組織網(wǎng)絡安全能力成熟度模型的研究與構建*

劉慧晶，陳 蔓，敖 佳，鐘海濤

（中國電子科技網(wǎng)絡信息安全有限公司，四川 成都 610041）

0 引 言

近年來，隨著社會各領域數(shù)字化發(fā)展加快，新技術、新業(yè)態(tài)、新模式不斷涌現(xiàn)，驅(qū)動生產(chǎn)、生活及治理方式發(fā)生變革，加速了網(wǎng)絡安全風險向各行業(yè)領域延伸，網(wǎng)絡安全的環(huán)境和形勢產(chǎn)生深刻變化，疊加新一輪科技產(chǎn)業(yè)革命的影響，網(wǎng)絡安全問題層出不窮，網(wǎng)絡攻擊方式演進升級，網(wǎng)絡安全工作將面臨更加嚴峻的問題和挑戰(zhàn)。一方面，針對能源、交通、電信等關鍵行業(yè)的網(wǎng)絡攻擊事件頻發(fā)，對社會平穩(wěn)運行和民眾生產(chǎn)生活產(chǎn)生深遠影響。另一方面，針對新技術、新場景的網(wǎng)絡威脅日益增多，網(wǎng)絡攻防對抗愈加激烈，網(wǎng)絡攻擊目標愈加精準，瞄準“高價值”目標實施攻擊[1-2]。同時，國內(nèi)外也紛紛通過出臺政策、法律法規(guī)，以及配套的標準規(guī)范，強化網(wǎng)絡安全監(jiān)管，不斷升級網(wǎng)絡安全問責與處罰力度，促使網(wǎng)絡安全進入強監(jiān)管時代。

在當前網(wǎng)絡安全愈加復雜、嚴峻的形勢下，部分黨政機關、大型企事業(yè)單位等組織不約而同地將網(wǎng)絡安全保障體系建設的重點轉向網(wǎng)絡安全能力體系的構建，通過對組織的核心業(yè)務、通信基礎設施、數(shù)據(jù)資產(chǎn)等安全保護對象的全生存周期的網(wǎng)絡安全活動、實踐、過程等的真實網(wǎng)絡安全能力進行評估，識別和發(fā)現(xiàn)差距，進而有的放矢地強化問題整改，補齊防護短板，筑牢“大安全”屏障，更好地應對數(shù)字化轉型時代面臨的網(wǎng)絡安全挑戰(zhàn)，護航高質(zhì)量發(fā)展行穩(wěn)致遠。

目前，國外已有部分網(wǎng)絡安全能力的成熟度評估模型，國內(nèi)也已經(jīng)有數(shù)據(jù)安全、工業(yè)控制系統(tǒng)安全等細分領域的安全能力成熟度評估模型。本文引入能力成熟度模型的思想和方法，旨在借鑒當前已有的相關安全能力成熟度模型的研究成果，結合業(yè)界多年來積累探索的實踐經(jīng)驗，圍繞組織存在的一些典型、共性的難點、痛點和訴求以及適應新技術新應用的發(fā)展需要等，研究構建了一套適用于組織的可落地的通用網(wǎng)絡安全能力成熟度模型，能夠客觀量化、科學評價組織真實的網(wǎng)絡安全能力，用以指導組織識別差距、方案規(guī)劃和改進提升，也可作為組織開展網(wǎng)絡安全能力建設的依據(jù)。

1 相關研究

國內(nèi)外在各相關學科和領域相繼推出了許多能力成熟度模型。在國外，美國國防部在1984年委托美國卡耐基梅隆大學的軟件工程研究所開發(fā)了能力成熟度模型（Capability Maturity Model，CMM），對CMM進行了持續(xù)改進，并于2000年公布了能力成熟度模型集成（Capability Maturity Model Integration，CMMI）。隨著CMMI在軟件界應用的不斷推廣，我國在各行業(yè)領域也提出了相應的類CMM模型標準，主要包括：GB/T 36073—2018《數(shù)據(jù)管理能力成熟度評估模型》、GB/T 39116—2020《智能制造能力成熟度模型》、GB/T 39117—2020《智能制造能力成熟度評估方法》、GB/T 20261—2020《信息安全技術系統(tǒng)安全工程 能力成熟度模型》、GB/T 42129—2022《數(shù)據(jù)管理能力成熟度評估方法》等。

在網(wǎng)絡安全領域，國內(nèi)外也參考CMM模型形成了相關研究成果。例如，美國國防部于2021年發(fā)布的網(wǎng)絡安全成熟度模型認證（Cybersecurity Maturity Model Certification，CMMC）2.0；美國能源部于2022年發(fā)布的網(wǎng)絡安全能力成熟度模型（Cybersecurity Capability Maturity Model，C2M2）；我國國家標準化管理委員會先后于2019年、2022年分別發(fā)布的GB/T 37988—2019《信息安全技術 數(shù)據(jù)安全能力成熟度模型》和GB/T 41400—2022《信息安全技術 工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》等。此外，我國信息安全標準化技術委員會當前也正在組織推進《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》國家標準的研制工作。中國信息通信研究院牽頭的行業(yè)標準《電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡安全能力成熟度評估模型》《電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡安全能力成熟度評估方法》也正在制定中。另外，我國機械工業(yè)出版社2021年出版發(fā)行了《網(wǎng)絡安全能力成熟度模型：原理與實踐》，綠盟科技、360數(shù)字安全集團等網(wǎng)絡安全廠商結合業(yè)內(nèi)實踐情況，也相繼提出了自己的網(wǎng)絡安全能力成熟度模型。相關研究成果的簡要情況如表1所示（不包含前文提到正在制定的3個標準）。

表1 網(wǎng)絡安全領域的CMM模型相關研究成果簡要情況

2 網(wǎng)絡安全能力成熟度模型的構建

綜上調(diào)查與研究，本文提出了組織網(wǎng)絡安全能力成熟度模型。參考網(wǎng)絡安全領域的CMM模型，圍繞安全保護對象的全生存周期，從組織建設、制度流程、技術工具、人員能力4個能力維度，提出階梯式的進化框架，采用1～5級的成熟度等級評定方式給出組織的網(wǎng)絡安全能力成熟度水平，對組織動態(tài)變化中的網(wǎng)絡安全實踐、活動、過程等進行能力量化分析、科學評價，對整體安全能力進行有效性驗證。

2.1 模型架構

組織網(wǎng)絡安全能力成熟度模型架構由安全能力要素、安全能力建設過程、安全能力成熟度等級3個維度構成，如圖1所示。

圖1 組織網(wǎng)絡安全能力成熟度模型架構

（1）安全能力要素。安全能力要素明確了組織在開展網(wǎng)絡安全工作時應具備的能力，包括組織建設、制度流程、技術工具和人員能力。

（2）安全能力建設過程。安全能力建設過程基于組織的安全保護對象的全生存周期，明確各階段的網(wǎng)絡安全過程域及其基本實踐。

（3）安全能力成熟度等級。安全能力成熟度等級采用階梯式進化框架，共分為五級，分別是：1級（無控制級）、2級（計劃跟蹤級）、3級（體系構建級）、4級（量化控制級）、5級（持續(xù)優(yōu)化級）。

2.2 安全能力要素

本文參考行業(yè)實踐，結合我國已經(jīng)發(fā)布的數(shù)據(jù)安全、工業(yè)控制系統(tǒng)安全領域的能力成熟度模型標準，圍繞組織建設、制度流程、技術工具、人員能力4個安全能力要素維度，對組織的各網(wǎng)絡安全過程應具備的安全能力進行量化，評估每項安全過程的實現(xiàn)能力。安全能力要素是科學評價組織網(wǎng)絡安全能力的主要要素指標。

（1）組織建設：網(wǎng)絡安全管理機構的設立、職責分配和溝通協(xié)作。

組織建設主要從網(wǎng)絡安全管理機構的組織架構對組織的安全保護對象的適用性，網(wǎng)絡安全工作職責的明確性，以及網(wǎng)絡安全管理機構運作、溝通協(xié)調(diào)、參與信息化決策的有效性等方面進行等級區(qū)分、判定和評估。

（2）制度流程：組織網(wǎng)絡安全方面的方針、策略、制度及其流程落地建設。

制度流程主要圍繞安全保護對象全生存周期重要活動、事項等的關鍵控制節(jié)點授權審批流程的明確性，相關方針、策略、制度等的制定、發(fā)布、修訂、廢棄的規(guī)范性，以及落地建設、實施的一致性和有效性等方面進行等級區(qū)分、判定和評估。

（3）技術工具：通過技術手段或產(chǎn)品、工具等固化網(wǎng)絡安全要求或自動化實現(xiàn)網(wǎng)絡安全工作。

技術工具主要基于網(wǎng)絡安全技術在安全保護對象全生存周期的應用情況，對網(wǎng)絡安全工作的支撐或自動化支持情況，對制度流程固化執(zhí)行實現(xiàn)情況，以及對網(wǎng)絡安全風險應對能力等方面進行等級區(qū)分、判定和評估。

（4）人員能力：網(wǎng)絡安全從業(yè)人員的安全意識及相關專業(yè)能力。

人員能力主要圍繞網(wǎng)絡安全從業(yè)人員所具備的安全意識、專業(yè)素養(yǎng)以及對關鍵崗位員工網(wǎng)絡安全能力的培養(yǎng)，所具備的網(wǎng)絡安全專業(yè)技能滿足情況以及對組織相關業(yè)務的理解程度等方面進行等級區(qū)分、判定和評估。

2.3 安全能力建設過程

安全能力建設過程維度，參考GB/T 37988—2019《信息安全技術 數(shù)據(jù)安全能力成熟度模型》的設計理念，圍繞組織的安全保護對象的全生存周期各階段的網(wǎng)絡安全活動，提出相應的過程域及其配套的基本實踐，以指導組織的網(wǎng)絡安全能力建設或提升。

2.3.1 安全保護對象

網(wǎng)絡安全保護對象指網(wǎng)絡安全保護工作直接作用的對象，主要包括信息系統(tǒng)、通信網(wǎng)絡基礎設施和數(shù)據(jù)資源等[11]。

2.3.2 安全保護對象全生存周期

安全保護對象全生存周期由安全規(guī)劃設計、安全開發(fā)建設與實施、安全運營、安全保護對象終止4個階段組成，如圖2所示。

安全保護對象全生存周期的說明如下：

（1）安全規(guī)劃設計：組織提出網(wǎng)絡安全規(guī)劃并開展體系化設計的階段。

（2）安全開發(fā)建設與實施：網(wǎng)絡安全規(guī)劃設計落地實施的階段。

（3）安全運營：開展常態(tài)化網(wǎng)絡安全運營活動，保證組織業(yè)務持續(xù)、穩(wěn)定運行的階段。

（4）安全保護對象終止：安全保護對象轉移、終止或廢棄并妥適處理相應信息、設備或存儲介質(zhì)的階段。

并非所有的安全保護對象都會經(jīng)歷全生存周期的每個階段。特定的安全保護對象所經(jīng)歷的生存周期由組織實際的業(yè)務所決定，可為完整的4個階段或其中的幾個階段。

2.3.3 網(wǎng)絡安全過程域體系

本文中，基本實踐（Base Practice，BP）是指實現(xiàn)某一安全目標的網(wǎng)絡安全相關活動。過程域（Process Area，PA）是指實現(xiàn)同一安全目標的相關網(wǎng)絡安全基本實踐的集合。一個過程域中包含一個或多個基本實踐。

在設計本模型的PA和BP時，根據(jù)我國現(xiàn)行的網(wǎng)絡安全相關政策、法律法規(guī)及配套的標準規(guī)范等提出網(wǎng)絡安全規(guī)劃、設計、建設、運營等階段的相關保護要求，同時借鑒國內(nèi)外有益的、成功的通用實踐經(jīng)驗，結合黨政機關、大型企事業(yè)單位等組織的一些共性難點、痛點和訴求，并考慮新技術新應用的發(fā)展趨勢，從需要落實開展的網(wǎng)絡安全工作這一角度出發(fā)，圍繞組織的安全保護對象的全生存周期，經(jīng)綜合整理、提取、合并、轉化、歸納，本文提出的網(wǎng)絡安全能力成熟度模型一共形成了54個PA和1 466個BP。限于篇幅，本文僅列出安全保護對象全生存周期4個階段的部分核心過程域，并未深入探討基本實踐細節(jié)。網(wǎng)絡安全能力成熟度模型部分核心過程域如表2所示。

表2 網(wǎng)絡安全能力成熟度模型部分核心過程域

2.4 安全能力成熟度等級

2.4.1 安全能力成熟度等級的劃分

組織網(wǎng)絡安全成熟度模型的成熟度等級采用階梯式進化框架，共有5個成熟度等級，整體呈現(xiàn)從萌芽到成熟、從不完善到逐步優(yōu)化的遞進式發(fā)展歷程，組織網(wǎng)絡安全能力成熟度等級如圖3所示。

圖3 組織網(wǎng)絡安全能力成熟度等級

組織的每一個網(wǎng)絡安全能力成熟度等級的等級描述、特征說明如表3所示。

表3 網(wǎng)絡安全能力成熟度等級描述和特征說明

2.4.2 能力成熟度等級與過程域、基本實踐、安全能力要素的關系

組織網(wǎng)絡安全能力成熟度等級與過程域、基本實踐、安全能力要素的關系如圖4所示。

能力成熟度等級與過程域、基本實踐、安全能力要素的關系說明如下：

（1）將每個過程域的能力成熟度等級劃分為5級，針對每個等級下組織應具備的安全能力要求，從4個安全能力要素（組織建設、制度流程、技術工具及人員能力）提出具體的基本實踐。

（2）并非每個安全過程域的能力成熟度等級都包含完整的4個安全能力要素。圖中實線橢圓環(huán)表示過程域要滿足成熟度第3級的要求，應包含全部4個安全能力要素，虛線橢圓環(huán)表示過程域的其他成熟度等級要求，可不包含完整的4個安全能力要素。

（3）圖中上括號表示對于每個過程域，高等級的安全能力要求應包括所有低等級的安全能力要求，即對于每個過程域的每個級別，需要同時滿足本級別和所有低于該級別的基本實踐的要求，才能達到本級別的能力水平。例如，針對某一具體過程域，如果5級的安全能力要求中未涉及某一關鍵能力的內(nèi)容，則默認應達到在4級的安全能力要求中的該關鍵能力的內(nèi)容；如果4級的安全能力要求中依舊未涉及該關鍵能力，則默認應達到在3級的安全能力要求中該關鍵能力的內(nèi)容，以此類推。

3 網(wǎng)絡安全能力成熟度模型的使用

3.1 使用步驟

由于各組織在規(guī)模、業(yè)務類型、行業(yè)屬性等方面有所不同，組織在使用網(wǎng)絡安全能力成熟度模型時也體現(xiàn)出一定的差異性。通常來說，網(wǎng)絡安全能力成熟度模型的使用步驟如圖5所示。

圖5 網(wǎng)絡安全能力成熟度模型的使用步驟

網(wǎng)絡安全能力成熟度模型的使用步驟說明如下：

（1）選擇適當?shù)某墒於鹊燃?。使用本模型時，組織應首先根據(jù)自身業(yè)務的實際情況，結合網(wǎng)絡安全能力成熟度等級描述、特征說明等，選擇適當?shù)木W(wǎng)絡安全能力的目標成熟度等級。3級是判定組織網(wǎng)絡安全能力成熟度的“分水嶺”，組織具備了3級的網(wǎng)絡安全能力，意味著組織能夠針對網(wǎng)絡安全的各方面風險進行有效的控制。

（2）選取適用的安全過程域。在確定目標能力成熟度等級后，組織根據(jù)安全保護對象全生存周期所覆蓋的業(yè)務場景，以及相關政策、法律法規(guī)及配套的標準規(guī)范所要求開展的網(wǎng)絡安全活動，選取適用于組織的網(wǎng)絡安全過程域。

（3）進行安全能力成熟度評估。在選取適用的網(wǎng)絡安全過程域后，組織制定安全能力成熟度評估工作方案，組建工作團隊，對標本模型相應的安全過程域進行安全能力成熟度評估。

（4）識別與目標等級的差距。組織在完成安全能力成熟度評估后，識別網(wǎng)絡安全現(xiàn)狀與目標等級之間的差距，并整理記錄形成記錄表單。

（5）制訂改進提升計劃。組織在識別與目標等級的差距后，根據(jù)業(yè)務實際情況，以不影響“業(yè)務持續(xù)、穩(wěn)定運行”為原則，制訂網(wǎng)絡安全能力改進提升計劃，按照優(yōu)先級逐步補齊安全短板。

組織可根據(jù)自身網(wǎng)絡安全工作實際需要，定期查核、明確自身的目標成熟度等級，然后開始實施新一輪目標達成的工作，逐步提升組織的網(wǎng)絡安全保障能力。

3.2 使用場景

從實踐來看，當前網(wǎng)絡安全能力成熟度模型的使用場景主要有3個，分別是對組織的網(wǎng)絡安全能力進行量化評估、作為組織網(wǎng)絡安全能力建設的依據(jù)以及協(xié)助組織建立自身網(wǎng)絡安全能力評價體系。

（1）對組織的網(wǎng)絡安全能力進行量化評估。網(wǎng)絡安全能力成熟度模型可用于對組織整體或者其核心業(yè)務的網(wǎng)絡安全保障能力進行量化分析，科學評價組織當前開展的各項網(wǎng)絡安全實踐、過程、活動等的能力水平，并提出改進目標、優(yōu)先級及優(yōu)化措施等，指導組織識別網(wǎng)絡安全差距和短板，針對性改善網(wǎng)絡安全現(xiàn)狀。

（2）作為組織網(wǎng)絡安全能力建設的依據(jù)。網(wǎng)絡安全能力成熟度模型可作為組織網(wǎng)絡安全能力建設的依據(jù)，在深入了解組織當前網(wǎng)絡安全現(xiàn)狀的基礎上，基于對組織真實網(wǎng)絡安全能力的客觀量化和科學評價，制定針對性的網(wǎng)絡安全整體保障解決方案或網(wǎng)絡安全能力建設指引。

（3）協(xié)助組織建立適用于自身的網(wǎng)絡安全能力評價體系。網(wǎng)絡安全能力成熟度模型可結合組織自身業(yè)務實際，轉化成為適用于組織自身的網(wǎng)絡安全能力評價體系，并將其納入組織網(wǎng)絡安全的頂層設計文件，作為網(wǎng)絡安全規(guī)劃的一部分，用于評價組織的網(wǎng)絡安全能力水平。

4 應用實踐

作為本模型的提出者，中國電子科技網(wǎng)絡信息安全有限公司（以下簡稱“中國網(wǎng)安公司”）目前已經(jīng)在北京、深圳、四川等地的相關組織落地應用實踐。以本模型為基礎，圍繞核心業(yè)務開展網(wǎng)絡安全能力成熟度評估，建立網(wǎng)絡安全能力基線，量化分析、科學評價其真實的網(wǎng)絡安全能力，提出改進建議和優(yōu)化整改措施，協(xié)助企業(yè)有的放矢地強化問題整改，補齊安全短板，強化網(wǎng)絡安全保障。另外，中國網(wǎng)安公司也協(xié)助一些合作伙伴完善其網(wǎng)絡安全的頂層設計，將本模型轉化為企業(yè)自身的網(wǎng)絡安全能力評價體系，并以此為抓手，促進企業(yè)長遠的、持續(xù)的網(wǎng)絡安全能力建設和發(fā)展。

5 結 語

本文借鑒CMM模型，結合我國的相關網(wǎng)絡安全政策、法律法規(guī)及配套的標準規(guī)范以及相關新技術新應用的發(fā)展情況，研究構建了通用的組織網(wǎng)絡安全能力成熟度模型，為組織提供了一套客觀量化分析、科學評價其自身的網(wǎng)絡安全能力指引，并在部分企業(yè)得到了應用實踐，幫助其發(fā)現(xiàn)一些不為人注意的問題，具有一定的適用性。同時，本模型的提出對于促進和推動我國網(wǎng)絡安全能力成熟度模型的研究具有一定的參考意義。

另外，由于我國網(wǎng)絡安全的監(jiān)管要求在不斷加強，新技術新應用也在不斷發(fā)展，內(nèi)外部形勢不斷變化以及各組織的業(yè)務屬性特征也存在一定差異，因此組織網(wǎng)絡安全能力成熟度模型仍存在一些不適用于組織的某些業(yè)務場景或安全活動以及未能完全匹配或覆蓋的情形。未來將根據(jù)階段性的應用實踐情況不斷總結完善和改進優(yōu)化本模型，更好地服務于組織的網(wǎng)絡安全能力成熟度評估和指導組織網(wǎng)絡安全能力建設。