GCSCC发布2021版《国家网络安全能力成熟度模型》报告

原创已于 2024-01-19 18:05:13 修改 · 855 阅读 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

程序员桔子

关注

标签

#web安全 #网络 #安全

分类操作系统

于 2023-08-17 12:00:00 首次发布

本文介绍了英国牛津大学全球网络安全能力中心发布的《国家网络安全能力成熟度模型》(CMM)，详细阐述了CMM的发展历程、框架，以及如何通过CMM进行国家级网络安全评估，包括五个维度和五个成熟阶段。CMM为政府决策者提供策略建议，帮助提升网络安全能力并制定投资计划。

不知道大家是否还记得2019年的
《发展网络安全能力》报告，或者说是否还记得这张图？

1620280787_609385d32714cdc266b16.png!small?1620280788735

今年初，英国牛津大学全球网络安全能力中心（GCSCC）发布了《国家网络安全能力成熟度模型》（Cybersecurity Capacity Maturity
Model for Nations，CMM）2021版，本文将对CMM模型的发展演变和框架进行介绍，带各位初探 ** 国家级的**
网络安全能力评估 是怎么做的。

前言（CMM的发展演变）****

2020年伊始爆发的新冠病毒肺炎疫情，为世界带来“百年未有”之大变局，国际力量对比深刻调整，国际环境日趋复杂，经济全球化遭遇逆流，网络空间加速变革，为全球网络空间安全带来新的威胁和挑战。在日趋激烈的网络空间安全博弈中，如何全方位筑牢网络要筑牢网络安全防线,有效提高网络安全保障水平，是全球各国网络安全发展关注的重点。

“昔之善战者，先为不可胜，以待敌之可胜。”想要立于不败之地的基础是必须拥有强大的实力，实力的强弱与否是明确战略部署的前提。
那么如何实现国家级的网络安全能力成熟度的自我评估，并将评估结果转化为切实的政策建议、投资战略以及能力发展优先次序，为决策者发展本国的更加先进、更加成熟的网络安全能力建设提供参考建议
。

当前，针对国家级别的网络安全能力成熟度除了包括美国国防部的CMMC模型外，还包括由英国牛津大学全球网络安全能力中心（GCSCC）创建的国家网络安全能力成熟度模型（Cybersecurity
Capacity Maturity Model for Nations，CMM）。全球网络安全能力中心由英国外交事务部UK
FCO的网络安全能力建设计划（Cyber Security Capacity Building Programme 2018 to 2021）资助建设。

在2014年，GCSCC与来自学术界、国际和地区组织以及私营部门的200多名专家开展了全球合作，发布了第一代国家网络安全能力成熟度模型CMM。确定了国家级的网络安全能力最重要的因素，以及国家达到相应的成熟水平的所要采取的必要步骤。

随后，该模型得到了进一步的补充和细化，并在全球6个国家进行了部署试点。并将部部署初期的阶段性结果用于模型的进一步迭代更新，并最终在2017年2月发布了CMM的修订版。此外，在2018年8月，兰德欧洲（Rand
Europe）发布了《发展网络安全能力—概念验证实施指南》（Developing Cybersecurity Capacity— A proof-of-
concept implementation guide），该报告作为网络安全能力建设计划项目（Cyber Security Capacity
Building Programme 2018 to
2021）的产出物之一开发了一个基于CMM模型的概念验证操作工具箱，该概念验证工具箱提供了通过审查现有网络安全能力建设文献确定的指导方针和建议方法，以促进国家级别的网络安全能力的发展。

2019年底，GCSCC开展了一项全球合作实践，并根据CMM在部署中汲取的经验教训提出了完善建议，并与来自学术界、国际和区域组织、政府、私营部门和公共社区在内的150多位专家进行了一系列磋商。这个修订过程有超过150位专家的贡献和超过74个在线电话。并与2021年3月25日发布了CMM的最新版本。

自2015年成立以来，CMM已在85多个国家/地区部署了120多次，随后许多国家和地区基于CMM磋商发布了其报告。

C MM 简介

CMM旨在为 国家网络安全提供指导和评估模型，偏重评估与落地性，为政府决策者提供建议和支持
。能够帮助各国了解网络安全能力的所有领域中哪些有效，哪些无效以及为什么有效。这样一来政府和企业可以采用那些有潜力或有能力显著提升网络空间安全和保障水平的政策，并进行相关投资，同时尊重个人隐私和言论自由。

CMM并非静态，以持续完善的过程，确保CMM始终适用于所有国家背景，并反映全球网络安全能力的成熟状况。在证据和实践的推动下，这种演进将会持续成为一种深思熟虑后的工作。

如何对一个国家开展网络安全评估

对一个国家开展CMM审查需要一组研究人员进行数据收集，这些研究人员在该国内开展利益攸关方咨询和桌面研究。输出一份基于证据的报告，其中：

衡量一个国家网络安全能力成熟度的基准；

详细介绍一套有助于弥合网络安全能力成熟鸿沟的务实行动；

根据该国的具体需要，确定投资和未来能力建设的优先事项。

根据英国外交、联邦和发展事务部委托进行的一项独立研究，对一国开展CMM审查将会带来众多益处，具体包括：

提升网络安全意识和能力建设，加强政府内部合作；

与企业和广大社会建立沟通与合作；

提升政府内网络安全议程的公信力；

协助确定政府内部的角色和责任；

为增加网络安全能力建设资金支持提供依据；

国家战略和政策发展的基础。

一个国家能够证明其在网络安全能力方面取得的成绩是非常重要的，而CMM会确定什么可作为证据，以及它证明了什么。这种证据收集本身就是一个多方利益相关者的过程，涉及广泛的来源和组织。讨论对于解决分歧非常重要。进行远程在线，还是面对面的会议，这样的讨论是否有效，将取决于进行审查的国家。

C MM 框架

CMM认为网络安全包括五个维度，共同构成国家有效提供网络安全所需能力的广度：

1.发展网络安全政策与战略

2.网络安全文化与社会

3.构建网络安全知识与能力

4.创建有效法律与监管框架

5.通过标准和技术管控风险

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-win5ysaZ-1692153213964)(https://image.3001.net/images/20210506/1620280908_6093864cacb41cf5e1c7f.png!small?1620280910183)]

维度1 网络安全政策与战略

探索国家制定和实施网络安全战略的能力，并通过提高应急响应、网络防御和关键基础设施保护能力来增强网络安全应变能力（网络安全弹性）。这一维度在维护对政府、国际企业和社会都至关重要的网络空间利益的同时，考虑了提供国家网络安全能力的有效战略和政策

维度2 网络安全文化与社会

审查了一个负责任的网络安全文化的关键要素，如社会中对网络相关风险的理解，对互联网服务、电子政务和电子商务服务的信任水平，以及用户对线上个人信息保护的理解。此外，这一维度探讨了作为用户举报网络犯罪渠道机制的存在（必要性）。并考察了媒体和社交网络在塑造网络安全价值观、态度和行为方面的作用。

维度3 构建网络安全知识和能力

针对不同利益攸关群体（包括政府、私营部门和全体民众）审查了项目的可用性、质量和实施情况，并与网络安全意识提高项目、正式的网络安全教育项目和专业培训项目相关联。

维度4 法律与监管框架

检查政府设计和制定那些与网络安全直接或间接相关的国家立法的能力，特别强调网络安全监管要求、网络犯罪相关立法以及其他相关立法的主题。通过执法、起诉、监管机构和法院能力来审查执行这些法律的能力。此外，这一维度还考察了联合打击网络犯罪的正式和非正式合作框架等问题。

维度5 标准和技术

强调了通过有效和广泛利用网络安全技术来保护个人、组织和国家基础设施的有效及广泛利用。该维度专门检查了为降低网络安全风险而实施的网络安全标准和优秀实践、流程和控制的部署，以及技术和产品的开发情况。

C MM 的五个阶段

CMM为每一个维度都定义了五个成熟阶段，并给出分别的对应事务：

启动阶段——能力初步发展

形成阶段——建立中

建立阶段——处于世界领先地位

战略阶段——预测未来网络安全需求

动态阶段——为未来网络安全需求做好准备

启动阶段

在这个阶段，网络安全要么还不成熟，要么还处于萌芽状态。双方可能会就网络安全能力建设进行初步讨论，但尚未采取具体行动。在这个阶段可能没有可观察到的证据。

形成阶段

方面的一些特性已经开始发展和制定，但可能是个别的、混乱的、定义不明的或只是新的。但是，这种活动证据可以被清楚地证明。

建立阶段

某方面的指标已经具备，并且有证据表明它们正在工作。不过，对资源的相对分配没有经过深思熟虑。在这方面各个要素的相对投资上，几乎没有作出权衡决策。但该方面是功能性的，并且已定义。

战略阶段

对于特定的组织或国家，已经做出了关于某些方面的哪些部分是重要的，哪些不太重要的选择。战略阶段反映了这样一个事实，即根据国家或组织的特定情况做出这些选择。

动态阶段

在这个阶段，有明确的机制可以根据当前情况变更国家战略，例如威胁环境的技术、全球冲突或关注的某个领域发生重大变化（如网络犯罪或隐私）。还有证据表明，美国在网络安全问题上发挥了全球领导作用。至少，关键部门已经制定了在其发展的任意阶段变更战略的方法。快速决策、重新分配资源、持续关注变化的环境是这一阶段的特点。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tp6D6vrf-1692153213965)(https://image.3001.net/images/20210506/1620281682_60938952e4c96063d650f.png!small?1620281684240)]

—|—

CMM允许对当前国家的网络安全能力进行基准测试。了解实现更高能力水平的要求将明确指明需要进一步投资的领域，以及如何证明这种能力水平。CMM还可以用于为投资和预期的效率提高构建业务用例。将CMM审查与国家风险评估、社会和经济战略相结合，可以进一步确定提高能力的优先次序。

C MM 报告整体结构预览

1620281003_609386ab5d058bdb37651.png!small?1620281004653

RAND Europe的《发展网络安全能力》报告是针对CMM的一个工具集，可以用于辅助实施和验证框架，两者配合使用。

CMM报告完整版将在不久后放出，请大家拭目以待。

MM** 报告整体结构预览

[外链图片转存中…(img-d8MvhPJh-1692153213965)]

RAND Europe的《发展网络安全能力》报告是针对CMM的一个工具集，可以用于辅助实施和验证框架，两者配合使用。

CMM报告完整版将在不久后放出，请大家拭目以待。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。