数字城市网络安全运营成熟度模型
声明
本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
数字城市网络安全运营成熟度模型
本报告通过“战略和规划”、“流程和监管”、“技术和服务”、“人才和经验”、“合规建设”等五个维度,对城市数字安全运营水平进行评估,并根据不同维度的建设情况将城市数字安全运营水平由低到高分为“基础”、“入门”、“进阶”、“精通”、“专业”这五个等级。
五个维度加五个等级,就构成了“数字城市网络安全运营成熟度模型”。该模型可为不同城市网络安全运营水平进行分析评价。能够帮助城市管理者分析所在城市在数字化转型环境下的安全运营优势与不足,进而更好的提升我国城市安全运营建设整体水平。关于五个维度的具体含义及具体指标、不同等级对应的具体指标的要求,详见本报告“附录1 成熟度模型中的不同维度”。
在本次报告中,为计算、分析、表述和作图方便,我们也会用1~5的评分来指代五个等级,1分对应“基础”,2分对应“入门”,3分对应“进阶”,4分对应“精通”, 5分对应“专业”。如果在分析计算过程中出现小数,则表明该城市的该项指标已经达到了某一较低级别的水平,但尚未达到更高级别的水平。如3.5分,就表示高于“进阶”,但未到“精通”。
关于评分的具体计算方法,详见本报告“附录2 成熟度模型中的指标评分”、“附录3 成熟度模型中的评分计算”。
下图是“数字城市网络安全运营成熟度模型”的简化框架。
数字城市网络安全运营成熟度现状分析
以数字城市网络安全运营成熟度模型为基础,本次报告对全国40座典型城市(包括直辖市、特别行政区)的网络安全运营现状展开了深入调研。本章将结合调研结果,从平均成熟度情况、不同维度对比、分项指标对比等方面,对国内城市网络安全运营的整体状况进行分析。
根据本报告“附录2 成熟度模型中的指标评分”给出的“单个城市成熟度评分与定级”方法,本次报告对40座城市进行了数字城市网络安全运营成熟度评级分析(简称:成熟度评级)。其中,仅能达到“基础”级别的城市约占22.5%,“入门”级别为30.0%。也就是说,半数以上城市的网络安全运营成熟度均处于较低水平。达到“进阶”和“精通”水平的城市分别为30.0%和17.5%。暂无城市能够达到最高等级“专业”级。这也意味着,中国的数字城市网络安全运营工作还有很长的路要走。
从评价数字城市网络安全运营成熟度的五个维度来看,“流程和监管”的整体水平相对最高,40座城市的平均评分达到3.6分,对应“进阶”级别。而“战略和规划”、“技术和服务”、“人才和经验”、“合规建设”这几个方面,全国各城市的总平均分只能达到2.7~2.9分。
根据“附录3 成熟度模型中的评分计算”中给出的“单一维度成熟度评分与定级”方法,我们可以对被调研的40座城市,在不同维度的成熟度情况进行分析。详见下图。
可以看出,除了“战略和规划”之外,在其他各个维度中,至少有5%以上的城市,可以达到“专业”等级。而在“战略和规划”方面,目前尚没有任何城市可以达到最高等级的“专业”水平。同时,在“流程和监管”方面,有半数的城市可以达到“精通”和“专业”水平,这也是近年来,国内各地持续不断加强网络安全监管力度所取得的重要成果。
数字城市网络安全运营成熟度指标分析
为了进一步深入分析中国数字城市网络安全运营工作发展情况,加强长板、补足短板,本章将对被调研的40座城市不同维度的不同指标的平均水平进行分析。
下图给出了“战略和规划”七项指标的全国平均水平。
可以看到,平均分最高的一项是“重要发言”,平均分为3.4分,即在被调研的城市中,大多数城市的领导都非常重视网络安全工作,并在近两年做出过重要的发言或表态。
同时,“监测范围”是得分最低的一项,全国平均分仅为2.4分。参照“附录2 成熟度模型中的指标评分”可知,这一数字表明,国内绝大多数的城市只能达到对部分关键信息基础设施的安全监测与运营,而没有实现行业级的网络安全监测与运营能力,更不用说城市整体的网络安全监测与运营能力。
总体而言,在“战略与规划”七项指标中,仅有两项的全国平均分在3分以上。这也意味着,国内城市在“战略和规划”方面,整体处于较低水平。
下图给出了“流程和监管”六项指标的全国平均水平。
其中,“主管部门”和“规范文档”的这两项平均分最高,为4.1分。也就是说,绝大多数城市对网络安全工作都有明确的主管部门,能够建立一批“城市级重要网络安全信息规范文档”,使得本市的网络安全工作能够有据可依、有序开展。
同时, “管理指标”和“管理制度”平均分最低,分别为3.0分和3.1分。也就是说,在监管过程中,绝大多数城市只有“简单的网络安全运营管理制度”,缺乏“明确的网络安全运营管理指标”。制度和指标的缺乏,已经成为国内很多城市在网络安全规范化运营管理过程中遇到的最大痛点。
总体而言,“流程和监管”的六项指标,全国平均水平均在3分以上。这在五个分析维度中是绝无仅有的。
下图给出了“技术和服务”四项指标的全国平均水平。
其中,“安全机构”的平均分最高,为3.0分。也就是说,全国各城市平均拥有3~5家本地网络安全机构。这一数字是让人欣喜的。毕竟,一座城市拥有几家落户本地的网络安全机构,就意味着这座城市在网络安全方面具有一定的独立造血能力。不过,从下一章的分析可以看出,安全机构在城市间的分布并不平衡。
“攻击溯源”的平均分最低,仅为2.2分。也就是说,绝大多数的中国城市,即便有本地网络安全机构,也普遍不具备“攻击溯源”能力。客观的说,攻击溯源本身也是一项比较高级的网络安全能力。多数专业的网络安全企业也都不具备这一能力。
总体而言,“技术和服务”的四项指标中,只有一项的全国平均分超过3分。这表明,国内城市在“技术和服务”方面,亟待提升。
下图给出了“人才和经验”四项指标的全国平均水平。
其中,“从业人数”的平均分最高,为3.9分。也就是说, 中国各地城市平均拥有50人以上的专业网络安全从业者。需要说明的是,不同经济规模和人口规模城市,对于网络安全从业者的需求量也有很大的差别。对于国家中心城市而言,数百人也微不足道;但对于非中心城市而言,有50人的专业人才储备也已经很不易了。
“政策补贴”的平均分最低,仅为2.0分。也就是说,从全国范围来看,尚未形成对网络安全人才招募的良好政策环境。多数城市并没有针对网络安全人才专门的政策补贴,即使有,也缺乏针对性和激励力度。
总体而言,“人才和经验”在五个分析维度中,属于整体表现相对不错的。但不同指标之间差距比较大,很不平衡。
下图给出了“合规建设”四项指标的全国平均水平。
其中,“报送等保”的平均分最高,为3.3分。也就是说,全国各地城市报送等保评级单位的数量平均达到了21~50家。
“灾备恢复”的平均分最低,仅为2.1分。也就是说,大多数城市尚未建立城市级的数据中心灾备恢复系统。而灾备恢复系统通常是数字城市应对重大网络安全事件最终的保障手段。
同时,“等保三级”和“合规检查”两项的全国平均分也都没有超过3分。这也就意味着,各地城市关键信息基础设施通过等保三级测评的比例平均不超过50%,也很少有城市能够组织全市大规模的合规检查工作。
可以看出,目前国内合规建设的整体水平都不太高。
总结
更多内容 可以 点击 访问 siduwenku.com 网站的报告 进一步学习
联系我们
DB12-T 1048-2021 蚯蚓养殖技术规程 天津市.pdf