网络安全能力成熟度模型 (CMM-S) 构建

作者：KKutstar.Wu

前言：如何量化评价已建设的安全能力，已成为网络安全能力体系建设中正在积极讨论的话题。2019年，我在安全大脑的话术的编制过程中，开始尝试构建网络安全能力成熟度模型（简称“CMM-S”）。模型经过两年的业务打磨，最终通过项目实践。在此，特别感谢360政企安全集团李磊、董云鹏、余凯、郭思行、张铭、程鹤等同学的支持。

一、我们需要这样的工程化模型。

传统的网络安全工程现状：

（1）很难快速、有效的应对突发的、新型的及未知的网络安全风险!!

传统的网络安全工程主要以“合规建设”为驱动力。一般的安全测评机构不具备“整体安全性验证能力”，且，安全性评测过程并不等于安全能力有效性验证过程。因此，大量传统的网络安全工程实施完成后，其威胁和攻击的抵御对抗能力处于“已知的未知状态”：对已知攻击未进行应对、对“网络战”背景下的动态风险变化趋势无法应对。

（2）“个人能力”成为项目成功的“关键”。

传统网络安全工程的规划、实施，受到“知识经验”和“人员能力”的约束。特别是安全策略的配置，大多依赖项目成员个体的知识、技术、技能和经验。“数据经验”有限，极易造成安全策略配置不精细和安全风险管控范围不全面。

（3）信息化建设和网络安全建设是两个“独立事件”。

传统的网络安全工程是信息化的辅助，安全和信息化业务常常由不同的部门负责，实际业务战略需求和安全工程建设严重脱节。随着数字化变革的加速，近年来，安全事件频频引发业务问题，安全和信息化必须真正融合成为“一体之两翼”。

（4）投资不少但防护能力“收益平平”。

没有顶层设计、没有全局设计、设备银弹论、合规银弹论等，都极易导致传统的网络安全工程安全能力“过剩”或安全投入“不足”。资产价格不高，防护成本很高，资金审计过不了。防护成本不足，网络一攻就破，恢复成本难以估算。

因此，我们需要一套工程化的模型来指导数字时代的网络安全能力建设。

二、模型的构想。

我一直很反对用“滑动标尺模型”作为安全体系建设的指导模型，滑动标尺模型本就是一个以安全投资为主的模型，模型能力所需的控制点在原文中并未做过多描述，而是直接引用了 NIST CSF，一般的工程人员使用起来相对困难。那么，我们是否能够构建一套覆盖工程能力，又能实现投资指导的模型呢？事实证明，我们可以。

备注：网络安全滑动标尺模型是一种能够分类讨论组织的威胁抵御能力和资源投资的方法。模型作为一个框架，用于帮助从业人员理解哪些行动有助于网络安全，并可以向非技术人员解释技术安全问题、优先考虑/跟踪资源和技能的投资、衡量安全态势以及确认事件根本原因分析的准确性。

滑动标尺模型

在整个CMM-S设计过程中，我们考虑到了几个点：

（1）模型的逻辑是要清晰且可经得起挑战的。

（2）模型的每一条指标项一定是要可落地的（非嘴炮式吹嘘）。

（3）网络安全方面的投资和回报能进行ROI（投资回报率）量化。

（4）模型在使用的过程中一定是遵循P-D-C-A的。（安全能力是可进化的）

三、网络安全成熟度简要说明。

安全成熟度建设是在投资和安全目标的平衡下，实施的安全能力建设。

模型概述：网络安全能力成熟度模型是一套融汇合规标准、聚焦工程实践、贯穿投资回报的政企网络安全现状-量化评价指标模型。模型适用于网络安全防护体系在立项、规划、实施、度量和改进过程的各个阶段。

模型核心思想：基于政企业务战略、网络安全防护目标和网络安全现状，量化网络安全评价指标，实现安全评估常态化、投资决策科学化、安全能力成熟化。

模型等级设定：四个“安全-阶段化”能力等级、七个“安全-工程化”能力过程。

四个阶段化能力等级：获得能力、积累能力、提升能力、输出能力

七个工程化能力过程：检验、规划、识别、防护、检测、响应、恢复

应用场景：模型适用于政企等级保护建设、关键信息基础设施安全防护、HW保护等业务场景。

覆盖客户：全面。

其他：模型可根据业务应用场景进行定制化开发。

换句话说，模型的指标项是能够根据业务场景的需求进行调整的，不变的仅是模型框架的本身。为什么会有这样的想法呢？Frameworkfor Improving Critical Infrastructure Cybersecurity（NIST）（改善关键基础设施网络安全的框架），是《网络安全能力成熟度模型（C2M2）计划》（美国）、《网络安全成熟度模型认证（CMMC）》（2020-03-18）（美国）的基础框架。

总而言之，我们也想开发出一套能够适用于网络安全防护体系在立项、规划、实施、度量和改进过程的各个阶段的基础模型。

网络安全能力成熟度模型

四、能力成熟度模型的四个能力等级

能力成熟度模型的四个能力等级

参考软件能力成熟度模型，我们将安全能力成熟度根据安全能力所要实现的目标，按照“阶段式”的划分方法划分为四个等级阶段。考虑到网络安全是新经济、新基建的基础，在“三同步”原则下，安全就应该和信息化共同建设，所以考虑将初始级别为L0（0级）。

五、能力成熟度模型的核心框架（VP-IPDRR）

传统的网络安全模式大多参考Frameworkfor Improving Critical Infrastructure Cybersecurity（NIST）（改善关键基础设施网络安全的框架），即：Identify识别、Protect防御、Detect检测 、Respond响应、Recover恢复。

NIST CSF核心

我们基于NIST的安全框架，结合等级保护、密码评测、三化六防、关键信息基础设施安全防护等要求，形成了一套基于实战评估体系的VP-IPDRR模型（七个工程化能力过程：检验、规划、识别、防护、检测、响应、恢复）。

• V：Verify（校验）

• P：PLAN（规划）

• I：Identify（识别）

• P：Protect（防护）

• D：Detect（检测、监测）

• R：Respond（响应）

• R：Recover（恢复）

安全能力成熟度模型-核心框架

六、安全能力成熟度模型和安全运营中心能力成熟度模型的关系。

安全能力成熟度模型完整定义了安全运营中心所必备的安全能力指标，如下图所示：

安全能力成熟度模型和安全运营中心能力成熟度模型

安全运营中心能力评价指标

安全能力成熟度模型完全匹配新时代网络安全“三化六防”防护思路，到目前为止，我们已完成4个阶段化能力等级、7个工程化能力过程、23个域、83个项、99个子项、222个控制点指标，指标覆盖等保、关基、NIST CSF等模型场景，并在某项目中落地了最佳实践。

指标覆盖度

七、指标示例

以下是一些指标覆盖范围的示例：

示例1：23个域

目前涉及：物理环境安全、资产安全、业务安全（业务流程梳理、个人信息识别等）、风险评估、安全事件、安全管理、人员能力评估（培训与认证、岗位评估与考核等）、边界安全、通信网络安全、计算环境安全、数据安全（数据加密措施、数据脱敏措施、个人信息防护措施等）、应用安全、安全加固、人才培养、残余风险、实战演练评估、安全运行监测、事件响应、联防联动、安全事件、故障恢复、溯源、规划方面的内容。

示例2：资产安全

示例3：实战演练评估-安全性验证

八、模型使用流程

和所有的信息化规划一样：

Step1：我们需要对防护对象进行识别，然后根据防护对象的业务战略、网络安全方针，确定其防护需求和需要构建的安全能力等级。

Step2：根据等级建设需求，定制符合其业务需求的“能力成熟度模型”。

Step3：按照评分标准进行能力指标评估，并输出能力指标评估分值和差距分析报告。

Step4：根据能力指标差距分析报告，编制建设方案。

Step5：按照流程实施防御体系建设。

Step6：根据建设内容，对安全能力进行验证。

Step7：常态化的运营监测。

Step8：事件响应。

Step8：事件响应。

Step9：事件影响恢复。

Step10：持续规划。

模型评估使用流程

关联文章：

公众号：网络安全游魂 《安全运营中心能力成熟度模型（CMM-SOC）构建》

写在文末：我，一个在安全行业摸爬滚打了10多年的人，从售后干到售前，再由售前干到销售，再回到咨询。近年来，“外面的世界”越来越开放，知识的途径越来越丰富，贵圈就越来越浮躁（我相信这句话，很多同僚都说过）。越来越多的“首席”、“嘴上无毛”的同学，顶着“XX博士”，拿着“copytranslator”翻页的成果，讲着“书上学来的需求”，向社会各界汇报。网络安全，本是一个可用性、可验证性要求很高的工程。在很多“不了解客户现状、不知道客户需求”的战略推动下，安全行业已成为“创造性行业”——造词，臆想。系统类、工程类学科，多一份踏实，多一些理性，多一些实践，多一些“甲+乙双赢”，少一些“自嗨”。再美的装修，也敌不过“1A”的电线，除非不用任何电器。

-写在2021年的夏天。

-KKutstar.Wu

2021.08.01

声明：本文来自网络安全游魂，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。