不知道大家是否還記得2019年的《發展網絡安全能力》報告,或者說是否還記得這張圖?
今年初,英國牛津大學全球網絡安全能力中心(GCSCC)發布了《國家網絡安全能力成熟度模型》(Cybersecurity Capacity Maturity Model for Nations,CMM)2021版,本文將對CMM模型的發展演變和框架進行介紹,帶各位初探國家級的網絡安全能力評估是怎么做的。
前言(CMM的發展演變)
2020年伊始爆發的新冠病毒肺炎疫情,為世界帶來“百年未有”之大變局,國際力量對比深刻調整,國際環境日趨復雜,經濟全球化遭遇逆流,網絡空間加速變革,為全球網絡空間安全帶來新的威脅和挑戰。在日趨激烈的網絡空間安全博弈中,如何全方位筑牢網絡要筑牢網絡安全防線,有效提高網絡安全保障水平,是全球各國網絡安全發展關注的重點。
“昔之善戰者,先為不可勝,以待敵之可勝。”想要立于不敗之地的基礎是必須擁有強大的實力,實力的強弱與否是明確戰略部署的前提。那么如何實現國家級的網絡安全能力成熟度的自我評估,并將評估結果轉化為切實的政策建議、投資戰略以及能力發展優先次序,為決策者發展本國的更加先進、更加成熟的網絡安全能力建設提供參考建議。
當前,針對國家級別的網絡安全能力成熟度除了包括美國國防部的CMMC模型外,還包括由英國牛津大學全球網絡安全能力中心(GCSCC)創建的國家網絡安全能力成熟度模型(Cybersecurity Capacity Maturity Model for Nations,CMM)。全球網絡安全能力中心由英國外交事務部UK FCO的網絡安全能力建設計劃(Cyber Security Capacity Building Programme 2018 to 2021)資助建設。
在2014年,GCSCC與來自學術界、國際和地區組織以及私營部門的200多名專家開展了全球合作,發布了第一代國家網絡安全能力成熟度模型CMM。確定了國家級的網絡安全能力最重要的因素,以及國家達到相應的成熟水平的所要采取的必要步驟。
隨后,該模型得到了進一步的補充和細化,并在全球6個國家進行了部署試點。并將部部署初期的階段性結果用于模型的進一步迭代更新,并最終在2017年2月發布了CMM的修訂版。此外,在2018年8月,蘭德歐洲(Rand Europe)發布了《發展網絡安全能力—概念驗證實施指南》(Developing Cybersecurity Capacity— A proof-of-concept implementation guide),該報告作為網絡安全能力建設計劃項目(Cyber Security Capacity Building Programme 2018 to 2021)的產出物之一開發了一個基于CMM模型的概念驗證操作工具箱,該概念驗證工具箱提供了通過審查現有網絡安全能力建設文獻確定的指導方針和建議方法,以促進國家級別的網絡安全能力的發展。
2019年底,GCSCC開展了一項全球合作實踐,并根據CMM在部署中汲取的經驗教訓提出了完善建議,并與來自學術界、國際和區域組織、政府、私營部門和公共社區在內的150多位專家進行了一系列磋商。這個修訂過程有超過150位專家的貢獻和超過74個在線電話。并與2021年3月25日發布了CMM的最新版本。
自2015年成立以來,CMM已在85多個國家/地區部署了120多次,隨后許多國家和地區基于CMM磋商發布了其報告。
CMM簡介
CMM旨在為國家網絡安全提供指導和評估模型,偏重評估與落地性,為政府決策者提供建議和支持。能夠幫助各國了解網絡安全能力的所有領域中哪些有效,哪些無效以及為什么有效。這樣一來政府和企業可以采用那些有潛力或有能力顯著提升網絡空間安全和保障水平的政策,并進行相關投資,同時尊重個人隱私和言論自由。
CMM并非靜態,以持續完善的過程,確保CMM始終適用于所有國家背景,并反映全球網絡安全能力的成熟狀況。在證據和實踐的推動下,這種演進將會持續成為一種深思熟慮后的工作。
如何對一個國家開展網絡安全評估
對一個國家開展CMM審查需要一組研究人員進行數據收集,這些研究人員在該國內開展利益攸關方咨詢和桌面研究。輸出一份基于證據的報告,其中:
衡量一個國家網絡安全能力成熟度的基準;
詳細介紹一套有助于彌合網絡安全能力成熟鴻溝的務實行動;根據該國的具體需要,確定投資和未來能力建設的優先事項。
根據英國外交、聯邦和發展事務部委托進行的一項獨立研究,對一國開展CMM審查將會帶來眾多益處,具體包括:
提升網絡安全意識和能力建設,加強政府內部合作;與企業和廣大社會建立溝通與合作;
提升政府內網絡安全議程的公信力;
協助確定政府內部的角色和責任;
為增加網絡安全能力建設資金支持提供依據;
國家戰略和政策發展的基礎。
一個國家能夠證明其在網絡安全能力方面取得的成績是非常重要的,而CMM會確定什么可作為證據,以及它證明了什么。這種證據收集本身就是一個多方利益相關者的過程,涉及廣泛的來源和組織。討論對于解決分歧非常重要。進行遠程在線,還是面對面的會議,這樣的討論是否有效,將取決于進行審查的國家。
CMM框架
CMM認為網絡安全包括五個維度,共同構成國家有效提供網絡安全所需能力的廣度:
1.發展網絡安全政策與戰略
2.網絡安全文化與社會
3.構建網絡安全知識與能力
4.創建有效法律與監管框架
5.通過標準和技術管控風險
維度1網絡安全政策與戰略
探索國家制定和實施網絡安全戰略的能力,并通過提高應急響應、網絡防御和關鍵基礎設施保護能力來增強網絡安全應變能力(網絡安全彈性)。這一維度在維護對政府、國際企業和社會都至關重要的網絡空間利益的同時,考慮了提供國家網絡安全能力的有效戰略和政策維度2網絡安全文化與社會
審查了一個負責任的網絡安全文化的關鍵要素,如社會中對網絡相關風險的理解,對互聯網服務、電子政務和電子商務服務的信任水平,以及用戶對線上個人信息保護的理解。此外,這一維度探討了作為用戶舉報網絡犯罪渠道機制的存在(必要性)。并考察了媒體和社交網絡在塑造網絡安全價值觀、態度和行為方面的作用。
維度3構建網絡安全知識和能力
針對不同利益攸關群體(包括政府、私營部門和全體民眾)審查了項目的可用性、質量和實施情況,并與網絡安全意識提高項目、正式的網絡安全教育項目和專業培訓項目相關聯。
維度4法律與監管框架
檢查政府設計和制定那些與網絡安全直接或間接相關的國家立法的能力,特別強調網絡安全監管要求、網絡犯罪相關立法以及其他相關立法的主題。通過執法、起訴、監管機構和法院能力來審查執行這些法律的能力。此外,這一維度還考察了聯合打擊網絡犯罪的正式和非正式合作框架等問題。
維度5標準和技術
強調了通過有效和廣泛利用網絡安全技術來保護個人、組織和國家基礎設施的有效及廣泛利用。該維度專門檢查了為降低網絡安全風險而實施的網絡安全標準和優秀實踐、流程和控制的部署,以及技術和產品的開發情況。
CMM的五個階段
CMM為每一個維度都定義了五個成熟階段,并給出分別的對應事務:
啟動階段——能力初步發展
形成階段——建立中
建立階段——處于世界領先地位
戰略階段——預測未來網絡安全需求
動態階段——為未來網絡安全需求做好準備
啟動階段
在這個階段,網絡安全要么還不成熟,要么還處于萌芽狀態。雙方可能會就網絡安全能力建設進行初步討論,但尚未采取具體行動。在這個階段可能沒有可觀察到的證據。
形成階段
一些方面的一些特性已經開始發展和制定,但可能是個別的、混亂的、定義不明的或只是新的。但是,這種活動證據可以被清楚地證明。
建立階段
某方面的指標已經具備,并且有證據表明它們正在工作。不過,對資源的相對分配沒有經過深思熟慮。在這方面各個要素的相對投資上,幾乎沒有作出權衡決策。但該方面是功能性的,并且已定義。
戰略階段
對于特定的組織或國家,已經做出了關于某些方面的哪些部分是重要的,哪些不太重要的選擇。戰略階段反映了這樣一個事實,即根據國家或組織的特定情況做出這些選擇。
動態階段
在這個階段,有明確的機制可以根據當前情況變更國家戰略,例如威脅環境的技術、全球沖突或關注的某個領域發生重大變化(如網絡犯罪或隱私)。還有證據表明,美國在網絡安全問題上發揮了全球領導作用。至少,關鍵部門已經制定了在其發展的任意階段變更戰略的方法。快速決策、重新分配資源、持續關注變化的環境是這一階段的特點。
CMM允許對當前國家的網絡安全能力進行基準測試。了解實現更高能力水平的要求將明確指明需要進一步投資的領域,以及如何證明這種能力水平。CMM還可以用于為投資和預期的效率提高構建業務用例。將CMM審查與國家風險評估、社會和經濟戰略相結合,可以進一步確定提高能力的優先次序。
CMM報告整體結構預覽
RAND Europe的《發展網絡安全能力》報告是針對CMM的一個工具集,可以用于輔助實施和驗證框架,兩者配合使用。
