CMM模型:國(guó)家級(jí)的網(wǎng)絡(luò)安全能力評(píng)估怎么做?
2021-05-18
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
不知道大家是否還記得2019年的《發(fā)展網(wǎng)絡(luò)安全能力》報(bào)告,或者說(shuō)是否還記得這張圖?
今年初,英國(guó)牛津大學(xué)全球網(wǎng)絡(luò)安全能力中心(GCSCC)發(fā)布了《國(guó)家網(wǎng)絡(luò)安全能力成熟度模型》(Cybersecurity Capacity Maturity Model for Nations,CMM)2021版,本文將對(duì)CMM模型的發(fā)展演變和框架進(jìn)行介紹,帶各位初探國(guó)家級(jí)的網(wǎng)絡(luò)安全能力評(píng)估是怎么做的。
前言(CMM的發(fā)展演變)
2020年伊始爆發(fā)的新冠病毒肺炎疫情,為世界帶來(lái)“百年未有”之大變局,國(guó)際力量對(duì)比深刻調(diào)整,國(guó)際環(huán)境日趨復(fù)雜,經(jīng)濟(jì)全球化遭遇逆流,網(wǎng)絡(luò)空間加速變革,為全球網(wǎng)絡(luò)空間安全帶來(lái)新的威脅和挑戰(zhàn)。在日趨激烈的網(wǎng)絡(luò)空間安全博弈中,如何全方位筑牢網(wǎng)絡(luò)要筑牢網(wǎng)絡(luò)安全防線,有效提高網(wǎng)絡(luò)安全保障水平,是全球各國(guó)網(wǎng)絡(luò)安全發(fā)展關(guān)注的重點(diǎn)。
“昔之善戰(zhàn)者,先為不可勝,以待敵之可勝。”想要立于不敗之地的基礎(chǔ)是必須擁有強(qiáng)大的實(shí)力,實(shí)力的強(qiáng)弱與否是明確戰(zhàn)略部署的前提。那么如何實(shí)現(xiàn)國(guó)家級(jí)的網(wǎng)絡(luò)安全能力成熟度的自我評(píng)估,并將評(píng)估結(jié)果轉(zhuǎn)化為切實(shí)的政策建議、投資戰(zhàn)略以及能力發(fā)展優(yōu)先次序,為決策者發(fā)展本國(guó)的更加先進(jìn)、更加成熟的網(wǎng)絡(luò)安全能力建設(shè)提供參考建議。
當(dāng)前,針對(duì)國(guó)家級(jí)別的網(wǎng)絡(luò)安全能力成熟度除了包括美國(guó)國(guó)防部的CMMC模型外,還包括由英國(guó)牛津大學(xué)全球網(wǎng)絡(luò)安全能力中心(GCSCC)創(chuàng)建的國(guó)家網(wǎng)絡(luò)安全能力成熟度模型(Cybersecurity Capacity Maturity Model for Nations,CMM)。全球網(wǎng)絡(luò)安全能力中心由英國(guó)外交事務(wù)部UK FCO的網(wǎng)絡(luò)安全能力建設(shè)計(jì)劃(Cyber Security Capacity Building Programme 2018 to 2021)資助建設(shè)。
在2014年,GCSCC與來(lái)自學(xué)術(shù)界、國(guó)際和地區(qū)組織以及私營(yíng)部門的200多名專家開展了全球合作,發(fā)布了第一代國(guó)家網(wǎng)絡(luò)安全能力成熟度模型CMM。確定了國(guó)家級(jí)的網(wǎng)絡(luò)安全能力最重要的因素,以及國(guó)家達(dá)到相應(yīng)的成熟水平的所要采取的必要步驟。
隨后,該模型得到了進(jìn)一步的補(bǔ)充和細(xì)化,并在全球6個(gè)國(guó)家進(jìn)行了部署試點(diǎn)。并將部部署初期的階段性結(jié)果用于模型的進(jìn)一步迭代更新,并最終在2017年2月發(fā)布了CMM的修訂版。此外,在2018年8月,蘭德歐洲(Rand Europe)發(fā)布了《發(fā)展網(wǎng)絡(luò)安全能力—概念驗(yàn)證實(shí)施指南》(Developing Cybersecurity Capacity— A proof-of-concept implementation guide),該報(bào)告作為網(wǎng)絡(luò)安全能力建設(shè)計(jì)劃項(xiàng)目(Cyber Security Capacity Building Programme 2018 to 2021)的產(chǎn)出物之一開發(fā)了一個(gè)基于CMM模型的概念驗(yàn)證操作工具箱,該概念驗(yàn)證工具箱提供了通過(guò)審查現(xiàn)有網(wǎng)絡(luò)安全能力建設(shè)文獻(xiàn)確定的指導(dǎo)方針和建議方法,以促進(jìn)國(guó)家級(jí)別的網(wǎng)絡(luò)安全能力的發(fā)展。
2019年底,GCSCC開展了一項(xiàng)全球合作實(shí)踐,并根據(jù)CMM在部署中汲取的經(jīng)驗(yàn)教訓(xùn)提出了完善建議,并與來(lái)自學(xué)術(shù)界、國(guó)際和區(qū)域組織、政府、私營(yíng)部門和公共社區(qū)在內(nèi)的150多位專家進(jìn)行了一系列磋商。這個(gè)修訂過(guò)程有超過(guò)150位專家的貢獻(xiàn)和超過(guò)74個(gè)在線電話。并與2021年3月25日發(fā)布了CMM的最新版本。
自2015年成立以來(lái),CMM已在85多個(gè)國(guó)家/地區(qū)部署了120多次,隨后許多國(guó)家和地區(qū)基于CMM磋商發(fā)布了其報(bào)告。
CMM簡(jiǎn)介
CMM旨在為國(guó)家網(wǎng)絡(luò)安全提供指導(dǎo)和評(píng)估模型,偏重評(píng)估與落地性,為政府決策者提供建議和支持。能夠幫助各國(guó)了解網(wǎng)絡(luò)安全能力的所有領(lǐng)域中哪些有效,哪些無(wú)效以及為什么有效。這樣一來(lái)政府和企業(yè)可以采用那些有潛力或有能力顯著提升網(wǎng)絡(luò)空間安全和保障水平的政策,并進(jìn)行相關(guān)投資,同時(shí)尊重個(gè)人隱私和言論自由。
CMM并非靜態(tài),以持續(xù)完善的過(guò)程,確保CMM始終適用于所有國(guó)家背景,并反映全球網(wǎng)絡(luò)安全能力的成熟狀況。在證據(jù)和實(shí)踐的推動(dòng)下,這種演進(jìn)將會(huì)持續(xù)成為一種深思熟慮后的工作。
如何對(duì)一個(gè)國(guó)家開展網(wǎng)絡(luò)安全評(píng)估
對(duì)一個(gè)國(guó)家開展CMM審查需要一組研究人員進(jìn)行數(shù)據(jù)收集,這些研究人員在該國(guó)內(nèi)開展利益攸關(guān)方咨詢和桌面研究。輸出一份基于證據(jù)的報(bào)告,其中:
衡量一個(gè)國(guó)家網(wǎng)絡(luò)安全能力成熟度的基準(zhǔn);
詳細(xì)介紹一套有助于彌合網(wǎng)絡(luò)安全能力成熟鴻溝的務(wù)實(shí)行動(dòng);根據(jù)該國(guó)的具體需要,確定投資和未來(lái)能力建設(shè)的優(yōu)先事項(xiàng)。
根據(jù)英國(guó)外交、聯(lián)邦和發(fā)展事務(wù)部委托進(jìn)行的一項(xiàng)獨(dú)立研究,對(duì)一國(guó)開展CMM審查將會(huì)帶來(lái)眾多益處,具體包括:
提升網(wǎng)絡(luò)安全意識(shí)和能力建設(shè),加強(qiáng)政府內(nèi)部合作;與企業(yè)和廣大社會(huì)建立溝通與合作;
提升政府內(nèi)網(wǎng)絡(luò)安全議程的公信力;
協(xié)助確定政府內(nèi)部的角色和責(zé)任;
為增加網(wǎng)絡(luò)安全能力建設(shè)資金支持提供依據(jù);
國(guó)家戰(zhàn)略和政策發(fā)展的基礎(chǔ)。
一個(gè)國(guó)家能夠證明其在網(wǎng)絡(luò)安全能力方面取得的成績(jī)是非常重要的,而CMM會(huì)確定什么可作為證據(jù),以及它證明了什么。這種證據(jù)收集本身就是一個(gè)多方利益相關(guān)者的過(guò)程,涉及廣泛的來(lái)源和組織。討論對(duì)于解決分歧非常重要。進(jìn)行遠(yuǎn)程在線,還是面對(duì)面的會(huì)議,這樣的討論是否有效,將取決于進(jìn)行審查的國(guó)家。
CMM框架
CMM認(rèn)為網(wǎng)絡(luò)安全包括五個(gè)維度,共同構(gòu)成國(guó)家有效提供網(wǎng)絡(luò)安全所需能力的廣度:
1.發(fā)展網(wǎng)絡(luò)安全政策與戰(zhàn)略
2.網(wǎng)絡(luò)安全文化與社會(huì)
3.構(gòu)建網(wǎng)絡(luò)安全知識(shí)與能力
4.創(chuàng)建有效法律與監(jiān)管框架
5.通過(guò)標(biāo)準(zhǔn)和技術(shù)管控風(fēng)險(xiǎn)
維度1網(wǎng)絡(luò)安全政策與戰(zhàn)略
探索國(guó)家制定和實(shí)施網(wǎng)絡(luò)安全戰(zhàn)略的能力,并通過(guò)提高應(yīng)急響應(yīng)、網(wǎng)絡(luò)防御和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)能力來(lái)增強(qiáng)網(wǎng)絡(luò)安全應(yīng)變能力(網(wǎng)絡(luò)安全彈性)。這一維度在維護(hù)對(duì)政府、國(guó)際企業(yè)和社會(huì)都至關(guān)重要的網(wǎng)絡(luò)空間利益的同時(shí),考慮了提供國(guó)家網(wǎng)絡(luò)安全能力的有效戰(zhàn)略和政策維度2網(wǎng)絡(luò)安全文化與社會(huì)
審查了一個(gè)負(fù)責(zé)任的網(wǎng)絡(luò)安全文化的關(guān)鍵要素,如社會(huì)中對(duì)網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)的理解,對(duì)互聯(lián)網(wǎng)服務(wù)、電子政務(wù)和電子商務(wù)服務(wù)的信任水平,以及用戶對(duì)線上個(gè)人信息保護(hù)的理解。此外,這一維度探討了作為用戶舉報(bào)網(wǎng)絡(luò)犯罪渠道機(jī)制的存在(必要性)。并考察了媒體和社交網(wǎng)絡(luò)在塑造網(wǎng)絡(luò)安全價(jià)值觀、態(tài)度和行為方面的作用。
維度3構(gòu)建網(wǎng)絡(luò)安全知識(shí)和能力
針對(duì)不同利益攸關(guān)群體(包括政府、私營(yíng)部門和全體民眾)審查了項(xiàng)目的可用性、質(zhì)量和實(shí)施情況,并與網(wǎng)絡(luò)安全意識(shí)提高項(xiàng)目、正式的網(wǎng)絡(luò)安全教育項(xiàng)目和專業(yè)培訓(xùn)項(xiàng)目相關(guān)聯(lián)。
維度4法律與監(jiān)管框架
檢查政府設(shè)計(jì)和制定那些與網(wǎng)絡(luò)安全直接或間接相關(guān)的國(guó)家立法的能力,特別強(qiáng)調(diào)網(wǎng)絡(luò)安全監(jiān)管要求、網(wǎng)絡(luò)犯罪相關(guān)立法以及其他相關(guān)立法的主題。通過(guò)執(zhí)法、起訴、監(jiān)管機(jī)構(gòu)和法院能力來(lái)審查執(zhí)行這些法律的能力。此外,這一維度還考察了聯(lián)合打擊網(wǎng)絡(luò)犯罪的正式和非正式合作框架等問(wèn)題。
維度5標(biāo)準(zhǔn)和技術(shù)
強(qiáng)調(diào)了通過(guò)有效和廣泛利用網(wǎng)絡(luò)安全技術(shù)來(lái)保護(hù)個(gè)人、組織和國(guó)家基礎(chǔ)設(shè)施的有效及廣泛利用。該維度專門檢查了為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而實(shí)施的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和優(yōu)秀實(shí)踐、流程和控制的部署,以及技術(shù)和產(chǎn)品的開發(fā)情況。
CMM的五個(gè)階段
CMM為每一個(gè)維度都定義了五個(gè)成熟階段,并給出分別的對(duì)應(yīng)事務(wù):
啟動(dòng)階段——能力初步發(fā)展
形成階段——建立中
建立階段——處于世界領(lǐng)先地位
戰(zhàn)略階段——預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全需求
動(dòng)態(tài)階段——為未來(lái)網(wǎng)絡(luò)安全需求做好準(zhǔn)備
啟動(dòng)階段
在這個(gè)階段,網(wǎng)絡(luò)安全要么還不成熟,要么還處于萌芽狀態(tài)。雙方可能會(huì)就網(wǎng)絡(luò)安全能力建設(shè)進(jìn)行初步討論,但尚未采取具體行動(dòng)。在這個(gè)階段可能沒(méi)有可觀察到的證據(jù)。
形成階段
一些方面的一些特性已經(jīng)開始發(fā)展和制定,但可能是個(gè)別的、混亂的、定義不明的或只是新的。但是,這種活動(dòng)證據(jù)可以被清楚地證明。
建立階段
某方面的指標(biāo)已經(jīng)具備,并且有證據(jù)表明它們正在工作。不過(guò),對(duì)資源的相對(duì)分配沒(méi)有經(jīng)過(guò)深思熟慮。在這方面各個(gè)要素的相對(duì)投資上,幾乎沒(méi)有作出權(quán)衡決策。但該方面是功能性的,并且已定義。
戰(zhàn)略階段
對(duì)于特定的組織或國(guó)家,已經(jīng)做出了關(guān)于某些方面的哪些部分是重要的,哪些不太重要的選擇。戰(zhàn)略階段反映了這樣一個(gè)事實(shí),即根據(jù)國(guó)家或組織的特定情況做出這些選擇。
動(dòng)態(tài)階段
在這個(gè)階段,有明確的機(jī)制可以根據(jù)當(dāng)前情況變更國(guó)家戰(zhàn)略,例如威脅環(huán)境的技術(shù)、全球沖突或關(guān)注的某個(gè)領(lǐng)域發(fā)生重大變化(如網(wǎng)絡(luò)犯罪或隱私)。還有證據(jù)表明,美國(guó)在網(wǎng)絡(luò)安全問(wèn)題上發(fā)揮了全球領(lǐng)導(dǎo)作用。至少,關(guān)鍵部門已經(jīng)制定了在其發(fā)展的任意階段變更戰(zhàn)略的方法。快速?zèng)Q策、重新分配資源、持續(xù)關(guān)注變化的環(huán)境是這一階段的特點(diǎn)。
CMM允許對(duì)當(dāng)前國(guó)家的網(wǎng)絡(luò)安全能力進(jìn)行基準(zhǔn)測(cè)試。了解實(shí)現(xiàn)更高能力水平的要求將明確指明需要進(jìn)一步投資的領(lǐng)域,以及如何證明這種能力水平。CMM還可以用于為投資和預(yù)期的效率提高構(gòu)建業(yè)務(wù)用例。將CMM審查與國(guó)家風(fēng)險(xiǎn)評(píng)估、社會(huì)和經(jīng)濟(jì)戰(zhàn)略相結(jié)合,可以進(jìn)一步確定提高能力的優(yōu)先次序。
CMM報(bào)告整體結(jié)構(gòu)預(yù)覽
RAND Europe的《發(fā)展網(wǎng)絡(luò)安全能力》報(bào)告是針對(duì)CMM的一個(gè)工具集,可以用于輔助實(shí)施和驗(yàn)證框架,兩者配合使用。
