电信网安全保障能力评价模型与方法浅析

能力成熟度划分等级进行分值评估，在每个层次的能力成熟度模型中有详细的关键指标，还有详细的标准流程和活动指标，再根据指标的等级和关键程度可以设置权重，最后再计算总分。最后，针对所有的关键指标或者所有的标准指标的累计分数整个IT安全保障体系能力成熟度进行总分评定，成熟度评估具体执行中将采取调查、调研、访谈、效果跟踪等方法进行。

2.2　计算方法

(1)体系成效考量计算方法

IT安全保障体系的建设成效= 安全策略体系水平*α+安全组织体系水平*β+安全运作体系水平*γ+安全技术保障措施建设水平*δ。

α、β、γ、δ分别表示IT安全策略体系、安全组织体系水平、安全运作体系水平和安全技术保障措施建设水平的重要性赋值所占的权重，其中α≥0，β≥0，γ≥0，δ≥0且α+β+γ+δ=1。

(2)体系水平成熟度计算方法

安全策略体系水平=α1*策略指标项1+α2*策略指标项2+α3*策略指标项3+α4*策略指标项4+… …。

其中，α1、α2、α3、α4等分别为各个指标项的加权因子，　=1，安全策略指标项分值和权重因子数值由细则另行定义。

其余三个能力指标安全组织体系水平、安全运作体系水平和安全技术保障措施建设水平成熟度计算方案以此类推。

(3)体系成效考量评价矩阵

针对IT安全保障体系建设成效，建立IT安全保障体系成熟度衡量标准和指标，具体如表1所示。

3　安全能力评估实践

在以上安全能力成熟度模型基础上，通过建立一套可操作的能力达标评价标准-安全基线(Security BaseLine)，考量IT安全保障体系建设成效，实现保障体系水平真正可量化评价。中国电信IT安全基线考评方法描述了CTG-MBOSS系统最基本的安全要求，通过安全基线考核指标，实现对企业各IT系统安全建设成效和管理水平的动态管理, 促进IT安全管理能力提升。

中国电信IT安全基线达标标准，从管理和技术两个维度对如何考察安全建设能力给出了详细的达标评比办法，将安全能力分为C级、B级、A级。分为组织架构管理、人员安全管理、运维安全管理、应用安全、主机安全、网络安全、审计安全管理七大项。一个完整的安全基线保障体系应该是将安全管理和安全技术手段相结合，通过各种安全管理制度、安全组织机构和安全运维制度等方面的建设，并在网络层、主机层、应用层采取各种安全技术手段建立多层保护的深度防御保障体系。从安全基线可操作性的角度出发，在安全管理层面应将组织架构管理要求、人员安全管理要求和运维安全管理要求等三部分作为IT系统安全的基线考评要求，在安全技术层面应将应用安全要求、主机安全要求、网络安全要求和安全审计要求等4部分作为IT系统安全的基线考评要求，通过建立健全IT系统管理与技术防护体系，逐步提升IT系统整体安全防护能力。IT安全基线评分标准如图2所示。

图2　IT 安全基线指标分解示例图

在实际操作中，IT安全基线达标测评采取打分的方式进行量化操作，对每一个检测项打分，属于判断结果为“是”或“否”的检测项，结果为“是”则评1分，为“否”则评0分。根据各项总分数对IT系统的安全评测结果分别进行等级化评定，IT安全基线能力基线视图和判定方法如图3所示。

图3　IT安全基线达标考核示例图

图3中的连线为IT安全达标能力的基本水平线，也真正体现了能力“基线”的真正意义。

4　结束语

综上所述，本文在IT安全保障体系模型框架基础上，阐述了一个可持续改进的IT安全保障体系能力成熟度模型，从IT安全规划建设、运作、技术保障、管理措施等几个方面因素入手，找出一套合理的评价方法对安全保障体系建设成效进行公正有效的考量和评价，给出了一个具有普遍性的具体可操作的安全基线达标实践方法，可指导企业开展IT安全建设能力评价工作。