杜跃进、高昕、刘福军、许蔓舒、张义荣、韩李云:基于成熟度理念的区域网络安全能力评估

来源:中国管理科学学会    日期:2022-11-23    浏览量:6594次

摘要


在数智时代,区域的网络安全建设应当回归本质,中国应采用能力思维,以实战为目标,从产品主导转向能力主导的安全体系持续性建设。与美国、欧盟等发达国家相比,我国尚缺少一个全盘考虑的、可作为各区域统一标准的网络安全能力成熟度评价体系,而这个评价体系对于一个幅员辽阔、区域数字化和网络安全发展不均衡的大国至关重要。这个评价体系不仅能够推动各区域按照统一的标准和方法高效、有效的建立网络安全能力,而且能够促进区域在安全数据、安全情报、安全人才、安全事件响应等方面的协同,实现国家层面的信息同步、统一调度、分守合战。为填补这个空缺,大数据协同安全技术国家工程实验室在借鉴国内外相关研究经验的基础上,提出了旨在提升我国区域网络安全能力的成熟度模型和评价方法。  

关键词: 区域网络安全  安全能力评估  能力成熟度模型

作者简介

杜跃进

中国管理科学学会应急与安全管理专业委员会主任委员

大数据协同安全技术国家工程实验室常务副主任


高昕

中国管理科学学会应急与安全管理专业委员会委员

大数据协同安全技术国家工程实验室研究员


刘福军

大数据协同安全技术国家工程实验室研究员


许蔓舒

大数据协同安全技术国家工程实验室研究员


张义荣

大数据协同安全技术国家工程实验室研究员


韩李云

中国管理科学学会应急与安全管理专业委员会秘书长

大数据协同安全技术国家工程实验室研究员

一、 引言


在数智时代,我国亦不可避免的入局数字化转型的“大争之世”,这个“大争”体现在两个方面:一方面,数字经济正在成为大国竞争的制高点,国家、区域乃至行业都需要不断在网络空间“开疆拓土”,推动数字化转型和数字经济的发展;另一方面,数字化是一把“双刃剑”,世界在获得网络发展之利的同时,也深受网络威胁之害,网络空间正在成为大国博弈的新战场。


自党的十八大以来,在党中央的高度重视下,我国的网络安全发展取得了有目共睹的历史性成就。主要表现为网络安全法律法规体系建设进一步完善,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法(草案)》《密码法》《网络安全审查办法》等多项法律法规为我国网络安全工作的推进提供了规矩和准绳;网络安全产业蓬勃发展,2019年我国网络安全技术、产品和服务的总收入约为523亿元,同比增长25%,预计未来5年内仍将保持平均20%的增长率,到2023年底,有望突破千亿元网络安全威胁治理成效显著,DDos攻击、僵尸网络控制等传统网络安全事件呈稳步下降的趋势。但是,随着全球数字化转型进程的不断深入,网络安全的环境和形势也不断产生变化,我国的网络安全工作将面临更严峻的问题和挑战。


网络空间作为与“陆海空天”并列的第五空间,正在高速与前四空间深化结合,新的应用场景不断产生,体现出一切皆可编程、万物均要互联、数据驱动业务三大特征。网络空间威胁也在深刻演变。高级持续性威胁(APT)成为主要手段,针对业务关键数据的勒索攻击呈爆发式增长,城市关键基础设施和工业互联网成为主要攻击目标,网络攻击的发起者正在从“白开心”的技术极客,迈向“淘黑金”的网络黑灰产和“大玩家”的国家专业力量,使整个攻击力量谱系呈现出丰富、复杂的分布。网络攻击从网络空间向经济、社会、国防、外交等全域交织渗透,影响巨大。新的安全威胁呈现了攻击面急剧扩大、新技术新场景引入新风险,国家关键基础设施面临严重威胁,以及网络空间博弈加剧等特点。


当外部威胁与内部脆弱性叠加共振,一次网络攻击即可造成重大损失,风险外溢,甚至危害到国家安全,体现为危害政治安全、社会安全、生产安全和人身安全。网络攻击可以造成物理伤害,甚至动摇现实世界的基础。从2011年开始至今未平息的希拉里“邮件门”、2019年伊朗军方情报数据库被攻击事件、2010年“震网”事件都体现了网络攻击的巨大威力。据埃森哲估算,2019年到2023年全球因网络攻击造成的经济损失将达到5.2万亿美元。


面对当前数智时代网络空间的巨大挑战,虽然我国以往数十年安全产品主导的安全体系建设奠定了重要基础,但国内大部分区域的网络安全举措未跟上数智时代各类技术、业务、场景快速变化下的安全保障需求,过去先进的安全方案已经难以实现当初承诺的效果,当前的区域网络安全体系远不足以抵御新型高级威胁等难题。如果区域对网络安全的理解还停留在合规驱动阶段,对安全能力积累缺乏足够重视,就不能解决当前的主要矛盾。因此,区域的网络安全建设应当归回本质,我国应采用能力思维,以实战为目标,从产品主导转向能力主导的安全体系持续性建设。此外,我国还存在区域众多,网络安全防护战线长,各区域网络安全防护能力、产业和人才分布不均衡的现状。在这样的形势之下,与美国和欧盟相比,我国网络安全的顶层设计需要一个以持续提升与改进为主题的网络安全能力评估与建设体系,才能适应快速变化的网络安全大环境。


500年前,王阳明曾对人的能力建设提出了系统的修炼法则:立志、勤学、改过、责善,实质上就是通过科学的自我管理求得个人能力的精进,进而与外部环境相互促进,适应世界,改造世界。大道相通,王阳明提出的能力建设思想与目前国际上影响较大的欧盟网络安全局(ENISA)提出的国家能力评估框架(NCAF)和牛津大学提出的国家网络安全能力成熟度模型(CMM)等网络安全能力建设思想不谋而合。网络安全能力的建设同样是一个定目标、抓落实、重改进、通变化的过程。而在网络安全能力的建设过程中,管理科学将发挥核心作用。有鉴于此,大数据协同安全技术国家工程实验室将国外最新的安全能力理论与国内安全实践情况相结合,初步探索“基于成熟度理念的区域网络安全能力评估”的理论和方法。  


本文是大数据协同安全技术国家工程实验室关于成熟度理念在区域网络安全方面应用的一次创新性探索,希望能够对我国安全管理领域的学科建设有帮助,也希望能够对我国的区域网络安全能力建设实践有所裨益。但研究还处于初级阶段,存在诸多不足之处,欢迎全社会认同这个方向的机构、专家和工程师一同加入我们的研究,共同探索我国区域网络安全能力建设的新路径。


道阻且长,行则将至,共勉之!



①中国网络空间安全协会:《2020年中国网络安全产业统计报告》。

②网络黑灰产指电信诈骗、黑客勒索等利用网络开展违法犯罪活动的行为。

③埃森哲:《网络攻击成本报告》(2018年)。


二、国内外网络安全能力发展评估框架和模型的启示


在区域网络安全能力评估方面,本研究主要参考欧盟网络安全局的NCAF、牛津大学的CMM、全球网络安全指数GCI和网络就绪指数CRI。


(一)国家能力评估框架(NCAF)


《欧盟网络安全法案》规定,欧盟网络安全局应通过支持成员国通过《网络和信息安全(NIS)指令》并收集其经验的宝贵反馈,以促进国家网络安全战略(NCSS)在定义和实施中传播最佳实践。为此,欧盟网络安全局开发了若干工具,以协助成员国开发、实施和评估其国家网络安全战略。作为其任务的一部分,欧盟网络安全局在2020年12月发布了一个国家能力评估框架,以衡量成员国网络安全能力的成熟度。该框架的落实将帮助欧盟各成员国开展国家网络安全能力评估,提高对国家网络安全能力成熟度的认识,识别有待改进的地方,进而逐步构建网络安全能力。NCAF结构设计如表1所示。


资料来源:笔者自制。


(二) 国家网络安全能力成熟度模型


国家网络安全能力成熟度模型由牛津大学的全球网络空间安全能力中心(GCSCC)创建,并由英国外交部(UK FCO)的网络安全能力建设计划进行资助。美洲国家组织(OAS)、世界银行(WB)、国际电信联盟(ITU)和英联邦电信联盟(CTO)等国际组织在许多国家和地区都部署了这一工具,在实践中备受关注。CMM的首个版本出版于2014年,2017年更新版本出版。GCSCC认为一个国家的网络安全体系由5个维度构成,如表2所示。



(三) 全球网络安全指数


全球网络安全指数由ITU于2015年首次发布,它衡量了各国在全球层面上对网络安全的承诺,以提高对该问题重要性和不同层面的认识。GCI对国家网络安全发展的5个支柱——(i)法律措施、(ii)技术措施、(iii)组织措施、(iv)能力发展、(v)合作——进行评估,然后汇总成一个综合分数,进行排名。通过评估,GCI帮助各国确定网络安全领域需要改进的地方,并激励各国采取行动,提高其排名,从而促进全球网络安全的整体水平提升。同时,通过数据收集,ITU鼓励各国实施符合本国状况和环境的做法,推广最佳实践,并促进全球网络安全文化的发展。GCI结构设计如表3所示。




(四)网络就绪指数


波托马克政策研究所(PIPS)发布的网络就绪指数旨在通过客观评估每个国家在网络安全和弹性方面的成熟度和承诺,告知其国家领导人应该考虑采取哪些步骤来保护国家安全和经济发展环境。其中,CRI定义了一个概念,即国家的网络准备,并将网络准备的核心组成部分记录为供各国遵循的可操作蓝图。


CRI评估一个国家当前的网络安全态势与实现其经济愿景所需的国家网络能力之间的差距。CRI的指标体系主要包括国家战略、事件响应、电子犯罪与执法、信息共享、研发投资、外交与贸易、防御与危机应对7个指数,每个指数进一步从声明、组织、资源和落实4个方面设置具体的考核指标。CRI 2.0 方法有多个语言版本,目前已应用于125个国家。


(五)比较分析


(1)在模型第一层划分方面,NCAF的主题和CMM的维度大部分可以对应。其中,NCAF由于考核欧盟各成员国的能力,因此它注重合作;CMM更加注重国家自身安全能力的构建。同时,CMM的内容更加细致,整个模型更加完善。


(2)GCI和CRI的基本目的是给出一张考核表,未对国家安全能力成熟度进行划分,但其框架核心维度划分值得借鉴,其中,CRI客观评估各国应对网络安全风险的水平,注重政府在网络安全能力建设中发挥关键作用。


(3)这些模型都是针对国家粒度,我国参考这些模型时要把它们降维到区域层面,例如国家网络安全战略是在国家层面制定、修订和落实,而在区域层面将体现为法律法规的落实与促进。


(4)区域要依法协同应对网络犯罪重大安全事件等风险,包括网络犯罪打击与防范、安全事件监测与应急响应、威胁预警等,需要在模型中体现相关能力。


三、区域网络安全能力模型


我国网络安全领域已经有不少先行者认识到网络安全能力建设的重要性和迫切性,他们开始从不同的角度进行探索。例如,360公司提出:“能力导向不仅要解决具体的安全问题,而且要解决安全能力的体系性问题,实现安全能力的不断沉淀、进化;体系建设从传统产品和服务堆叠转向系统性地提升安全能力,实现安全能力的协同、共御。”贵州省针对大数据安全专门出台了《贵州省大数据安全保障条例》,提出“实行大数据安全责任制”,“数据安全从业人员要定期接受安全教育、技术培训和技能考核”等,对数据安全能力提出了要求。而华为开发的基于AI的新一代网络安全态势感知系统,提供智能威胁检测和基于大数据的APT防御,已经落地为金融、网安、政府、运营商等各类组织的安全能力赋能。但总体来看,我国当前对网络安全能力的探索受限于立场和角度,与NCAF和CMM相比,尚缺少一个考虑全盘的、可作为各区域统一标准的网络安全能力成熟度评价体系。建立这样一套评价体系,对于一个幅员辽阔、区域数字化和网络安全发展不均衡的大国至关重要。而这套评价体系不仅能够推动各区域按照统一的标准和方法高效、有效地开发网络安全能力,还能够促进区域在安全数据、安全情报、安全人才、安全事件响应等方面的协同,实现国家层面的信息同步、统一调度、分守合战。为填补这个空缺,大数据协同安全技术国家工程实验室借鉴国外目前比较有影响力的几类网络安全能力成熟度模型,以及我国网络安全的发展现状和实践经验,提出了旨在提升我国区域网络安全能力的成熟度模型和评估方法。


(一)总体结构


区域网络安全能力成熟度模型结构设计分成三层,如图1所示。


图1 区域网络安全能力成熟度模型结构

资料来源:笔者自制。


第一层:维度

维度涵盖了模型评估区域网络安全能力的广度。每个维度都由一系列因素构成,这些因素反映了实现维度所需的核心能力。通过因素的评估,可以衡量区域在该维度网络安全能力的成熟度。


第二层:因素

因素描述了区域网络安全能力的基本要素,各维度因素的合集将全面地规约区域的网络安全能力需求。其中,大多数因素是由多个方面组成,而这些方面将对因素的各项指标进行聚类、归纳和整合。


第三层:方面

当一个因素拥有多个组成部分时,这些就是方面。方面是一种将指标划分为更小的群组以便理解的组织方法。方面的数量取决于因素内容中出现的主题和因素的整体复杂性。


成熟度等级

成熟度等级定义了一个区域在某一因素或方面的进展程度,体现对应网络安全能力的建设阶段。区域网络安全能力成熟度模型设置了5个成熟度等级:初始级、定义级、确立级、优化级、以及适应级(详见下一部分)。区域将根据这些阶段对区域网络安全能力进行基准评估,了解区域当前的网络安全能力状态。其中,每个成熟度等级除了安全实践描述,还配置了一些指标,而一个区域必须达到这些指标才能成功进入该成熟度等级。


最佳实践

最佳实践是区域网络安全能力成熟度模型中最基本的部分。最佳实践描述和表明了一个特定的成熟度等级所应具备的步骤、行为或构件。为成功进入一个成熟度等级,区域需要提供满足与最佳实践相关指标的证明。这些指标中的大多数符合“是”和“否”的二元性质,即区域可以证明已经达到了指标标准,或不能证明和不能提供相关证据。


指标

考核指标主要包括评估指标和监测指标两类指标。其中,评估指标主要覆盖最佳实践的关键考核项,由被考核区域提供证明材料,通过自评估或专家评审产生“是”或“否”的二元评估结果。而监测指标通过区域数据的采集和分析直接反映区域网络安全能力建设状况,属于客观评估,是评估指标考核的基础。


(二)成熟度等级划分


成熟度等级定义了一个区域在网络安全能力的某个因素或方面的进展程度,网络安全能力成熟度评估将根据一个区域在各个因素和方面上的具体表现确定该区域的网络安全成熟度等级以及改进的方向。


网络安全成熟度共分为5个等级,分别为:1级[初始级(temporary)]、2级[形成级(plan)]、3级[建立级(do)]、4级[优化级(check)]和5级[适应级(adjust)]。每个级别的划分依据如下。


初始级:区域对网络安全能力的建设没有明确的方法,可能制定了一些通用或临时的目标,可能存在一些提升网络安全能力的活动。


形成级:针对各能力维度,区域初步确定网络安全能力建设的方法;启动了行动计划和相关活动的规划和组织,初步确定了相关机构和人员的范围。 


建立级:针对各能力维度,能力建设相关的行动计划已经得到了明确定义,并获得相关机构和人员的支持;行动方法和活动在区域层面统一执行;行动计划的各项活动得到明确,行动计划具备清晰的资源配置、管理和截止日期。


优化级:定期评估行动计划,确保其优先性、优化性和可持续性;定期评估网络安全能力建设的效果。


适应级:持续关注环境的发展(技术进步、全球冲突和新威胁等),培养快速决策能力和开展快速改善活动的行动力,保障网络安全能力建设是动态和自适应的。


(三) 能力的维度、因素和方面


结合区域能力要求,我们认为区域网络安全能力在顶层设计上主要体现在5个维度(如图2所示):网络安全政策法规和战略的落实、网络安全文化与社会、网络安全研究与创新、网络安全产业发展与协同,以及网络空间风险控制。其中,各维度的具体实践都是区域网络安全能力的重要体现。而本文的核心目标就是各区域通过在五大能力维度方向的持续建设与改进,推动国家安全情报和安全数据的整体同步、安全事件应急响应的整体协同、安全意识和安全管理能力的整体提升。


图2 区域网络安全能力成熟度模型维度划分

资料来源:笔者自制。


(1)第1维(D1):网络安全政策法规和战略的落实。


本维度考察区域对国家网络安全政策法规和战略的落实,区域结合自身特点制定区域网络安全策略、网络安全行动优先次序并且明确责任主体并分配相关资源的能力,主要涉及信息安全等级保护(等保)、关键基础设施保护、网络安全审查、应急管理等重要因素。同时,区域根据本维度实践情况将能够改进的地方和改进措施反馈给上级部门,促进相关政策法规和战略的实施细则的改进和完善。


D1.1等保的落实:关注在区域内有效落实等保制度,确保网络安全基线的能力。


D1.2关键基础设施保护:关注区域落实国家政策,建立有效保护体系对关键信息基础设施进行重点防护的能力。


D1.3网络安全审查的落实:关注区域落实国家审查制度,结合区域特点确保有效执行的能力。


D1.4应急管理的落实:关注区域危机管理能力。


(2)第2维(D2):网络安全文化与社会。


本维度考察区域普及网络安全文化和提升社会整体素养的能力,主要涉及社会意识与素养、网络安全宣传、网络安全报告机制、网络安全人才培养等重要因素。


D2.1社会网络安全意识和素养:考察区域推动政府、企业和群众对网络安全的意识提升和素养培养,通过实践持续改进区域应对网络安全风险的基础防护和动员水平。


D2.2网络安全宣传:考察区域向公众积极宣传网络安全威胁知识、基础防护知识和各类应急措施,并通过媒体扩大宣传的范围和效果,从而提升社会公众对网络安全问题的了解和重视程度的能力。


D2.3网络安全报告机制(见表4):考察区域能够利用社会力量有效收集网络安全威胁情报(一方面为群众提供危害行为举报渠道,另一方面为企业提供安全事件报送渠道),从而持续汇总区域内网络安全威胁信息的能力。


D2.4网络安全人才培养:考察区域的这个能力,即能够通过公共教育体系培养学生,使其具备基本的网络安全知识、技能和素养,并开展网络安全专业技术培训,为区域培养实战型网络安全人才,支撑区域政府和企业的网络安全体系建设和运营。


(3)第3维(D3):网络安全研究与创新。


本维度考察区域推进网络安全研发水平和技术创新潜力的能力,主要涉及网络安全技术研发投入、鼓励网络安全技术创新的政策、网络安全技术创新水平和网络安全科研/工程人力资源等重要因素。


D3.1网络安全技术研发投入:考察区域科技创新与经济发展的协同互动关系,包括对于高质量发展的引导作用。其中,研发投入的持续增加是支撑科技创新发展的重要基础。政府需要明确科技投入的重点和方向,健全以政府投入为主、社会多渠道投入的机制,加大对基础前沿研究的支持力度。


D3.2鼓励网络安全技术创新的政策:考察区域政府对网络安全技术创新相关鼓励政策的有效性。其中,政府应出台相关政策和措施引导网络安全的技术创新向网络安全的基础共性关键技术、前瞻性技术上倾斜,积极推动技术的产业应用。


D3.3网络安全技术创新水平:要求区域明确网络安全技术创新的进展和重点,并提供相关环境支撑。其中,政府需要鼓励和加快推动网络安全前沿核心技术的产业应用,在技术、产业、政策上共同发力,构建多层次的技术创新保障体系。


D3.4网络安全科研/工程人力资源规模:考察区域发展网络安全科研实力和创新能力。其中,政府要积极调动各方共同参与攻关的积极性,推进科研院所、高校、企业科研力量优化配置和资源共享,开展跨学校、跨学科、跨领域、跨国界的协同创新。


(4)第4维(D4):网络安全产业发展与协同。


本维度考察区域发展地方网络安全产业和构建网络安全支撑力量的能力,主要涉及产业发展、政企合作、跨区域合作、网络安全市场和网络安全基础设施等重要因素。


D4.1网络安全产业发展:强调区域从产业规划、激励机制,以及通过政府投入和鼓励企业投入驱动网络安全产业发展等方面有效发展区域网络安全产业发展促进实践,从而为产业发展提供持续的保障。


D4.2政企合作:强调区域应最大程度地整合与关联区域内供需两方面的网络安全力量,来推动区域内网络安全合作的规模与治理,并为政府应对日益复杂的网络安全问题提供有力的支撑。


D4.3跨区域合作:强调区域应通过跨区域联动性活动推动区域间合作,实现优势互补和产业互动。


D4.4网络安全市场:强调区域应保障网络安全技术市场的持续活跃和鼓励网络安全服务的推广,推动扩大区域网络安全市场规模;同时,严格确保供应链安全以及网络安全产品和服务的质量,为网络安全市场的可持续发展奠定基础。


D4.5网络安全基础设施群:强调区域应具备城市级的网络安全基础设施群,以网络安全基础设施群为载体,通过“能力+运营服务”融合发展,加强核心技术新突破,创新安全服务新模式,壮大特色产业集群,构建产业发展生态,网络安全技术设施群建设及运营的成熟度是城市级网络安全风险发现、分析、处置、应急保障能力的体现。


(5)第5维(D5):网络空间风险控制。


本维度考察区域实施网络空间风险控制的能力,主要涉及网络犯罪防范与打击、威胁和漏洞通报、事件监测与评估、事件应急响应、威胁情报共享、网络安全区域整体防护体系建设、数据安全等重要因素。


D5.1网络犯罪防范与打击:强调区域网络犯罪防范与打击体系的建立,以及区域与区域外部环境开展相关协同合作。


D5.2威胁和漏洞通报:强调区域内威胁和漏洞通报机制的建立,以及区域与区域外部环境开展协同合作。


D5.3事件监测与评估:强调区域内网络安全事件监测与评估机制的建立,以及区域与区域外部环境开展协同合作。


D5.4事件应急响应:强调区域内事件应急响应机制的建立,以及区域与区域外部环境开展协同合作。


D5.5威胁情报共享:强调区域内威胁情报共享及安全大数据共享机制的建立,并且区域与区域外部环境开展协同合作。


D5.6网络安全区域整体防护体系:强调网络安全区域整体防护体系的建立,并且区域与区域外部环境开展协同合作。


D5.7数据安全:强调区域内数据安全保护、流通、应用体系的建立,并且区域与区域外部环境开展协同合作。



四、 评估方法


坚持易评估、可量化的评估方法构建原则。为便于区域网络安全能力成熟度评估体系的快速应用及推广,在选择评估指标时既要避免指标信息遗漏,又要避免指标过于烦琐,同时指标能够有效反映网络安全能力实际状况,区域需要从广度和深度两方面进行平衡。


总体上,区域网络安全能力评估与其安全能力建设过程是密切关联的,形成持续建设的闭环:首先,从区域网络安全能力目标的确定开始,将进行成熟度评估;其次,基于成熟度评估报告来确认实践情况与目标之间的差距,形成差距分析报告;再次,基于差距分析报告的关键能力差距项,确认区域网络安全能力改进的优先级排序,并制定具体的改进措施,形成改进计划;最后,依据改进计划,逐项落实区域网络安全能力,并进而准备开展新的成熟度评估。区域网络安全能力成熟度评估与建设过程如图3所示。


图3 区域网络安全能力的持续评估与建设过程

资料来源:笔者自制。


五、总结和展望


(一)总结:一个理论联系实际和不断完善的过程


区域网络安全能力成熟度研究是一个理论联系实际和不断完善的过程,我们提出一些基本的研究原则以供参考。


(1)充分认识和发挥网络安全战略、法律法规和政策的关键作用。在第四次工业革命进程中以及多变的国际局势下,区域要充分认识和发挥网络安全战略、法律法规和政策的关键作用。一方面,对现有的网络安全战略、法律法规和政策的深刻理解和落实是保证区域作为国家整体网络防护体系的构成板块,按照统一步调建设安全能力的基础;另一方面,区域在具体实践中出现的问题和取得的成绩亦将对国家战略、法律法规和政策的调整和完善起到关键作用。


(2)充分考虑网络空间安全焦点和当前威胁发展形势。一方面,数智时代的计算机、物联网设备、工业设施等万物采用统一的通信协议互联互通,勾画了一幅从量变到质变的图景,导致攻击面急剧扩大。随着互联网协议(IPv6)、5G、AI、区块链、量子科技等新技术不断涌现并深化发展,新风险出现。另一方面,现在出现了更多的网络黑灰产作案团伙,它们甚至是具有国家背景的网络战部队和黑客团队,对国家关键基础设施和社会稳定造成严重威胁。


(3)融入业界网络安全建设的先进理念和方法。面对近年来传统防护理念和安全体系“被动应对、防不胜防”的现实困境,各国都在不断探索新防护理念和安全模式,并依托大数据、人工智能、知识图谱、系统科学等技术开展类似“安全大脑”的新一代安全能力体系建设和应用实践。


(4)考虑数智时代的特点和模型的可实施性。一方面我国要充分借鉴国际同类研究工作。网络安全能力评估是国际持续改进区域网络安全能力的重要手段,政府和科研机构都推出不同应用范围和场景的成熟度模型、指数和框架,并开展了多年评估实践。这些工作中的建模方法、评估方法和应用方法都将为我国的实践提供充分借鉴。


另一方面,区域网络安全成熟度模型要符合我国国情。我国网络安全领域建立和开展了等保、关保、护网、安全审查等众多具体机制和措施,对我国各区域网络安全体系建设起到重要作用,在模型中要充分体现。此外,由于我国各区域发展的不同定位、状况和发展阶段,在借鉴国际能力建设方法和实践的基础上,要形成符合我国区域特色的网络安全能力建设方法和实践。


(5)小步快跑,持续演进。区域网络安全能力成熟度评估在国内还处于初级阶段,需要做好试点和应用工作,在实践中持续改进模型设计和评价方法,最终探索出符合我国区域网络安全能力体系建设的成熟度模型。


(二) 展望:以区域网络安全能力评估提升智慧城市治理水平


智慧城市的建设是我国数字经济发展中的重要一环,而在智慧城市发展规划里,网络安全就像水、电一样与民众息息相关。目前,网络威胁已成为智慧城市安全的主要风险源,必须打造具备国际领先水平的、以能力为主导的城市新一代网络安全体系,维护城市和社会安全,提高老百姓的安全感。这就要求各城市根据环境的变化,充分研究网络威胁形势,制定网络安全战略,规划各项网络安全能力建设目标,通过区域网络安全能力评估确定当前能力与预期目标之间的差距,进而制定针对性的网络安全体系建设和优化,从而缓解城市网络安全压力、提升城市安全水平,进而改善营商环境、增强城市的核心竞争力。


因此,为了以集约高效地方式建设城市网络安全体系,区域应将区域网络安全能力评估作为各城市开展智慧城市建设的重要内容,并推动以下目标的达成:


●衡量城市在网络安全方面的能力成熟度水平。


●形成可扩展的网络安全能力图谱,帮助城市整体性了解网络安全能力建设方向。


●推广务实可行的实践行动,以促进城市缩小当前网络安全能力状况和预期网络安全能力目标之间的成熟度差距。


●通过评估,支撑城市在网络安全体系建设中对资源投入和能力建设事项优先级的决策。


●帮助城市了解整体能力态势和最佳实践,提升决策和应对水平。


●帮助城市和网络安全赋能服务商与科研机构之间建立一个持续透明的信息窗口,围绕网络安全能力建设促进产学研的结合。


推进区域网络安全能力评估,基于成熟度理念反映和推动智慧城市治理水平的提升。同时,对于区域网络安全能力评估过程中产后的优秀案例,进行深入的分析和确认,可用于持续完善模型和应用推广。一方面,提炼最佳实践,将相关能力特征和指标扩展到区域网络安全成熟度模型中。另一方面,推广这些最佳实践,为各城市网络安全能力的提升给出具体实践参考方案。


与此同时,区域网络安全能力评估体现了网络安全能力建设的基本原则和做法,组织机构也可以从网络安全能力成熟度角度开展安全能力建设。其中,这些原则和做法包括但不限于以下方面。


1) 安全能力的效果体现为不同层次的成熟度。围绕不同的安全目标,安全能力的构建或提升需要经历不同的阶段和不同的成熟度。


2) 安全能力需要长期持续性建设和运营。安全能力建设不是一蹴而就和没有目标的“摊大饼”,而是在明确当前能力成熟度等级的情况下,围绕核心安全需求,在平衡资源、成本、时间等要素的情况下,有效规划,分步骤持续开展能力建设。 


3) 以能力成熟度为抓手,建立“正向驱动”的动力模型。在动力模型方面,改变“合规+处罚”的思路,变成“通过安全能力成熟度推动业务发展”的正向驱动模式。


4) 实战检验。安全体系的最终效果由实践决定。而实战的结果由能力决定,所以安全能力需要不断在实践检验中建设和提升。


最后,成熟度理念在区域网络安全方面的应用与实践之间还有很长的距离,全社会需要一同努力,推进这方面研究,借助中国管理科学学会应急与安全管理专委会这个平台,共同推进我国区域网络安全能力的建设与提升。

 


④大数据协同安全技术国家工程实验室的邮箱是NELab@360.cn