校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)體系的研究與構(gòu)建

李常寶，桂軼杰

(1.山西警官職業(yè)學(xué)院，山西 太原　030006；2.復(fù)旦大學(xué)數(shù)學(xué)學(xué)院，上?！?00433 )

科技與應(yīng)用

校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)體系的研究與構(gòu)建

李常寶1，桂軼杰2

(1.山西警官職業(yè)學(xué)院，山西 太原030006；2.復(fù)旦大學(xué)數(shù)學(xué)學(xué)院，上海200433 )

摘要：鑒于高校校園網(wǎng)自身或多或少存在的建設(shè)或管理缺陷，加之黑客入侵增多及網(wǎng)絡(luò)病毒泛濫，校園網(wǎng)安全形勢(shì)不容樂(lè)觀。所以，保證高校校園網(wǎng)絡(luò)的安全、可靠與穩(wěn)定就變得非常重要。項(xiàng)目管理成熟度用來(lái)衡量某個(gè)組織按照預(yù)定目標(biāo)和條件成功地、可靠地實(shí)施項(xiàng)目的能力，即項(xiàng)目管理過(guò)程的成熟度。高校校園網(wǎng)絡(luò)部門可以借助項(xiàng)目管理成熟度模型來(lái)檢驗(yàn)自身的項(xiàng)目管理水平，發(fā)現(xiàn)并修正自身在項(xiàng)目管理過(guò)程中存在的缺陷，最終使高校校園網(wǎng)絡(luò)安全管理水平持續(xù)提高。

關(guān)鍵詞：校園網(wǎng);成熟度;體系;構(gòu)建;改進(jìn)

項(xiàng)目管理成熟度用來(lái)衡量某個(gè)組織按照預(yù)定目標(biāo)和條件成功、可靠地實(shí)施項(xiàng)目的能力，即項(xiàng)目管理過(guò)程的成熟度。高校校園網(wǎng)絡(luò)部門可以借助項(xiàng)目管理成熟度模型來(lái)檢驗(yàn)自身的項(xiàng)目管理水平，發(fā)現(xiàn)并修正自身在項(xiàng)目管理過(guò)程中存在的缺陷，最終使高校校園網(wǎng)絡(luò)安全管理水平持續(xù)提高。

1 高校校園網(wǎng)絡(luò)安全管理影響因素

根據(jù)自身實(shí)際工作經(jīng)歷并查閱相關(guān)文獻(xiàn)資料，認(rèn)為影響高校校園網(wǎng)絡(luò)安全管理工作的因素包括以下幾個(gè)方面：

(1)網(wǎng)絡(luò)硬件安全管理能力

主要包括高校校園網(wǎng)絡(luò)中所有網(wǎng)絡(luò)相關(guān)硬件、計(jì)算機(jī)相關(guān)硬件的質(zhì)量是否有保證，配置是否合理以及防水、防雷和防盜等安全措施是否得當(dāng)。

(2)網(wǎng)絡(luò)安全管理措施

主要包括高校校園網(wǎng)絡(luò)中所有與網(wǎng)絡(luò)管理相關(guān)的組織機(jī)構(gòu)、規(guī)章制度與人員配置是否合理；網(wǎng)絡(luò)安全防范、病毒入侵以及黑客入侵應(yīng)急防范技術(shù)是否做到位。

(3)通信安全管理

主要包括高校校園使用網(wǎng)絡(luò)進(jìn)行通信的過(guò)程中，數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)是否具備。網(wǎng)絡(luò)用戶權(quán)限劃分機(jī)制是否合理。

(4)操作系統(tǒng)安全管理

主要包括高校校園網(wǎng)絡(luò)中的計(jì)算機(jī)的操作系統(tǒng)正版化比例是多少。操作系統(tǒng)定期維護(hù)機(jī)制是否健全，操作系統(tǒng)漏洞的掌握情況以及網(wǎng)絡(luò)中數(shù)據(jù)庫(kù)的安全機(jī)制，冗余備份機(jī)制是否健全。

(5)備份措施

主要包括系統(tǒng)操作日志的建立、記錄與備份制度，網(wǎng)絡(luò)服務(wù)器的備份機(jī)制。

2 高校校園網(wǎng)絡(luò)安全管理成熟度的五個(gè)梯度與五個(gè)層面

(1)混亂級(jí)

混亂級(jí)是高校校園網(wǎng)絡(luò)安全管理的最低級(jí)別，處于混亂級(jí)成熟度水平的高校校園網(wǎng)絡(luò)部門不能有效的識(shí)別網(wǎng)絡(luò)安全危險(xiǎn)源，也不能采取針對(duì)性的措施對(duì)網(wǎng)絡(luò)安全危險(xiǎn)源進(jìn)行防范管理，不能采取事前控制方式對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行提前防范，所采取的手段和方法也多是經(jīng)驗(yàn)式和臨時(shí)式的。

(2)初始級(jí)

處于初始級(jí)成熟度水平的高校校園網(wǎng)絡(luò)部門已經(jīng)較為重視校園網(wǎng)絡(luò)安全管理工作的重要性，并采取了部分措施保障高校校園網(wǎng)絡(luò)安全管理工作的順利執(zhí)行。處于該梯級(jí)的高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備已經(jīng)具備初步的安全管理維護(hù)能力，可以基本解決高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備故障，并制定了簡(jiǎn)單的計(jì)算機(jī)設(shè)備網(wǎng)絡(luò)安全管理維護(hù)措施。

(3)規(guī)范級(jí)

處于該梯級(jí)的高校校園網(wǎng)絡(luò)部門已經(jīng)具備了較成熟的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全管理能力，能夠?qū)τ?jì)算機(jī)和網(wǎng)絡(luò)通信設(shè)備進(jìn)行較完善的維護(hù)管理，并建立了較完善的校園網(wǎng)絡(luò)安全管理環(huán)境。

(4)優(yōu)化級(jí)

處于優(yōu)化級(jí)梯級(jí)的高校校園網(wǎng)絡(luò)部門已經(jīng)具備了十分完善的網(wǎng)絡(luò)安全管理體系，該階段的網(wǎng)絡(luò)安全管理工作已經(jīng)集成化。該階段的校園網(wǎng)絡(luò)設(shè)備配置已經(jīng)十分合理，且設(shè)備質(zhì)量相當(dāng)有保障，具備了電源干擾和損壞等安全隱患和安全故障能力；

(5)持續(xù)改進(jìn)級(jí)

處于持續(xù)改進(jìn)級(jí)成熟度水平是高校校園網(wǎng)絡(luò)管理工作的最高水平標(biāo)準(zhǔn)，該水平的高校校園網(wǎng)絡(luò)管理部門有能力對(duì)校園網(wǎng)絡(luò)管理工作進(jìn)行自我優(yōu)化和改進(jìn)創(chuàng)新。

3 確定高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)

3.1 評(píng)價(jià)指標(biāo)選取原則

評(píng)價(jià)指標(biāo)的選取應(yīng)遵循以下幾個(gè)指導(dǎo)原則：

(1)科學(xué)性原則

高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)體系要以事實(shí)為依據(jù)，以科學(xué)理論為指導(dǎo)，不能憑空捏造。

(2)完備性原則

高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)體系是完整的體系。旨在全面綜合反映高校校園網(wǎng)絡(luò)的管理水平，找出高校校園網(wǎng)絡(luò)的問(wèn)題所在。

(3)獨(dú)立性原則

高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)體系中的指標(biāo)會(huì)盡量保持獨(dú)立，避免彼此之間相互關(guān)聯(lián)。

(4)可比性原則

高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)體系中盡量保證指標(biāo)可比性要強(qiáng)，不僅要反映管理水平，還要反映技術(shù)能力。盡量量化可比。

(5)可操作性原則

失去可操作性，高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)體系就沒(méi)有任何意義。可操作性越強(qiáng)，則評(píng)估人員越好下手。它會(huì)直接影響校園網(wǎng)絡(luò)評(píng)估工作的成敗。

(6)穩(wěn)定性原則

建立高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)體系時(shí)，指標(biāo)的選取會(huì)盡量選擇相對(duì)穩(wěn)定的指標(biāo)，起伏大的指標(biāo)不會(huì)考慮。

3.2 評(píng)價(jià)指標(biāo)的確定

4 高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)體系的構(gòu)建

表1　高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)

依據(jù)上述指標(biāo)，現(xiàn)構(gòu)建圖1所示的評(píng)價(jià)體系。評(píng)價(jià)體系共分為三層，目標(biāo)層U為高校校園網(wǎng)絡(luò)安全管理成熟度；目標(biāo)層A為評(píng)價(jià)體系的控制層，分別為網(wǎng)硬件安全管理能力、網(wǎng)絡(luò)安全管理措施、通信安全管理、操作系統(tǒng)安全管理和備份措施等五個(gè)指標(biāo)；目標(biāo)層B為實(shí)施層，包含網(wǎng)絡(luò)設(shè)備安全管理維護(hù)能等21個(gè)指標(biāo)。

5 高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)體系的構(gòu)建

根據(jù)以上建立的高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)體系，本部分確定評(píng)價(jià)指標(biāo)權(quán)重的計(jì)算方法，并選擇合理的數(shù)學(xué)方法計(jì)算高校校園網(wǎng)絡(luò)安全管理成熟度。

5.1 評(píng)價(jià)主體選擇與確定

評(píng)價(jià)主體的整體水平往往影響評(píng)價(jià)結(jié)果，甚至直接關(guān)系到評(píng)價(jià)方案的成敗與否。

圖2為不同評(píng)價(jià)主體評(píng)價(jià)對(duì)某項(xiàng)評(píng)價(jià)指標(biāo)的評(píng)價(jià)結(jié)果，專家A認(rèn)為該項(xiàng)指標(biāo)可能引起較大的風(fēng)險(xiǎn)，而專家B則認(rèn)為該項(xiàng)指標(biāo)基本上對(duì)評(píng)價(jià)對(duì)象沒(méi)有影響，風(fēng)險(xiǎn)很小，專家C則持有相對(duì)中立觀點(diǎn)。

圖1　高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)體系

圖2　不同專家對(duì)同一因素的評(píng)價(jià)結(jié)果

上述分析中可以看出，不同專家在完全相同環(huán)境下對(duì)同一因素的評(píng)價(jià)結(jié)果可能完全相反,為此應(yīng)科學(xué)合理的選擇并確定評(píng)價(jià)專家，以保證評(píng)價(jià)過(guò)程的合理性和評(píng)價(jià)結(jié)果的精確性。在選擇評(píng)價(jià)主體時(shí)應(yīng)該注意以下幾個(gè)方面：

(1)評(píng)價(jià)主體的構(gòu)成

基于評(píng)價(jià)對(duì)象的專業(yè)性和特殊性，評(píng)價(jià)主體應(yīng)該為熟悉高校校園網(wǎng)絡(luò)領(lǐng)域的專家或工作人員，以保證評(píng)價(jià)結(jié)果的科學(xué)性和合理性。同時(shí)，為了防止評(píng)價(jià)主體對(duì)評(píng)價(jià)結(jié)果的干擾，評(píng)價(jià)人員并不能全部由熟悉網(wǎng)絡(luò)安全工作的內(nèi)部部門人員組成，可以由網(wǎng)絡(luò)部門外部人員通過(guò)考察或查閱資料等方式進(jìn)行評(píng)價(jià)。評(píng)價(jià)主體應(yīng)該由多名專家共同組成，以防止出現(xiàn)圖2所示的評(píng)價(jià)誤差。

(2)評(píng)價(jià)專家應(yīng)的具備條件

評(píng)價(jià)專家是高校校園網(wǎng)絡(luò)安全管理工作的重要決策人，在高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)中藥綜合考察各方面信息，評(píng)價(jià)專家必須要十分了解校園網(wǎng)絡(luò)相關(guān)知識(shí)，可以客觀的評(píng)價(jià)各種指標(biāo)，最好具備從事過(guò)類似評(píng)價(jià)工作經(jīng)驗(yàn)。此外，評(píng)價(jià)專家應(yīng)該了解和熟悉成熟度評(píng)價(jià)相關(guān)理論。

(3)資料收集及整理

為確保評(píng)價(jià)結(jié)果的精確性，必須為評(píng)價(jià)專家提供詳細(xì)的資料信息。所提供的相關(guān)信息應(yīng)該有網(wǎng)絡(luò)部門人員專門收集整理完成，并確保相關(guān)信息的客觀性和準(zhǔn)確性，以保證評(píng)價(jià)方案真實(shí)、有效。

5.2 評(píng)價(jià)指標(biāo)權(quán)重的確定

評(píng)價(jià)指標(biāo)權(quán)重計(jì)算通常采用層次分析法、熵值法、經(jīng)驗(yàn)法、直接設(shè)置法等，其中層次分析法和熵值法為經(jīng)常使用的權(quán)重設(shè)置方法。層次分析法擅于處理多目標(biāo)且不易量化的評(píng)價(jià)指標(biāo)，缺點(diǎn)在于受到評(píng)價(jià)人員主觀影響很大，評(píng)價(jià)結(jié)果常常失真；熵值法計(jì)算出的權(quán)重值則客觀性很強(qiáng)，正好彌補(bǔ)了層次分析法的不足。

(1)層次分析法

層次分析法的計(jì)算步驟如下：

① 建立層次結(jié)構(gòu)模型

深入分析構(gòu)成系統(tǒng)的各要素，并將各要素進(jìn)行分層處理，建立層次結(jié)構(gòu)模型。層次結(jié)構(gòu)模型的最上層為目標(biāo)層，即評(píng)價(jià)結(jié)果因素，通常為唯一目標(biāo)。最底層為對(duì)象層，中間目標(biāo)層可以分為幾個(gè)層次。通常，下層目標(biāo)因素對(duì)上層目標(biāo)因素具有從屬影響，上層目標(biāo)因素則支配下層目標(biāo)因素。

② 構(gòu)造判斷矩陣

接下來(lái)，構(gòu)造矩陣，直到最底層因素判斷矩陣為止。標(biāo)準(zhǔn)見(jiàn)表2所示。

表2　重要性標(biāo)度含義表

③ 計(jì)算權(quán)向量進(jìn)行一致性檢驗(yàn)

一致性指標(biāo)CI計(jì)算公式為：

(5-1)

當(dāng)CR<0.10時(shí)，既滿足一致性檢驗(yàn)，反之，則應(yīng)該重新構(gòu)造判斷比較矩陣。

④ 組合權(quán)向量即一致性檢驗(yàn)

首先計(jì)算最底層因素對(duì)次底層目標(biāo)的權(quán)向量及一致性檢驗(yàn)，滿足一致性檢驗(yàn)情況下在按照上述方法計(jì)算倒數(shù)第二層因素對(duì)倒數(shù)第三層目標(biāo)的權(quán)向量及一致性檢驗(yàn)，以此類推，最終達(dá)到目標(biāo)層為止。

(2)熵值法

熵值法的計(jì)算步驟為：

① 假設(shè)n個(gè)主體和m個(gè)評(píng)價(jià)指標(biāo)，其中為第i個(gè)主體對(duì)應(yīng)的第j個(gè)指標(biāo)。

② 將各指標(biāo)進(jìn)行標(biāo)準(zhǔn)化處理，使之同質(zhì)化：

正向指標(biāo):

(5-2)

負(fù)向指標(biāo):

(5-3)

③ 計(jì)算第項(xiàng)指標(biāo)下第個(gè)主體占該指標(biāo)的比重：

(5-4)

④ 計(jì)算第項(xiàng)指標(biāo)的熵值。

(5-5)

⑤ 計(jì)算指標(biāo)j的權(quán)值：

(5-6)

(3)綜合權(quán)重

層次分析法善于處理大量難以量化的數(shù)據(jù)，適合高校校園網(wǎng)絡(luò)安全管理成熟度評(píng)價(jià)指標(biāo)體系，但由于采用專家打分辦法增加了評(píng)價(jià)結(jié)果的主觀性。為此，需要采取一定辦法對(duì)層次分析法計(jì)算得出的權(quán)重進(jìn)行修正。而熵值法具有客觀性很強(qiáng)的優(yōu)點(diǎn)，正好可以補(bǔ)充層次分析法缺點(diǎn)，即：

w綜合權(quán)重w層次×α+w熵值×(1-α)

(5-7)

其中：α為層次分析法計(jì)算權(quán)重的權(quán)重；1-α為熵值法計(jì)算權(quán)重的權(quán)重。該權(quán)重值可以采用經(jīng)驗(yàn)法由專家直接確定。

5.3 模糊綜合評(píng)判法計(jì)算成熟度

模糊綜合評(píng)判法的基本步驟為：

(1)確認(rèn)模糊綜合評(píng)價(jià)因素組成的集合U

其中：U={u1,u2,…,un}

(5-8)

U為擬評(píng)價(jià)項(xiàng)目待評(píng)價(jià)的評(píng)價(jià)因素，Ui為影響評(píng)價(jià)對(duì)象的各個(gè)評(píng)價(jià)因素。

(2)確定評(píng)價(jià)因素的評(píng)語(yǔ)集V：

其中：V ={v1,v2,…,vm}

(5-9)

對(duì)于評(píng)語(yǔ)集中評(píng)語(yǔ)等級(jí)數(shù)一般不能取值過(guò)大，以防影響評(píng)價(jià)結(jié)果的判定，對(duì)于評(píng)價(jià)等級(jí)通?？梢赃x擇m=5，如論文中評(píng)語(yǔ)集V={很小，較小，一般，較大，很大}。

(3)確定權(quán)重A

模糊綜合評(píng)判的一項(xiàng)重要工作就是合理的確定判斷權(quán)重，該權(quán)重值直接影響風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果。權(quán)重的確定主要取決于評(píng)判專家的主觀認(rèn)識(shí)以及評(píng)判因素的客觀影響程度。其中

A={ a1, a2,…, an}

(5-10)

(4)進(jìn)行單因素評(píng)價(jià)，建立模糊關(guān)系矩陣

得到一個(gè)實(shí)際上表示U和V之間模糊關(guān)系的模糊矩陣R[42]：

(5-11)

矩陣中的行向量表示某個(gè)因素對(duì)各等級(jí)評(píng)語(yǔ)的隸屬度。

(5)模糊綜合評(píng)價(jià)

得到模糊評(píng)價(jià)綜合效果B：

(5-12)

其中bj表示評(píng)價(jià)對(duì)象從整體上對(duì)評(píng)語(yǔ)集的隸屬度，

可得到隸屬度矩陣R：

(5-13)

(6)評(píng)價(jià)結(jié)果向量的分析

對(duì)綜合評(píng)判結(jié)果B=( b1, b2,…bm)進(jìn)行歸一化處理，

k=1,2,…,m

(5-14)

參考文獻(xiàn)：

[1]許福永,申健,李劍英.網(wǎng)絡(luò)安全綜合評(píng)價(jià)方法的研究及應(yīng)用[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2006(08) ：99-100.

[2] 余明輝,郭錫泉.網(wǎng)絡(luò)安全綜合評(píng)價(jià)的AHP可拓分析方法[J]. 電信科學(xué)，2010(12)：135-136.

[3] 李健宏,李廣振.網(wǎng)絡(luò)安全綜合評(píng)價(jià)方法的應(yīng)用研究[J]. 計(jì)算機(jī)仿真，2011(7)：147-148.

[4] 何文炯．風(fēng)險(xiǎn)管理[M]．北京：中國(guó)財(cái)政經(jīng)濟(jì)出版社, 2005.

[5] 劉鈞．風(fēng)險(xiǎn)管理概論[M]．上海：中國(guó)金融出版社，2005．

[6] 王卓甫．工程項(xiàng)目風(fēng)險(xiǎn)管理——理論、方法與應(yīng)用[M].北京：中國(guó)水利水電出版社, 2003．

[7] 徐業(yè)強(qiáng),姚遠(yuǎn),劉繼武,徐靈風(fēng). 基于項(xiàng)目管理成熟度(OPM3)模型的電力施工項(xiàng)目管理研究[J]. 科協(xié)論壇(下半月),2011(4).57-58.

[8] 羅志恒. 基于AHP和前景理論的知識(shí)型項(xiàng)目管理成熟度模型選擇研究[J]. 中國(guó)工程咨詢,2011(3).52-54.

(責(zé)任編輯：孫強(qiáng))

Research and Construction of the Evaluation System of the Maturity of Campus Network Security Management

LI Changbao1,GUI Yijie2

(1. Shanxi Jingguan Zhiye Xueyuan, Taiyuan, Shanxi 030006, China; 2. Fudan University, Shanghai 200433,China )

Abstract：The prevalence of management tendency makes the campus network security situation not optimistic, especially with the increase of hackers' invasion and the overflow of network virus. It can be the case that the campus network security issues are very severe. How, in the open network environment of campus network, to guarantee the normal and efficient operation in all colleges and universities has become an unavoidable important problem. Project management maturity model is used to measure an organization 's ability to achieve project goal, the project management process is becoming mature. Project management maturity is the evaluation of the level of the enterprise project management improvement framework. Based on the project management maturity model, the level of the enterprise project management is divided into the corresponding level, thus forming an orderly management platform. Campus network department can use the project management maturity model to test its own project management level, realize their own project management shortcomings, so as to improve the project management to provide foundation and basis, eventually making campus network security management level rise continuously.

Key words：campus network; maturity; system; construction; improvement

收稿日期：2016-04-15

作者簡(jiǎn)介：李常寶(1982-)，男，重慶人,信息工程系助講，國(guó)家軟件工程師，銳捷網(wǎng)絡(luò)工程師，三級(jí)心理咨詢師。

中圖分類號(hào)：F224.33

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1671-4385(2016)03-0102-05