賀曉春

(四川信息職業(yè)技術(shù)學(xué)院, 廣元 628040)

CERNET網(wǎng)絡(luò)安全管理成熟度模型的研究與構(gòu)建①

賀曉春

(四川信息職業(yè)技術(shù)學(xué)院, 廣元 628040)

針對(duì)CERNET網(wǎng)絡(luò)存在規(guī)劃、建設(shè)和管理的缺陷, 通過對(duì)網(wǎng)絡(luò)安全管理主要因素分析、網(wǎng)絡(luò)安全管理成熟度梯度模型劃分, 提出了成熟度五個(gè)層次-五個(gè)梯度矩陣, 構(gòu)建了一種網(wǎng)絡(luò)安全管理成熟度模型. 該模型不僅能檢視CERNET網(wǎng)絡(luò)安全管理漏洞和缺陷, 利用該模型對(duì)四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)安全管理進(jìn)行了實(shí)證分析, 結(jié)果表明該院的成熟度為規(guī)范級(jí), 同時(shí)促進(jìn)了網(wǎng)絡(luò)安全管理水平的提高.

CERNET網(wǎng)絡(luò); 安全規(guī)約; 構(gòu)建; 成熟度

引言

中國(guó)教育和科研計(jì)算機(jī)網(wǎng)絡(luò)(China Education and Research Network, CERNET)經(jīng)過20多年的發(fā)展, 各級(jí)各類教育和科技機(jī)構(gòu)有2000多家, 其中高等學(xué)校在1600所以上, 聯(lián)網(wǎng)主機(jī)數(shù)量超過120萬臺(tái), CERNET用戶超過2000 萬人, CERNET校園網(wǎng)已經(jīng)不僅僅是一個(gè)為學(xué)校教學(xué)、科研和管理等提供平臺(tái)的角色, 同時(shí)還要滿足全體師生網(wǎng)上辦公、資料共享、數(shù)字化教學(xué)、文獻(xiàn)檢索、網(wǎng)絡(luò)社交、網(wǎng)上娛樂、網(wǎng)絡(luò)購(gòu)物等需求. 但是CERNET校園網(wǎng)絡(luò)建設(shè)和發(fā)展過程中, 普遍存在著“重技術(shù)、輕安全、輕管理”的現(xiàn)象[1]. 伴隨著網(wǎng)絡(luò)的快速發(fā)展, 網(wǎng)絡(luò)主機(jī)規(guī)模的急劇增加, 網(wǎng)絡(luò)用戶的快速增長(zhǎng)和各類網(wǎng)絡(luò)應(yīng)用的增長(zhǎng), 各類的網(wǎng)絡(luò)入侵增多及網(wǎng)絡(luò)病毒的廣泛傳播, 使得校園網(wǎng)的安全問題面臨著諸多嚴(yán)峻的挑戰(zhàn). 為了應(yīng)對(duì)CERNET校園網(wǎng)網(wǎng)絡(luò)安全, 國(guó)內(nèi)主流的采用了定量評(píng)價(jià)方法、定性評(píng)價(jià)方法、定性與定量相結(jié)合的評(píng)價(jià)方法來評(píng)估CERNET校園網(wǎng)網(wǎng)絡(luò)安全及網(wǎng)絡(luò)安全管理. 由于上述方法的主觀性太強(qiáng), 對(duì)評(píng)價(jià)者自身水平的要求很高, 適用性相對(duì)較差, 而網(wǎng)絡(luò)安全評(píng)價(jià)是一個(gè)復(fù)雜的過程, 需要考慮的因素諸多, 因此僅僅只使用定性評(píng)價(jià)方法很難非常準(zhǔn)確地對(duì)網(wǎng)絡(luò)安全進(jìn)行一個(gè)評(píng)判[2]. 鑒于此, 本文提出了CERNET校園網(wǎng)網(wǎng)絡(luò)安全管理成熟度模型的構(gòu)建, 并利用該模型對(duì)四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)安全的管理水平進(jìn)行了驗(yàn)證分析.

1 傳統(tǒng)項(xiàng)目管理成熟度模型

項(xiàng)目管理成熟度模型是評(píng)價(jià)和改進(jìn)組織項(xiàng)目管理水平的一種框架方法[3]. 依據(jù)項(xiàng)目管理成熟度模型可以將企業(yè)項(xiàng)目管理水平依次劃分為相應(yīng)等級(jí), 從而形成一個(gè)有序的管理水平平臺(tái). CERNET校園網(wǎng)管理部門可以借鑒項(xiàng)目管理成熟度模型來檢驗(yàn)自身的CERNET校園網(wǎng)項(xiàng)目管理水平, 認(rèn)識(shí)到自身管理工作存在的不足, 以便為改進(jìn)網(wǎng)絡(luò)管理工作提供參考和依據(jù), 最終使網(wǎng)絡(luò)安全管理水平不斷提高[4]. 項(xiàng)目管理成熟度模型提出以后逐漸演化為多種具體形式, 如CMM(Capability Maturity Model for Software)模型、OPM3(Organization Project Management Maturity Model)模型、K-PMMM模型等最為常見.

1.1 CMM模型

CMM模型主要用于軟件承包能力的評(píng)價(jià)及質(zhì)量改善方面[5], 重點(diǎn)側(cè)重軟件開發(fā)過程的項(xiàng)目管理能力提高. 截止到目前, CMM模型已經(jīng)成為最權(quán)威的項(xiàng)目管理評(píng)估認(rèn)證體系, CMM模型包括初始級(jí)、可重復(fù)級(jí)、定義級(jí)、管理級(jí)、優(yōu)化級(jí)五個(gè)基本等級(jí).

1.2 OPM3模型

OPM3模型定義了評(píng)估組織通過對(duì)項(xiàng)目進(jìn)行管理與控制以實(shí)現(xiàn)自身戰(zhàn)略目標(biāo), 提高企業(yè)項(xiàng)目管理水平及市場(chǎng)競(jìng)爭(zhēng)力的方法. OPM3模型的基本目標(biāo)是通過評(píng)估企業(yè)項(xiàng)目管理能力, 不斷改善企業(yè)的項(xiàng)目管理水平,以實(shí)現(xiàn)其預(yù)定戰(zhàn)略意圖.

1.3 K-PMMM模型

K-PMMM模型基于問卷調(diào)查分析法[4], 由不同層次進(jìn)行項(xiàng)目管理能力的評(píng)估, 該模型的應(yīng)用采用了與眾不同的問卷調(diào)查方法. 通過有效設(shè)置問題并獲取答案,找到影響企業(yè)項(xiàng)目管理能力的主要因素和存在問題, 為企業(yè)改進(jìn)項(xiàng)目管理能力提供依據(jù). K-PMMM模型將企業(yè)項(xiàng)目管理能力劃分為5個(gè)基本層次, 由低到高依次為通用術(shù)語(yǔ)、通用過程、單一方法、基準(zhǔn)比較、持續(xù)改進(jìn).

2 CERNET網(wǎng)絡(luò)安全管理成熟度模型構(gòu)建

2.1 成熟度層次-梯度矩陣構(gòu)建

依據(jù)項(xiàng)目管理成熟度模型理論, 結(jié)合CERNET校園網(wǎng)安全管理工作的特點(diǎn), 構(gòu)造層次-梯度矩陣, 作為成熟度的評(píng)判與診斷安全問題依據(jù).

2.1.1 影響網(wǎng)絡(luò)安全成熟度的主要因素

校園網(wǎng)絡(luò)安全既有軟件又有硬件, 既有外部環(huán)境影響又有內(nèi)部因素左右, 并且許多方面是相互制約相互影響的, 因每人看待問題角度不同而產(chǎn)生的結(jié)論也不同, 因此根據(jù)國(guó)家對(duì)網(wǎng)絡(luò)安全相關(guān)制度, 查詢多方資料結(jié)合網(wǎng)絡(luò)管理經(jīng)驗(yàn)提出如下指標(biāo)體系, 影響整個(gè)CERNET校園網(wǎng)網(wǎng)絡(luò)安全管理成熟度的因素主要有實(shí)體安全管理能力, 網(wǎng)絡(luò)安全管理措施, 網(wǎng)絡(luò)通信安全管理, 系統(tǒng)安全管理, 安全技術(shù)措施5個(gè)層面.

實(shí)體安全管理能力主要包含網(wǎng)絡(luò)設(shè)備安全管理維護(hù)能力、媒體安全管理維護(hù)能力、網(wǎng)絡(luò)安全管理環(huán)境等方面.

網(wǎng)絡(luò)安全管理措施主要包含組織機(jī)構(gòu)、規(guī)章制度、應(yīng)急預(yù)案、安全培訓(xùn)等方面.

網(wǎng)絡(luò)通信安全管理主要包含信息傳輸安全、審計(jì)跟蹤措施、訪問控制措施等方面.

系統(tǒng)安全管理主要包含操作系統(tǒng)安全、應(yīng)用軟件安全、數(shù)據(jù)庫(kù)系統(tǒng)狀態(tài)監(jiān)控措施、用戶身份鑒別、用戶數(shù)據(jù)備份等方面.

安全技術(shù)措施主要包含恢復(fù)技術(shù)措施、安全審計(jì)功能、系統(tǒng)操作日志、服務(wù)器備份措施、防黑客入侵措施、計(jì)算機(jī)病毒防范措施等方面.

2.1.2 校園網(wǎng)絡(luò)安全管理成熟度模型梯度劃分

依據(jù)前文項(xiàng)目管理成熟度模型理論和國(guó)家安全法、GB20984, GB25058、GB22081等信息安全等級(jí)保護(hù)等評(píng)估與實(shí)施的國(guó)家規(guī)定的規(guī)范標(biāo)準(zhǔn), 結(jié)合高校校園網(wǎng)絡(luò)安全管理工作的特點(diǎn), 將高校校園網(wǎng)絡(luò)安全管理成熟度模型劃分為混亂級(jí)、初始級(jí)、規(guī)劃級(jí)、優(yōu)化級(jí)和持續(xù)改進(jìn)級(jí)等五個(gè)梯級(jí). 高校校園網(wǎng)絡(luò)安全管理成熟度模型的五個(gè)梯級(jí)定義如下:

混亂級(jí)是高校校園網(wǎng)絡(luò)安全管理的最低級(jí)別, 處于混亂級(jí)成熟度水平的高校校園網(wǎng)絡(luò)部門不能有效的識(shí)別網(wǎng)絡(luò)安全危險(xiǎn)源, 也不能采取針對(duì)性的措施對(duì)網(wǎng)絡(luò)安全危險(xiǎn)源進(jìn)行防范管理, 不能采取事前控制方式對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行提前防范, 所采取的手段和方法也多是經(jīng)驗(yàn)式和臨時(shí)式的.

初始級(jí)指處于高校校園網(wǎng)絡(luò)部門已經(jīng)較為重視校園網(wǎng)絡(luò)安全管理工作的重要性, 并采取了部分措施保障高校校園網(wǎng)絡(luò)安全管理工作的順利執(zhí)行.

規(guī)范級(jí)指高校校園網(wǎng)絡(luò)部門已經(jīng)具備了較成熟的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全管理能力, 能夠?qū)τ?jì)算機(jī)和網(wǎng)絡(luò)通信設(shè)備進(jìn)行較完善的維護(hù)管理, 并建立了較完善的校園網(wǎng)絡(luò)安全管理環(huán)境.

優(yōu)化級(jí)指高校校園網(wǎng)絡(luò)部門已經(jīng)具備了十分完善的網(wǎng)絡(luò)安全管理體系, 該階段的網(wǎng)絡(luò)安全管理工作已經(jīng)集成化.

持續(xù)改進(jìn)級(jí)是高校校園網(wǎng)絡(luò)管理工作的最高水平標(biāo)準(zhǔn), 該水平的高校校園網(wǎng)絡(luò)管理部門有能力對(duì)校園網(wǎng)絡(luò)管理工作進(jìn)行自我優(yōu)化和改進(jìn)創(chuàng)新.

上述界定的高校校園網(wǎng)絡(luò)管理成熟度的五個(gè)梯度為高校校園網(wǎng)絡(luò)安全管理工作的不斷改進(jìn)奠定了基礎(chǔ),為高校校園網(wǎng)絡(luò)安全管理工作提供了一個(gè)有序的方法,高校校園網(wǎng)絡(luò)安全管理可以依據(jù)上述劃定的梯度標(biāo)準(zhǔn)評(píng)價(jià)其網(wǎng)絡(luò)安全管理工作的成熟度.

2.1.3 高校校園網(wǎng)絡(luò)安全管理成熟度的五個(gè)層面

在確定了高校校園網(wǎng)絡(luò)安全管理成熟度的五個(gè)梯度以后, 對(duì)高校校園網(wǎng)絡(luò)安全管理成熟度的主要層面研究也是高校校園網(wǎng)絡(luò)安全管理成熟度模型的重要組成內(nèi)容. 依據(jù)前文對(duì)高校校園網(wǎng)絡(luò)安全管理影響因素進(jìn)行的分析, 將高校校園網(wǎng)絡(luò)安全管理成熟度界定為以下五個(gè)方面, 即: 實(shí)體安全管理能力、網(wǎng)絡(luò)安全管理措施、網(wǎng)絡(luò)通信安全管理、系統(tǒng)安全管理、安全技術(shù)措施. 表1為高校校園網(wǎng)絡(luò)安全管理成熟度的五個(gè)層面,針對(duì)高校校園網(wǎng)絡(luò)安全管理成熟度的不同梯級(jí)界定了各層面的詳細(xì)標(biāo)準(zhǔn).

表1 高校校園網(wǎng)絡(luò)安全管理成熟度的五個(gè)層面

2.1.4 校園網(wǎng)絡(luò)安全管理成熟度的梯度-層次模型構(gòu)建

定義. Ai(i=1,..5)為CERNET校園網(wǎng)網(wǎng)絡(luò)安全管理成熟度界定的5個(gè)層面Ai=(實(shí)體安全管理能力, 網(wǎng)絡(luò)安全管理措施, 網(wǎng)絡(luò)通信安全管理, 系統(tǒng)安全管理, 安全技術(shù)措施). Gj(j=1,..5)為網(wǎng)絡(luò)安全管理成熟度的5個(gè)梯度Gj=(混亂級(jí), 初始級(jí), 規(guī)劃級(jí), 優(yōu)化級(jí), 持續(xù)改進(jìn)級(jí))Sij為對(duì)應(yīng)的是安全合規(guī)和現(xiàn)狀, 描述當(dāng)前層面網(wǎng)絡(luò)安全面臨的問題與改進(jìn)措施. 故校園網(wǎng)絡(luò)安全管理成熟度的梯度-層次模型構(gòu)建如下式(1)所示:

2.2 CERNET網(wǎng)絡(luò)安全管理成熟度模型評(píng)價(jià)體系與指標(biāo)

網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)體系是一套能夠綜合、全面反映高校校園網(wǎng)絡(luò)安全特征, 并且相互影響、相互制約、相互補(bǔ)充的具有內(nèi)在關(guān)聯(lián)的指標(biāo)集合. 模型基于對(duì)國(guó)內(nèi)外已提出的網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)進(jìn)行研究,提出CERNET校園網(wǎng)網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo).

定義. U為CERNET網(wǎng)絡(luò)安全管理成熟度; Bi(i=1,2, 3, 4, 5)為實(shí)施層, 包含網(wǎng)絡(luò)設(shè)備安全管理維護(hù)能等21個(gè)指標(biāo).

說明: Ai(i=1, 2, 3, 4, 5)此時(shí)可以作為U的一級(jí)評(píng)價(jià)指標(biāo), A為評(píng)價(jià)體系的控制層, A1指標(biāo)為實(shí)體安全管理能力, A2指標(biāo)為網(wǎng)絡(luò)安全管理措施, A3指標(biāo)為網(wǎng)絡(luò)通信安全管理, A4指標(biāo)為系統(tǒng)安全管理, A5指標(biāo)為安全技術(shù)措施理成熟度評(píng)價(jià)指標(biāo), 見表2所示.

表2 高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)

2.3 CERNET校園網(wǎng)網(wǎng)絡(luò)安全管理成熟度模型指標(biāo)權(quán)重和成熟度值的計(jì)算

評(píng)價(jià)指標(biāo)權(quán)重計(jì)算采用層次分析法和熵值法確定綜合權(quán)重, 以確保權(quán)重結(jié)果的精確性和合理性.

其中: α為層次分析法計(jì)算權(quán)重的權(quán)重; 1-α為熵值法計(jì)算權(quán)重的權(quán)重. 該權(quán)重值可以采用經(jīng)驗(yàn)法由專家直接確定.

2.3.1 層次分析權(quán)重w層次求法

步驟1. 假設(shè)因素Y有合集X構(gòu)成, 其中X={x1, x2,…xn}, 那么可以利用層次分析法將合集X中任意兩因素按照其重要程度進(jìn)行比較分析, 最終獲得集合B,B={b1, b2, …bn}, 那么bij即表示為Xi對(duì)Y的重要程度. 然后建立按照層次分析法建立層次模型, 然后在構(gòu)造判斷矩陣, 在層次結(jié)構(gòu)模型中從第2層開始分析, 依次分析下層因素對(duì)上層因素的影響, 按照重要性標(biāo)度含義表,構(gòu)造相應(yīng)的判斷比較矩陣, 輸出最底層判斷矩陣位置.

步驟2. 計(jì)算權(quán)向量進(jìn)行一致性檢驗(yàn)

計(jì)算最大特征根和對(duì)應(yīng)的特征向量, 經(jīng)檢驗(yàn)滿足一致性的特征向量即為權(quán)向量, 如果不能通過一致性檢驗(yàn), 則需要重新構(gòu)造判斷矩陣并計(jì)算權(quán)向量進(jìn)行一致性檢驗(yàn). 一致性指標(biāo)CI計(jì)算公式為:

當(dāng)CR<0.1時(shí), 既滿足一致性檢驗(yàn), 反之, 則應(yīng)該重新構(gòu)造判斷比較矩陣.

2.3.2 熵值權(quán)重w熵值求法

① 假設(shè)n個(gè)主體和m個(gè)評(píng)價(jià)指標(biāo), 其中xij為第i個(gè)主體對(duì)應(yīng)的第j個(gè)指標(biāo).

② 將各指標(biāo)進(jìn)行標(biāo)準(zhǔn)化處理, 使之同質(zhì)化. 正向指標(biāo):

③ 計(jì)算第j項(xiàng)指標(biāo)下第i個(gè)主體占該指標(biāo)的比重:

④ 計(jì)算第j項(xiàng)指標(biāo)的熵值.

其中, k＞0, , ej≥0

⑤ 計(jì)算指標(biāo)j的權(quán)值:

2.3.3 網(wǎng)絡(luò)安全管理成熟度U的計(jì)算采用模糊綜合評(píng)判法

定義. U為模糊綜合評(píng)價(jià)因素組成的集合; V為評(píng)價(jià)因素的評(píng)語(yǔ)集

U={u1, u2, …, un}, U為擬評(píng)價(jià)項(xiàng)目待評(píng)價(jià)的評(píng)價(jià)因素, Ui為影響評(píng)價(jià)對(duì)象的各個(gè)評(píng)價(jià)因素. V={v1, v2,…, vm}說明: 對(duì)于評(píng)語(yǔ)集中評(píng)語(yǔ)等級(jí)數(shù)一般不能取值過大, 以防影響評(píng)價(jià)結(jié)果的判定, 對(duì)于評(píng)價(jià)等級(jí)通?？梢赃x擇m=5, 如一般規(guī)模評(píng)價(jià)集V={很小, 較小, 一般,較大, 很大}.

步驟1. 根據(jù)U和V確定權(quán)重A

模糊綜合評(píng)判的一項(xiàng)重要工作就是合理的確定判斷權(quán)重, 該權(quán)重值直接影響風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果. 權(quán)重的確定主要取決于評(píng)判專家的主觀認(rèn)識(shí)以及評(píng)判因素的客觀影響程度. 其中:

步驟2. 進(jìn)行單因素評(píng)價(jià), 建立模糊關(guān)系矩陣

對(duì)U集合中的諸因素ui分別做出對(duì)評(píng)語(yǔ)集合V中諸評(píng)語(yǔ)的單因素評(píng)判, 進(jìn)而得到一個(gè)實(shí)際上表示U和V之間模糊關(guān)系的模糊矩陣R:

矩陣中的行向量表示某個(gè)因素對(duì)各等級(jí)評(píng)語(yǔ)的隸屬度.

步驟3. 模糊綜合評(píng)價(jià)

將表示各指標(biāo)權(quán)重向量的A與各評(píng)價(jià)指標(biāo)的隸屬度矩陣R用合適的算子進(jìn)行模糊運(yùn)算, 并進(jìn)行歸一化,得到模糊評(píng)價(jià)綜合效果B:

其中bj表示評(píng)價(jià)對(duì)象從整體上對(duì)評(píng)語(yǔ)集的隸屬度, 多級(jí)模糊綜合運(yùn)算進(jìn)行模糊綜合評(píng)價(jià), 用Bi作為ui的單因素評(píng)價(jià)結(jié)果, 可得到隸屬度矩陣R:

步驟4. 評(píng)價(jià)結(jié)果向量的分析

對(duì)綜合評(píng)判結(jié)果B=(b1, b2, …bm)進(jìn)行歸一化處理.

B′為等價(jià)的評(píng)價(jià)結(jié)果, B′的直觀解釋是b′k表示評(píng)價(jià)等級(jí)vk在綜合評(píng)價(jià)結(jié)果中占的百分比, (b′1, b′2, …,b′m)給出了m個(gè)評(píng)價(jià)等級(jí)所占百分比的分布.

3 實(shí)證分析與評(píng)價(jià)

選取四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)為研究對(duì)象,并在信息中心內(nèi)部抽取3人, 外部抽取2人, 組成5人評(píng)價(jià)小組, 對(duì)校園網(wǎng)絡(luò)安全管理成熟度進(jìn)行評(píng)價(jià). 論文由評(píng)估小組五名成員對(duì)各指標(biāo)進(jìn)行評(píng)價(jià), 共收回5份評(píng)價(jià)問卷, 調(diào)查問卷回收率為100%. 為滿足一致性檢驗(yàn)要求, 對(duì)5分評(píng)價(jià)結(jié)果進(jìn)行分別進(jìn)行一致性檢驗(yàn), 結(jié)果顯示5份評(píng)價(jià)結(jié)果均滿足一致性檢驗(yàn)要求.

按照上述模型計(jì)算, 按照層次分析法計(jì)算步驟計(jì)算評(píng)價(jià)指標(biāo)權(quán)重, 詳細(xì)見下文.

3.1 構(gòu)造判斷矩陣U-A

計(jì)算目標(biāo)層U指標(biāo)權(quán)重及一致性檢驗(yàn). 如表3.

表3 目標(biāo)層U指標(biāo)權(quán)重計(jì)算及一致性檢驗(yàn)

3.2 構(gòu)造Ai-B矩陣

并以A5(安全技術(shù)措施)為例構(gòu)造判斷矩陣A5-B(表4), 計(jì)算目標(biāo)層A5指標(biāo)權(quán)重及一致性檢驗(yàn).

表4 目標(biāo)層A5指標(biāo)權(quán)重計(jì)算及一致性檢驗(yàn)

3.3 綜合權(quán)重計(jì)算

依據(jù)熵值法計(jì)算步驟, 計(jì)算熵值中的信息熵, 結(jié)合層次分析法計(jì)算綜合權(quán)重, 見表5. 由于層次分析法主觀性較強(qiáng), 而熵權(quán)法計(jì)算的結(jié)果客觀性較強(qiáng), 權(quán)重值α取50%的計(jì)算方式確定綜合權(quán)重(以A5-安全技術(shù)措施為例).

表5 綜合權(quán)重計(jì)算

3.4 成熟度計(jì)算與評(píng)價(jià)

專家投票選擇校園網(wǎng)絡(luò)安全管理成熟度對(duì)應(yīng)梯級(jí)的主要依據(jù)為論文中針對(duì)網(wǎng)絡(luò)安全管理成熟度不同梯級(jí)界定的各層面詳細(xì)標(biāo)準(zhǔn). 表5為5名評(píng)價(jià)專家的評(píng)價(jià)結(jié)果, 評(píng)價(jià)結(jié)果表示為不同評(píng)價(jià)指標(biāo)在各自成熟度梯度上的表決票數(shù). (以A5-安全技術(shù)措施為例)

依據(jù)前文的模糊綜合評(píng)判法, 結(jié)合表6網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)結(jié)果計(jì)算安全技術(shù)措施成熟度評(píng)價(jià)值.

表6 網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)結(jié)果

由此可以確定四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)安全技術(shù)措施成熟度屬于(混亂級(jí), 初始級(jí), 規(guī)范級(jí), 優(yōu)化級(jí),持續(xù)改進(jìn)級(jí))的模糊隸屬度為(0.1056, 0.9017, 2.8182,0.6403, 0.5342), 經(jīng)標(biāo)準(zhǔn)化處理后的模糊隸屬度為(2.11%, 18.03%, 56.36%, 12.81%, 10.68%), 依據(jù)最大隸屬原則, 四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)安全技術(shù)措施成熟度為規(guī)范級(jí).

3.5 網(wǎng)絡(luò)安全總體成熟度評(píng)價(jià)

依據(jù)前文各評(píng)價(jià)指標(biāo)成熟度計(jì)算結(jié)果確定網(wǎng)絡(luò)安全總體成熟度.

由此可以確定四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)安全總體成熟度屬于(混亂級(jí), 初始級(jí), 規(guī)范級(jí), 優(yōu)化級(jí),持續(xù)改進(jìn)級(jí))的模糊隸屬度為(0.2071, 1.5750, 2.3674,0.7094, 0.1411), 經(jīng)標(biāo)準(zhǔn)化處理后的模糊隸屬度為(4.15%, 31.50%, 47.35%, 14.19%, 2.81%), 依據(jù)最大隸屬原則, 四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)安全總體成熟度為規(guī)范級(jí). 四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)已經(jīng)具備了較成熟的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全管理能力, 建立了較完善的校園網(wǎng)絡(luò)安全管理環(huán)境. 成立了專門的網(wǎng)絡(luò)安全小組, 制定了完善的網(wǎng)絡(luò)安全管理規(guī)章制度和應(yīng)急預(yù)案. 校園網(wǎng)絡(luò)信息傳輸進(jìn)行了安全的數(shù)據(jù)加密措施, 并對(duì)網(wǎng)絡(luò)通信系統(tǒng)進(jìn)行審計(jì)跟蹤和訪問控制措施. 針對(duì)校園網(wǎng)絡(luò)操作系統(tǒng)設(shè)置了不同級(jí)別并細(xì)化相應(yīng)的權(quán)限; 對(duì)應(yīng)用軟件進(jìn)行了身份鑒別、數(shù)據(jù)保密等安全機(jī)制要求, 經(jīng)常性的對(duì)系統(tǒng)安全進(jìn)行掃描并修補(bǔ)系統(tǒng)漏洞, 采用計(jì)算機(jī)網(wǎng)絡(luò)用戶數(shù)據(jù)日常備份方式增強(qiáng)系統(tǒng)安全. 采用必要的數(shù)據(jù)恢復(fù)技術(shù), 每天對(duì)設(shè)備運(yùn)行情況進(jìn)行跟蹤記錄, 積極采用各種手段和應(yīng)用先進(jìn)技術(shù)設(shè)備防范黑客入侵和病毒侵?jǐn)_.

4 結(jié)論

通過分析項(xiàng)目管理成熟度模型相關(guān)理論, 構(gòu)建了高校校園網(wǎng)絡(luò)安全管理成熟度模型. 通過實(shí)證分析得出四川信息職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)安全總體成熟度為規(guī)范級(jí), 網(wǎng)絡(luò)安全管理工作已經(jīng)制度化和標(biāo)準(zhǔn)化. 但通過成熟度評(píng)價(jià)可知在某些評(píng)價(jià)指標(biāo)方面還存在一些不足, 如針對(duì)媒體安全管理維護(hù)能力還有待進(jìn)一步改善,數(shù)據(jù)庫(kù)系統(tǒng)狀態(tài)監(jiān)控方面還又必要進(jìn)一步完善措施.目前關(guān)于校園網(wǎng)絡(luò)安全管理評(píng)價(jià)的研究還處于不斷發(fā)展和完善的過程, 本文在某些問題上的研究還存在一些不足, 比如評(píng)價(jià)指標(biāo)的選取, 選擇不同評(píng)價(jià)方法可能對(duì)評(píng)價(jià)結(jié)果造成較大影響, 需要在今后的工作中進(jìn)行進(jìn)一步的深入探討和研究.

1王強(qiáng)民, 張保穩(wěn), 張競(jìng). 高校信息系統(tǒng)安全等級(jí)保護(hù)工作的現(xiàn)狀分析. 第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集.合肥, 中國(guó). 2013.

2陳娜. 高校校園網(wǎng)絡(luò)安全評(píng)價(jià)分析研究[碩士學(xué)位論文]. 太原: 山西財(cái)經(jīng)大學(xué), 2011.

3江漢臣, 強(qiáng)茂山. 四種項(xiàng)目管理成熟度模型的比較研究. 項(xiàng)目管理技術(shù), 2013, 11(7): 17–22.

4李常寶, 桂軼杰. 校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)體系的研究與構(gòu)建. 山東商業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2016, 16(3): 102–106.

5師成. 北京協(xié)和醫(yī)院CIS項(xiàng)目質(zhì)量管理研究[碩士學(xué)位論文].濟(jì)南: 山東大學(xué), 2012.

Research and Construction of CERNET Network Security Management Maturity Model

HE Xiao-Chun
(Sichuan Vocational College of Information Technology, Guangyuan 628040, China)

Aiming at the defects of CERNET in network planning, construction and management, this paper analyzes the main factors of network security management, network security management maturity gradient model division, and puts forward the maturity of the five levels-five gradient matrix, which constructs a network security management maturity model. This model can not only detect the security vulnerabilities in the management of CERNET network, but also improve the safety management level, which is proved by the analysis of defects from Sichuan Vocational College of Information Technology campus network security management with the model, the results of which show that the Academy reaches maturity specification level.

CERNET network; safety regulations; build; maturity

賀曉春.CERNET網(wǎng)絡(luò)安全管理成熟度模型的研究與構(gòu)建.計(jì)算機(jī)系統(tǒng)應(yīng)用,2017,26(7):24–29. http://www.c-s-a.org.cn/1003-3254/5856.html

2016-11-03; 收到修改稿時(shí)間: 2016-12-12