校园网络安全管理成熟度评价体系的研究与构建

李常宝，桂轶杰

(1.山西警官职业学院，山西 太原　030006；2.复旦大学数学学院，上海　200433 )

科技与应用

校园网络安全管理成熟度评价体系的研究与构建

李常宝1，桂轶杰2

(1.山西警官职业学院，山西 太原030006；2.复旦大学数学学院，上海200433 )

摘要：鉴于高校校园网自身或多或少存在的建设或管理缺陷，加之黑客入侵增多及网络病毒泛滥，校园网安全形势不容乐观。所以，保证高校校园网络的安全、可靠与稳定就变得非常重要。项目管理成熟度用来衡量某个组织按照预定目标和条件成功地、可靠地实施项目的能力，即项目管理过程的成熟度。高校校园网络部门可以借助项目管理成熟度模型来检验自身的项目管理水平，发现并修正自身在项目管理过程中存在的缺陷，最终使高校校园网络安全管理水平持续提高。

关键词：校园网;成熟度;体系;构建;改进

项目管理成熟度用来衡量某个组织按照预定目标和条件成功、可靠地实施项目的能力，即项目管理过程的成熟度。高校校园网络部门可以借助项目管理成熟度模型来检验自身的项目管理水平，发现并修正自身在项目管理过程中存在的缺陷，最终使高校校园网络安全管理水平持续提高。

1 高校校园网络安全管理影响因素

根据自身实际工作经历并查阅相关文献资料，认为影响高校校园网络安全管理工作的因素包括以下几个方面：

(1)网络硬件安全管理能力

主要包括高校校园网络中所有网络相关硬件、计算机相关硬件的质量是否有保证，配置是否合理以及防水、防雷和防盗等安全措施是否得当。

(2)网络安全管理措施

主要包括高校校园网络中所有与网络管理相关的组织机构、规章制度与人员配置是否合理；网络安全防范、病毒入侵以及黑客入侵应急防范技术是否做到位。

(3)通信安全管理

主要包括高校校园使用网络进行通信的过程中，数据加密技术、数字签名技术是否具备。网络用户权限划分机制是否合理。

(4)操作系统安全管理

主要包括高校校园网络中的计算机的操作系统正版化比例是多少。操作系统定期维护机制是否健全，操作系统漏洞的掌握情况以及网络中数据库的安全机制，冗余备份机制是否健全。

(5)备份措施

主要包括系统操作日志的建立、记录与备份制度，网络服务器的备份机制。

2 高校校园网络安全管理成熟度的五个梯度与五个层面

(1)混乱级

混乱级是高校校园网络安全管理的最低级别，处于混乱级成熟度水平的高校校园网络部门不能有效的识别网络安全危险源，也不能采取针对性的措施对网络安全危险源进行防范管理，不能采取事前控制方式对网络安全风险进行提前防范，所采取的手段和方法也多是经验式和临时式的。

(2)初始级

处于初始级成熟度水平的高校校园网络部门已经较为重视校园网络安全管理工作的重要性，并采取了部分措施保障高校校园网络安全管理工作的顺利执行。处于该梯级的高校校园计算机网络设备已经具备初步的安全管理维护能力，可以基本解决高校校园计算机网络设备故障，并制定了简单的计算机设备网络安全管理维护措施。

(3)规范级

处于该梯级的高校校园网络部门已经具备了较成熟的计算机网络实体安全管理能力，能够对计算机和网络通信设备进行较完善的维护管理，并建立了较完善的校园网络安全管理环境。

(4)优化级

处于优化级梯级的高校校园网络部门已经具备了十分完善的网络安全管理体系，该阶段的网络安全管理工作已经集成化。该阶段的校园网络设备配置已经十分合理，且设备质量相当有保障，具备了电源干扰和损坏等安全隐患和安全故障能力；

(5)持续改进级

处于持续改进级成熟度水平是高校校园网络管理工作的最高水平标准，该水平的高校校园网络管理部门有能力对校园网络管理工作进行自我优化和改进创新。

3 确定高校校园网络安全管理成熟度评价指标

3.1 评价指标选取原则

评价指标的选取应遵循以下几个指导原则：

(1)科学性原则

高校校园网络安全管理成熟度评价指标体系要以事实为依据，以科学理论为指导，不能凭空捏造。

(2)完备性原则

高校校园网络安全管理成熟度评价指标体系是完整的体系。旨在全面综合反映高校校园网络的管理水平，找出高校校园网络的问题所在。

(3)独立性原则

高校校园网络安全管理成熟度评价指标体系中的指标会尽量保持独立，避免彼此之间相互关联。

(4)可比性原则

高校校园网络安全管理成熟度评价指标体系中尽量保证指标可比性要强，不仅要反映管理水平，还要反映技术能力。尽量量化可比。

(5)可操作性原则

失去可操作性，高校校园网络安全管理成熟度评价指标体系就没有任何意义。可操作性越强，则评估人员越好下手。它会直接影响校园网络评估工作的成败。

(6)稳定性原则

建立高校校园网络安全管理成熟度评价指标体系时，指标的选取会尽量选择相对稳定的指标，起伏大的指标不会考虑。

3.2 评价指标的确定

4 高校校园网络安全管理成熟度评价体系的构建

表1　高校校园网络安全管理成熟度评价指标

依据上述指标，现构建图1所示的评价体系。评价体系共分为三层，目标层U为高校校园网络安全管理成熟度；目标层A为评价体系的控制层，分别为网硬件安全管理能力、网络安全管理措施、通信安全管理、操作系统安全管理和备份措施等五个指标；目标层B为实施层，包含网络设备安全管理维护能等21个指标。

5 高校校园网络安全管理成熟度评价体系的构建

根据以上建立的高校校园网络安全管理成熟度评价体系，本部分确定评价指标权重的计算方法，并选择合理的数学方法计算高校校园网络安全管理成熟度。

5.1 评价主体选择与确定

评价主体的整体水平往往影响评价结果，甚至直接关系到评价方案的成败与否。

图2为不同评价主体评价对某项评价指标的评价结果，专家A认为该项指标可能引起较大的风险，而专家B则认为该项指标基本上对评价对象没有影响，风险很小，专家C则持有相对中立观点。

图1　高校校园网络安全管理成熟度评价体系

图2　不同专家对同一因素的评价结果

上述分析中可以看出，不同专家在完全相同环境下对同一因素的评价结果可能完全相反,为此应科学合理的选择并确定评价专家，以保证评价过程的合理性和评价结果的精确性。在选择评价主体时应该注意以下几个方面：

(1)评价主体的构成

基于评价对象的专业性和特殊性，评价主体应该为熟悉高校校园网络领域的专家或工作人员，以保证评价结果的科学性和合理性。同时，为了防止评价主体对评价结果的干扰，评价人员并不能全部由熟悉网络安全工作的内部部门人员组成，可以由网络部门外部人员通过考察或查阅资料等方式进行评价。评价主体应该由多名专家共同组成，以防止出现图2所示的评价误差。

(2)评价专家应的具备条件

评价专家是高校校园网络安全管理工作的重要决策人，在高校校园网络安全管理成熟度评价中药综合考察各方面信息，评价专家必须要十分了解校园网络相关知识，可以客观的评价各种指标，最好具备从事过类似评价工作经验。此外，评价专家应该了解和熟悉成熟度评价相关理论。

(3)资料收集及整理

为确保评价结果的精确性，必须为评价专家提供详细的资料信息。所提供的相关信息应该有网络部门人员专门收集整理完成，并确保相关信息的客观性和准确性，以保证评价方案真实、有效。

5.2 评价指标权重的确定

评价指标权重计算通常采用层次分析法、熵值法、经验法、直接设置法等，其中层次分析法和熵值法为经常使用的权重设置方法。层次分析法擅于处理多目标且不易量化的评价指标，缺点在于受到评价人员主观影响很大，评价结果常常失真；熵值法计算出的权重值则客观性很强，正好弥补了层次分析法的不足。

(1)层次分析法

层次分析法的计算步骤如下：

① 建立层次结构模型

深入分析构成系统的各要素，并将各要素进行分层处理，建立层次结构模型。层次结构模型的最上层为目标层，即评价结果因素，通常为唯一目标。最底层为对象层，中间目标层可以分为几个层次。通常，下层目标因素对上层目标因素具有从属影响，上层目标因素则支配下层目标因素。

② 构造判断矩阵

接下来，构造矩阵，直到最底层因素判断矩阵为止。标准见表2所示。

表2　重要性标度含义表

③ 计算权向量进行一致性检验

一致性指标CI计算公式为：

(5-1)

当CR<0.10时，既满足一致性检验，反之，则应该重新构造判断比较矩阵。

④ 组合权向量即一致性检验

首先计算最底层因素对次底层目标的权向量及一致性检验，满足一致性检验情况下在按照上述方法计算倒数第二层因素对倒数第三层目标的权向量及一致性检验，以此类推，最终达到目标层为止。

(2)熵值法

熵值法的计算步骤为：

① 假设n个主体和m个评价指标，其中为第i个主体对应的第j个指标。

② 将各指标进行标准化处理，使之同质化：

正向指标:

(5-2)

负向指标:

(5-3)

③ 计算第项指标下第个主体占该指标的比重：

(5-4)

④ 计算第项指标的熵值。

(5-5)

⑤ 计算指标j的权值：

(5-6)

(3)综合权重

层次分析法善于处理大量难以量化的数据，适合高校校园网络安全管理成熟度评价指标体系，但由于采用专家打分办法增加了评价结果的主观性。为此，需要采取一定办法对层次分析法计算得出的权重进行修正。而熵值法具有客观性很强的优点，正好可以补充层次分析法缺点，即：

w综合权重w层次×α+w熵值×(1-α)

(5-7)

其中：α为层次分析法计算权重的权重；1-α为熵值法计算权重的权重。该权重值可以采用经验法由专家直接确定。

5.3 模糊综合评判法计算成熟度

模糊综合评判法的基本步骤为：

(1)确认模糊综合评价因素组成的集合U

其中：U={u1,u2,…,un}

(5-8)

U为拟评价项目待评价的评价因素，Ui为影响评价对象的各个评价因素。

(2)确定评价因素的评语集V：

其中：V ={v1,v2,…,vm}

(5-9)

对于评语集中评语等级数一般不能取值过大，以防影响评价结果的判定，对于评价等级通常可以选择m=5，如论文中评语集V={很小，较小，一般，较大，很大}。

(3)确定权重A

模糊综合评判的一项重要工作就是合理的确定判断权重，该权重值直接影响风险评价结果。权重的确定主要取决于评判专家的主观认识以及评判因素的客观影响程度。其中

A={ a1, a2,…, an}

(5-10)

(4)进行单因素评价，建立模糊关系矩阵

得到一个实际上表示U和V之间模糊关系的模糊矩阵R[42]：

(5-11)

矩阵中的行向量表示某个因素对各等级评语的隶属度。

(5)模糊综合评价

得到模糊评价综合效果B：

(5-12)

其中bj表示评价对象从整体上对评语集的隶属度，

可得到隶属度矩阵R：

(5-13)

(6)评价结果向量的分析

对综合评判结果B=( b1, b2,…bm)进行归一化处理，

k=1,2,…,m

(5-14)

参考文献：

[1]许福永,申健,李剑英.网络安全综合评价方法的研究及应用[J]. 计算机工程与设计，2006(08) ：99-100.

[2] 余明辉,郭锡泉.网络安全综合评价的AHP可拓分析方法[J]. 电信科学，2010(12)：135-136.

[3] 李健宏,李广振.网络安全综合评价方法的应用研究[J]. 计算机仿真，2011(7)：147-148.

[4] 何文炯．风险管理[M]．北京：中国财政经济出版社, 2005.

[5] 刘钧．风险管理概论[M]．上海：中国金融出版社，2005．

[6] 王卓甫．工程项目风险管理——理论、方法与应用[M].北京：中国水利水电出版社, 2003．

[7] 徐业强,姚远,刘继武,徐灵风. 基于项目管理成熟度(OPM3)模型的电力施工项目管理研究[J]. 科协论坛(下半月),2011(4).57-58.

[8] 罗志恒. 基于AHP和前景理论的知识型项目管理成熟度模型选择研究[J]. 中国工程咨询,2011(3).52-54.

(责任编辑：孙强)

Research and Construction of the Evaluation System of the Maturity of Campus Network Security Management

LI Changbao1,GUI Yijie2

(1. Shanxi Jingguan Zhiye Xueyuan, Taiyuan, Shanxi 030006, China; 2. Fudan University, Shanghai 200433,China )

Abstract：The prevalence of management tendency makes the campus network security situation not optimistic, especially with the increase of hackers' invasion and the overflow of network virus. It can be the case that the campus network security issues are very severe. How, in the open network environment of campus network, to guarantee the normal and efficient operation in all colleges and universities has become an unavoidable important problem. Project management maturity model is used to measure an organization 's ability to achieve project goal, the project management process is becoming mature. Project management maturity is the evaluation of the level of the enterprise project management improvement framework. Based on the project management maturity model, the level of the enterprise project management is divided into the corresponding level, thus forming an orderly management platform. Campus network department can use the project management maturity model to test its own project management level, realize their own project management shortcomings, so as to improve the project management to provide foundation and basis, eventually making campus network security management level rise continuously.

Key words：campus network; maturity; system; construction; improvement

收稿日期：2016-04-15

作者简介：李常宝(1982-)，男，重庆人,信息工程系助讲，国家软件工程师，锐捷网络工程师，三级心理咨询师。

中图分类号：F224.33

文献标识码：A

文章编号：1671-4385(2016)03-0102-05