高校网络安全综合评价体系研究

吴 言，高卫国

（淮阴师范学院 计算机科学与技术学院，江苏 淮安 223300）

党的十八大以来，习近平从首次提出“没有网络安全就没有国家安全”，到突出强调“树立正确的网络安全观”，再到明确要求“全面贯彻落实总体国家安全观”，国家网络安全各个领域的保障能力在不断提升，网络安全屏障得到了进一步巩固［1］。高等院校要科学研判国际国内形势，顺势而为，向着“网络基础设施普及、信息化建设全面推进、安全保障措施建立健全”的总体目标不断迈进。高校网络安全工作具有很强的系统性，其内容主要是指网络系统的软、硬件及数据能够受到保护，系统正常运行，就其本质而言网络安全就是网络上的信息安全。这就要求，高校网络安全工作的内容落地越精准越好，而建立科学评价体系会让高校网络安全工作更有尺度、更有标准，同时也是提升工作有效性非常重要的环节。

1 构建高校网络安全工作综合评价体系的可行性

1.1 高校网络安全存在的隐患

当前，高校网站被黑、被攻击的情况屡屡出现，计算机感染不明病毒、师生身份信息泄露、暴力黄色信息入侵等网络安全事件频频发生，校园网络安全事件监测预警平台和应急响应机制需要进一步完善。部分高校信息安全管理制度尚未健全，管理机构权责模糊、软件系统互不相容、整体数据杂乱无序等。有的高校存在因“网络技术和信息系统落后导致网络信息管理、网络犯罪等系列的网络信息安全问题”［2］，具体表现在：来自硬件系统的安全威胁，指的是高校由于网络硬件设备的安置和防潮防尘等处理不当，校园服务器、交换机、路由器等设施，光纤光缆、插口端口等传输设备容易受损或被人为破坏，造成校园网络无法正常运行；来自互联网的安全威胁，随着信息技术的快速发展，互联网上纷繁复杂的信息阅读、浏览、下载会耗费大量的校园网流量，造成网络崩溃、网速迟滞等问题；校园网络系统或软件存在漏洞，由于高校校园网与互联网相连，且当前高校普遍使用的操作系统和应用软件大都存在安全漏洞，师生在校园网络使用过程中下载的盗版软件中大多隐藏木马、病毒、后门等恶意代码，易发生网络安全事故。另外，网络安全隐患还存在着高校管理者思想不够重视、措施不够到位、责任不够明确、隐患修复不够及时、专职网络安全人员数量不足等情况。同时，《中华人民共和国网络安全法》明确规定要对“信息安全基础设施”和“师生身份信息数据”进行保护，大多数高校对此缺少有效的识别标准和相关保护制度，实质性推进力度不够。

1.2 模糊综合评判用于高校网络安全考核的可行性

“信息技术的发展使得网络安全环境日趋复杂，大数据技术特别是云技术的进步使得物理安全边界逐渐模糊”［3］。网络安全是一个相对模糊的概念，什么样的网络才是安全的，安全到什么程度算是安全？“由于客观事物具有的复杂性和不确定性、人类思维的模糊性以及想法表述的差异性，人们往往不能明确给出属性的权重信息”［4］。在具体评价高校网络运行的安全程度时，“安全”与“不安全”之间的界限是什么，这一问题若不明朗，容易形成同一种状态下两种不同评价结果的状况。从“安全”“不安全”，甚至“很安全”“很不安全”，在界定上具有很大的模糊性。科学评价高校网络系统的安全性，考核单位要综合多种因素，如与之相关的制度建设、条件保障、安全措施、队伍建设及涉密管理等，这些因素决定和制约着高校网络的安全程度。其中偶然性和随机性的排查，各因素之间相互作用的权重，各项指标影响因子的判定，各个区域重要程度的甄别等，凭空难以描述准确，具有相对的模糊性，从而导致常规方法评价高校网络安全工作存在相当大的难度。

模糊综合评判法能有效解决高校网络安全工作考核中所遇到的上述问题，可根据隶属度理论对各种影响校园网络安全的因素由定性评价转变为定量评价，即用模糊数学理论对受到多种因素制约的高校网络安全工作做出一个相对科学的评价。模糊综合评判法具有评价结果精确、评价过程严密的特点，能有效解决网络安全工作影响因素中模糊、不确定性、量化难的问题。考虑到各种不同因素对于高校网络安全的影响程度，模糊综合评判法还可以通过层次分析法来确定不同因素的权重，使得网络安全评价在考核时更加科学合理。利用模糊综合评判方法构建评价体系，建立数学模型对高校网络安全工作进行考核，使得定量与定性相结合，对相对模糊的网络安全工作加以精确地考核，为高校网络安全工作有效性的提升提供了科学借鉴。

2 高校网络安全工作综合评价体系构建

2.1 考核评价指标体系设计原则

设计科学的、有指导意义的高校网络安全工作考核综合评判体系，首先要确定考核指标设定的原则，在这些原则的指导下构建考核评价指标体系，对提高高校网络安全等级具有十分重要的意义。高校网络安全工作综合评价体系构建应遵循如下原则：

2.1.1 科学性原则

高校网络安全评价指标体系的设计与构建，要符合逻辑，所选取的因素层要科学合理且适中，尽可能地反映高校工作实际。坚持科学性原则，就是要在评价指标体系中体现国家相关网络安全的目标期望和现实要求，从而不断推进高校网络安全建设。

2.1.2 系统性原则

针对高校网络安全工作的系统性，对其综合评价应是一种多维度的综合评价。因此，评价指标选取时应注重顶层设计，从大处着眼，小处着手，所设计的综合评价体系能够系统全面地揭示高校网络安全工作的全貌，防止以偏概全。

2.1.3 可操作性原则

对高校网络安全工作评估是单项评估，体现评价指标的数据、资料、档案与设备的呈阅方便易行，评价程序与工作过程尽量简化。整个评估方案、评估过程具有可操作性，方便实用，既可用于自评，也可用于他评。

2.2 构建考核指标体系

《中华人民共和国网络安全法》以法律的形式规定了促进网络安全、维护国家网络主权、保障社会公共利益、促进信息化健康发展等内容，《中华人民共和国数据安全法》制定了数据处理、数据安全、数据开发等安全举措，这些法律法规的实施为高校网络安全工作评价体系构建提供了理论依据，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国保守国家秘密法》等有关文件规定，参考相关资料，构建了高校网络安全工作考核体系的一级指标和二级指标，见表1。

表1 高校网络安全工作综合评价考核指标体系

3 高校网络安全工作考核综合评价模型

3.1 确立高校网络与信息安全工作考核的因素论域U

设定高校网络安全工作有效性考核一级指标因素集合为：

根据指标体系则二级指标模糊集合为：

3.2 设定高校网络安全工作有效性综合评价的等级论域Y

先要确定考核等级论域，通过模糊综合评价得到一个模糊评价向量，体现网络安全综合评价的模糊性。设高校网络安全工作有效性考核的等级论域为Y［5］，则：

3.3 采用层次分析法确定有效性考核指标的权重A

权重，指的是表示各指标在综合评价体系中的重要程度，在高校网络安全工作考核指标体系中由于各因素的地位不等，其权重构建是一个非常重要的问题。采用模糊层次分析法对权重进行确定［6］，假设高校网络安全工作有效性考核的人员有k 位，每一位考核者把n 个因素u1,u2,…,un按重要性程度由大到小排列为：

从而可模拟确定模糊集U1、U2、U3、U4、U5的各因素权重分配为：

3.4 构建模糊综合评价隶属矩阵R

高校网络安全工作评价指标体系指标层和考核等级之间的关系，就是从U1（i=1,2,3,4,5）到X的模糊关系，可用如下模糊评价矩阵描述：

矩阵R 中的元素rij（i=1,2,3,4,5；j=1,2,3,4,5）表示的是对应于考核指标体系中指标因素Ui能被评为rj（j=1,2,3,4,5）的隶属程度［7］。

3.5 指标因素层模糊矩阵

汇总所有考核专家的评价结果构建模糊评价矩阵，对被评价高校的二级指标因素层Uij的模糊评价矩阵Ri作运算后，得到一级指标因素层Ui对高校网络安全工作有效性综合评价等级论域X 的隶属向量B：又知U 的权重分配为W ，则可得U 的所有考核指标体系因素的综合评价结果：

3.6 综合评价结果

设定综合评价等级的评分矩阵为C=（95 85 75 65 45），综合评价结果：

根据综合评价结果，即可确定该高校网络安全工作的等级。

4 实证分析

用上述指标体系和模型对某高校网络安全工作进行综合评判，假设参加考评的专家共有5 人，他们对应指标逐项评价。作为例子，在表2列出了指标层U1的评分结果，见表2。

表2 指标层U1 的评分结果

相应的模糊关系矩阵分别为：

可得出U1的评价结果为：

同理，再对U2，U3，U4，U5进行评价并计算可得出：

由此可得总的模糊评价矩阵为：

所以，该高校网络安全工作总的评价结果为：

则，可得该高校网络安全工作的考评成绩为：

模拟考评结果说明，该高校网络安全工作的综合评判成绩属于“良”等级。

5 讨论

作为国家网络安全和意识形态争夺的重要阵地，高校要牢固树立正确的网络安全观，多措并举筑牢网络安全屏障。因此，对高校网络安全工作进行综合评价是推进网络强校、提升网络安全保障能力的现实需求。基于模糊综合评判法和层次分析法构建综合评价体系，通过模糊数学中的隶属度概念，使高校网络安全工作考核结果更为精准，较好地解决了网络安全工作领域的模糊、难以量化、不确定性的问题。利用模糊综合评判模型对高校网络安全进行综合评价，能够提供更加全面、细致、具体的信息，通过模型将定性与定量相结合，以量见质，从而科学地对高校网络安全工作这一较为模糊的概念给予了较为精确地诠释，这将为高校网络安全工作有效性提升提供科学依据。