兰德公司发布“网络安全能力建设实施指南”

2018年8月2日，兰德欧洲公司发布报告《构建网络安全能力：基于概念验证的实施指南》，为各国网络安全决策者提供操作性意见。报告主要基于牛津大学全球网路安全能力中心（Global Cyber Security Capacity Centre，简称GCSCC）构建的国家网络安全成熟度模型（Cybersecurity Capacity Maturity Model for Nations ，简称CMM），从5个维度、24项因素、130个方面生成网络安全能力工具箱，以帮助决策者加深对国家网络生态系统的理解，提高构建网络安全的能力。

维度一：网络安全战略与政策

聚焦国家制定、实施和审查国家级网络安全战略与政策的能力，主要包括六大因素。一是国家网络安全战略，包括国家制定、审查和更新国家网络安全战略的能力，如建立责任部门，进行独立预算支持，协调多利益攸关方参与等，以优先网络安全行动、确定责任和分配相关资源；二是应急响应，关注国家层面应对网络安全事件的能力，包括建立国家级CSIRT、国家网络安全事故中央登记处等；三是关键基础设施保护，包括识别关键基础设施中的网络漏洞 (包括供应链中的漏洞)，制定风险管理策略，出台国家关键基础设施资产保护概览计划等；四是危机管理，聚焦国家建立、审查和更新国家危机管理法规和标准的能力，包括指定责任机构，评估危机管理技术，构建高级别的演习场景等；五是网络防御，聚焦国家在实施网络防御战略的同时，保持对政府、国际商业团体和社会开放的网络空间的灵活性，包括制定网络防御战略，进行风险评估，在军队中建立专门的网络安全工作组等；六是通信冗余，即政府识别和利用利益攸关方之间的数字冗余和冗余通信的能力。数字和通信冗余是指国家识别、维护和发展通信网络应急响应的数字和非数字备份的能力。

维度二：社会与文化

即有助于网络生态系统成熟度构建的价值观、态度和实践的公众认识和接受度。主要包括五大因素：一是网络安全心态，主要关注国家网络安全利益攸关方的价值观、态度和行为，包括任命专责机构负责提高公众意识，将网络安全纳入公共决策，阶段性评估公私部门与公众在网络安全认识上的匹配度等。二是网上信任和信心，主要考察公众对于政府电子政务、电子商务等服务的信任与信心，包括任命责任部门监督政府电子服务的实施，构建电子政府发展战略，阶段性发布电子服务报告，确保网络安全贯穿服务始终等。三是用户对线上个人信息保护的了解，主要考察公众是否认识和理解个人信息保护的重要性，包括阶段性评估线上服务的个人信息保护情况，激励公众对于个人信息保护、隐私与安全平衡的讨论，促进默认隐私机制的运用等。四是报告机制，主要集中在用户报告网络犯罪的渠道，包括确保现有立法对于报告的保障，阶段性审查报告机制的有效性，建立非法活动的报告渠道等。五是传统媒体和社交媒体，关注媒体在传递网络安全信息方面的角色，确保既有法律法规不阻碍在国家媒体与社交媒体上对网络安全的公开讨论，以及通过媒体促进公众网络安全意识的提高。

维度三：网络安全教育、培训与技能

即如何建立高质量的网络安全教育、培训与意识提高运动，主要包括三个因素：一是意识提高，考察网络安全意识方案和倡议的可获得性和接受度，包括建立网络安全意识的国家计划，联合利益攸关方制定和实施意识教育活动，评估既有活动的有效性等。二是网络安全教育，着眼于网络安全教育在小学、中学和高等教育的覆盖度，包括设立专门的监督机构，评估现有的网络安全教育现状等。三是提供专业网络安全培训，以培养网络安全专才，包括指派专职负责和实施国家级网络安全培训项目，填补公共网络安全培训的缺口，按受众需求制定培训，对培训课程进行认证以符合国际标准等。

维度四：法律与法规框架

即政府制定和实施与网络安全相关的国家立法的能力，主要包括三大因素：一是法律框架，侧重于与网络安全相关的立法和监管框架，包括信息通信技术安全立法框架、隐私、言论自由、网络人权、数据保护、儿童保护、消费者保护、知识产权等网络犯罪立法。二是刑法系统，包括执法机构调查和起诉网络犯罪的能力,以及法庭审理网络犯罪案件的能力和获取电子证据的能力，包括在执法机构内建立专门的网络犯罪单位，提高获取和分析电子证据的能力。三是打击网络犯罪的合作框架，包括加入正式的国际合作机制共享网络犯罪信息，建立私营部门与执法机构之间的沟通渠道等。

维度五：标准、组织与技术

考察国家使用正式标准、国际准则和信息控制，以开发一个安全、开放和有弹性的网络生态系统的能力，主要包括七大因素：一是标准遵循，侧重于在网络安全、风险管理、采购和软件开发方面采用和遵守国际标准和良好做实践的能力，包括积极推动网络空间规范和国际治理工作，建立符合国际通信技术准则、标准和良好实践的安全采购惯例。二是增强互联网关键基础设施的韧性，关注国家互联网服务和基础设施的可用性和弹性，主要包括建立可靠的互联网基础设施和互联网服务，定期评估全国互联网基础设施安全,确保符合国际通行方针、标准和良好的规范等。三是软件质量，该因素侧重于减少使公共和私营部门易受攻击的软件代码，如确保定期的软件更新和维护。四是技术安全控制，主要是通过采用国际标准和良好的实践来实现网络安全，包括推广使用杀毒软件和网络防火墙设备，推动互联网服务提供商部署技术安全控制，发展技术标准等。五是加密控制，这一因素的重点是建立国家数据加密和安全通信的能力，确保为所有部门和用户提供最新的加密技术和控制，不断评估和更新加密和加密控制，促进对安全通信服务的理解等。六是网络安全市场，该因素主要考察具有竞争力的网络安全技术的可用性和开发，以及网络安全保险的可用性和使用情况，包括促进国内供应商的发展以减少对外国技术的依赖，促进网络保险市场和产品的发展等。七是负责任的披露，主要是披露网络入侵和漏洞的能力和机制，如鼓励供应商参考行业标准使用漏洞披露框架。

近年来，随着网络安全问题日益严峻，越来越多的国家、国际组织、智库开始推出网络安全能力评介与构建的模型与指标，如国际电信联盟（ITU）和ABI Research公司联合提出的全球网络安全指数，美国马克研究所推出的网络安全就绪度指标，国际标准化组织提出的信息安全管理测量标准等，一方面，这些指标的提出有利于增加对网络安全的理解以及国际共识的形成，并帮助决策者以程序化的方法对网络安全能力进行审查、评估以及相应的资源分配，以此构建并提高国家网络安全能力；另一方面，指标本身就代表着一种话语范式，反映了相关方的利益诉求，如兰德此次报告即受英国外交和联邦事务部（FCO）之托，隶属于该机构“网络安全能力构建计划”，因此本报告也反映了英国扩大在国际网络治理中话语权的意图，充斥着西方国家的网络治理理念与思路。我国已提出建立“网络强国”、构建“网络空间人类命运共同体”等重要主张，获得广大发展中国家的高度认可，当务之急是如何落实好这些理念。而理念的关键在于实施，实施的重点又在于提出可落地的方法，如何借鉴他山之石，积极构建符合发展中国家的网络安全能力建设指标，不仅考验着我们的治理智慧，也是我国参与国际网络治理、发挥重要作用的应有之义。

原文链接：https://www.rand.org/content/dam/rand/pubs/research_reports/RR2000/RR2072/RAND_RR2072.pdf

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。