网络安全能力成熟度模型介绍

一、概述

经过多年网络安全工作，一直缺乏网络安全的整体视角，网络安全的全貌到底是什么，一直挺迷惑的。目前网络安全的分类和厂家非常多，而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象，只看到网络安全的一个点，而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2)，有种相见恨晚的感觉。它是一套自成体系的模型，内容比较全面，更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全，并加强其运营弹性。

二、模型介绍

网络安全能力成熟度模型(C2M2)由美国能源部(DOE)、电力部门协调委员会(ESCC)和石油和天然气部门协调委员会(ONG SCC)资助共同开发出版发行。它解决与信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实践的实施和管理问题。可以作为全面的企业网络安全建设的参考和补充。

C2M2 包括领域、目标、实践和 MIL（成熟度指标级别）。以下各节将讨论每个组件。

域：域是网络安全的一类主题。该模型有10个域，每个域都包含一组网络安全实践。每组实践都表示组织可以执行的活动，以域为单位建立成熟度模型。

目标：每个域内的实践被组织设定成目标，这些目标代表了可以通过在该领域实施实践来实现的网络安全成果。例如，风险管理领域包括五个目标：

• 建立和维护网络风险管理战略和计划

• 识别网络风险

• 分析网络风险

• 应对网络风险

• 经营活动

实践：实践是 C2M2 最基本的组成部分。每个实践都是一个简短的声明，描述了组织可能执行的网络安全活动。这些活动的目的是实现和维持与关键基础设施和组织目标的风险相符合的适当网络安全水平。每个域中的实践都按照成熟度等级进行排序和组织的。

该模型由 10 个域组成。每个域由多个目标组成，每个目标有多个实践组成。在每个目标中，实践按照成熟度指标级别排序。目前最新的是2.1版本，该2.1版本有356个实践。

成熟度指标级别（MIL）：模型定义了四个成熟度级别(maturity indicator level,MIL)，从 MIL0 到 MIL3，独立应用于模型中的各个领域。每个级别表示成熟度能力，MIL 定义了成熟度包括两方面：方法和管理。

以下的四个方面非常重要：

• 成熟度级别独立于每个域。因此，使用该模型的组织可能在不同的领域用不同的级别评级运行。

• MIL在每个域内是累积的。要在实施指定的级别，组织必须执行该级别及其以下级别的所有实践。

• 为每个域建立目标级别是利用该模型指导网络安全方案改进的有效策略。

• 实践效果和级别目标需要与业务目标和组织网络安全战略计划相一致。所有公司都应该在全领域实现1级别。

三、资产

就C2M2模型而言，资产包括组织业务相关功能内的所有IT、OT和信息资产，包括业务和系统以及它们所运行的环境。可能还包括虚拟化资产、受监管资产、云资产和移动资产。可能包括由第三方管理的资产、软件服务、平台服务和基础设施服务，以及公共、私有或混合云资产。

IT资产：用于收集、处理、维护、使用、共享、分发或处置信息的独立信息资源。包括业务和系统以及它们所运行的环境§

OT资产：OT资产是指对于服务交付或生产活动所必需的资产。大多数现代控制系统包括传统上被称为IT的资产，例如使用标准操作系统、数据库服务器或域控制器的工作站，也包括工业控制系统，摄像头，门禁等。

信息资产：对组织有价值的任何知识描述，如业务数据，财务数据，合同，客户资料等。信息资产可以是任何媒体或形式，包括数字的或非数字的。