一种等级保护工作量化评价体系研究

徐鑫

摘要：网络安全等级保护工作已开展多年，在整个工作环节中，仅等级保护测评有量化评价。因此，大家往往把个别信息系统的等级保护测评得分与网络运营者等级保护工作整体落实情况画等号，给主管部门整体评价网络运营者等级保护落实情况带来困难。文章根据多年来等级保护测评经验，对整个等级保护流程进行梳理，建立等级保护各环节评价指标。采用层次分析法对指标进行赋权，进而采用模糊综合评价法完成对网络运营者等级保护工作情况进行综合量化评价，突出网络安全等级保护工作周期各环节的重要性和薄弱点，为网络运营者提升等级保护工作效率带来一定的指导意义。

关键词：等级保护;信息安全测评;网络安全;层次分析法、模糊综合评价

中图分类号：TN915.08        文献标识码：A

文章编号：1009-3044（2020）32-0014-04

Abstract：Network security classified protection work has been carried out for many years，Throughout the work process，， only the  classified protection evaluation link has a quantitative evaluation. Therefore， people often equate the classified protection evaluation score of an information system with the overall implementation of the network operator's classified protection. This situation caused difficulties for the competent authorities to comprehensively evaluate the implementation of the network operator's classified protection work. This article is based on years of experience in  classified protection evaluation. Based on years of experience in protection evaluation， the article sorts out the entire classified protection process and establishes evaluation indicators for each link of classified protection. The article adopts the analytic hierarchy process to weight the indicators， and then uses the fuzzy comprehensive evaluation method to comprehensively quantify the network operator's classified protection work， highlighting the importance and weakness of each link in the network security classified protection work cycle， it has guiding significance in improving the efficiency of network operators' classified protection

Key words：classified protection; information security evaluation;internet security; analytic hierarchy process（AHP）; fuzzy comprehensive evaluation

1 引言

自國家主管部门颁布《信息系统安全等级保护实施指南》《信息系统安全等级保护基本要求》等标准以来，各地积极落实国家等级保护测评，参与定级测评的信息系统由单一市级单位核心业务系统铺开到辅助业务信息系统和区县单位运维的信息系统。等级保护测评报告得分在很长时间上代表着网络运营者的网络安全水平。随着国家网络安全要求的提高，国家及上海地方均成立了网络安全监测团队对各类信息系统进行扫描和渗透测试。与此同时，2016年以来各省市相关主管单位联合开展了关键信息基础设施检查。无论是外网渗透还是关键信息基础设施检查均发现不少问题。究其原因，目前网络运营者对等级保护工作认识不透彻，未落实等级保护定级、备案、测评、整改、安全建设各环节的要求，仅将工作重点放在测评本身。导致存在定级不全、定级不准、为得高分安全状况不好的系统不纳入测评对象、系统试运行阶段发生安全事件等等情况。为此本文结合等级保护工作各环节重点与科学的评价方法，旨在建立一套评价体系，较为完整地对网络营运者的等级保护工作进行量化评价，进而为单位网络安全工作计划提出建议。

2 评价指标的建立与评价方法的选择

1）层次分析法

随着各类研究的深入与细化，很多问题无法直接建立数学模型进行分析或数学模型计算工作量急剧增加，美国运筹学家萨蒂回归决策人主观感受，借助数学方法整理决策人主观思路，提出层次分析法。层次分析法是一种结合定量与定性的研究方法，分析目的较为明确，分析过程结合主管思维，不易造成偏差。通过将问题分解成层次结构，层层紧密相连，使得整个分析过程具有系统性[1]。

2）模糊综合评价法

对一个单位总体等级保护工作或某一项具体事宜进行评价，主观上存在“差”“较差”“一般”“较好”“好”的评价。模糊综合评价法通过构造评价对象集合、评价集合、确定评价指标权重、构建模糊评价矩阵计算出评价目标对应评价集合的隶属度。模糊综合评价法优点在于如果指标权重准确，计算出的隶属度矩阵则能准确反映和评价目前的真实情况[2]。

3）方法选取

对运维单位等级保护工作进行量化评价，需要经过建立评价指标，指标权重进行量化以及将评价意见进行科学量化三个环节。本文评价指标的建立参照等级保护测评定级、备案、测评、整改的流程，融入《网络安全法》网络安全责任制和“同步规划、同步设计、同步运行”的新要求设计指标。指标具备清晰的层次模型结构，且评价实施的基础数据依赖评价人员主观评价。因此通过层次分析法确定评估指标权重，采用模糊综合评价法进行综合评估计算单位等级保护工作对应评价集合隶属度，在实践中较为切实可行。

3 评价体系的建立

3.1 评价指标的建立

结合等级保护流程及相关工作经验，本文将等级保护评价工作分为定级及备案、测评、整改、整体控制评估一级指标[3]。

3.1.1 定级及备案

1）定级备案全面性：梳理单位全部信息系统，结合业务服务需求、对方数量与存储数据重要性等情况，比对单位已定级备案的系统。评价定级备案全面性情况。

2）定级备案准确性：查阅单位内定级备案流程，是否与业务部门协同定级，是否遵循《定级指南》以及地方主管单位的要求，是否咨询专家和上级单位指导意见。

3）新建网络定级：新建网络是否遵循“同步规划、同步建设、同步运行”原则，在网络规划设计阶段进行定级。

4）定级备案责任明确： 单位内部制度上是否明确定级备案责任岗位，制度上是否规范定级备案流程，对随意定级、隐瞒定级等行为是否进行约束。

3.1.2 测评

1）测评责任明确：等级保护测评总体负责人和各层面管理员是否明确，是否向负责人和各层面负责人宣贯等级保护工作的重要性以便积极配合等级保护测评的开展。

2）测评实施及时性： 对所有定级备案的系统或平台的历史测评时间进行查询，根据等级保护制度要求对全部系统进行评价。

3）测评结论：查看等级保护测评报告，统计各个系统或平台得分情况，对测评结果进行评价。

3.1.3 整改

1）整改责任明确：对等级保护测评、风险评估、安全自查发现的问题项整改责任是否落实到个人。

2）整改方案制定：是否制定了详细的切实可行的整改方案，是否包含短期整改计划及远期安全目标。

3）整改方案落实：是否落实整改方案的内容，及时消除风险隐患，并依据远期安全目标制定采购、研发计划。

3.1.4 整体控制

1）网络安全责任落实：是否确定网络安全等级保护工作责任人，建立网络安全等级保护工作责任制，落实责任追究制度。工作责任人是否为单位主要领导直接担任。

2）网络安全检查落实：单位责任领导是否组织网络安全自查以及渗透测试，对现有制度的落实情况进行控制。

3）应急预案与演练：单位内部是否制定详细的应急预案并进行演练，对现有安全措施进行验证。责任领导是否直接参与应急预案与演练，保证应急相应工作具备充足的人力物力资源支持[4]。

3.2 评价指标权重确认

根据第二章建立的评价指标，以等级保护工作评价为决策目的，将定级备案、测评等环节作为准则，将具体评价点作为直接评价的指标，建立层次结构如图1评价指标层次结构图。

确定对比尺度，设置主观上对比两种方案或准则的差距的数字量化尺度，如表1 尺度含义。

设置独立三组评价人员分别对准则层相对决策层影响对比、方案层对决策层影响对比，形成如下表的对比矩阵如表2评价对比对比矩阵，共可构造准则层矩阵S和方案层矩阵[S1]、[S2]、[S3]、[S4]。

（1）依次求出单行的影响程度对比指标值的乘积的i次方根：

（2）计算评价人员对比矩阵特征向量值即评估指标权重，为方便对比，进行划一。

对三组评价人员特征向量值取算数平均数，得出模糊评价所需指标权重。

3.3 模糊综合评价实施

根据第二章节描述构造评价集合如下：

通过三个评估人员独立对13个评估指标进行评价，形成评价矩阵[H1]、[H2]、[H3]、[H4]。

其中n=5，表示具體评价标号，m=13，表示评价评价指标编号。[hmn]表示对标号为m的指标项给出标号为n的评价的人员比例。

[E]即网络运营者等级保护工作对应各评价的隶属度，其中数字最大e对应的评价为该网络运营者的总体评价。为了进一步对网络运营者提出具体改进方向，借用效用原理，为评价集合每个评价附上效用值，如表3评价效用值。

4 模拟案例分析

模拟某大型国有单位M进行评价，权重须采集多名专家意见形成评价矩阵，模拟简化为单一专家意见。

分别经过（1）（2）计算，S决策层权重向量记为[Wm]，方案层权重向量记为[Wn]，方案层综合权重[Wmn=Wm*Wn]，见表4指标项权重表。

根据公式（4）由三个信息安全专家对各指标进行模糊评价，形成评价集合[H]。根据公式（5）求隶属度向量[E]。

因此该单位等级保护测评对应评价集合内各评价的隶属度见表5评价隶属度。

结合指标项权重[Wmn]与指标项得分[F]，得出评价结论如表6评价输出。单位即可结合自身人员配置、制度规定以及预算情况进行有目的性调整等级保护工作要点，提升等级保护工作效率。

5 结束语

在工作中，本人经常面临如何对某个单位开展等级保护工作情况进行评价的难题。整理针对这些困惑所存在的问题点，提出评价网络运营者等保工作的评价指标，同时也借助一些成熟的研究方法，使得结果更加直观和量化。目前所设计的体系处于初步状况，在后期的工作中将进一步完善该评价体系，希望能为主管部门评价等级保护工作做一些探索。

参考文献：

[1] 程朝霞，李光耀，韩瑞婷.基于AHP模型的运城盐湖湿地及周边景观综合评价[J].天津农业科学，2019，25（8）：69-72.

[2] Lothar PhilippsJust Descisions Using Multiple Criteria or：Who Gets the Porsche？ An Application of Ronald R.Yager's Fuzzy Logic Method[C].ICAIL95 Proceedings of the 5th international conference on Artificial intelligence and law，USA：ACM，1995：195，200.

[3] 公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M] .北京：电子工业出版社，2010：1，3.

[4] GBT22239-2019信息安全技术网络安全等级保护基本要求[S].

【通联编辑：代影】