基础设施的保护情况，关键信息基础设施在网络安全法、密码法、网络安全审查办法中都有明确要求，如设置专门的管理机构、识别认定规则、每年1次安全检测、发布一系列制度规范和规程等.

2) 等级保护工作情况[16-17]，等级保护2.0制度已全面实施一段时间，在公安部门的大力推动下，定级备案测评工作开展情况，检查与核查情况都是合规的重要组成部分.

2.1.2 组织领导能力

对于网络安全法及网络安全责任制的落实，领导的重视和参与对整个单位的网络安全工作推进非常重要.评价指标包括：

1) 单位负责人对网络安全工作的参与方式、领导小组的设立情况及职责、领导班子会议中关于网络安全议题的次数都直接反映了领导层对网络安全工作的关注度.

2) 网络安全机构的设置情况、网络安全机构的职责，确保了领导的关注能够在何种程度上，落实到单位的实际管理过程中.

2.1.3 战略规划能力

“大国发展，规划先行”，网络安全工作的稳步推进，也需要先行详细规划，后续逐步落实，螺旋式上升.

1) 单位中长期规划的地位决定了后期执行的力度，近期的就是“十四五”网络安全规划的情况.

2) 年度网络安全工作计划和报告与中长期规划的符合程度，业务部门对于年度工作计划的参与.

2.1.4 资源保障能力

网络安全工作对于非网络安全主营业务的单位来说，主要目标就是确保系统的连续稳定运行，因此并不能直接产生经济效益，也是一项需要长期投入、可视化效果却不明显的工作.

1) 人力资源投入是网络安全投入中最重要的部分之一，包括网络安全专职人员数量、技术管理人员技能证书的获取情况、职业发展通道建设情况.

2) 资金投入必不可少，包括网络安全资金投入保障机制、网络安全预算的管理方式、占上一年度营收的百分比、实际投入占网络安全预算的比例、网络安全预算使用方向情况.

2.1.5 体系管理能力

健全的网络安全管理制度标准规范用于规范整个单位网络安全管理.包括：网络安全制度建设情况，如等级保护制度、机房制度、人力资源管理、事件管理、设备管理等；网络安全培训执行情况，制定计划，并按照计划落实执行；考核评价机制执行情况；网络安全检查与风险评估机制执行情况；应急管理工作的开展情况等.

2.2 网络安全运营能力

考虑网络安全实战化的思想，面对网络攻防，最大的目的就是在网络攻防中防得住、扛得住，因此网络安全运营能力的建设按照“预警—保护—检测—反应—恢复—反击”6个阶段进行考虑.

2.2.1 防御保障能力

国内以等级保护为基准的“一个中心，三重防护”的纵深防御思想成为主流，在防御中将越来越注重整体防御、主动防御.评价指标包括以下方面：

1) 物理环境防护情况，防止物理破坏，加强环境监控和管控；网络安全架构情况，网络防入侵、网络防恶意代码、分区分域、网络加密、准入控制等；计算环境策略情况，默认用户名口令配置、多余账户删除、非必要端口服务关闭、访问控制颗粒度等.

2) 终端防护方式，统一软硬件安装、病毒防护、安全审计、补丁升级等；数据管控情况，数据加密、数据防泄露、数据分级分类、数据输出审计等；电子邮件防护情况，数字证书等.

2.2.2 监测发现能力

在建立纵深防护体系之后，能够抵御大部分日常攻击，但高级威胁仍不可避免，另外监测发现能力的建设，是后续事件处置的前置条件，因此在部分重要时期，监测发现能力也是最应加强的网络安全能力.评价指标包括以下方面：

1) 态势感知和监测预警体系建设情况；网络和信息系统中主机、网络设备、业务系统、安全设备、终端等的运行监测覆盖情况等.

2) 应用系统上线前检测情况、年内定期安全检查内容情况、漏洞扫描的范围和周期、日志分析的情况和能力等.

2.2.3 应急处置能力

当监测环节发现异常之后，应急处置并恢复的速度、力度都将导致损失的差异.评价指标包括：

1) 单位应急预案建设范围和颗粒度情况；应急队伍建设情况；

2) 灾备建设情况；业务、系统、配置等数据的备份情况及恢复测试情况.

2.2.4 溯源取证能力

恢复系统运行或解决风险漏洞之后，针对问题的经过和根本原因进行溯源取证，总结经验教训是下一步改进重要的输入.评价指标包括：设备、应用等台账的管控情况；日志、情报等收集情况等.

2.2.5 专项工作落实

在网络安全管理过程中，集团企业推进一系列网络安全专项整治行动和任务.各单位对此类专项工作的落实情况也应作为考核评价的指标，以促进网络安全整体形势的管控和推进.这类指标不具有代表性，如物联网与工控系统的安全管理工作开展情况、承担集团企业网络安全试点工作的情况、在集团网络安全检查中被发现的高危风险问题情况等.

2.3 调查采集项

为集团企业及时掌控网络安全全局，设置调查采集项目，用于收集、汇总、统计、分析整个集团网络安全各类情况，为下一步工作规划提供依据和支撑.

2.3.1 自主可控情况

考虑供应链安全，评价指标涵盖自主可控工作的开展情况，门户网站、生产管理系统的IPv6改造进度情况等.

2.3.2 新技术应用与防护

新技术新应用层出不穷，科技变革影响着网络安全行业发展方向和进度，因此必须拥抱科技、接受改革.评价指标包括大数据分析类产品部署情况、数据挖掘情况、云技术使用情况、虚拟化技术使用情况、移动互联技术使用情况等.

2.3.3 基本工作情况

此项收集单位网络安全基本情况，评价指标包括网络安全专/兼职人员数量，网络安全预算金额，网络安全培训费用、人数、名目，电子邮件账户数量，网络和信息系统的数量、运维方式，密码算法使用情况，相关人员的联络方式等.

3 评价体系的构建

对于评价指标的量化方式，根据第1层网络安全管理能力、网络安全运营能力和调查采集项共分2类，前两者能力评价为单指标分别计分，其指标建立之后，每项指标均需建立指标要求、指标量化方式、指标权重3项属性.调查采集项依据指标完整度计分.

3.1 评价指标要求

针对每项指标，设置具体的网络安全工作的程度/水平或具体量值，可以简单理解为选项或所需填值范围.

例：Q50. 各类数据备份情况______(可多选).

A.业务数据备份；B.业务系统代码备份；C.操作系统备份；D.网络设备配置备份；E.未备份.

3.2 评价指标量化方式

在能力评价指标量化方式的选择中，本文指标的量化选择“绝对比率值法”“相对比率值法”“选项赋值法”3种方式.

1) 绝对比率值法

根据网络安全指标实际情况，依据指标评价要求进行比率或比值的计算，并将比率或比值进行百分制化，作为此项指标的量化值.赋值方法如式(1)所示：

(1)

其中PQ为第Q个指标的量化值(0～100)，n为第Q个指标的要素数量，Ri为第i个要素的比值，精确到小数点后3位.

例：网络和信息系统设备运行监测覆盖比率指标，适用此类量化方式.

2) 相对比率值法

根据网络安全指标实际情况，无法直接进行比值量化的类型，赋值方法如式(2)所示：

(2)

其中JQ为单位第Q个指标的填写参数，JQ(max)为此次水平评价所有参评单位中第Q个指标填写参数的极大值，JQ(min)为此次水平评价所有参评单位中第Q个指标填写参数的极小值.

例：网络专职人员占职工总数的比率这项指标，适用此量化方法.若采用“绝对比率值法”则需要所有在职员工均为网络安全专职人员，此指标才能满分，明显不合理.

3) 选项赋值法

根据评价指标要求和网络安全工作实际现状进行赋值.

例：Q3. 单位网络安全等级保护定级备案工作开展情况______.

A.尚未整体开展定级与备案；

B.有整体工作计划，正在推进当中；

C.有整体工作计划，50%以上的主要系统已定级备案；

D.有整体工作计划，80%以上的主要系统已定级备案；

E.已完成定级备案工作，第3级(含)以上网络系统本年度均已通过测评和整改.

量化规则：

A.0分；B.30分；C.60分；D.80分；E.100分.

3.3 评价指标权重

参考等级保护测评权重体系[18-20]，并在重点指标加大权重，因此每项评价指标根据重要程度分别设置了2，1，0.5，0.2这4种权重，表1为汇总形成的评价指标权重分配表(限于篇幅仅展示到第2层指标的权重分布).

表1 评价指标权重分配表

调查采集项信息不具备能力评价的属性，但为集团企业网络安全管理提供数据支撑，有其存在的必要性，故为鼓励填报，赋予权重3，采用完整度计分.本文调查采集项共96个采集项，采用绝对比率值法进行量化.

3.4 评价体系的计算

10项能力的评价计算，结合每项指标的要求进行实际评价，得出量化值(不适用的可直接舍弃)，结合每项指标的权重进行权重和的计算.最终网络安全水平指数，为当前单位网络安全工作水平的整体客观反映.

赋值方法如式(3)所示：

(3)

其中Lev为最终网络安全水平指数，WQ为第Q个指标的权重，PC为采集指标项的完整度，WC为采集指标项的权重，本文定义为3，m为10种能力指标的项数，本文定义为61.

4 试点情况

为验证指标体系和评价体系的合理性和可行性，我们在年度网络安全检查工作中进行了试点应用.疫情原因，选取了建筑行业、非金属矿行业、能源行业、环保行业、房地产5个领域的5家单位作为试点，虽试点单位不多，但具备跨行业的代表性.通过试点应用，获得了较为完备的网络安全水平评价数据，但仅涉及网络安全管理能力和安全运营能力2大部分的10项能力.如图2和图3所示：

图2 网络安全管理能力和网络安全运营能力得分情况

图3 试点单位的得分情况

根据试点填报情况进行分析总结，建筑试点得分69.98分，非金属矿试点得分67.82分，能源试点得分64.87分，环保试点得分64.31分，房地产试点得分40.17分.同时分析多次攻防演习结论、渗透测试风险数量、资源投入现状、现场检查汇报等情况综合判断，得分情况基本能够客观反映其本单位的网络安全能力实际水平.另外发现：

1) 各单位安全管理能力普遍偏高于安全运营能力.说明在集团企业当前管理模式下，法律法规和管理要求的落实情况相对稍好.但安全运营能力的下沉度仍有很大发展空间.

2) 各单位网络安全能力发展不均衡严重.试点的房地产单位明显在各个方面弱于其他单位，而各单位的能力建设也参差不齐，各有短板.因此集团应加强标准规范建设，强基增效.

3) 资源保障能力与安全运营能力耦合性强.人力物力财力资源投入的程度，很大程度决定了安全运营能力的强度，房地产试点网络安全水平较低，根本原因就是领导参与度不足，重视不够，未投入相应资源.因此建议各单位根据自身规模投入适度资源.

4) 各单位网络安全能力不同，对评价指标的理解程度不同.建议在施行网络安全统一水平评价之前，精确每个指标要求，明确每个程度的描述，并形成解读文件，进行培训和宣贯，并以现场抽查为支撑，保障各单位填报数据的准确性.

5 总结及建议

网络安全水平评价是整体网络安全能力提升中的重要一环，是推动各单位网络安全能力提升的重要动力，也是各单位网络连续稳定运行的必要保障.本文以综合性集团企业网络安全管理为视角，以安全运营为主体框架，以能力评价为核心，以提升整个集团网络安全能力为目的，构建网络安全水平统一评价指标体系，并在5个行业的5个单位进行试点应用，在本集团内验证了评价指标体系的合理性和可行性.

网络安全行业，唯一不变的是变化本身，因此指标体系仍需进行动态调整，尤其需要依托国家要求，满足集团实际需求、跟进技术变革方向等.本文为综合性集团企业的网络安全水平评价作了一次有益的尝试，未来基于该体系，加入行业特征指标，可发展出下属各单位的专用体系，扩大评价指标体系的适用范围.