摘要：文章基于成熟度模型建立了數(shù)字交通網(wǎng)絡(luò)安全評價指標體系，同時構(gòu)建了某交通機構(gòu)信息通報和應(yīng)急處置等工作機制。該機構(gòu)的機房、核心網(wǎng)絡(luò)等已通過等保三級測評，部署了防火墻、負載均衡、入侵檢測、態(tài)勢感知設(shè)備、堡壘機等網(wǎng)絡(luò)安全設(shè)備，以保障業(yè)務(wù)系統(tǒng)的連續(xù)性，并初步具備主動防御能力。應(yīng)用模糊數(shù)學(xué)理論建立了綜合評價模型，采用定量評價與定性評價相結(jié)合的方式，對網(wǎng)絡(luò)安全成熟度進行評價。結(jié)果顯示，評價結(jié)果與實際情況相符，說明該評價指標體系和評價方法有效。

關(guān)鍵詞：成熟度模型；網(wǎng)絡(luò)安全；評價指標體系；多級模糊綜合評價法

中圖分類號：TP393" " " " 文獻標識碼：A

文章編號：1009-3044（2025）16-0091-04

開放科學(xué)（資源服務(wù)） 標識碼（OSID）

0 引言

數(shù)字交通作為數(shù)字中國戰(zhàn)略的重要內(nèi)容，是數(shù)字經(jīng)濟發(fā)展的重要領(lǐng)域。它以數(shù)據(jù)為關(guān)鍵要素和核心驅(qū)動，促進物理和虛擬空間的交通運輸活動不斷融合、交互，形成了現(xiàn)代交通運輸體系[1]。國家對公共通信和信息服務(wù)、能源、交通等可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護?！笆濉逼陂g，交通運輸信息化數(shù)字化發(fā)展水平不斷提升，網(wǎng)絡(luò)安全與技術(shù)支撐體系、網(wǎng)絡(luò)安全政策體系基本建立，信息系統(tǒng)安全等級保護能力普遍提升[2]。然而，面對新挑戰(zhàn)，當(dāng)前網(wǎng)絡(luò)安全主動防護、縱深防御及綜合防范能力尚難以滿足新興威脅形勢的需求。2023年，國務(wù)院發(fā)布了《數(shù)字中國建設(shè)整體布局規(guī)劃》，明確指出要提升數(shù)字技術(shù)創(chuàng)新和安全保障兩個關(guān)鍵能力，筑牢可信可控的數(shù)字安全屏障，提高數(shù)字安全保障能力，切實維護網(wǎng)絡(luò)安全[3]。這對提高數(shù)字交通網(wǎng)絡(luò)安全防護能力提出了新的更高要求。

目前，我國網(wǎng)絡(luò)安全處于合規(guī)驅(qū)動建設(shè)階段。面對網(wǎng)絡(luò)攻擊日益向經(jīng)濟、社會、國防、外交等領(lǐng)域交織滲透，對抗從個人轉(zhuǎn)向組織甚至國家的情況，公安部明確提出，網(wǎng)絡(luò)安全建設(shè)要堅持問題導(dǎo)向、實戰(zhàn)引領(lǐng)，樹立極限思維、底線思維和“一盤棋”思想，提檔升級網(wǎng)絡(luò)安全工作，全面落實“實戰(zhàn)化、體系化、常態(tài)化”和“動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施。這明確了要以提升網(wǎng)絡(luò)安全能力為手段，以實戰(zhàn)為目的；工作思路要從以產(chǎn)品主導(dǎo)、功能主導(dǎo)向以能力為主導(dǎo)、在實戰(zhàn)中可持續(xù)性改進的網(wǎng)絡(luò)安全體系轉(zhuǎn)變。因此，構(gòu)建一個能持續(xù)改進網(wǎng)絡(luò)安全能力的評估體系是適應(yīng)當(dāng)前形勢的必然選擇。

1 相關(guān)研究現(xiàn)狀

網(wǎng)絡(luò)安全業(yè)界開發(fā)了網(wǎng)絡(luò)安全成熟度模型CMM（Capability Maturity Model） ，該模型得到了廣泛應(yīng)用。例如，美國以CMM作為理論基礎(chǔ)，開發(fā)了三個網(wǎng)絡(luò)安全認證模型：美國國家標準與技術(shù)研究院（NIST） 的CSF（Cybersecurity Framework） 、能源部的C2M2（Cybersecurity Capability Maturity Model） 、國防部的CMMC（Cybersecurity Maturity Model Certification） 。CSF于2013年開發(fā)，旨在改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，2024年2月發(fā)布了CSF 2.0（原表述“CFK 2.0”有誤） 。C2M2是美國能源部于2012年發(fā)布，重點保護關(guān)鍵能源基礎(chǔ)設(shè)施，2022年6月發(fā)布了最新版C2M2 V2.1。美國國防部于2020年9月發(fā)布了首版CMMC，目的是增強國防工業(yè)基礎(chǔ)30多萬個承包商的網(wǎng)絡(luò)安全，2021年發(fā)布了CMMC 2.0版本，簡化了認證要求，使其更容易執(zhí)行。

我國也推出了CMM模型標準，如GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》、GB/T 20261-2020《信息技術(shù) 安全技術(shù) 系統(tǒng)安全工程能力成熟度模型》和GB/T 41400-2022《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》等技術(shù)標準，促進了該技術(shù)的應(yīng)用。

國內(nèi)多個單位也開展了相關(guān)探索實踐。公安部第三研究所網(wǎng)安中心自主研發(fā)了網(wǎng)絡(luò)安全實戰(zhàn)能力成熟度模型，推出的評價體系包含6個安全域、36項安全能力，以“攻防”為導(dǎo)向、以“運營”為核心，從“資源投入、管理流程、技術(shù)有效性”三個維度評價各單元成熟度，進而客觀分析整體網(wǎng)絡(luò)安全攻防能力成熟度。

2021年，廣東省出臺了《廣東省數(shù)字政府網(wǎng)絡(luò)安全指數(shù)指標體系》，包括4個一級指標、24項二級指標和103項評估要點。廣東省已經(jīng)連續(xù)三年發(fā)布了數(shù)字政府網(wǎng)絡(luò)安全指數(shù)評估報告，對廣東省各地市數(shù)字政府網(wǎng)絡(luò)安全能力進行成熟度分析，成熟度等級從高到低依次為優(yōu)化級（S） 、完善級（A） 、穩(wěn)健級（B） 、受控級（C） 和啟動級（D） ，形成了“執(zhí)行—評估—反饋—改進”的閉環(huán)管理模式。廣東省各地市積極探索工作思路，安全管理機制更完善，技術(shù)防護體系更健全，應(yīng)急處置機制更高效，主動防御能力明顯提升，網(wǎng)絡(luò)安全防護體系建設(shè)取得了良好的工作成效。

2 基于成熟度模型的數(shù)字交通網(wǎng)絡(luò)安全評價指標體系的建立

為了構(gòu)建適用于數(shù)字交通行業(yè)的網(wǎng)絡(luò)安全評價指標體系，本文在借鑒國外成熟度模型的基礎(chǔ)上，充分融合了我國現(xiàn)有的等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護、密碼應(yīng)用、數(shù)據(jù)安全及個人信息保護等相關(guān)機制和措施。結(jié)合交通行業(yè)的特點，數(shù)字交通網(wǎng)絡(luò)安全評價指標體系以保障業(yè)務(wù)系統(tǒng)的連續(xù)性和高效運行為核心，涵蓋管理能力、業(yè)務(wù)能力、運維能力及協(xié)同防控能力四個維度，具體指標體系如表1所示。

為了方便將評價結(jié)果進行定量和定性相結(jié)合的分析，數(shù)字交通網(wǎng)絡(luò)安全能力成熟度分5個等級，能力特征如表2所示。

3 評價模型的選擇

鑒于網(wǎng)絡(luò)安全評價的復(fù)雜性，大量評價指標不易量化，因此選用多級模糊綜合評價法進行評價。評價步驟如下：通過收集或?qū)＜医?jīng)驗法得到各項指標的評價數(shù)據(jù)，將原始數(shù)據(jù)進行無量綱處理，確定各指標的權(quán)重，最后采用多級模糊綜合評價法進行分析。

3.1 模糊綜合評價法

模糊綜合評價法通過構(gòu)建等級模糊子集，把被評對象的模糊指標進行量化，運用模糊變換原理對各指標進行綜合評價[4]。多級模糊綜合評價法是先對低層次指標進行單級模糊評價，再依次評價高層次指標，直到所有層次的指標全部完成。單級模糊評價法步驟如下：

1） 確定評價對象的p個評價因素集。

[U={u]1，[ u]2， ^ ，[ u]p[}]" "（1）

2） 確定m個評語集，每一個等級對應(yīng)一個模糊子集。

[V={v]1，[ v]2， ^，[ v]m[}]" （2）

3） 進行單因素評價，逐個對被評價對象從每個因素[u]i（i=1，2， ^，p） 上進行量化，得到模糊關(guān)系矩陣R。

R=[R/U1R/U2^R/UP=r11r12^r1mr21r22^r2m^^^MrP1rP2^rPM] （3）

4） 確定評價因素的模糊權(quán)向量Q。

Q=[Q1Q2^Qp] （4）

通常進行歸一化處理。即

[i=1n]Qi=1 （i=1，2， ^，n） ，Qi gt;= 0" （5）

5） 計算模糊綜合評價向量B，并進行分析評價。

[Q○R=Q1Q2^Qp○r11r12^r1mr21r22^r2m^^^MrP1rP2^rpm]

=[S1S2^Sp=S]" " "（6）

式中：○代表合成算子。

3.2 評價指標的無量綱化處理

無量綱化處理也叫數(shù)據(jù)的標準化、規(guī)范化，是通過數(shù)學(xué)變換來消除數(shù)據(jù)的單位對評價的影響。常見的無量綱化處理有標準化、正向化、逆向化、區(qū)間化、求和歸一化等。本文用到的無量綱化數(shù)學(xué)公式如下。

區(qū)間化：將數(shù)據(jù)壓縮在[a，b]之間，當(dāng)a=0，b=1時，即歸一化處理；當(dāng)a=0，b=100時，即常見的百分制。

[x=a+（b-a）（x-xmin）xmax-xmin]" "（7）

式中：x為原始數(shù)據(jù)，X為區(qū)間化后的數(shù)據(jù)。

求和歸一化：

X=[xx]" " "（當(dāng)x＞0時）" "（8）

4 評價舉例

對交通行業(yè)某機構(gòu)網(wǎng)絡(luò)安全進行能力成熟度評價，該機構(gòu)制定了網(wǎng)絡(luò)安全規(guī)劃，建立網(wǎng)絡(luò)安全管理制度，建立了信息通報、應(yīng)急機制；建設(shè)了B級機房、萬兆局域網(wǎng)，開發(fā)了網(wǎng)站、辦公自動化系統(tǒng)等業(yè)務(wù)系統(tǒng)，開展了等保定級測評、密碼應(yīng)用改造等網(wǎng)絡(luò)安全合規(guī)化建設(shè)工作。

4.1 確定指標權(quán)重

網(wǎng)絡(luò)安全指標的權(quán)重可以用專家經(jīng)驗法、熵值法[5]、層次分析法等確定。本文采用專家經(jīng)驗法，請10位專家對指標的重要程度進行判斷，根據(jù)公式（8） 求和歸一化得到一級指標權(quán)重Q=（0.267，0.333，0.233，0.167），二級指標權(quán)重為Q1=（0.15，0.2，0.225，0.25，0.175），Q2=（0.2，0.2，0.18， 0.18，0.12，0.12），Q3=（0.175，0.175，0.225，0.2，0.225），Q4=（0.333，0.233，0.267，0.167）。其中Q4，“網(wǎng)絡(luò)安全事件”指標為扣分項指標，不參與權(quán)重的分配。

4.2 對“管理能力”指標進行評價

在實際工作中，交通行業(yè)對“經(jīng)費保障”指標進行客觀評價：新建信息化項目的網(wǎng)絡(luò)安全經(jīng)費為項目的5%，達到此標準可以得滿分。該機構(gòu)經(jīng)費保障符合此要求，經(jīng)無量綱和歸一化處理，此指標得分為“1”，屬于“優(yōu)”，考慮權(quán)重，則得分為1×0.25=0.25。

其他四個指標選用模糊綜合評價法。確定評語集V={優(yōu)，良，中，及格，差}，與[95，100]、[85，95）、[75，85）、[60，75）、[0，60]對應(yīng)，且定義向量H={92，90、85，67，30}。組織專家對其他四個二級指標進行評判，進行歸一化計算得到模糊關(guān)系矩陣，記為R1。

[Q1○]R1[=（0.15，0.2，0.225，0.175）○0.10.70.2000.10.70.20000.60.30.1000.40.40.20]

= （0.035，0.45，0.2075，0.0575，0）

將“經(jīng)費保障”的得分計入則S1= （0.285，0.45，0.2075，0.0575，0）。

4.3 對“業(yè)務(wù)能力”指標進行評價

“等級保護”和“密碼應(yīng)用”兩個指標采用信息系統(tǒng)完成的比例進行評價。經(jīng)評價，等級保護工作完成100%，屬于“優(yōu)”，得分為0.2；“密碼應(yīng)用”完成90%，屬于“良”，考慮權(quán)重，得到0.162，還有10%未完成，屬于“差”，得到0.018?！皞€人信息保護”指標以“用戶同意”“最小必要”和去標識化、脫敏等的覆蓋率為評價標準，經(jīng)評價全部完成，屬于“優(yōu)”，考慮權(quán)重，得到0.12。其他三個指標采用模糊綜合評價法進行評價。同理，可得到模糊關(guān)系矩陣R2如下，經(jīng)計算得到S2= （0.32，0.246，0.262，0.134，0.038）。

R2=[000.50.400.1000.70.3000.70.300]

4.4 對“運維能力”和“協(xié)同防控能力”指標進行評價

方法同上，可以分別得到模糊關(guān)系矩陣R3和R4，計算得S3= （0，0，0.665，0.2925，0.0425），S4= （0，0.1068，0.58，0.2566，0.0566）。

R3[=000.60.40000.70.30000.7020.1000.50.40.1000.80.20]

R4[=000.50.40.1000.70.20.100.40.50.10000.70.30]

4.5 計算該機構(gòu)能力模糊綜合評價向量

根據(jù)公式（6）計算：

[Q○]R[=（0.267，0.333，0.233，0.167）○0.2850.450.2750.057500.320.2460.2620.1340.038000.6650.29250.042500.10680.580.25660.0566]

=（0.1826，0.2199，0.3945，0.1710，0.032）

4.6 對該機構(gòu)的網(wǎng)絡(luò)安全能力成熟度進行評價

按照隸屬度最大原則判斷，S=（0.1826，0.2199，0.3945，0.1710，0.032），S3=0.3945隸屬度最大，該機構(gòu)網(wǎng)絡(luò)安全能力成熟度為“合規(guī)級”。

為了更為直觀地比較評價結(jié)果，根據(jù)向量H={92，90，85，67，30}和模糊評價向量S=（0.1826，0.2199，0.3945，0.1710，0.032），按照加權(quán)平均進行計算，得分為82分，屬于“合規(guī)級”。

5 結(jié)束語

該機構(gòu)按照法律法規(guī)的要求，完成了等級保護、密碼應(yīng)用等各項合規(guī)性建設(shè)；建立了信息通報、應(yīng)急處置等工作機制，機房、核心網(wǎng)絡(luò)等已通過等保三級測評，部署了防火墻、負載均衡、入侵檢測、態(tài)勢感知設(shè)備、堡壘機等網(wǎng)絡(luò)安全設(shè)備，能夠保障業(yè)務(wù)系統(tǒng)的連續(xù)性，初步具備主動防御能力。此外，該機構(gòu)與省委網(wǎng)信辦、公安網(wǎng)安機構(gòu)等建立了工作聯(lián)系，可及時接收預(yù)警威脅信息，并組織自查整改。本文采用定量與定性相結(jié)合的模糊綜合評價法所得出的結(jié)論與實際情況相符。

基于成熟度模型的評價指標體系，其核心是在實踐中持續(xù)改進與完善：一是根據(jù)國家網(wǎng)絡(luò)安全相關(guān)要求，對指標和評估要點進行持續(xù)、動態(tài)的改進和完善，以準確評價數(shù)字交通網(wǎng)絡(luò)安全能力。二是隨著經(jīng)驗的積累，采用更多客觀評價方法替代主觀評價方法，使評價結(jié)果更加客觀。三是以評價結(jié)果為依據(jù)，持續(xù)改進和提高評價對象的網(wǎng)絡(luò)安全能力，以適應(yīng)新的網(wǎng)絡(luò)安全形勢，切實落實“三化六防”措施。

參考文獻：

[1] 交通運輸部.數(shù)字交通發(fā)展規(guī)劃綱要[EB/OL].[2023-10-20].https：//xxgk.mot.gov.cn/2020/jigou/zhghs/202006/t20200630_3321233.html

[2] 交通運輸部.數(shù)字交通“十四五”發(fā)展規(guī)劃[EB/OL].[2023-10-20].http：//big5.mot.gov.cn/gate/big5/www.mot.gov.cn/zhuanti/shisiwujtysfzgh/202201/P020220112576470472593.pdf.

[3] 國務(wù)院.數(shù)字中國建設(shè)整體布局規(guī)劃[EB/OL].[2023-10-20].https：//www.gov.cn/zhengce/2023-02/27/content_5743484.htm.

[4] 黃麗民，王華.網(wǎng)絡(luò)安全多級模糊綜合評價方法[J].遼寧工程技術(shù)大學(xué)學(xué)報，2004，23（4）：510-513.

[5] 莊鎖法，陳興梅.基于熵的高校網(wǎng)絡(luò)安全模糊綜合評價方法研究[J].信息技術(shù)，2010，34（10）：11-14.

【通聯(lián)編輯：代影】