铁路网络安全能力成熟度模型研究

王 慧，吴一卓

（1.中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081；2.中国铁道科学研究院 研究生部，北京 100081）

传统网络安全工程多采用“基于威胁”的思想，强调“监管合规”，以已知的特定威胁和基于该威胁的攻击场景为背景，进行针对性分析。但传统合规管理不能全面分析企业网络安全能力，尤其在发现或应对未知网络攻击、威胁方面存在管理手段滞后等问题。如何量化评价企业网络安全整体防护水平，合理分析企业在网络安全制度管理、关键技术应用等方面的不足，成为网络安全能力体系建设的关注点。

在数字化发展时期，网络安全能力成熟度模型作为一套可以量化企业网络安全体系建设和防护能力的工程化的模型，已被应用到网络安全体系建设中[1]。该模型可应用于量化评价网络安全工作在信息系统规划建设各个阶段环节的能力，发现差距与短板；也可通过能力评估，进一步指导网络安全体系建设，持续保障企业网络安全体系能够动态地适应大安全环境。

文献[2]中提出了数据安全能力的成熟度模型，数据安全能力成熟度模型（DSMM，Data security capability maturity model）涵盖3 个维度，包括安全能力维度、能力成熟度等级维度和数据安全过程维度，3 者形成三位一体的模型，针对数据全生命周期采用不同的能力评估方法，对组织数据安全能力进行评估。

文献[3]提出了自适应安全框架（ASA，Adaptive Security Architecture），该框架涵盖了防御、检测、响应、预测4 个维度，将网络安全看作一个循环的过程，通过对安全威胁的持续化地实时动态分析，不断优化自身的安全防御机制。在应对云计算、大数据、物联网、移动互联网、人工智能时代所面临的安全威胁方面效果显著。

文献[4]提出将零信任自适应安全技术引入轨道交通行业。利用端边云防护设备和ASA，通过对网络活动数据特征提取、模型训练等过程，构建信任评估模型，能够应对未知的网络威胁，有效解决云计算中面临的全新攻击。

文献[5]创建了适用于金融领域的网络安全风险分析模型，该模型借鉴国际主流网络安全架构，形成了时间、空间双维度，纵深、主动、自适应多视角防御顶层设计，以及统一管理、梯次部署的网络安全防御技术架构，以此指导中国银行的网络安全建设实践。

电力行业在面对新的威胁和攻击时采用ASA 来应对云大物移智时代所面临的安全形势，构建了网络安全防护体系，提升感知覆盖物联网感知层全环节网络安全态势的能力，实现了预警、防护、检测与响应的闭环[6]。

基于上述研究，本文结合铁路网络安全等级保护测评、商用密码应用安全性评估、关键信息基础设施网络安全风险评估、铁路网络安全风险治理和数据安全管理方面的经验，设计了基于数据安全能力成熟度模型和ASA 的网络安全能力成熟度模型，并提出了一套网络安全能力成熟度评价指标。旨在加强铁路行业的网络安全能力，有效、一致地评估和衡量网络安全能力，实现内部共享、相互借鉴、有效提高网络安全能力的目标。

1 网络安全能力成熟度模型架构

本文提出的网络安全能力成熟度模型架构由3个维度组成，分别为网络安全能力维度、能力成熟度等级维度和网络安全过程维度。成熟度模型架构如图1 所示。

图1 网络安全能力成熟度模型架构

1.1 网络安全能力维度

网络安全能力维度明确组织在网络安全领域应具备的能力，该维度通过对组织各网络安全过程应具备的能力进行量化，从而评估每项安全过程的实现能力，包括管理、技术和运营维护（简称：运维）等3 个方面[2]。

（1）管理从承担网络安全工作的组织应具备的组织管理能力角度，从组织架构的合理性、人员工作职责的明确性，以及组织运作、沟通协调的有效性等3 个方面进行能力等级区分[7]。

（2）技术从组织的网络安全工作技术的各个方面，包括网络安全技术能力、网络安全技术工具自动化，以及网络安全技术工具用于安全制度流程的效果等3 个方面进行能力等级区分。

（3）运维从对软硬件运行环境和业务系统进行综合管理的角度，从运维活动的周期性和及时性、管理办法实施的有效性，以及相关管理办法的制定、发布、修订的规范性等3 个方面进行能力等级区分。

1.2 能力成熟度等级维度

成熟度等级定义了国家铁路（简称：国铁）企业在网络安全能力的某个方面的进展程度，网络安全能力成熟度评估将根据国铁企业在各个方面上的具体表现确定国铁企业的网络安全能力成熟度等级及改进的方向。

将能力成熟度等级划分为4 个级别，具体包括：1 级基础防范、2 级体系化控制、3 级主动性防御、4 级进攻性防御。网络安全能力成熟度等级描述如表1所示。

表1 网络安全能力成熟度等级

1.3 网络安全过程维度

网络安全过程维度在自适应安全框架的基础上划分为5 个过程，包括防御、检测、响应、预测和通用安全；在5 个网络安全过程的基础上进一步将各个过程划分成若干个域，便于实际评定等级。

（1）防御过程是指采用一些技术手段来防御攻击。这个过程的主要目的是减少被攻击面，从而减少攻击方的进攻渠道，并在攻击产生影响前及时做出应对[8]。主要包括身份认证、访问控制、密码应用、数据安全、应用安全、计算环境、入侵防范、边界防护等。

（2）检测过程是对系统进行检查，防止部分攻击逃过防御过程从而对系统产生威胁，该过程的主要目的是发现出某些未知的攻击以及其他潜在的风险。主要包括密码测评、网络安全等级保护、漏洞扫描、病毒检测、渗透检测、风险评估等。

（3）响应过程是对正在面临的攻击进行调查，对攻击来源进行溯源分析，查明攻击者的IP 等信息，并且及时对系统进行修复和增强，并采用新的防御或检测手段来避免未来可能发生的事故。主要包括容灾备份、溯源反制、应急管理、攻防演练、修复改善等。

（4）预测过程是将防御、检测、响应这3 个过程结合来进一步提升系统，逐渐实现对未知的、新型的攻击进行预测，并对发现的攻击行为进行分级记录。将过程的结果反馈到防御、检测和响应过程，让网络安全过程成为一个闭环。主要包括安全监测、态势感知、情报威胁、安全审计等。

（5）通用安全过程包含了上述4 个过程之外的网络安全过程项，主要包括信创应用、信息通报、供应链安全、组织和人员管理、安全培训、合作方管理、监督检查、考核评价、资产管理和集中管控等。

2 网络安全能力成熟度评价指标

2.1 评价指标设计

网络安全能力成熟度模型定义了防御、检测、响应、预测和通用安全等5 个核心过程，细分为33个过程域（PA，Process Area）、4 个成熟度等级及396 项指标评定标准。

PA 集是实现同一安全过程的相关网络安全基本实践的集合。每个PA 有对应的编号，分别采用递增的数值01，02，···，表示，本文提出的PA 归类为网络安全过程域和通用安全域，PA 集共包含33 个PA，如图2 所示。

图2 PA 集

使用连续性表示法将过程域按类划分，可灵活 选择待改进的过程域；使用阶段式表示法将过程域按承受度等级划分，在每个成熟度等级上预定义了一组过程域。将每个PA 分为4 个等级，每个等级分别包括管理、技术、运维等3 个角度的指标。以防御过程为例，防御过程指标结构层次如图3 所示。

图3 防御过程指标结构层次

2.2 指标描述举例

以防御过程中的身份鉴别PA 为例，分别从管理、技术和运维这3 个网络安全能力指标的角度给出达到每一个等级的要求，详细说明该域的能力成熟度等级评定标准。每个PA 的侧重点各不相同，PA 的等级要求也循序渐进，可能会存在达到某一等级的要求不包括全部3 个角度的情况。

基于组织的网络安全需求和人员工作职责建立身份鉴别机制，防止可能存在的未授权访问风险。该过程项的网络安全能力等级描述如下。

（1）等级1：基础防范

管理：应由业务团队相关人员负责管理核心业务系统的用户身份及管理权限。应明确核心业务中身份鉴别的相关安全要求。

技术：应对用户进行身份鉴别，身份鉴别信息需定期更换。应具有登录失败处理功能，应采用登录连接超时自动退出等相关措施。

（2）等级2：体系化控制

管理：组织应设立统一的岗位和人员，负责对组织内身份鉴别相关事务进行管理。应制定组织的身份鉴别相关规章制度，明确对身份鉴别的相关要求；应按最少够用原则，为不同账户授予完成各自承担任务所需的最小权限，并且形成三权分立。

技术：应建立组织层面的身份鉴别管理系统，支持组织所有主要应用接入，实现对组织人员的统一身份鉴别。

运维：应定期对用户账号情况进行检查，及时删除或停用多余的、过期的账户和角色，避免共享账户和角色权限冲突的存在。

（3）等级3：主动性防御

管理：建立网络安全角色清单，明确网络安全角色的安全要求、分配策略、授权机制和权限范围。

技术：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现[9]。

（4）等级4：进攻性防御

技术：应建立人力资源管理与身份鉴别管理、权限管理的联动控制。应建立网络安全主动防御机制或措施，如基于用户行为或设备行为的安全控制机制。

2.3 等级评定标准

每个域的等级评定都是从管理、技术和运维这3 个网络安全能力进行评定，级别越高，代表网络安全能力越强。对于每个PA 的每个等级，需要同时满足本等级和所有低于该等级的等级描述，才能认为该PA 达到了本等级的能力水平[2]。在根据标准分别评定所有域的等级后，根据某一网络安全过程中所有域的结果来综合判定该网络安全过程的能力成熟度等级。

设达到n级的PA 的数量为Nn（1≤n≤4），该网络安全过程中PA 的总数量为N，计算网络安全过程n级能力符合度Ln的公式为

其中，Ln为某一网络安全过程达到n级的能力符合度，n取1，2，3，4。当n=1 时，该网络安全过程达到1 级的能力符合度为，根据其他行业相关管理经验，假设若某一等级的能力符合度大于等于60%，则认为能力成熟度基本达到该等级[10-11]。所以若L1＞60%，则认为该网络安全过程整体达到1 级，其他级别同理。在分别计算每一网络过程的能力成熟度等级后，用相同方法根据等级结果计算组织的整体网络安全能力成熟度等级。

表2 是一个企业的网络安全能力成熟度评分结果，以该表的防御过程为例，其1 级能力符合度L1=(0+8)/8=100%＞60%，2 级 能 力 符 合L2=(1+7)/8=100%＞60%，3 级能力符合度L3=(4+3)/8=87.5%＞60%，4 级能力符合度L4=(3+0)/8=37.5%＜60%，所以认为其防御过程的网络安全能力成熟度等级达到3 级。以此类推其余过程的等级如表2 所示，检测过程的网络安全能力成熟度等级为3 级，响应过程的网络安全能力成熟度等级为2 级，预测过程的网络安全能力成熟度等级为2 级，通用安全的网络安全能力成熟度等级为3 级。

表2 网络安全能力成熟度评分结果

用相同的方法对组织整体的网络安全能力符合度进行计算，1 级能力符合度L1=(0+5)/5=100%＞60%，2 级能力符合L2=(2+3)/5=100%＞60%，3 级能力符合度L3=(3+0)/5=60%=60%，4 级能力符合度L4=(0+0)/5=0%＜60%，所以最终计算出该企业的整体网络安全能力成熟度等级为3 级。

3 结束语

本文从网络安全管理、网络安全技术、网络安全运维这3 个维度，构建了铁路网络安全能力成熟度模型，提出了一套网络安全能力成熟度评价指标为评估各单位网络安全能力水平提供了参考依据，对铁路信息系统网络安全管理工作具有重要意义。未来还须与铁路网络安全现状相结合，对本文提出的网络安全能力成熟度模型的指标体系进行及时更新和调整，进一步促进安全管理、技术防护、安全运维相关工作的开展，提升铁路企业的网络安全能力。