不知道大家是否還記得2019年的《發(fā)展網(wǎng)絡(luò)安全能力》報告，或者說是否還記得這張圖？

　　今年初，英國牛津大學(xué)全球網(wǎng)絡(luò)安全能力中心（GCSCC）發(fā)布了《國家網(wǎng)絡(luò)安全能力成熟度模型》（Cybersecurity Capacity Maturity Model for Nations，CMM）2021版，本文將對CMM模型的發(fā)展演變和框架進行介紹，帶各位初探國家級的網(wǎng)絡(luò)安全能力評估是怎么做的。

　　前言（CMM的發(fā)展演變）

　　2020年伊始爆發(fā)的新冠病毒肺炎疫情，為世界帶來“百年未有”之大變局，國際力量對比深刻調(diào)整，國際環(huán)境日趨復(fù)雜，經(jīng)濟全球化遭遇逆流，網(wǎng)絡(luò)空間加速變革，為全球網(wǎng)絡(luò)空間安全帶來新的威脅和挑戰(zhàn)。在日趨激烈的網(wǎng)絡(luò)空間安全博弈中，如何全方位筑牢網(wǎng)絡(luò)要筑牢網(wǎng)絡(luò)安全防線，有效提高網(wǎng)絡(luò)安全保障水平，是全球各國網(wǎng)絡(luò)安全發(fā)展關(guān)注的重點。

　　“昔之善戰(zhàn)者，先為不可勝，以待敵之可勝?！毕胍⒂诓粩≈氐幕A(chǔ)是必須擁有強大的實力，實力的強弱與否是明確戰(zhàn)略部署的前提。那么如何實現(xiàn)國家級的網(wǎng)絡(luò)安全能力成熟度的自我評估，并將評估結(jié)果轉(zhuǎn)化為切實的政策建議、投資戰(zhàn)略以及能力發(fā)展優(yōu)先次序，為決策者發(fā)展本國的更加先進、更加成熟的網(wǎng)絡(luò)安全能力建設(shè)提供參考建議。

　　當(dāng)前，針對國家級別的網(wǎng)絡(luò)安全能力成熟度除了包括美國國防部的CMMC模型外，還包括由英國牛津大學(xué)全球網(wǎng)絡(luò)安全能力中心（GCSCC）創(chuàng)建的國家網(wǎng)絡(luò)安全能力成熟度模型（Cybersecurity Capacity Maturity Model for Nations，CMM）。全球網(wǎng)絡(luò)安全能力中心由英國外交事務(wù)部UK FCO的網(wǎng)絡(luò)安全能力建設(shè)計劃（Cyber Security Capacity Building Programme 2018 to 2021）資助建設(shè)。

　　在2014年，GCSCC與來自學(xué)術(shù)界、國際和地區(qū)組織以及私營部門的200多名專家開展了全球合作，發(fā)布了第一代國家網(wǎng)絡(luò)安全能力成熟度模型CMM。確定了國家級的網(wǎng)絡(luò)安全能力最重要的因素，以及國家達到相應(yīng)的成熟水平的所要采取的必要步驟。

　　隨后，該模型得到了進一步的補充和細化，并在全球6個國家進行了部署試點。并將部部署初期的階段性結(jié)果用于模型的進一步迭代更新，并最終在2017年2月發(fā)布了CMM的修訂版。此外，在2018年8月，蘭德歐洲（Rand Europe）發(fā)布了《發(fā)展網(wǎng)絡(luò)安全能力—概念驗證實施指南》（Developing Cybersecurity Capacity— A proof-of-concept implementation guide），該報告作為網(wǎng)絡(luò)安全能力建設(shè)計劃項目（Cyber Security Capacity Building Programme 2018 to 2021）的產(chǎn)出物之一開發(fā)了一個基于CMM模型的概念驗證操作工具箱，該概念驗證工具箱提供了通過審查現(xiàn)有網(wǎng)絡(luò)安全能力建設(shè)文獻確定的指導(dǎo)方針和建議方法，以促進國家級別的網(wǎng)絡(luò)安全能力的發(fā)展。

　　2019年底，GCSCC開展了一項全球合作實踐，并根據(jù)CMM在部署中汲取的經(jīng)驗教訓(xùn)提出了完善建議，并與來自學(xué)術(shù)界、國際和區(qū)域組織、政府、私營部門和公共社區(qū)在內(nèi)的150多位專家進行了一系列磋商。這個修訂過程有超過150位專家的貢獻和超過74個在線電話。并與2021年3月25日發(fā)布了CMM的最新版本。

　　自2015年成立以來，CMM已在85多個國家/地區(qū)部署了120多次，隨后許多國家和地區(qū)基于CMM磋商發(fā)布了其報告。

　　CMM簡介

　　CMM旨在為國家網(wǎng)絡(luò)安全提供指導(dǎo)和評估模型，偏重評估與落地性，為政府決策者提供建議和支持。能夠幫助各國了解網(wǎng)絡(luò)安全能力的所有領(lǐng)域中哪些有效，哪些無效以及為什么有效。這樣一來政府和企業(yè)可以采用那些有潛力或有能力顯著提升網(wǎng)絡(luò)空間安全和保障水平的政策，并進行相關(guān)投資，同時尊重個人隱私和言論自由。

　　CMM并非靜態(tài)，以持續(xù)完善的過程，確保CMM始終適用于所有國家背景，并反映全球網(wǎng)絡(luò)安全能力的成熟狀況。在證據(jù)和實踐的推動下，這種演進將會持續(xù)成為一種深思熟慮后的工作。

　　如何對一個國家開展網(wǎng)絡(luò)安全評估

　　對一個國家開展CMM審查需要一組研究人員進行數(shù)據(jù)收集，這些研究人員在該國內(nèi)開展利益攸關(guān)方咨詢和桌面研究。輸出一份基于證據(jù)的報告，其中：

　　衡量一個國家網(wǎng)絡(luò)安全能力成熟度的基準(zhǔn)；

　　詳細介紹一套有助于彌合網(wǎng)絡(luò)安全能力成熟鴻溝的務(wù)實行動；根據(jù)該國的具體需要，確定投資和未來能力建設(shè)的優(yōu)先事項。

　　根據(jù)英國外交、聯(lián)邦和發(fā)展事務(wù)部委托進行的一項獨立研究，對一國開展CMM審查將會帶來眾多益處，具體包括：

　　提升網(wǎng)絡(luò)安全意識和能力建設(shè)，加強政府內(nèi)部合作；與企業(yè)和廣大社會建立溝通與合作；

　　提升政府內(nèi)網(wǎng)絡(luò)安全議程的公信力；

　　協(xié)助確定政府內(nèi)部的角色和責(zé)任；

　　為增加網(wǎng)絡(luò)安全能力建設(shè)資金支持提供依據(jù)；

　　國家戰(zhàn)略和政策發(fā)展的基礎(chǔ)。

　　一個國家能夠證明其在網(wǎng)絡(luò)安全能力方面取得的成績是非常重要的，而CMM會確定什么可作為證據(jù)，以及它證明了什么。這種證據(jù)收集本身就是一個多方利益相關(guān)者的過程，涉及廣泛的來源和組織。討論對于解決分歧非常重要。進行遠程在線，還是面對面的會議，這樣的討論是否有效，將取決于進行審查的國家。

　　CMM框架

　　CMM認(rèn)為網(wǎng)絡(luò)安全包括五個維度，共同構(gòu)成國家有效提供網(wǎng)絡(luò)安全所需能力的廣度：

　　1.發(fā)展網(wǎng)絡(luò)安全政策與戰(zhàn)略

　　2.網(wǎng)絡(luò)安全文化與社會

　　3.構(gòu)建網(wǎng)絡(luò)安全知識與能力

　　4.創(chuàng)建有效法律與監(jiān)管框架

　　5.通過標(biāo)準(zhǔn)和技術(shù)管控風(fēng)險

　　維度1網(wǎng)絡(luò)安全政策與戰(zhàn)略

　　探索國家制定和實施網(wǎng)絡(luò)安全戰(zhàn)略的能力，并通過提高應(yīng)急響應(yīng)、網(wǎng)絡(luò)防御和關(guān)鍵基礎(chǔ)設(shè)施保護能力來增強網(wǎng)絡(luò)安全應(yīng)變能力（網(wǎng)絡(luò)安全彈性）。這一維度在維護對政府、國際企業(yè)和社會都至關(guān)重要的網(wǎng)絡(luò)空間利益的同時，考慮了提供國家網(wǎng)絡(luò)安全能力的有效戰(zhàn)略和政策維度2網(wǎng)絡(luò)安全文化與社會

　　審查了一個負責(zé)任的網(wǎng)絡(luò)安全文化的關(guān)鍵要素，如社會中對網(wǎng)絡(luò)相關(guān)風(fēng)險的理解，對互聯(lián)網(wǎng)服務(wù)、電子政務(wù)和電子商務(wù)服務(wù)的信任水平，以及用戶對線上個人信息保護的理解。此外，這一維度探討了作為用戶舉報網(wǎng)絡(luò)犯罪渠道機制的存在（必要性）。并考察了媒體和社交網(wǎng)絡(luò)在塑造網(wǎng)絡(luò)安全價值觀、態(tài)度和行為方面的作用。

　　維度3構(gòu)建網(wǎng)絡(luò)安全知識和能力

　　針對不同利益攸關(guān)群體（包括政府、私營部門和全體民眾）審查了項目的可用性、質(zhì)量和實施情況，并與網(wǎng)絡(luò)安全意識提高項目、正式的網(wǎng)絡(luò)安全教育項目和專業(yè)培訓(xùn)項目相關(guān)聯(lián)。

　　維度4法律與監(jiān)管框架

　　檢查政府設(shè)計和制定那些與網(wǎng)絡(luò)安全直接或間接相關(guān)的國家立法的能力，特別強調(diào)網(wǎng)絡(luò)安全監(jiān)管要求、網(wǎng)絡(luò)犯罪相關(guān)立法以及其他相關(guān)立法的主題。通過執(zhí)法、起訴、監(jiān)管機構(gòu)和法院能力來審查執(zhí)行這些法律的能力。此外，這一維度還考察了聯(lián)合打擊網(wǎng)絡(luò)犯罪的正式和非正式合作框架等問題。

　　維度5標(biāo)準(zhǔn)和技術(shù)

　　強調(diào)了通過有效和廣泛利用網(wǎng)絡(luò)安全技術(shù)來保護個人、組織和國家基礎(chǔ)設(shè)施的有效及廣泛利用。該維度專門檢查了為降低網(wǎng)絡(luò)安全風(fēng)險而實施的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和優(yōu)秀實踐、流程和控制的部署，以及技術(shù)和產(chǎn)品的開發(fā)情況。

　　CMM的五個階段

　　CMM為每一個維度都定義了五個成熟階段，并給出分別的對應(yīng)事務(wù)：

　　啟動階段——能力初步發(fā)展

　　形成階段——建立中

　　建立階段——處于世界領(lǐng)先地位

　　戰(zhàn)略階段——預(yù)測未來網(wǎng)絡(luò)安全需求

　　動態(tài)階段——為未來網(wǎng)絡(luò)安全需求做好準(zhǔn)備

　　啟動階段

　　在這個階段，網(wǎng)絡(luò)安全要么還不成熟，要么還處于萌芽狀態(tài)。雙方可能會就網(wǎng)絡(luò)安全能力建設(shè)進行初步討論，但尚未采取具體行動。在這個階段可能沒有可觀察到的證據(jù)。

　　形成階段

　　一些方面的一些特性已經(jīng)開始發(fā)展和制定，但可能是個別的、混亂的、定義不明的或只是新的。但是，這種活動證據(jù)可以被清楚地證明。

　　建立階段

　　某方面的指標(biāo)已經(jīng)具備，并且有證據(jù)表明它們正在工作。不過，對資源的相對分配沒有經(jīng)過深思熟慮。在這方面各個要素的相對投資上，幾乎沒有作出權(quán)衡決策。但該方面是功能性的，并且已定義。

　　戰(zhàn)略階段

　　對于特定的組織或國家，已經(jīng)做出了關(guān)于某些方面的哪些部分是重要的，哪些不太重要的選擇。戰(zhàn)略階段反映了這樣一個事實，即根據(jù)國家或組織的特定情況做出這些選擇。

　　動態(tài)階段

　　在這個階段，有明確的機制可以根據(jù)當(dāng)前情況變更國家戰(zhàn)略，例如威脅環(huán)境的技術(shù)、全球沖突或關(guān)注的某個領(lǐng)域發(fā)生重大變化（如網(wǎng)絡(luò)犯罪或隱私）。還有證據(jù)表明，美國在網(wǎng)絡(luò)安全問題上發(fā)揮了全球領(lǐng)導(dǎo)作用。至少，關(guān)鍵部門已經(jīng)制定了在其發(fā)展的任意階段變更戰(zhàn)略的方法?？焖贈Q策、重新分配資源、持續(xù)關(guān)注變化的環(huán)境是這一階段的特點。

　　CMM允許對當(dāng)前國家的網(wǎng)絡(luò)安全能力進行基準(zhǔn)測試。了解實現(xiàn)更高能力水平的要求將明確指明需要進一步投資的領(lǐng)域，以及如何證明這種能力水平。CMM還可以用于為投資和預(yù)期的效率提高構(gòu)建業(yè)務(wù)用例。將CMM審查與國家風(fēng)險評估、社會和經(jīng)濟戰(zhàn)略相結(jié)合，可以進一步確定提高能力的優(yōu)先次序。

　　CMM報告整體結(jié)構(gòu)預(yù)覽

　　RAND Europe的《發(fā)展網(wǎng)絡(luò)安全能力》報告是針對CMM的一個工具集，可以用于輔助實施和驗證框架，兩者配合使用。