发展网络安全能力(一)：国家网络安全能力成熟度模型

最近几十年，信息通信技术（ICT）的作用和地位愈发重要。从经济角度来看，互联网和信息通信技术对经济的促进已得到广泛认可。然而，这些技术同时也使得网络空间的非法活动激增。由此，兰德公司于2018年8月发布报告《发展网络安全能力-基于概念验证的实施指南》（Developing Cybersecurity Capacity- A proof-of concept implementation guide），旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定，以应对网络领域的挑战。现由学术plus编译全文，并在接下来几天里将文章主主体内容进行连载，仅供学习参考。

本文《发展网络安全能力(一)国家网络安全能力成熟度模型》主要从整体上介绍了这一模型的五个重要维度，以及每个维度下的多个因素。同时说明了这一模型和指南报告的使用方法。

发展网络安全能力

Developing Cybersecurity Capacity

(一)

国家网络安全能力成熟度模型

GCSCC CMM

编译：学术plus

原载：https://www.rand.org

研究背景与报告概况

最近几十年，信息通信技术（ICT）的作用和地位愈发重要。从经济角度来看，互联网和信息通信技术对经济的促进已得到广泛认可。然而，这些技术同时也使得网络空间的非法活动激增。由此，兰德公司于2018年8月发布报告《发展网络安全能力》（Developing Cybersecurity Capacity），旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定，以应对网络领域的挑战。报告中，对国家网络成熟度进行了详细的审查和评估，并将其结论更好地转化为切实的政策建议和投资战略，使政策制定更好地增强该国的网络安全能力。

国家网络安全能力成熟度模型

国家网络安全能力成熟度模型（CMM）由牛津大学（University of Oxford）的全球网络空间安全能力中心（GCSCC）创建，并由英国外交部（UK FCO）的网络安全能力建设计划进行资助。由于美洲国家组织（OAS）、世界银行（WB）、国际电信联盟（ITU）和英联邦电信联盟（CTO）等国际组织在许多国家和地区都部署了这一工具，因此在实践者中备受关注。

全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的首个版本出版于2014年，2017年更新为最新版本。根据全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）所述，一个国家的网络生态系统被认为由五个维度构成：

• D1 –网络安全政策和战略

• D2 –网络文化与社会

• D3 –网络安全教育、培训和技能

• D4 –法律和监管框架

• D5 –标准、组织和技术

全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的每一个维度、因素和方面都进一步沿着成熟度的5个阶段进行构建。它们被用来帮助各国确定自己目前的能力水平。全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的成熟度级别，从低到高，列示如下：启动级；形成级；确立级；战略级；以及动态级。图I.1提供了全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）结构的可视化概述。

资料来源：兰德欧洲公司基于全球网络空间安全能力中心（GCSCC）的详细阐述（2017）Dimension维度；Factor因素；Aspect；Start-up启动级； Formative形成级； Established确立级； Strategic战略级；Dynamic动态级；Cyber security capacity building网络安全能力建设。 

全球多个国家都在使用全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）来支持国家网络安全能力的专家评估。该模型也成功描绘出国家网络生态系统中利害攸关的问题，并为未来的发展和投资提供建议。然而，设计该工具并不是为了让政策制定者和实施者使用该工具作为参考指南，而是为了在对国家网络安全能力进行评估后，将建议付诸实施。

模型的五大维度及其内在因素

第1维——网络安全政策和战略

全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的维度着眼于国家制定、实施和审查国家级网络安全战略的能力，以及支持该战略的关键战略、理论学说和操作文件和活动。这一维度包括以下六大因素：

D1.1 –国家网络安全战略

这一因素侧重于国家制定、审查和更新国家网络安全战略的能力，有助于确定网络安全行动的优先次序，确定责任，并分配相关资源。

D1.2 –安全应急响应

这一因素关注的是安全应急响应能力，特别是在国家层面上应对网络安全事件的能力。

D1.3 –关键基础设施保护

这一因素强调保护那些对维持包括健康、安全、安全保障、经济和社会福利在内的重要的社会职能必不可少的资产和系统的能力。

D1.4 –危机管理

这一因素着重强调发展国家建立、审查和更新国家危机管理应用程序、功能协议和标准的能力。

D1.5 –网络防御

这一因素侧重于国家设计和实施网络防御战略的能力，同时保持对政府、国际商业团体和社会开放网络空间的好处和灵活性。

D1.6 –通信冗余

这一因素关注的是各国政府识别、详细规划和利用国家利益攸关方之间的数字冗余和冗余通信的能力。

维度2——网络文化与社会

模型考察了网络安全的宽阔的文化与社会维度，及其在提高网络空间安全性与恢复力方面所发挥的作用。个体、公众、民间和社会层次的参与者之间所存在的国家网络安全文化是以对有助于网络生态系统的成熟度和恢复力的价值观、态度和实践的共同的理解与接受为条件的。 本维度包括5个因素： 

D2.1 –网络安全心态

这个因素集中于国家网络安全参与者的价值观、态度和实践，包括存在于网络生态系统中的政府、私营部门、个人用户及其他参与者。

D2.2 –对互联网的信任和信赖

这个因素聚焦于普通民众以安全的和私密的方式使用因特网时所具有的信任和信赖，包括使用政府的电子服务平台和电子商务平台。

D2.3 –用户对于线上个人信息保护的理解

这个因素聚焦于普通民众以及公共部门和私营部门中的用户和参与者是否能够意识到和理解线上个人信息保护的重要性和意义。

D2.4 –报告机制

这个因素聚焦于用户报告网络犯罪的报告机制和渠道的存在和使用，包括线上欺骗、网络暴力、虐待孩子、身份盗窃、保密和安全破坏以及其他事件。

D2.5 –媒体和社交媒体

这个因素聚焦于媒体和社交媒体的作用，着眼于它们在传达网络安全信息方面的作用以及网络安全作为一个主题在这些媒体和平台上讨论和争论的程度。

第3维——网络安全、教育、培训与技能

模型的第3维评估了高质量网络安全教育、培训和意识提升活动在全国的可实施性以及对这些活动进行开发和提供的能力。这包括为不同的政府利益相关者团体、私营部门和普通人群提供的教育和培训活动。包含三个因素： 

D3.1 – 意识提升

这个因素评估的是以公共部门、私营部门、学术界和民间团体中的利益相关者以及公众为目标的网络安全意识计划和倡议的可获得性、提供和接受情况。

D3.2 – 网络安全教育框架

这个因素评估的是初等、中等和高等网络安全教育的可获得性和提供情况。

D3.3 – 专业培训框架

这个因素关注的是网络安全专业培训对网络安全专业人员队伍而言的可获得性和提供情况，包括通过组织内部的水平和垂直网络安全知识转移以及通过持续技能开发来提供的网络安全专业培训。

第4维——法律法规框架

模型第4维评估了政府直接或间接地设计并颁布网络安全相关国家法律的能力，包括针对与网络犯罪、隐私和数据保护有关的问题所颁布的法律。GCSCC的这个维度由三个因素组成：

D4.1 – 法律框架

这个因素聚焦于与网络安全有关的法律法规框架，包括：ICT安全性法律框架、隐私权、言论自由、网络人权、数据保护、儿童保护、消费者保护、知识产权以及实体和程序性网络犯罪立法。

D4.2 – 刑事司法系统

这个因素聚焦于国家打击网络犯罪的能力，包括执法机构调查网络犯罪的能力、检察机关起诉网络犯罪及使用电子证据的能力以及法院审理网络犯罪案件和电子证据案件的能力。

D4.3 – 以打击网络犯罪为目的的正式/非正式合作框架

这个因素聚焦于国家确保地方行为者之间以及与国外相关同行之间通过正式/非正式合作来震慑、打击网络犯罪的能力。

第5维——标准、组织和技术

模型第五维度考虑正式标准、国际准则和信息控制的使用，以帮助开发安全、公开和有弹性的网络生态系统。目前就技术信息控制、互联网协议、密码标准、网络安全承诺、审查和认证程序等主题不断展开研究，取得了大量的成果。由于技术发展的快速步伐，为了构建在这些领域的能力，建议参考最新版本的官方供应商文件和最先进的标准。GCSCC CMM的这个维度包括七个因素：

D5.1 - 遵守标准

该因素侧重于采纳和遵守国际标准和网络安全、风险管理、采购和软件开发方面的优秀实践。

D5.2 - 互联网基础设施的弹性

该因素侧重于国家互联网服务和基础设施的可用性和灵活性，以及支持其维护的安全程序。

D5.3 - 软件质量

该因素侧重于对编码的使用把关，以减少公共和私营部门中普遍存在的易受攻击的软件代码，以及对有助于适当的软件改进更新和维护的政策机制予以保护。

D5.4 - 技术安全控制

该因素侧重于通过采纳国际标准和优秀实践以实现网络空间安全的技术安全控制。

D5.5 - 密码控制

该因素侧重于在国家层面对静态数据和动态数据使用加密和安全通讯方式，并在国家实践中遵守国际标准。

D5.6 - 网络安全市场

该因素考虑了网络安全市场，着眼于竞争性网络安全技术的可操作性和发展，以及网络安全保险的可用性和接受度。

D5.7 – 责任性披露

该因素侧重于负责任地披露网络入侵以及漏洞的能力和机制。

如何使用本指南？

本文件可作为网络安全能力建设的概念验证工具箱使用。本文件最好用于根据外部专家使用全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）对国家网络安全能力进行审查后生成的结果和能力建设建议来采取行动。图I.2为工具箱使用的方法流程。

图I.2：启用全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的网络安全能力建设周期中的工具箱功能/GCSCC CMM全球网络空间安全能力中心能力成熟度模型；Proof-of-concept Toolbox概念验证工具箱；l. GCSCC CMM-based, externally-conducted national cybersecurity capacity review 基于全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的、外部进行的网络安全能力评估；2. Implementation of capacity building recommendations 能力建设建议的实施；New iteration新的迭代。

接下来几天，学术plus将编译本报告主主体内容，并进行连载，仅供学习参考，敬请关注。

查看完整英文原文：https://www.rand.org/pubs/research_reports/RR2072.html

声明：本文来自学术plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。