不知道大家是否还记得2019年的《发展网络安全能力》报告,或者说是否还记得这张图?
今年初,英国牛津大学全球网络安全能力中心(GCSCC)发布了《国家网络安全能力成熟度模型》(Cybersecurity Capacity Maturity Model for Nations,CMM)2021版,本文将对CMM模型的发展演变和框架进行介绍,带各位初探国家级的网络安全能力评估是怎么做的。
2020年伊始爆发的新冠病毒肺炎疫情,为世界带来“百年未有”之大变局,国际力量对比深刻调整,国际环境日趋复杂,经济全球化遭遇逆流,网络空间加速变革,为全球网络空间安全带来新的威胁和挑战。在日趋激烈的网络空间安全博弈中,如何全方位筑牢网络要筑牢网络安全防线,有效提高网络安全保障水平,是全球各国网络安全发展关注的重点。
“昔之善战者,先为不可胜,以待敌之可胜。”想要立于不败之地的基础是必须拥有强大的实力,实力的强弱与否是明确战略部署的前提。那么如何实现国家级的网络安全能力成熟度的自我评估,并将评估结果转化为切实的政策建议、投资战略以及能力发展优先次序,为决策者发展本国的更加先进、更加成熟的网络安全能力建设提供参考建议。
当前,针对国家级别的网络安全能力成熟度除了包括美国国防部的CMMC模型外,还包括由英国牛津大学全球网络安全能力中心(GCSCC)创建的国家网络安全能力成熟度模型(Cybersecurity Capacity Maturity Model for Nations,CMM)。全球网络安全能力中心由英国外交事务部UK FCO的网络安全能力建设计划(Cyber Security Capacity Building Programme 2018 to 2021)资助建设。
在2014年,GCSCC与来自学术界、国际和地区组织以及私营部门的200多名专家开展了全球合作,发布了第一代国家网络安全能力成熟度模型CMM。确定了国家级的网络安全能力最重要的因素,以及国家达到相应的成熟水平的所要采取的必要步骤。
随后,该模型得到了进一步的补充和细化,并在全球6个国家进行了部署试点。并将部部署初期的阶段性结果用于模型的进一步迭代更新,并最终在2017年2月发布了CMM的修订版。此外,在2018年8月,兰德欧洲(Rand Europe)发布了《发展网络安全能力—概念验证实施指南》(Developing Cybersecurity Capacity— A proof-of-concept implementation guide),该报告作为网络安全能力建设计划项目(Cyber Security Capacity Building Programme 2018 to 2021)的产出物之一开发了一个基于CMM模型的概念验证操作工具箱,该概念验证工具箱提供了通过审查现有网络安全能力建设文献确定的指导方针和建议方法,以促进国家级别的网络安全能力的发展。
2019年底,GCSCC开展了一项全球合作实践,并根据CMM在部署中汲取的经验教训提出了完善建议,并与来自学术界、国际和区域组织、政府、私营部门和公共社区在内的150多位专家进行了一系列磋商。这个修订过程有超过150位专家的贡献和超过74个在线电话。并与2021年3月25日发布了CMM的最新版本。
自2015年成立以来,CMM已在85多个国家/地区部署了120多次,随后许多国家和地区基于CMM磋商发布了其报告。
CMM旨在为国家网络安全提供指导和评估模型,偏重评估与落地性,为政府决策者提供建议和支持。能够帮助各国了解网络安全能力的所有领域中哪些有效,哪些无效以及为什么有效。这样一来政府和企业可以采用那些有潜力或有能力显著提升网络空间安全和保障水平的政策,并进行相关投资,同时尊重个人隐私和言论自由。
CMM并非静态,以持续完善的过程,确保CMM始终适用于所有国家背景,并反映全球网络安全能力的成熟状况。在证据和实践的推动下,这种演进将会持续成为一种深思熟虑后的工作。
对一个国家开展CMM审查需要一组研究人员进行数据收集,这些研究人员在该国内开展利益攸关方咨询和桌面研究。输出一份基于证据的报告,其中:
衡量一个国家网络安全能力成熟度的基准; 详细介绍一套有助于弥合网络安全能力成熟鸿沟的务实行动; 根据该国的具体需要,确定投资和未来能力建设的优先事项。
根据英国外交、联邦和发展事务部委托进行的一项独立研究,对一国开展CMM审查将会带来众多益处,具体包括:
提升网络安全意识和能力建设,加强政府内部合作; 与企业和广大社会建立沟通与合作; 提升政府内网络安全议程的公信力; 协助确定政府内部的角色和责任; 为增加网络安全能力建设资金支持提供依据; 国家战略和政策发展的基础。
一个国家能够证明其在网络安全能力方面取得的成绩是非常重要的,而CMM会确定什么可作为证据,以及它证明了什么。这种证据收集本身就是一个多方利益相关者的过程,涉及广泛的来源和组织。讨论对于解决分歧非常重要。进行远程在线,还是面对面的会议,这样的讨论是否有效,将取决于进行审查的国家。
CMM认为网络安全包括五个维度,共同构成国家有效提供网络安全所需能力的广度:
1.发展网络安全政策与战略 2.网络安全文化与社会 3.构建网络安全知识与能力 4.创建有效法律与监管框架 5.通过标准和技术管控风险
探索国家制定和实施网络安全战略的能力,并通过提高应急响应、网络防御和关键基础设施保护能力来增强网络安全应变能力(网络安全弹性)。这一维度在维护对政府、国际企业和社会都至关重要的网络空间利益的同时,考虑了提供国家网络安全能力的有效战略和政策
审查了一个负责任的网络安全文化的关键要素,如社会中对网络相关风险的理解,对互联网服务、电子政务和电子商务服务的信任水平,以及用户对线上个人信息保护的理解。此外,这一维度探讨了作为用户举报网络犯罪渠道机制的存在(必要性)。并考察了媒体和社交网络在塑造网络安全价值观、态度和行为方面的作用。
针对不同利益攸关群体(包括政府、私营部门和全体民众)审查了项目的可用性、质量和实施情况,并与网络安全意识提高项目、正式的网络安全教育项目和专业培训项目相关联。
检查政府设计和制定那些与网络安全直接或间接相关的国家立法的能力,特别强调网络安全监管要求、网络犯罪相关立法以及其他相关立法的主题。通过执法、起诉、监管机构和法院能力来审查执行这些法律的能力。此外,这一维度还考察了联合打击网络犯罪的正式和非正式合作框架等问题。
强调了通过有效和广泛利用网络安全技术来保护个人、组织和国家基础设施的有效及广泛利用。该维度专门检查了为降低网络安全风险而实施的网络安全标准和优秀实践、流程和控制的部署,以及技术和产品的开发情况。
CMM为每一个维度都定义了五个成熟阶段,并给出分别的对应事务:
启动阶段——能力初步发展 形成阶段——建立中 建立阶段——处于世界领先地位 战略阶段——预测未来网络安全需求 动态阶段——为未来网络安全需求做好准备
启动阶段
在这个阶段,网络安全要么还不成熟,要么还处于萌芽状态。双方可能会就网络安全能力建设进行初步讨论,但尚未采取具体行动。在这个阶段可能没有可观察到的证据。
形成阶段
一些方面的一些特性已经开始发展和制定,但可能是个别的、混乱的、定义不明的或只是新的。但是,这种活动证据可以被清楚地证明。
建立阶段
某方面的指标已经具备,并且有证据表明它们正在工作。不过,对资源的相对分配没有经过深思熟虑。在这方面各个要素的相对投资上,几乎没有作出权衡决策。但该方面是功能性的,并且已定义。
战略阶段
对于特定的组织或国家,已经做出了关于某些方面的哪些部分是重要的,哪些不太重要的选择。战略阶段反映了这样一个事实,即根据国家或组织的特定情况做出这些选择。
动态阶段
在这个阶段,有明确的机制可以根据当前情况变更国家战略,例如威胁环境的技术、全球冲突或关注的某个领域发生重大变化(如网络犯罪或隐私)。还有证据表明,美国在网络安全问题上发挥了全球领导作用。至少,关键部门已经制定了在其发展的任意阶段变更战略的方法。快速决策、重新分配资源、持续关注变化的环境是这一阶段的特点。
CMM允许对当前国家的网络安全能力进行基准测试。了解实现更高能力水平的要求将明确指明需要进一步投资的领域,以及如何证明这种能力水平。CMM还可以用于为投资和预期的效率提高构建业务用例。将CMM审查与国家风险评估、社会和经济战略相结合,可以进一步确定提高能力的优先次序。
RAND Europe的《发展网络安全能力》报告是针对CMM的一个工具集,可以用于辅助实施和验证框架,两者配合使用。
CMM报告完整版将在不久后放出,请大家拭目以待。