交通运输网络安全绩效体系及综合评价法研究

郑茂林　夏小红　王晓荣

摘要：开展网络安全绩效评估对提高网络安全规划、建设、管理工作具有重要的指导意义。该文从管理和技术两个层面建立三级评价指标，构建交通运输行业网络安全绩效评价体系。结合当前网络安全绩效评估实际提出指标改进的思路、绩效评价步骤和综合评价方法。

关键词：网络安全；绩效评价；指标体系；综合评价法

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2023）01-0095-03

1 引言

近年，全球网络安全事件频发，威胁日益突出，风险不断向政治、经济、社会等各领域传导渗透。交通运输是国民经济中基础性、先导性、战略性产业，各级交通运输行业管理部门在日益严峻的网络安全形势下，开展网络安全绩效评价是如何有效应对网络安全威胁、提高行业网络安全管理水平的新课题。

2 开展网络安全绩效评估的意义

按照《网络安全法》和国家网络安全政策，近年来通过全方位的管理和技术措施，有效防范网络安全威胁，有力处置网络安全事件，严厉打击危害网络安全的违法犯罪活动，切实保障了国家网络安全。开展网络安全绩效评估提高了网络安全管理的决策水平，使决策过程更加规范化、程序化和科学化，对于指导如何有效开展网络安全规划、建设、管理工作具有重要的指导意义。

3 网络安全绩效评估简介

ISO/IEC27000、NIST、COBIT等国际标准化组织都提出了网络安全绩效评价的概念。如ISO/IEC27000提出了网络安全风险评估和风险处理的原则、流程和要求，并从安全方针、信息安全管理机构、资产管理、人力资源管理、物理和环境安全、通信和操作管理、访问控制、系统开发维护、安全事件管理、业务联系性管理、法规符合性管理等方面进行风险控制和评估。我国发布了有关网络安全评价标准，如信息系统安全保障评估框架、信息安全风险评估实施指南、信息安全风险评估规范、信息安全管理评估要求等国家标准。

在网络安全绩效评价的理论探讨方面，目前主要有以下两种方式：一是主观评价法，如主要依据专家评价判断为基础的多级模糊综合评价模型[1]、熵权模糊综合评价模型[2]等。二是客观评价法，如有人提出基于数据样本为基础的神经网络综合评价模型[3]。这两种方法因为对参与评价的人员要求高，数据样本难以获得等原因，在网络安全管理工作中缺乏可操作性和可实践基础。

4 交通运输行业网络安全绩效评估现状

交通运输行业高度重视网络安全考核评价工作，交通运输部于2019年发布了网络安全工作考核评价试行规则，规范和指导行业开展网络安全考核评价和监督检查工作。该规则重点评价网络安全管理工作，共18个等权重的管理类指标，其中6个基本关键指标设置为扣分项。满分为100分，通过逐项打分、汇总得分的方式进行考核评价。结果划分为优良、良好、合格、不合格四个等级。

在实际工作中，该评价方法对评价人的专业水平要求不高，具有易理解、可操作和相对合理的优点。其评价结果在一定程度上客观地反映了组织机构网络安全管理水平，但是仍然存在如下不足：一是只对网络安全管理工作进行了评价，没有将技术层面纳入评价范围。二是在结合交通运输行业特点上显得不足。

5 交通运输行业网络安全绩效评估价指标体系构建

交通运输行业网络安全绩效评价是通过建立合理的评价指标体系，运用科学可行的评价模型和方法，从管理和技术两个层面对组织机构或部门在某一时段内的网络安全管理绩效做出客观、准确的判断过程。重点考虑网络安全的合法合规性，突出评价指标的交通运输行业特点，同时要兼顾评价指标的易理解性、可操作性。交通运输行业网络安全绩效评价建立三级指标体系，一级指标包含管理和技术两大类。

管理类指标主要以国家法律法规，部省网络安全管理制度规范为依据选取，由12个二级评价指标和46个三级指标组成。技术类指标主要参照等级保护2.0标准为依据，由安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全扩展要求（以云计算为例）6个二级评价指标和27个三级指标组成。详细指标体系见表1。

6 交通运输网络安全绩效评价指标改进思路

以交通运输部2019年发布的网络安全工作考核评价试行规则考核指标为基础，全部保留18个考核指标，针对交通运输行业网络安全绩效考核工作存在的不足，主要从三方面进行改进。

6.1 适当增加网络安全绩效考核“一票否决”项

对于在网络安全工作中发生了特别严重的网络安全事件，并且对交通运输行业带来特别严重损害的情形，应该设置网络安全绩效考核一票否决项。只要发生了《交通运输部网安全事件应急预案》中Ⅰ级（特别重大）网络安全事件的情形，则考核结果为不及格（得分＜60分）。

6.2 结合交通运输行业特点增加网络安全绩效考核评估项

对于涉及交通运输行业关键信息基础设施和重要业务信息系统建管和运维的组织机构，则应增加“关键信息基础设施、重要信息系统网络安全管理”績效评价指标，主要从6个方面进行评价：1） 等保2.0落实情况；2） 运维管理“三员”分立落实情况；3） 系统灾备情况；4） 应急预案演练情况；5） 风险评估和隐患整改情况；6） 网络安全专项设计方案评审、实施验收情况。

除上述指标外，根据各地区、各领域交通运输工作的实际和各时期网络安全管理的重点，还可补充选取管理类部分三级动态评价指标作为辅助评价指标。

6.3 适量增加技术类网络安全绩效评价指标

要对技术类网络安全绩效评价指标开展科学、全面的评价，一是要求有专业的网络安全检测工具、专业的网络安全技术人员；二是需要消耗较高的时间和经济成本。从可操作性为出发点选取技术类网络安全绩效评价指标作为补充、辅助评价指标。

7 绩效评价指标权重和赋值的确定方法

指标权重是評价指标重要性的百分比，反映该指标对评价对象的重要性程度。目前，指标权重的确定方法分两类：一类主观权重确定法，如：专家调查法（德尔菲法）、层次分析法等；另一类是客观权重确定法，如标准离差法、灰色关联法、熵权法等。

目前，由于缺少交通运输行业网络安全绩效评价有关定量分析数据，对于指标权重、指标的赋值，只能依靠专家和管理者的专业知识和经验为依据来确定。一级评价指标的权重采用专家调查法确定，还可进行简化处理，如管理类、技术类权重取值为{（0.9，0.1）;（0.8，0.2）; （0.7，0.3）;（0.6，0.4）;（0.5，0.5）}。二级评价指标参照交通运输部2019年发布的网络安全工作考核评价试行规则，全部采取等权重指标。三级评价指标的得分值根据经验采取主观赋值法进行。

8 交通运输行业网络安全绩效评价

8.1 绩效评价步骤

采用综合评价法进行绩效评价，评价步骤如图1所示。

8.2 综合评价计算法

采取综合评价法进行交通运输行业网络安全绩效评价，具体算法如下：

8.3 评价数据归一化处理和评价考核等级结论

在对不同组织机构进行评价时，由于可评价项目各不同，因此各组织机构的满分也不相同。为了使评价数据具有可比性，可采取对评价数据进行归一化处理，先使其指标值落在[0，1]区间内，然后乘以100得到归一化处理之后的总得分。具体处理方法如下：

归一化处理绩效评价得分总计W的计算公式3为：

将网络安全绩效按照评价分值划分为4个等级：优良、良好、合格和不合格，构成评价集V={A，B，C，D}，绩效各级别按综合分值评判，其评判标准见表2。

9 结束语

网络安全绩效评估结果分为定量、定性两种。定量结果是一个满分制的分数，可以用于排名；定性结果为优良、良好、合格和不合格四个等级。评价结果可以作为网络安全工作考核的重要依据。

参考文献：

[1] 黄丽民，王华.网络安全多级模糊综合评价方法[J].辽宁工程技术大学学报，2004，23（4）：510-513.

[2] 庄锁法，陈兴梅.基于熵的高校网络安全模糊综合评价方法研究[J].信息技术，2010，34（10）：11-14.

[3] 楼文高，姜丽，孟祥辉.计算机网络安全综合评价的神经网络模型[J].计算机工程与应用，2007，43（32）：128-131.

【通联编辑：代影】