李常寶，桂軼杰

(1.山西警官職業(yè)學院，山西 太原　030006；2.復旦大學數學學院，上?！?00433 )

科技與應用

校園網絡安全管理成熟度評價體系的研究與構建

李常寶1，桂軼杰2

(1.山西警官職業(yè)學院，山西 太原030006；2.復旦大學數學學院，上海200433 )

摘要：鑒于高校校園網自身或多或少存在的建設或管理缺陷，加之黑客入侵增多及網絡病毒泛濫，校園網安全形勢不容樂觀。所以，保證高校校園網絡的安全、可靠與穩(wěn)定就變得非常重要。項目管理成熟度用來衡量某個組織按照預定目標和條件成功地、可靠地實施項目的能力，即項目管理過程的成熟度。高校校園網絡部門可以借助項目管理成熟度模型來檢驗自身的項目管理水平，發(fā)現并修正自身在項目管理過程中存在的缺陷，最終使高校校園網絡安全管理水平持續(xù)提高。

關鍵詞：校園網;成熟度;體系;構建;改進

項目管理成熟度用來衡量某個組織按照預定目標和條件成功、可靠地實施項目的能力，即項目管理過程的成熟度。高校校園網絡部門可以借助項目管理成熟度模型來檢驗自身的項目管理水平，發(fā)現并修正自身在項目管理過程中存在的缺陷，最終使高校校園網絡安全管理水平持續(xù)提高。

1 高校校園網絡安全管理影響因素

根據自身實際工作經歷并查閱相關文獻資料，認為影響高校校園網絡安全管理工作的因素包括以下幾個方面：

(1)網絡硬件安全管理能力

主要包括高校校園網絡中所有網絡相關硬件、計算機相關硬件的質量是否有保證，配置是否合理以及防水、防雷和防盜等安全措施是否得當。

(2)網絡安全管理措施

主要包括高校校園網絡中所有與網絡管理相關的組織機構、規(guī)章制度與人員配置是否合理；網絡安全防范、病毒入侵以及黑客入侵應急防范技術是否做到位。

(3)通信安全管理

主要包括高校校園使用網絡進行通信的過程中，數據加密技術、數字簽名技術是否具備。網絡用戶權限劃分機制是否合理。

(4)操作系統(tǒng)安全管理

主要包括高校校園網絡中的計算機的操作系統(tǒng)正版化比例是多少。操作系統(tǒng)定期維護機制是否健全，操作系統(tǒng)漏洞的掌握情況以及網絡中數據庫的安全機制，冗余備份機制是否健全。

(5)備份措施

主要包括系統(tǒng)操作日志的建立、記錄與備份制度，網絡服務器的備份機制。

2 高校校園網絡安全管理成熟度的五個梯度與五個層面

(1)混亂級

混亂級是高校校園網絡安全管理的最低級別，處于混亂級成熟度水平的高校校園網絡部門不能有效的識別網絡安全危險源，也不能采取針對性的措施對網絡安全危險源進行防范管理，不能采取事前控制方式對網絡安全風險進行提前防范，所采取的手段和方法也多是經驗式和臨時式的。

(2)初始級

處于初始級成熟度水平的高校校園網絡部門已經較為重視校園網絡安全管理工作的重要性，并采取了部分措施保障高校校園網絡安全管理工作的順利執(zhí)行。處于該梯級的高校校園計算機網絡設備已經具備初步的安全管理維護能力，可以基本解決高校校園計算機網絡設備故障，并制定了簡單的計算機設備網絡安全管理維護措施。

(3)規(guī)范級

處于該梯級的高校校園網絡部門已經具備了較成熟的計算機網絡實體安全管理能力，能夠對計算機和網絡通信設備進行較完善的維護管理，并建立了較完善的校園網絡安全管理環(huán)境。

(4)優(yōu)化級

處于優(yōu)化級梯級的高校校園網絡部門已經具備了十分完善的網絡安全管理體系，該階段的網絡安全管理工作已經集成化。該階段的校園網絡設備配置已經十分合理，且設備質量相當有保障，具備了電源干擾和損壞等安全隱患和安全故障能力；

(5)持續(xù)改進級

處于持續(xù)改進級成熟度水平是高校校園網絡管理工作的最高水平標準，該水平的高校校園網絡管理部門有能力對校園網絡管理工作進行自我優(yōu)化和改進創(chuàng)新。

3 確定高校校園網絡安全管理成熟度評價指標

3.1 評價指標選取原則

評價指標的選取應遵循以下幾個指導原則：

(1)科學性原則

高校校園網絡安全管理成熟度評價指標體系要以事實為依據，以科學理論為指導，不能憑空捏造。

(2)完備性原則

高校校園網絡安全管理成熟度評價指標體系是完整的體系。旨在全面綜合反映高校校園網絡的管理水平，找出高校校園網絡的問題所在。

(3)獨立性原則

高校校園網絡安全管理成熟度評價指標體系中的指標會盡量保持獨立，避免彼此之間相互關聯(lián)。

(4)可比性原則

高校校園網絡安全管理成熟度評價指標體系中盡量保證指標可比性要強，不僅要反映管理水平，還要反映技術能力。盡量量化可比。

(5)可操作性原則

失去可操作性，高校校園網絡安全管理成熟度評價指標體系就沒有任何意義。可操作性越強，則評估人員越好下手。它會直接影響校園網絡評估工作的成敗。

(6)穩(wěn)定性原則

建立高校校園網絡安全管理成熟度評價指標體系時，指標的選取會盡量選擇相對穩(wěn)定的指標，起伏大的指標不會考慮。

3.2 評價指標的確定

4 高校校園網絡安全管理成熟度評價體系的構建

表1　高校校園網絡安全管理成熟度評價指標

依據上述指標，現構建圖1所示的評價體系。評價體系共分為三層，目標層U為高校校園網絡安全管理成熟度；目標層A為評價體系的控制層，分別為網硬件安全管理能力、網絡安全管理措施、通信安全管理、操作系統(tǒng)安全管理和備份措施等五個指標；目標層B為實施層，包含網絡設備安全管理維護能等21個指標。

5 高校校園網絡安全管理成熟度評價體系的構建

根據以上建立的高校校園網絡安全管理成熟度評價體系，本部分確定評價指標權重的計算方法，并選擇合理的數學方法計算高校校園網絡安全管理成熟度。

5.1 評價主體選擇與確定

評價主體的整體水平往往影響評價結果，甚至直接關系到評價方案的成敗與否。

圖2為不同評價主體評價對某項評價指標的評價結果，專家A認為該項指標可能引起較大的風險，而專家B則認為該項指標基本上對評價對象沒有影響，風險很小，專家C則持有相對中立觀點。

圖1　高校校園網絡安全管理成熟度評價體系

圖2　不同專家對同一因素的評價結果

上述分析中可以看出，不同專家在完全相同環(huán)境下對同一因素的評價結果可能完全相反,為此應科學合理的選擇并確定評價專家，以保證評價過程的合理性和評價結果的精確性。在選擇評價主體時應該注意以下幾個方面：

(1)評價主體的構成

基于評價對象的專業(yè)性和特殊性，評價主體應該為熟悉高校校園網絡領域的專家或工作人員，以保證評價結果的科學性和合理性。同時，為了防止評價主體對評價結果的干擾，評價人員并不能全部由熟悉網絡安全工作的內部部門人員組成，可以由網絡部門外部人員通過考察或查閱資料等方式進行評價。評價主體應該由多名專家共同組成，以防止出現圖2所示的評價誤差。

(2)評價專家應的具備條件

評價專家是高校校園網絡安全管理工作的重要決策人，在高校校園網絡安全管理成熟度評價中藥綜合考察各方面信息，評價專家必須要十分了解校園網絡相關知識，可以客觀的評價各種指標，最好具備從事過類似評價工作經驗。此外，評價專家應該了解和熟悉成熟度評價相關理論。

(3)資料收集及整理

為確保評價結果的精確性，必須為評價專家提供詳細的資料信息。所提供的相關信息應該有網絡部門人員專門收集整理完成，并確保相關信息的客觀性和準確性，以保證評價方案真實、有效。

5.2 評價指標權重的確定

評價指標權重計算通常采用層次分析法、熵值法、經驗法、直接設置法等，其中層次分析法和熵值法為經常使用的權重設置方法。層次分析法擅于處理多目標且不易量化的評價指標，缺點在于受到評價人員主觀影響很大，評價結果常常失真；熵值法計算出的權重值則客觀性很強，正好彌補了層次分析法的不足。

(1)層次分析法

層次分析法的計算步驟如下：

① 建立層次結構模型

深入分析構成系統(tǒng)的各要素，并將各要素進行分層處理，建立層次結構模型。層次結構模型的最上層為目標層，即評價結果因素，通常為唯一目標。最底層為對象層，中間目標層可以分為幾個層次。通常，下層目標因素對上層目標因素具有從屬影響，上層目標因素則支配下層目標因素。

② 構造判斷矩陣

接下來，構造矩陣，直到最底層因素判斷矩陣為止。標準見表2所示。

表2　重要性標度含義表

③ 計算權向量進行一致性檢驗

一致性指標CI計算公式為：

(5-1)

當CR<0.10時，既滿足一致性檢驗，反之，則應該重新構造判斷比較矩陣。

④ 組合權向量即一致性檢驗

首先計算最底層因素對次底層目標的權向量及一致性檢驗，滿足一致性檢驗情況下在按照上述方法計算倒數第二層因素對倒數第三層目標的權向量及一致性檢驗，以此類推，最終達到目標層為止。

(2)熵值法

熵值法的計算步驟為：

① 假設n個主體和m個評價指標，其中為第i個主體對應的第j個指標。

② 將各指標進行標準化處理，使之同質化：

正向指標:

(5-2)

負向指標:

(5-3)

③ 計算第項指標下第個主體占該指標的比重：

(5-4)

④ 計算第項指標的熵值。

(5-5)

⑤ 計算指標j的權值：

(5-6)

(3)綜合權重

層次分析法善于處理大量難以量化的數據，適合高校校園網絡安全管理成熟度評價指標體系，但由于采用專家打分辦法增加了評價結果的主觀性。為此，需要采取一定辦法對層次分析法計算得出的權重進行修正。而熵值法具有客觀性很強的優(yōu)點，正好可以補充層次分析法缺點，即：

w綜合權重w層次×α+w熵值×(1-α)

(5-7)

其中：α為層次分析法計算權重的權重；1-α為熵值法計算權重的權重。該權重值可以采用經驗法由專家直接確定。

5.3 模糊綜合評判法計算成熟度

模糊綜合評判法的基本步驟為：

(1)確認模糊綜合評價因素組成的集合U

其中：U={u1,u2,…,un}

(5-8)

U為擬評價項目待評價的評價因素，Ui為影響評價對象的各個評價因素。

(2)確定評價因素的評語集V：

其中：V ={v1,v2,…,vm}

(5-9)

對于評語集中評語等級數一般不能取值過大，以防影響評價結果的判定，對于評價等級通?？梢赃x擇m=5，如論文中評語集V={很小，較小，一般，較大，很大}。

(3)確定權重A

模糊綜合評判的一項重要工作就是合理的確定判斷權重，該權重值直接影響風險評價結果。權重的確定主要取決于評判專家的主觀認識以及評判因素的客觀影響程度。其中

A={ a1, a2,…, an}

(5-10)

(4)進行單因素評價，建立模糊關系矩陣

得到一個實際上表示U和V之間模糊關系的模糊矩陣R[42]：

(5-11)

矩陣中的行向量表示某個因素對各等級評語的隸屬度。

(5)模糊綜合評價

得到模糊評價綜合效果B：

(5-12)

其中bj表示評價對象從整體上對評語集的隸屬度，

可得到隸屬度矩陣R：

(5-13)

(6)評價結果向量的分析

對綜合評判結果B=( b1, b2,…bm)進行歸一化處理，

k=1,2,…,m

(5-14)

參考文獻：

[1]許福永,申健,李劍英.網絡安全綜合評價方法的研究及應用[J]. 計算機工程與設計，2006(08) ：99-100.

[2] 余明輝,郭錫泉.網絡安全綜合評價的AHP可拓分析方法[J]. 電信科學，2010(12)：135-136.

[3] 李健宏,李廣振.網絡安全綜合評價方法的應用研究[J]. 計算機仿真，2011(7)：147-148.

[4] 何文炯．風險管理[M]．北京：中國財政經濟出版社, 2005.

[5] 劉鈞．風險管理概論[M]．上海：中國金融出版社，2005．

[6] 王卓甫．工程項目風險管理——理論、方法與應用[M].北京：中國水利水電出版社, 2003．

[7] 徐業(yè)強,姚遠,劉繼武,徐靈風. 基于項目管理成熟度(OPM3)模型的電力施工項目管理研究[J]. 科協(xié)論壇(下半月),2011(4).57-58.

[8] 羅志恒. 基于AHP和前景理論的知識型項目管理成熟度模型選擇研究[J]. 中國工程咨詢,2011(3).52-54.

(責任編輯：孫強)

Research and Construction of the Evaluation System of the Maturity of Campus Network Security Management

LI Changbao1,GUI Yijie2

(1. Shanxi Jingguan Zhiye Xueyuan, Taiyuan, Shanxi 030006, China; 2. Fudan University, Shanghai 200433,China )

Abstract：The prevalence of management tendency makes the campus network security situation not optimistic, especially with the increase of hackers' invasion and the overflow of network virus. It can be the case that the campus network security issues are very severe. How, in the open network environment of campus network, to guarantee the normal and efficient operation in all colleges and universities has become an unavoidable important problem. Project management maturity model is used to measure an organization 's ability to achieve project goal, the project management process is becoming mature. Project management maturity is the evaluation of the level of the enterprise project management improvement framework. Based on the project management maturity model, the level of the enterprise project management is divided into the corresponding level, thus forming an orderly management platform. Campus network department can use the project management maturity model to test its own project management level, realize their own project management shortcomings, so as to improve the project management to provide foundation and basis, eventually making campus network security management level rise continuously.

Key words：campus network; maturity; system; construction; improvement

收稿日期：2016-04-15

作者簡介：李常寶(1982-)，男，重慶人,信息工程系助講，國家軟件工程師，銳捷網絡工程師，三級心理咨詢師。

中圖分類號：F224.33

文獻標識碼：A

文章編號：1671-4385(2016)03-0102-05