組織網(wǎng)絡(luò)安全能力成熟度模型的研究與構(gòu)建

近年來，隨著社會各領(lǐng)域數(shù)字化發(fā)展加快，新技術(shù)、新業(yè)態(tài)、新模式不斷涌現(xiàn)，驅(qū)動生產(chǎn)、生活及治理方式發(fā)生變革，加速了網(wǎng)絡(luò)安全風(fēng)險向各行業(yè)領(lǐng)域延伸，網(wǎng)絡(luò)安全的環(huán)境和形勢產(chǎn)生深刻變化，疊加新一輪科技產(chǎn)業(yè)革命的影響，網(wǎng)絡(luò)安全問題層出不窮，網(wǎng)絡(luò)攻擊方式演進升級，網(wǎng)絡(luò)安全工作將面臨嚴峻的問題和挑戰(zhàn)。一方面，針對能源、交通、電信等關(guān)鍵行業(yè)的網(wǎng)絡(luò)攻擊事件頻發(fā)，對社會平穩(wěn)運行和民眾生產(chǎn)生活產(chǎn)生深遠影響。另一方面，針對新技術(shù)、新場景的網(wǎng)絡(luò)威脅日益增多，網(wǎng)絡(luò)攻防對抗愈加激烈，網(wǎng)絡(luò)攻擊目標(biāo)愈加精準，瞄準“高價值”目標(biāo)實施攻擊。同時，國內(nèi)外也紛紛通過出臺政策、法律法規(guī)，以及配套的標(biāo)準規(guī)范，強化網(wǎng)絡(luò)安全監(jiān)管，不斷升級網(wǎng)絡(luò)安全問責(zé)與處罰力度，促使網(wǎng)絡(luò)安全進入強監(jiān)管時代。在當(dāng)前網(wǎng)絡(luò)安全愈加復(fù)雜、嚴峻的形勢下，部分黨政機關(guān)、大型企事業(yè)單位等組織不約而同地將網(wǎng)絡(luò)安全保障體系建設(shè)的重點轉(zhuǎn)向網(wǎng)絡(luò)安全能力體系的構(gòu)建，通過對組織的核心業(yè)務(wù)、通信基礎(chǔ)設(shè)施、數(shù)據(jù)資產(chǎn)等安全保護對象的全生存周期的網(wǎng)絡(luò)安全活動、實踐、過程等的真實網(wǎng)絡(luò)安全能力進行評估，識別和發(fā)現(xiàn)差距，進而有的放矢地強化問題整改，補齊防護短板，筑牢“大安全”屏障，更好地應(yīng)對數(shù)字化轉(zhuǎn)型時代面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，護航高質(zhì)量發(fā)展行穩(wěn)致遠。目前，國外已有部分網(wǎng)絡(luò)安全能力的成熟度評估模型，國內(nèi)也已經(jīng)有數(shù)據(jù)安全、工業(yè)控制系統(tǒng)安全等細分領(lǐng)域的安全能力成熟度評估模型。本文引入能力成熟度模型的思想和方法，旨在借鑒當(dāng)前已有的相關(guān)安全能力成熟度模型的研究成果，結(jié)合業(yè)界多年來積累探索的實踐經(jīng)驗，圍繞組織存在的一些典型、共性的難點、痛點和訴求以及適應(yīng)新技術(shù)新應(yīng)用的發(fā)展需要等，研究構(gòu)建了一套適用于組織的可落地的通用網(wǎng)絡(luò)安全能力成熟度模型，能夠客觀量化、科學(xué)評價組織真實的網(wǎng)絡(luò)安全能力，用以指導(dǎo)組織識別差距、方案規(guī)劃和改進提升，也可作為組織開展網(wǎng)絡(luò)安全能力建設(shè)的依據(jù)。１相關(guān)研究國內(nèi)外在各相關(guān)學(xué)科和領(lǐng)域相繼推出了許多能力成熟度模型。在國外，美國國防部在1984年委托美國卡耐基梅隆大學(xué)的軟件工程研究所開發(fā)了能力成熟度模型（CapabilityMaturityModel，CMM），對CMM進行了持續(xù)改進，并于2000年公布了能力成熟度模型集成（CapabilityMaturityModelIntegration，CMMI）。隨著CMMI在軟件界應(yīng)用的不斷推廣，我國在各行業(yè)領(lǐng)域也提出了相應(yīng)的類CMM模型標(biāo)準，主要包括：GB/T36073—2018《數(shù)據(jù)管理能力成熟度評估模型》、GB/T39116—2020《智能制造能力成熟度模型》、GB/T39117—2020《智能制造能力成熟度評估方法》、GB/T20261—2020《信息安全技術(shù)系統(tǒng)安全工程能力成熟度模型》、GB/T42129—2022《數(shù)據(jù)管理能力成熟度評估方法》等。在網(wǎng)絡(luò)安全領(lǐng)域，國內(nèi)外也參考CMM模型形成了相關(guān)研究成果。例如，美國國防部于2021年發(fā)布的網(wǎng)絡(luò)安全成熟度模型認證（CybersecurityMaturityModelCertification，CMMC）2.0；美國能源部于2022年發(fā)布的網(wǎng)絡(luò)安全能力成熟度模型（CybersecurityCapabilityMaturityModel，C2M2）；我國國家標(biāo)準化管理委員會先后于2019年、2022年分別發(fā)布的GB/T37988—2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》和GB/T41400—2022《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》等。此外，我國信息安全標(biāo)準化技術(shù)委員會當(dāng)前也正在組織推進《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力評價方法》國家標(biāo)準的研制工作。中國信息通信研究院牽頭的行業(yè)標(biāo)準《電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)安全能力成熟度評估模型》《電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)安全能力成熟度評估方法》也正在制定中。另外，我國機械工業(yè)出版社2021年出版發(fā)行了《網(wǎng)絡(luò)安全能力成熟度模型：原理與實踐》，綠盟科技、360數(shù)字安全集團等網(wǎng)絡(luò)安全廠商結(jié)合業(yè)內(nèi)實踐情況，也相繼提出了自己的網(wǎng)絡(luò)安全能力成熟度模型。相關(guān)研究成果的簡要情況如表1所示（不包含前文提到正在制定的3個標(biāo)準）。表1網(wǎng)絡(luò)安全領(lǐng)域的CMM模型相關(guān)研究成果簡要情況續(xù)表２網(wǎng)絡(luò)安全能力成熟度模型的構(gòu)建綜上調(diào)查與研究，本文提出了組織網(wǎng)絡(luò)安全能力成熟度模型。參考網(wǎng)絡(luò)安全領(lǐng)域的CMM模型，圍繞安全保護對象的全生存周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個能力維度，提出階梯式的進化框架，采用1～5級的成熟度等級評定方式給出組織的網(wǎng)絡(luò)安全能力成熟度水平，對組織動態(tài)變化中的網(wǎng)絡(luò)安全實踐、活動、過程等進行能力量化分析、科學(xué)評價，對整體安全能力進行有效性驗證。2.1模型架構(gòu)組織網(wǎng)絡(luò)安全能力成熟度模型架構(gòu)由安全能力要素、安全能力建設(shè)過程、安全能力成熟度等級3個維度構(gòu)成，如圖1所示。圖1組織網(wǎng)絡(luò)安全能力成熟度模型架構(gòu)（1）安全能力要素。安全能力要素明確了組織在開展網(wǎng)絡(luò)安全工作時應(yīng)具備的能力，包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。（2）安全能力建設(shè)過程。安全能力建設(shè)過程基于組織的安全保護對象的全生存周期，明確各階段的網(wǎng)絡(luò)安全過程域及其基本實踐。（3）安全能力成熟度等級。安全能力成熟度等級采用階梯式進化框架，共分為五級，分別是：1級（無控制級）、2級（計劃跟蹤級）、3級（體系構(gòu)建級）、4級（量化控制級）、5級（持續(xù)優(yōu)化級）。2.2安全能力要素本文參考行業(yè)實踐，結(jié)合我國已經(jīng)發(fā)布的數(shù)據(jù)安全、工業(yè)控制系統(tǒng)安全領(lǐng)域的能力成熟度模型標(biāo)準，圍繞組織建設(shè)、制度流程、技術(shù)工具、人員能力4個安全能力要素維度，對組織的各網(wǎng)絡(luò)安全過程應(yīng)具備的安全能力進行量化，評估每項安全過程的實現(xiàn)能力。安全能力要素是科學(xué)評價組織網(wǎng)絡(luò)安全能力的主要要素指標(biāo)。（1）組織建設(shè)：網(wǎng)絡(luò)安全管理機構(gòu)的設(shè)立、職責(zé)分配和溝通協(xié)作。組織建設(shè)主要從網(wǎng)絡(luò)安全管理機構(gòu)的組織架構(gòu)對組織的安全保護對象的適用性，網(wǎng)絡(luò)安全工作職責(zé)的明確性，以及網(wǎng)絡(luò)安全管理機構(gòu)運作、溝通協(xié)調(diào)、參與信息化決策的有效性等方面進行等級區(qū)分、判定和評估。（2）制度流程：組織網(wǎng)絡(luò)安全方面的方針、策略、制度及其流程落地建設(shè)。制度流程主要圍繞安全保護對象全生存周期重要活動、事項等的關(guān)鍵控制節(jié)點授權(quán)審批流程的明確性，相關(guān)方針、策略、制度等的制定、發(fā)布、修訂、廢棄的規(guī)范性，以及落地建設(shè)、實施的一致性和有效性等方面進行等級區(qū)分、判定和評估。（3）技術(shù)工具：通過技術(shù)手段或產(chǎn)品、工具等固化網(wǎng)絡(luò)安全要求或自動化實現(xiàn)網(wǎng)絡(luò)安全工作。技術(shù)工具主要基于網(wǎng)絡(luò)安全技術(shù)在安全保護對象全生存周期的應(yīng)用情況，對網(wǎng)絡(luò)安全工作的支撐或自動化支持情況，對制度流程固化執(zhí)行實現(xiàn)情況，以及對網(wǎng)絡(luò)安全風(fēng)險應(yīng)對能力等方面進行等級區(qū)分、判定和評估。（4）人員能力：網(wǎng)絡(luò)安全從業(yè)人員的安全意識及相關(guān)專業(yè)能力。人員能力主要圍繞網(wǎng)絡(luò)安全從業(yè)人員所具備的安全意識、專業(yè)素養(yǎng)以及對關(guān)鍵崗位員工網(wǎng)絡(luò)安全能力的培養(yǎng)，所具備的網(wǎng)絡(luò)安全專業(yè)技能滿足情況以及對組織相關(guān)業(yè)務(wù)的理解程度等方面進行等級區(qū)分、判定和評估。2.3安全能力建設(shè)過程安全能力建設(shè)過程維度，參考GB/T37988—2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》的設(shè)計理念，圍繞組織的安全保護對象的全生存周期各階段的網(wǎng)絡(luò)安全活動，提出相應(yīng)的過程域及其配套的基本實踐，以指導(dǎo)組織的網(wǎng)絡(luò)安全能力建設(shè)或提升。2.3.1安全保護對象網(wǎng)絡(luò)安全保護對象指網(wǎng)絡(luò)安全保護工作直接作用的對象，主要包括信息系統(tǒng)、通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施和數(shù)據(jù)資源等。2.3.2安全保護對象全生存周期安全保護對象全生存周期由安全規(guī)劃設(shè)計、安全開發(fā)建設(shè)與實施、安全運營、安全保護對象終止4個階段組成，如圖2所示。圖2安全保護對象全生存周期安全保護對象全生存周期的說明如下：（1）安全規(guī)劃設(shè)計：組織提出網(wǎng)絡(luò)安全規(guī)劃并開展體系化設(shè)計的階段。（2）安全開發(fā)建設(shè)與實施：網(wǎng)絡(luò)安全規(guī)劃設(shè)計落地實施的階段。（3）安全運營：開展常態(tài)化網(wǎng)絡(luò)安全運營活動，保證組織業(yè)務(wù)持續(xù)、穩(wěn)定運行的階段。（4）安全保護對象終止：安全保護對象轉(zhuǎn)移、終止或廢棄并妥適處理相應(yīng)信息、設(shè)備或存儲介質(zhì)的階段。并非所有的安全保護對象都會經(jīng)歷全生存周期的每個階段。特定的安全保護對象所經(jīng)歷的生存周期由組織實際的業(yè)務(wù)所決定，可為完整的4個階段或其中的幾個階段。2.3.3網(wǎng)絡(luò)安全過程域體系本文中，基本實踐（BasePractice，BP）是指實現(xiàn)某一安全目標(biāo)的網(wǎng)絡(luò)安全相關(guān)活動。過程域（ProcessArea，PA）是指實現(xiàn)同一安全目標(biāo)的相關(guān)網(wǎng)絡(luò)安全基本實踐的集合。一個過程域中包含一個或多個基本實踐。在設(shè)計本模型的PA和BP時，根據(jù)我國現(xiàn)行的網(wǎng)絡(luò)安全相關(guān)政策、法律法規(guī)及配套的標(biāo)準規(guī)范等提出網(wǎng)絡(luò)安全規(guī)劃、設(shè)計、建設(shè)、運營等階段的相關(guān)保護要求，同時借鑒國內(nèi)外有益的、成功的通用實踐經(jīng)驗，結(jié)合黨政機關(guān)、大型企事業(yè)單位等組織的一些共性難點、痛點和訴求，并考慮新技術(shù)新應(yīng)用的發(fā)展趨勢，從需要落實開展的網(wǎng)絡(luò)安全工作這一角度出發(fā)，圍繞組織的安全保護對象的全生存周期，經(jīng)綜合整理、提取、合并、轉(zhuǎn)化、歸納，本文提出的網(wǎng)絡(luò)安全能力成熟度模型一共形成了54個PA和1466個BP。限于篇幅，本文僅列出安全保護對象全生存周期4個階段的部分核心過程域，并未深入探討基本實踐細節(jié)。網(wǎng)絡(luò)安全能力成熟度模型部分核心過程域如表2所示。表2網(wǎng)絡(luò)安全能力成熟度模型部分核心過程域2.4安全能力成熟度等級2.4.1安全能力成熟度等級的劃分組織網(wǎng)絡(luò)安全成熟度模型的成熟度等級采用階梯式進化框架，共有5個成熟度等級，整體呈現(xiàn)從萌芽到成熟、從不完善到逐步優(yōu)化的遞進式發(fā)展歷程，組織網(wǎng)絡(luò)安全能力成熟度等級如圖3所示。圖3組織網(wǎng)絡(luò)安全能力成熟度等級組織的每一個網(wǎng)絡(luò)安全能力成熟度等級的等級描述、特征說明如表3所示。表3網(wǎng)絡(luò)安全能力成熟度等級描述和特征說明2.4.2能力成熟度等級與過程域、基本實踐、安全能力要素的關(guān)系組織網(wǎng)絡(luò)安全能力成熟度等級與過程域、基本實踐、安全能力要素的關(guān)系如圖4所示。圖4能力成熟度等級與過程域、基本實踐、安全能力要素的關(guān)系能力成熟度等級與過程域、基本實踐、安全能力要素的關(guān)系說明如下：（1）將每個過程域的能力成熟度等級劃分為5級，針對每個等級下組織應(yīng)具備的安全能力要求，從4個安全能力要素（組織建設(shè)、制度流程、技術(shù)工具及人員能力）提出具體的基本實踐。（2）并非每個安全過程域的能力成熟度等級都包含完整的4個安全能力要素。圖中實線橢圓環(huán)表示過程域要滿足成熟度第3級的要求，應(yīng)包含全部4個安全能力要素，虛線橢圓環(huán)表示過程域的其他成熟度等級要求，可不包含完整的4個安全能力要素。（3）圖中上括號表示對于每個過程域，高等級的安全能力要求應(yīng)包括所有低等級的安全能力要求，即對于每個過程域的每個級別，需要同時滿足本級別和所有低于該級別的基本實踐的要求，才能達到本級別的能力水平。例如，針對某一具體過程域，如果5級的安全能力要求中未涉及某一關(guān)鍵能力的內(nèi)容，則默認應(yīng)達到在4級的安全能力要求中的該關(guān)鍵能力的內(nèi)容；如果4級的安全能力要求中依舊未涉及該關(guān)鍵能力，則默認應(yīng)達到在3級的安全能力要求中該關(guān)鍵能力的內(nèi)容，以此類推。３網(wǎng)絡(luò)安全能力成熟度模型的使用3.1使用步驟由于各組織在規(guī)模、業(yè)務(wù)類型、行業(yè)屬性等方面有所不同，組織在使用網(wǎng)絡(luò)安全能力成熟度模型時也體現(xiàn)出一定的差異性。通常來說，網(wǎng)絡(luò)安全能力成熟度模型的使用步驟如圖5所示。圖5網(wǎng)絡(luò)安全能力成熟度模型的使用步驟網(wǎng)絡(luò)安全能力成熟度模型的使用步驟說明如下：（1）選擇適當(dāng)?shù)某墒於鹊燃墶Ｊ褂帽灸Ｐ蜁r，組織應(yīng)首先根據(jù)自身業(yè)務(wù)的實際情況，結(jié)合網(wǎng)絡(luò)安全能力成熟度等級描述、特征說明等，選擇適當(dāng)?shù)木W(wǎng)絡(luò)安全能力的目標(biāo)成熟度等級。3級是判定組織網(wǎng)絡(luò)安全能力成熟度的“分水嶺”，組織具備了3級的網(wǎng)絡(luò)安全能力，意味著組織能夠針對網(wǎng)絡(luò)安全的各方面風(fēng)險進行有效的控制。（2）選取適用的安全過程域。在確定目標(biāo)能力成熟度等級后，組織根據(jù)安全保護對象全生存周期所覆蓋的業(yè)務(wù)場景，以及相關(guān)政策、法律法規(guī)及配套的標(biāo)準規(guī)范所要求開展的網(wǎng)絡(luò)安全活動，選取適用于組織的網(wǎng)絡(luò)安全過程域。（3）進行安全能力成熟度評估。在選取適用的網(wǎng)絡(luò)安全過程域后，組織制定安全能力成熟度評估工作方案，組建工作團隊，對標(biāo)本模型相應(yīng)的安全過程域進行安全能力成熟度評估。（4）識別與目標(biāo)等級的差距。組織在完成安全能力成熟度評估后，識別網(wǎng)絡(luò)安全現(xiàn)狀與目標(biāo)等級之間的差距，并整理記錄形成記錄表單。（5）制訂改進提升計劃。組織在識別與目標(biāo)等級的差距后，根據(jù)業(yè)務(wù)實際情況，以不影響“業(yè)務(wù)持續(xù)、穩(wěn)定運行”為原則，制訂網(wǎng)絡(luò)安全能力改進提升計劃，按照優(yōu)先級逐步補齊安全短板。組織可根據(jù)自身網(wǎng)絡(luò)安全工作實際需要，定期查核、明確自身的目標(biāo)成熟度等級，然后開始實施新一輪目標(biāo)達成的工作，逐步提升組織的網(wǎng)絡(luò)安全保障能力。3.2使用場景從實踐來看，當(dāng)前網(wǎng)絡(luò)安全能力成熟度模型的使用場景主要有3個，分別是對組織的網(wǎng)絡(luò)安全能力進行量化評估、作為組織網(wǎng)絡(luò)安全能力建設(shè)的依據(jù)以及協(xié)助組織建立自身網(wǎng)絡(luò)安全能力評價體系。（1）對組織的網(wǎng)絡(luò)安全能力進行量化評估。網(wǎng)絡(luò)安全能力成熟度模型可用于對組織整體或者其核心業(yè)務(wù)的網(wǎng)絡(luò)安全保障能力進行量化分析，科學(xué)評價組織當(dāng)前開展的各項網(wǎng)絡(luò)安全實踐、過程、活動等的能力水平，并提出改進目標(biāo)、優(yōu)先級及優(yōu)化措施等，指導(dǎo)組織識別網(wǎng)絡(luò)安全差距和短板，針對性改善網(wǎng)絡(luò)安全現(xiàn)狀。（2）作為組織網(wǎng)絡(luò)安全能力建設(shè)的依據(jù)。網(wǎng)絡(luò)安全能力成熟度模型可作為組織網(wǎng)絡(luò)安全能力建設(shè)的依據(jù)，在深入了解組織當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，基于對組織真實網(wǎng)絡(luò)安全能力的客觀量化和科學(xué)評價，制定針對性的網(wǎng)絡(luò)安全整體保障解決方案或網(wǎng)絡(luò)安全能力建設(shè)指引。（3）協(xié)助組織建立適用于自身的網(wǎng)絡(luò)安全能力評價體系。網(wǎng)絡(luò)安全能力成熟度模型可結(jié)合組織自身業(yè)務(wù)實際，轉(zhuǎn)化成為適用于組織自身的網(wǎng)絡(luò)安全能力評價體系，并將其納入組織網(wǎng)絡(luò)安全的頂層設(shè)計文件，作為網(wǎng)絡(luò)安全規(guī)劃的一