国家网络安全能力成熟度模型（一）

前言

这是作为课题研究的一个学术报告，发现有很多地方可以拿来借鉴和学习，从比较高的角度去看待网络安全，并且给出了一定的实践指南。由于能力和时间有限，只翻译了第一个维度，也是最重要的一部分。拿来和各位分享一下，希望能用得到，建议大型甲方和合规研究类的人员参考，不适合中小企业落地。

文章的序言以及1.1、1.2、1.3章节之前由学术Plus翻译过，我这里只是稍作修改，必须要说明一下。1.4-1.6部分由本人独立翻译完成。

本文主要介绍GCSCC CMM模型的理论体系以及报告中的实践指南，重点放在第一维度–国家网络安全政策和战略。

正文

本文主要介绍GCSCC CMM模型的理论体系以及报告中的实践指南，重点放在第一维度–国家网络安全政策和战略。

由于格式问题，FB的编辑较难操作，后续正文将以图片形式展现，如果有需要的可以后续提供PDF文档。

研究背景与报告概况

最近几十年，信息通信技术（ICT）的作用和地位愈发重要。从经济角度来看，互联网和信息通信技术对经济的促进已得到广泛认可。然而，这些技术同时也使得网络空间的非法活动激增。由此，兰德公司于2018年8月发布报告《发展网络安全能力》（Developing Cybersecurity Capacity），旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定，以应对网络领域的挑战。报告中，对国家网络成熟度进行了详细的审查和评估，并将其结论更好地转化为切实的政策建议和投资战略，使政策制定更好地增强该国的网络安全能力。

国家网络安全能力成熟度模型（CMM）由牛津大学（University of Oxford）的全球网络空间安全能力中心（GCSCC）创建，并由英国外交部（UK FCO）的网络安全能力建设计划进行资助。由于美洲国家组织（OAS）、世界银行（WB）、国际电信联盟（ITU）和英联邦电信联盟（CTO）等国际组织在许多国家和地区都部署了这一工具，因此在实践者中备受关注。

全球网络空间安全能力中心能力成熟度模型（GCSCCCMM）的首个版本出版于2014年，2017年更新为最新版本。根据全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）所述，一个国家的网络生态系统被认为由五个维度构成：

D1 – 网络安全政策和战略
D2 – 网络文化与社会
D3 – 网络安全教育、培训和技能
D4 – 法律和监管框架
D5 – 标准、组织和技术

全球网络空间安全能力中心能力成熟度模型（ GCSCC CMM ）的每一个维度、因素和方面都进一步沿着成熟度的 5 个阶段进行构建。它们被用来帮助各国确定自己目前的能力水平。全球网络空间安全能力中心能力成熟度模型（ GCSCC CMM ） 的成熟度级别，从低到高，列示如下：启动级；形成级；确立级；战略级；以及动态级。图 I.1 提供了全球网络空间安全能力中心能力成熟度模型（ GCSCC CMM ）结构的可视化概述。

资料来源： 兰德欧洲公司基于全球网络空间安全能力中心（GCSCC）的详细阐述（2017）Dimension维度；Factor因素；Aspect方面；Start-up启动级； Formative形成级； Established确立级； Strategic战略级；Dynamic动态级；Cyber security capacity building网络安全能力建设。

全球多个国家都在使用全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）来支持国家网络安全能力的专家评估。该模型也成功描绘出国家网络生态系统中利害攸关的问题，并为未来的发展和投资提供建议。然而，设计该工具并不是为了让政策制定者和实施者使用该 工具 作为参考指南，而是为了在对国家网络安全能力进行评估后，将建议付诸实施。

模型的五大维度及其内在因素

第 1 维 —— 网络安全政策和战略

全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的维度着眼于国家制定、实施和审查国家级网络安全战略的能力，以及支持该战略的关键战略、理论学说和操作文件和活动。这一维度包括以下六大因素：

D1.1 – 国家网络安全战略

这一因素侧重于国家制定、审查和更新国家网络安全战略的能力，有助于确定网络安全行动的优先次序，确定责任，并分配相关资源。

D1.2– 安全应急响应

这一因素关注的是安全应急响应能力，特别是在国家层面上应对网络安全事件的能力。

D1.3 – 关键基础设施保护

这一因素强调保护那些对维持包括健康、安全、安全保障、经济和社会福利在内的重要的社会职能必不可少的资产和系统的能力。

D1.4 – 危机管理

这一因素着重强调发展国家建立、审查和更新国家危机管理应用程序、功能协议和标准的能力。

D1.5 – 网络防御

这一因素侧重于国家设计和实施网络防御战略的能力，同时保持对政府、国际商业团体和社会开放网络空间的好处和灵活性。

D1.6 – 通信冗余

这一因素关注的是各国政府识别、详细规划和利用国家利益攸关方之间的数字冗余和冗余通信的能力。

维度 2—— 网络文化与社会

模型考察了网络安全的宽阔的文化与社会维度，及其在提高网络空间安全性与恢复力方面所发挥的作用。个体、公众、民间和社会层次的参与者之间所存在的国家网络安全文化是以对有助于网络生态系统的成熟度和恢复力的价值观、态度和实践的共同的理解与接受为条件的。本维度包括5个因素：

D2.1 – 网络安全心态

这个因素集中于国家网络安全参与者的价值观、态度和实践，包括存在于网络生态系统中的政府、私营部门、个人用户及其他参与者。

D2.2 – 对互联网的信任和信赖

这个因素聚焦于普通民众以安全的和私密的方式使用因特网时所具有的信任和信赖，包括使用政府的电子服务平台和电子商务平台。

D2.3 – 用户对于线上个人信息保护的理解

这个因素聚焦于普通民众以及公共部门和私营部门中的用户和参与者是否能够意识到和理解线上个人信息保护的重要性和意义。

D2.4 – 报告机制

这个因素聚焦于用户报告网络犯罪的报告机制和渠道的存在和使用，包括线上欺骗、网络暴力、虐待孩子、身份盗窃、保密和安全破坏以及其他事件。

D2.5 – 媒体和社交媒体

这个因素聚焦于媒体和社交媒体的作用，着眼于它们在传达网络安全信息方面的作用以及网络安全作为一个主题在这些媒体和平台上讨论和争论的程度。

第 3 维 —— 网络安全、教育、培训与技能

模型的第 3 维评估了高质量网络安全教育、培训和意识提升活动在全国的可实施性以及对这些活动进行开发和提供的能力。这包括为不同的政府利益相关者团体、私营部门和普通人群提供的教育和培训活动。包含三个因素：

D3.1 – 意识提升

这个因素评估的是以公共部门、私营部门、学术界和民间团体中的利益相关者以及公众为目标的网络安全意识计划和倡议的可获得性、提供和接受情况。

D3.2 – 网络安全教育框架

这个因素评估的是初等、中等和高等网络安全教育的可获得性和提供情况。

D3.3 – 专业培训框架

这个因素关注的是网络安全专业培训对网络安全专业人员队伍而言的可获得性和提供情况，包括通过组织内部的水平和垂直网络安全知识转移以及通过持续技能开发来提供的网络安全专业培训。

第 4 维 —— 法律法规框架

模型第 4 维评估了政府直接或间接地设计并颁布网络安全相关国家法律的能力，包括针对与网络犯罪、隐私和数据保护有关的问题所颁布的法律。 GCSCC 的这个维度由三个因素组成：

D4.1 – 法律框架

这个因素聚焦于与网络安全有关的法律法规框架，包括： ICT 安全性法律框架、隐私权、言论自由、网络人权、数据保护、儿童保护、消费者保护、知识产权以及实体和程序性网络犯罪立法。

D4.2 – 刑事司法系统

这个因素聚焦于国家打击网络犯罪的能力，包括执法机构调查网络犯罪的能力、检察机关起诉网络犯罪及使用电子证据的能力以及法院审理网络犯罪案件和电子证据案件的能力。

D4.3 – 以打击网络犯罪为目的的正式 / 非正式合作框架

这个因素聚焦于国家确保地方行为者之间以及与国外相关同行之间通过正式 / 非正式合作来震慑、打击网络犯罪的能力。

第 5 维 —— 标准、组织和技术

模型第五维度考虑正式标准、国际准则和信息控制的使用，以帮助开发安全、公开和有弹性的网络生态系统。目前就技术信息控制、互联网协议、密码标准、网络安全承诺、审查和认证程序等主题不断展开研究，取得了大量的成果。由于技术发展的快速步伐，为了构建在这些领域的能力，建议参考最新版本的官方供应商文件和最先进的标准。GCSCC CMM的这个维度包括七个因素：

D5.1 – 遵守标准

该因素侧重于采纳和遵守国际标准和网络安全、风险管理、采购和软件开发方面的优秀实践。

D5.2 – 互联网基础设施的弹性

该因素侧重于国家互联网服务和基础设施的可用性和灵活性，以及支持其维护的安全程序。

D5.3 – 软件质量

该因素侧重于对编码的使用把关，以减少公共和私营部门中普遍存在的易受攻击的软件代码，以及对有助于适当的软件改进更新和维护的政策机制予以保护。

D5.4 – 技术安全控制

该因素侧重于通过采纳国际标准和优秀实践以实现网络空间安全的技术安全控制。

D5.5 – 密码控制

该因素侧重于在国家层面对静态数据和动态数据使用加密和安全通讯方式，并在国家实践中遵守国际标准。

D5.6 – 网络安全市场

该因素考虑了网络安全市场，着眼于竞争性网络安全技术的可操作性和发展，以及网络安全保险的可用性和接受度。

D5.7 – 责任性披露

该因素侧重于负责任地披露网络入侵以及漏洞的能力和机制。

如何使用本指南？

本文件可作为网络安全能力建设的概念验证工具箱使用。本文件最好用于根据外部专家使用全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）对国家网络安全能力进行审查后生成的结果和能力建设建议来采取行动。图I.2为工具箱使用的方法流程。

图I.2：启用全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的网络安全能力建设周期中的工具箱功能/ GCSCCCMM 全球网络空间安全能力中心能力成熟度模型；Proof-of-conceptToolbox概念验证工具箱；l. GCSCC CMM-based, externally-conductednational cybersecurity capacity review 基于全球网络空间安全能力中心能力成熟度模型（GCSCC CMM）的、外部进行的网络安全能力评估；2. Implementationof capacity building recommendations 能力建设建议的实施；Newiteration新的迭代。

结语

有时候还是蛮佩服国外研究机构的（当然国内很多研究院也很厉害），总能提出创新的点，而且逻辑和思维非常缜密。本篇只是一个开头，后边会陆续更新1.1-1.6章节的内容。

*本文作者：宇宸@默安科技合规研究小组，转载请注明来自FreeBuf.COM