企业网络安全运营能力评价研究

企业网络安全运营是指企业为保护其信息系统和数据资产，有效预防和应对安全事件，确保企业网络安全可靠运行而进行的一系列活动和措施。从流程视角来看，企业网络安全运营是一个自适应的持续闭环，涵盖了安全建设和安全应对的方方面面。其中，安全建设是企业网络安全运营的环境基础，包括标准规范建设、组织架构建设、管理制度建设和安全系统建设等。安全应对是企业面对安全事件、威胁或攻击时采取的一系列措施和行动，从流程上可分为事前应对、事发应对、事中应对和事后应对。

从要素视角来看，基于我国提出的WPDRRC安全模型以及美国制定的IATF信息保障技术框架，企业网络安全运营的核心要素主要包括人员、技术和策略。其中，人员是安全运营的核心，是技术的使用者和策略的执行者；技术是安全运营的保证，为人员更好地实施安全措施提供工具支撑；策略是安全运营的桥梁，为人员和技术提供指导框架。

关于企业网络安全运营能力，目前国内外尚未形成统一的界定标准，对企业网络安全运营能力评价指标体系的构建也是众说纷纭。就评价方法而言，目前常见的企业网络安全运营评价方法主要有成熟度模型评价法（如基于CMMC模型、NIST模型、ENISA成熟度模型、信息安全技术-数据安全能力成熟度模型等）、综合评价法（如AHP法、模糊综合评价法、神经网络法等）和问卷调查法等。但这些方法在对我国企业网络安全运营能力进行评价时缺少普适性，以及对维度的综合性和可拓展性。例如，成熟度模型通常聚焦于网络安全的技术层面，问卷调查法缺少一定的客观性。同时，现有的评价方法也常常面临数据质量问题。数据质量是准确评价企业网络安全运营能力的关键。

然而，企业网络安全能力评价往往涉及多维度的指标，相应的数据具有多样性、复杂性和规模性。这就导致传统的评价方法与企业网络安全运营能力评价的需求存在不适应。此外，不同指标的数据量及采集时效存在差异，数据量纲也会因企业类型或规模而异。因此，为适应企业网络安全运营能力的评价需求，应对已有评价方法进行改进和优化，并引入机器学习、智能分析等先进的数据分析技术。

为发挥综合评价“以评促建”的作用，本文基于企业网络安全运营的内涵及企业网络安全工作目标，从安全建设水平、安全应对能力和安全管理效果三个方面，构建企业网络安全运营能力的评价框架（如图1所示）。

图1  企业网络安全运营能力评价框架

1.安全建设水平

企业安全建设水平主要从安全建设投资水平、标准规范建设水平、组织架构建设水平、管理制度建设水平和安全系统建设水平等方面衡量。其中，安全建设投资水平反映了企业网络安全建设的资金保障能力，可使用安全建设投资规模衡量，如企业安全建设投入占企业营业成本的比例。企业标准规范建设水平反映了企业的网络安全标准建设及合规情况，可基于国家或行业出台的标准项目，通过企业的达标情况衡量。

组织架构建设水平反映了企业在安全运营方面组织结构的健全程度，可从团队设置、人员配置、责任划分等方面的实施情况衡量。管理制度建设水平反映了企业的网络安全管理制度建设情况，可通过量化企业在安全策略规划、安全流程制定、安全人员培训、安全事件演练以及安全审计监督等方面的实施情况衡量。安全系统建设水平反映了企业在网络安全运营信息系统建设方面的成熟程度和能力水平，可从安全平台建设、安全设备配置、系统自动化响应以及智能数据分析等方面的成熟度衡量。

2.安全应对能力

基于PDRR模型框架，本文所指的企业安全应对能力侧重于技术层面的能力，主要包括事前预防与识别能力、事发监测与预警能力、事中响应与处置能力以及事后调查与评估能力四个维度。

其中，事前预防与识别能力强调企业安全防御的主动性，可通过安全风险评估分值、安全事件识别的准确率和安全事件阻止率等进行衡量。事发监测与预警能力强调企业对安全事件的实时监控和快速反应，是指企业在安全事件发生时，能够及时监测、检测和预警安全威胁的能力，可通过平均检测时间（MTTD）、平均确认时间（MTTA）、预警准确率和预警覆盖率等进行衡量。事中响应与处置能力强调企业的精准响应和应急处理能力，是指企业在发生网络安全事件后，能够迅速、准确地采取应对措施，最小化安全事件影响和损失的能力，可利用安全事件的平均响应时间（MTTR）衡量。事后调查与评估能力强调企业在安全事件后的溯源与改进，是指企业在网络安全事件发生后，对安全事件进行起因溯源、影响评估等的能力，可利用平均调查时间（MTTI）衡量。

3.安全管理效果

网络安全管理效果主要从安全事件发生率、安全事件影响力、安全事件处理效率、安全事件恢复效率以及安全投资回报率等方面进行衡量。其中，安全事件发生率反映了有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等的发生情况，可通过统计和分析企业网络安全事件数据进行计算。

安全事件影响力反映了安全事件对企业带来不良影响的程度，可从安全事件等级严重程度、对企业造成的经济损失及恢复所需成本等方面进行量化。安全事件处理效率反映了企业在安全事件发生后快速行动、有效解决问题的能力，可从安全事件的平均遏制时间（MTTC）和安全事件解决率两个方面进行衡量。安全事件恢复效率反映了企业在遭受安全事件后迅速有效恢复正常运营的能力，可以利用安全事件平均恢复时间（MTTR）衡量。安全投资回报率反映了企业在网络安全方面的投资带来的经济回报，可以利用基于安全投资数据与实际损失数据计算得到的安全投资回报率衡量。

为促进企业网络安全运营的标准化建设，本文基于S&P信用评级方法和网络安全成熟度模型，设计了企业网络安全运营能力交叉评级方法，从企业安全管理能力和安全管理效果两个方面对企业网络安全运营能力进行对比分析。

步骤1：测度企业的安全建设水平（Y₁）、安全应对能力（Y₂）及安全管理效果（Y₃）；具体可通过AHP、模糊综合评价等方法计算企业网络安全运营能力三个一级指标的得分。

步骤2：构造企业网络安全运营管理能力指标（Y₁₂）；具体是将企业的安全建设水平和安全应对能力两项指标进行加权合成（加权公式为 Y₁₂=W₁Y₁+W₂Y₂。其中，W₁和W₂分别是企业安全建设水平和安全应对能力两项指标对应的权重）。

步骤3：对企业网络安全运营管理能力（Y₁₂）和企业安全管理效果（Y₃）进行赋值；具体是将企业的安全运营管理能力和安全管理效果分别划分为六个等级，并依据企业的综合评价结果对相应的指标赋值，指标得分越高则赋值越小。

步骤4：设计交叉评级规则（如图2所示），并基于规则对企业进行评级；企业的安全运营能力被划分为A、B、C、D、E五个等级，分别对应初级防护、基础防范、稳定合规、主动防御和自主防御。

图2  企业网络安全运营能力交评级标准

本文基于企业网络安全运营内涵及企业网络安全工作目标，从安全建设水平、安全应对能力和安全管理效果三个维度出发，提出了一个具有通用性的企业网络安全运营能力评价框架，设计了企业网络安全运营能力的交叉评级方法。本文提出的评价框架和评价方法旨在促进企业网络安全运营的标准化建设，但企业网络安全运营是一个复杂且持续的过程，对其能力进行评价依赖于一定的数据基础。因此，如何对本文构建的评价框架进行细化，因行业而异地设计可度量的细分指标，并结合实际数据开展实证分析，是未来进一步研究的重要方向。

来源：《网络安全和信息化》杂志

作者：中电海康集团有限公司  钱锋