前言
2020年伊始爆发的新冠病毒疫情让企业与国家不得不加快数字化转型的步伐。随着新技术新方案的涌现,全球网络空间安全也面临着新威胁和新挑战。
在数字化高度渗透生活的方方面面的现状下,个人方面,我们会担心自己的隐私安全、信息安全能否得到良好的保障;企业方面,会考虑自身安全体系架构是否完善,是否能抵御出其不意的网络攻击;那,国家层面的网络安全能力从哪些方面体现?又如何保障呢?此份报告能够提供答案。
《国家网络安全能力成熟度模型(CMM)》能够协助国家确保网络安全,帮助各国了解网络安全能力的所有领域中哪些有效,哪些无效以及为什么有效。
CMM2021版及其部署能够为确保网络空间和依赖它的系统能够抵御不断增加的攻击贡献力量,政府和企业也可以通过此报告采用那些有潜力或有能力显著提升网络空间安全和保障水平的政策,并进行相关投资,同时尊重个人隐私和言论自由。
五个维度构成国家级网络安全能力的广度
除了从普遍的技术维度考察国家网络安全能力并对其进行评级,政府、社会甚至媒体也是CMM进行考察的方面。
CMM将国家网络安全的广度分为五个维度:
在每个维度中,包括要素、方面、阶段以及指标等,以此来对国家进行网络安全能力评估,并确定目前所处的阶段和水平。
CMM允许对当前国家的网络安全能力进行基准测试。了解实现更高能力水平的要求、明确需要进一步投资的领域,以及如何证明具有这种能力水平。
将CMM审查与国家风险评估、社会和经济战略相结合,可以进一步确定提高能力的优先次序。
五个阶段确定国家网络安全能力的深度
CMM为每一个维度都定义了五个成熟阶段,并给出分别的对应事务:
启动阶段——能力初步发展
形成阶段——建立中
建立阶段——处于世界领先地位
战略阶段——预测未来网络安全需求
动态阶段——为未来网络安全需求做好准备
应注意,这些维度之间存在着关联。例如,要使某个领域的能力奏效,往往要对其他领域提出要求。还有一种情况是,当资源有限且能力增强作为优先事项的时候,可能需要跨多个维度的响应。因此,衡量(评估)活动要根据整个CMM和所有维度来审查国家,使其能够全面考虑国家能力。
五个部分构造国家网络安全能力成熟度模型
维度(Dimension)
这五个维度共同覆盖了CMM评估的国家网络安全能力的广度。每个维度由一系列要素构成,这些要素收集该维度评估所需的核心能力。它们代表了不同的“聚焦点”,通过这些焦点可以证明和分析网络安全能力。
要素(Factor)
在这五个维度中,要素描述了拥有网络安全能力的含义。作为国家能力的基本要素,这些要素来随后将被用来衡量(国家网络安全能力所处的)成熟阶段。完整的要素清单旨在全面包含国家的所有网络安全能力需求。大多数要素由多个方面(Aspect)组成的,这些方面将要素的指标(Indicator)进行简化(直接与证据收集和度量有关)。但是,一些范围比较有限的因素Factor没有具体方面Aspect。
方面(Aspect)
当一个要素(Factor)拥有多个组成部分时,这些部分就是方面(Aspect)。一个要素Factor由多个方面Aspect组成。方面是一种组织方法,将要素的指标Indicator划分为更小的集群,更易理解。方面的数量取决于该要素内容中出现的主题和该要素的总体复杂度。
阶段(Stage)
阶段定义了国家在网络安全能力的某个要素或方面所取得的进展程度。CMM包括五个成熟阶段:启动阶段、形成阶段、建立阶段、战略阶段和动态阶段。CMM审查将根据这些阶段对国家进行基准测试,根据采取的行动(或不采取的行动),一个国家可以从中改善或减少网络安全能力获取现有的网络安全能力,在每一阶段中,国家必须完成若干指标才能成功地达到这一阶段。
指标(Indicator)
指标是CMM结构中最基本的部分。每个指标都描述了指示特定成熟阶段的步骤、动作或构建模块。为了成功地达到某一成熟阶段,国家需要使自己相信它能够证明每一项指标。要提升国家的网络安全能力成熟度,需要在特定阶段内完成所有指标。这些指标大多是二元性的,即国家或者可以证明自己达到了指标要求,或者无法提供这样的证明。
报告目录
媒体合作方:FreeBuf
FreeBuf.COM是斗象科技旗下国内领先的网络安全行业门户,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注的网络安全网站与社区。
来源:freebuf.com 2021-05-24 17:42:11 by: 宇宸de研究室
请登录后发表评论
注册