不知道大家是否還記得2019年的《發(fā)展網(wǎng)絡(luò)安全能力》報(bào)告，或者說(shuō)是否還記得這張圖？

　　今年初，英國(guó)牛津大學(xué)全球網(wǎng)絡(luò)安全能力中心（GCSCC）發(fā)布了《國(guó)家網(wǎng)絡(luò)安全能力成熟度模型》（Cybersecurity Capacity Maturity Model for Nations，CMM）2021版，本文將對(duì)CMM模型的發(fā)展演變和框架進(jìn)行介紹，帶各位初探國(guó)家級(jí)的網(wǎng)絡(luò)安全能力評(píng)估是怎么做的。

　　前言（CMM的發(fā)展演變）

　　2020年伊始爆發(fā)的新冠病毒肺炎疫情，為世界帶來(lái)“百年未有”之大變局，國(guó)際力量對(duì)比深刻調(diào)整，國(guó)際環(huán)境日趨復(fù)雜，經(jīng)濟(jì)全球化遭遇逆流，網(wǎng)絡(luò)空間加速變革，為全球網(wǎng)絡(luò)空間安全帶來(lái)新的威脅和挑戰(zhàn)。在日趨激烈的網(wǎng)絡(luò)空間安全博弈中，如何全方位筑牢網(wǎng)絡(luò)要筑牢網(wǎng)絡(luò)安全防線，有效提高網(wǎng)絡(luò)安全保障水平，是全球各國(guó)網(wǎng)絡(luò)安全發(fā)展關(guān)注的重點(diǎn)。

　　“昔之善戰(zhàn)者，先為不可勝，以待敵之可勝?！毕胍⒂诓粩≈氐幕A(chǔ)是必須擁有強(qiáng)大的實(shí)力，實(shí)力的強(qiáng)弱與否是明確戰(zhàn)略部署的前提。那么如何實(shí)現(xiàn)國(guó)家級(jí)的網(wǎng)絡(luò)安全能力成熟度的自我評(píng)估，并將評(píng)估結(jié)果轉(zhuǎn)化為切實(shí)的政策建議、投資戰(zhàn)略以及能力發(fā)展優(yōu)先次序，為決策者發(fā)展本國(guó)的更加先進(jìn)、更加成熟的網(wǎng)絡(luò)安全能力建設(shè)提供參考建議。

　　當(dāng)前，針對(duì)國(guó)家級(jí)別的網(wǎng)絡(luò)安全能力成熟度除了包括美國(guó)國(guó)防部的CMMC模型外，還包括由英國(guó)牛津大學(xué)全球網(wǎng)絡(luò)安全能力中心（GCSCC）創(chuàng)建的國(guó)家網(wǎng)絡(luò)安全能力成熟度模型（Cybersecurity Capacity Maturity Model for Nations，CMM）。全球網(wǎng)絡(luò)安全能力中心由英國(guó)外交事務(wù)部UK FCO的網(wǎng)絡(luò)安全能力建設(shè)計(jì)劃（Cyber Security Capacity Building Programme 2018 to 2021）資助建設(shè)。

　　在2014年，GCSCC與來(lái)自學(xué)術(shù)界、國(guó)際和地區(qū)組織以及私營(yíng)部門(mén)的200多名專家開(kāi)展了全球合作，發(fā)布了第一代國(guó)家網(wǎng)絡(luò)安全能力成熟度模型CMM。確定了國(guó)家級(jí)的網(wǎng)絡(luò)安全能力最重要的因素，以及國(guó)家達(dá)到相應(yīng)的成熟水平的所要采取的必要步驟。

　　隨后，該模型得到了進(jìn)一步的補(bǔ)充和細(xì)化，并在全球6個(gè)國(guó)家進(jìn)行了部署試點(diǎn)。并將部部署初期的階段性結(jié)果用于模型的進(jìn)一步迭代更新，并最終在2017年2月發(fā)布了CMM的修訂版。此外，在2018年8月，蘭德歐洲（Rand Europe）發(fā)布了《發(fā)展網(wǎng)絡(luò)安全能力—概念驗(yàn)證實(shí)施指南》（Developing Cybersecurity Capacity— A proof-of-concept implementation guide），該報(bào)告作為網(wǎng)絡(luò)安全能力建設(shè)計(jì)劃項(xiàng)目（Cyber Security Capacity Building Programme 2018 to 2021）的產(chǎn)出物之一開(kāi)發(fā)了一個(gè)基于CMM模型的概念驗(yàn)證操作工具箱，該概念驗(yàn)證工具箱提供了通過(guò)審查現(xiàn)有網(wǎng)絡(luò)安全能力建設(shè)文獻(xiàn)確定的指導(dǎo)方針和建議方法，以促進(jìn)國(guó)家級(jí)別的網(wǎng)絡(luò)安全能力的發(fā)展。

　　2019年底，GCSCC開(kāi)展了一項(xiàng)全球合作實(shí)踐，并根據(jù)CMM在部署中汲取的經(jīng)驗(yàn)教訓(xùn)提出了完善建議，并與來(lái)自學(xué)術(shù)界、國(guó)際和區(qū)域組織、政府、私營(yíng)部門(mén)和公共社區(qū)在內(nèi)的150多位專家進(jìn)行了一系列磋商。這個(gè)修訂過(guò)程有超過(guò)150位專家的貢獻(xiàn)和超過(guò)74個(gè)在線電話。并與2021年3月25日發(fā)布了CMM的最新版本。

　　自2015年成立以來(lái)，CMM已在85多個(gè)國(guó)家/地區(qū)部署了120多次，隨后許多國(guó)家和地區(qū)基于CMM磋商發(fā)布了其報(bào)告。

　　CMM簡(jiǎn)介

　　CMM旨在為國(guó)家網(wǎng)絡(luò)安全提供指導(dǎo)和評(píng)估模型，偏重評(píng)估與落地性，為政府決策者提供建議和支持。能夠幫助各國(guó)了解網(wǎng)絡(luò)安全能力的所有領(lǐng)域中哪些有效，哪些無(wú)效以及為什么有效。這樣一來(lái)政府和企業(yè)可以采用那些有潛力或有能力顯著提升網(wǎng)絡(luò)空間安全和保障水平的政策，并進(jìn)行相關(guān)投資，同時(shí)尊重個(gè)人隱私和言論自由。

　　CMM并非靜態(tài)，以持續(xù)完善的過(guò)程，確保CMM始終適用于所有國(guó)家背景，并反映全球網(wǎng)絡(luò)安全能力的成熟狀況。在證據(jù)和實(shí)踐的推動(dòng)下，這種演進(jìn)將會(huì)持續(xù)成為一種深思熟慮后的工作。

　　如何對(duì)一個(gè)國(guó)家開(kāi)展網(wǎng)絡(luò)安全評(píng)估

　　對(duì)一個(gè)國(guó)家開(kāi)展CMM審查需要一組研究人員進(jìn)行數(shù)據(jù)收集，這些研究人員在該國(guó)內(nèi)開(kāi)展利益攸關(guān)方咨詢和桌面研究。輸出一份基于證據(jù)的報(bào)告，其中：

　　衡量一個(gè)國(guó)家網(wǎng)絡(luò)安全能力成熟度的基準(zhǔn)；

　　詳細(xì)介紹一套有助于彌合網(wǎng)絡(luò)安全能力成熟鴻溝的務(wù)實(shí)行動(dòng)；根據(jù)該國(guó)的具體需要，確定投資和未來(lái)能力建設(shè)的優(yōu)先事項(xiàng)。

　　根據(jù)英國(guó)外交、聯(lián)邦和發(fā)展事務(wù)部委托進(jìn)行的一項(xiàng)獨(dú)立研究，對(duì)一國(guó)開(kāi)展CMM審查將會(huì)帶來(lái)眾多益處，具體包括：

　　提升網(wǎng)絡(luò)安全意識(shí)和能力建設(shè)，加強(qiáng)政府內(nèi)部合作；與企業(yè)和廣大社會(huì)建立溝通與合作；

　　提升政府內(nèi)網(wǎng)絡(luò)安全議程的公信力；

　　協(xié)助確定政府內(nèi)部的角色和責(zé)任；

　　為增加網(wǎng)絡(luò)安全能力建設(shè)資金支持提供依據(jù)；

　　國(guó)家戰(zhàn)略和政策發(fā)展的基礎(chǔ)。

　　一個(gè)國(guó)家能夠證明其在網(wǎng)絡(luò)安全能力方面取得的成績(jī)是非常重要的，而CMM會(huì)確定什么可作為證據(jù)，以及它證明了什么。這種證據(jù)收集本身就是一個(gè)多方利益相關(guān)者的過(guò)程，涉及廣泛的來(lái)源和組織。討論對(duì)于解決分歧非常重要。進(jìn)行遠(yuǎn)程在線，還是面對(duì)面的會(huì)議，這樣的討論是否有效，將取決于進(jìn)行審查的國(guó)家。

　　CMM框架

　　CMM認(rèn)為網(wǎng)絡(luò)安全包括五個(gè)維度，共同構(gòu)成國(guó)家有效提供網(wǎng)絡(luò)安全所需能力的廣度：

　　1.發(fā)展網(wǎng)絡(luò)安全政策與戰(zhàn)略

　　2.網(wǎng)絡(luò)安全文化與社會(huì)

　　3.構(gòu)建網(wǎng)絡(luò)安全知識(shí)與能力

　　4.創(chuàng)建有效法律與監(jiān)管框架

　　5.通過(guò)標(biāo)準(zhǔn)和技術(shù)管控風(fēng)險(xiǎn)

　　維度1網(wǎng)絡(luò)安全政策與戰(zhàn)略

　　探索國(guó)家制定和實(shí)施網(wǎng)絡(luò)安全戰(zhàn)略的能力，并通過(guò)提高應(yīng)急響應(yīng)、網(wǎng)絡(luò)防御和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)能力來(lái)增強(qiáng)網(wǎng)絡(luò)安全應(yīng)變能力（網(wǎng)絡(luò)安全彈性）。這一維度在維護(hù)對(duì)政府、國(guó)際企業(yè)和社會(huì)都至關(guān)重要的網(wǎng)絡(luò)空間利益的同時(shí)，考慮了提供國(guó)家網(wǎng)絡(luò)安全能力的有效戰(zhàn)略和政策維度2網(wǎng)絡(luò)安全文化與社會(huì)

　　審查了一個(gè)負(fù)責(zé)任的網(wǎng)絡(luò)安全文化的關(guān)鍵要素，如社會(huì)中對(duì)網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)的理解，對(duì)互聯(lián)網(wǎng)服務(wù)、電子政務(wù)和電子商務(wù)服務(wù)的信任水平，以及用戶對(duì)線上個(gè)人信息保護(hù)的理解。此外，這一維度探討了作為用戶舉報(bào)網(wǎng)絡(luò)犯罪渠道機(jī)制的存在（必要性）。并考察了媒體和社交網(wǎng)絡(luò)在塑造網(wǎng)絡(luò)安全價(jià)值觀、態(tài)度和行為方面的作用。

　　維度3構(gòu)建網(wǎng)絡(luò)安全知識(shí)和能力

　　針對(duì)不同利益攸關(guān)群體（包括政府、私營(yíng)部門(mén)和全體民眾）審查了項(xiàng)目的可用性、質(zhì)量和實(shí)施情況，并與網(wǎng)絡(luò)安全意識(shí)提高項(xiàng)目、正式的網(wǎng)絡(luò)安全教育項(xiàng)目和專業(yè)培訓(xùn)項(xiàng)目相關(guān)聯(lián)。

　　維度4法律與監(jiān)管框架

　　檢查政府設(shè)計(jì)和制定那些與網(wǎng)絡(luò)安全直接或間接相關(guān)的國(guó)家立法的能力，特別強(qiáng)調(diào)網(wǎng)絡(luò)安全監(jiān)管要求、網(wǎng)絡(luò)犯罪相關(guān)立法以及其他相關(guān)立法的主題。通過(guò)執(zhí)法、起訴、監(jiān)管機(jī)構(gòu)和法院能力來(lái)審查執(zhí)行這些法律的能力。此外，這一維度還考察了聯(lián)合打擊網(wǎng)絡(luò)犯罪的正式和非正式合作框架等問(wèn)題。

　　維度5標(biāo)準(zhǔn)和技術(shù)

　　強(qiáng)調(diào)了通過(guò)有效和廣泛利用網(wǎng)絡(luò)安全技術(shù)來(lái)保護(hù)個(gè)人、組織和國(guó)家基礎(chǔ)設(shè)施的有效及廣泛利用。該維度專門(mén)檢查了為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而實(shí)施的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和優(yōu)秀實(shí)踐、流程和控制的部署，以及技術(shù)和產(chǎn)品的開(kāi)發(fā)情況。

　　CMM的五個(gè)階段

　　CMM為每一個(gè)維度都定義了五個(gè)成熟階段，并給出分別的對(duì)應(yīng)事務(wù)：

　　啟動(dòng)階段——能力初步發(fā)展

　　形成階段——建立中

　　建立階段——處于世界領(lǐng)先地位

　　戰(zhàn)略階段——預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全需求

　　動(dòng)態(tài)階段——為未來(lái)網(wǎng)絡(luò)安全需求做好準(zhǔn)備

　　啟動(dòng)階段

　　在這個(gè)階段，網(wǎng)絡(luò)安全要么還不成熟，要么還處于萌芽狀態(tài)。雙方可能會(huì)就網(wǎng)絡(luò)安全能力建設(shè)進(jìn)行初步討論，但尚未采取具體行動(dòng)。在這個(gè)階段可能沒(méi)有可觀察到的證據(jù)。

　　形成階段

　　一些方面的一些特性已經(jīng)開(kāi)始發(fā)展和制定，但可能是個(gè)別的、混亂的、定義不明的或只是新的。但是，這種活動(dòng)證據(jù)可以被清楚地證明。

　　建立階段

　　某方面的指標(biāo)已經(jīng)具備，并且有證據(jù)表明它們正在工作。不過(guò)，對(duì)資源的相對(duì)分配沒(méi)有經(jīng)過(guò)深思熟慮。在這方面各個(gè)要素的相對(duì)投資上，幾乎沒(méi)有作出權(quán)衡決策。但該方面是功能性的，并且已定義。

　　戰(zhàn)略階段

　　對(duì)于特定的組織或國(guó)家，已經(jīng)做出了關(guān)于某些方面的哪些部分是重要的，哪些不太重要的選擇。戰(zhàn)略階段反映了這樣一個(gè)事實(shí)，即根據(jù)國(guó)家或組織的特定情況做出這些選擇。

　　動(dòng)態(tài)階段

　　在這個(gè)階段，有明確的機(jī)制可以根據(jù)當(dāng)前情況變更國(guó)家戰(zhàn)略，例如威脅環(huán)境的技術(shù)、全球沖突或關(guān)注的某個(gè)領(lǐng)域發(fā)生重大變化（如網(wǎng)絡(luò)犯罪或隱私）。還有證據(jù)表明，美國(guó)在網(wǎng)絡(luò)安全問(wèn)題上發(fā)揮了全球領(lǐng)導(dǎo)作用。至少，關(guān)鍵部門(mén)已經(jīng)制定了在其發(fā)展的任意階段變更戰(zhàn)略的方法?？焖?zèng)Q策、重新分配資源、持續(xù)關(guān)注變化的環(huán)境是這一階段的特點(diǎn)。

　　CMM允許對(duì)當(dāng)前國(guó)家的網(wǎng)絡(luò)安全能力進(jìn)行基準(zhǔn)測(cè)試。了解實(shí)現(xiàn)更高能力水平的要求將明確指明需要進(jìn)一步投資的領(lǐng)域，以及如何證明這種能力水平。CMM還可以用于為投資和預(yù)期的效率提高構(gòu)建業(yè)務(wù)用例。將CMM審查與國(guó)家風(fēng)險(xiǎn)評(píng)估、社會(huì)和經(jīng)濟(jì)戰(zhàn)略相結(jié)合，可以進(jìn)一步確定提高能力的優(yōu)先次序。

　　CMM報(bào)告整體結(jié)構(gòu)預(yù)覽

　　RAND Europe的《發(fā)展網(wǎng)絡(luò)安全能力》報(bào)告是針對(duì)CMM的一個(gè)工具集，可以用于輔助實(shí)施和驗(yàn)證框架，兩者配合使用。