一、概述

經(jīng)過(guò)多年網(wǎng)絡(luò)安全工作，一直缺乏網(wǎng)絡(luò)安全的整體視角，網(wǎng)絡(luò)安全的全貌到底是什么，一直挺迷惑的。目前網(wǎng)絡(luò)安全的分類和廠家非常多，而且每年還會(huì)冒出來(lái)不少新的產(chǎn)品。但這些產(chǎn)品感覺(jué)還是像盲人摸象，只看到網(wǎng)絡(luò)安全的一個(gè)點(diǎn)，而不是一個(gè)整體。最近無(wú)意看到了網(wǎng)絡(luò)安全能力成熟度模型(C2M2)，有種相見(jiàn)恨晚的感覺(jué)。它是一套自成體系的模型，內(nèi)容比較全面，更貼近企業(yè)落地。它的目的是幫助所有一定規(guī)模的組織評(píng)估和改進(jìn)其網(wǎng)絡(luò)安全，并加強(qiáng)其運(yùn)營(yíng)彈性。

二、模型介紹

網(wǎng)絡(luò)安全能力成熟度模型(C2M2)由美國(guó)能源部(DOE)、電力部門協(xié)調(diào)委員會(huì)(ESCC)和石油和天然氣部門協(xié)調(diào)委員會(huì)(ONG SCC)資助共同開發(fā)出版發(fā)行。它解決與信息技術(shù)(IT)和運(yùn)營(yíng)技術(shù)(OT)資產(chǎn)及其運(yùn)營(yíng)環(huán)境相關(guān)的網(wǎng)絡(luò)安全實(shí)踐的實(shí)施和管理問(wèn)題。可以作為全面的企業(yè)網(wǎng)絡(luò)安全建設(shè)的參考和補(bǔ)充。

C2M2 包括領(lǐng)域、目標(biāo)、實(shí)踐和 MIL（成熟度指標(biāo)級(jí)別）。以下各節(jié)將討論每個(gè)組件。

域：域是網(wǎng)絡(luò)安全的一類主題。該模型有10個(gè)域，每個(gè)域都包含一組網(wǎng)絡(luò)安全實(shí)踐。每組實(shí)踐都表示組織可以執(zhí)行的活動(dòng)，以域?yàn)閱挝唤⒊墒於饶Ｐ汀?/p>

目標(biāo)：每個(gè)域內(nèi)的實(shí)踐被組織設(shè)定成目標(biāo)，這些目標(biāo)代表了可以通過(guò)在該領(lǐng)域?qū)嵤?shí)踐來(lái)實(shí)現(xiàn)的網(wǎng)絡(luò)安全成果。例如，風(fēng)險(xiǎn)管理領(lǐng)域包括五個(gè)目標(biāo)：

• 建立和維護(hù)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略和計(jì)劃
• 識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)
• 分析網(wǎng)絡(luò)風(fēng)險(xiǎn)
• 應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)
• 經(jīng)營(yíng)活動(dòng)

實(shí)踐：實(shí)踐是 C2M2 最基本的組成部分。每個(gè)實(shí)踐都是一個(gè)簡(jiǎn)短的聲明，描述了組織可能執(zhí)行的網(wǎng)絡(luò)安全活動(dòng)。這些活動(dòng)的目的是實(shí)現(xiàn)和維持與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險(xiǎn)相符合的適當(dāng)網(wǎng)絡(luò)安全水平。每個(gè)域中的實(shí)踐都按照成熟度等級(jí)進(jìn)行排序和組織的。

該模型由 10 個(gè)域組成。每個(gè)域由多個(gè)目標(biāo)組成，每個(gè)目標(biāo)有多個(gè)實(shí)踐組成。在每個(gè)目標(biāo)中，實(shí)踐按照成熟度指標(biāo)級(jí)別排序。目前最新的是2.1版本，該2.1版本有356個(gè)實(shí)踐。

1687747352_6498fb187e81cc44b74d5.png!small?1687747356195

成熟度指標(biāo)級(jí)別（MIL）：模型定義了四個(gè)成熟度級(jí)別(maturity indicator level,MIL)，從 MIL0 到 MIL3，獨(dú)立應(yīng)用于模型中的各個(gè)領(lǐng)域。每個(gè)級(jí)別表示成熟度能力，MIL 定義了成熟度包括兩方面：方法和管理。

1687747358_6498fb1eb6155512a5997.png!small?1687747362022

以下的四個(gè)方面非常重要：

• 成熟度級(jí)別獨(dú)立于每個(gè)域。因此，使用該模型的組織可能在不同的領(lǐng)域用不同的級(jí)別評(píng)級(jí)運(yùn)行。
• MIL在每個(gè)域內(nèi)是累積的。要在實(shí)施指定的級(jí)別，組織必須執(zhí)行該級(jí)別及其以下級(jí)別的所有實(shí)踐。
• 為每個(gè)域建立目標(biāo)級(jí)別是利用該模型指導(dǎo)網(wǎng)絡(luò)安全方案改進(jìn)的有效策略。
• 實(shí)踐效果和級(jí)別目標(biāo)需要與業(yè)務(wù)目標(biāo)和組織網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃相一致。所有公司都應(yīng)該在全領(lǐng)域?qū)崿F(xiàn)1級(jí)別。

三、資產(chǎn)

就C2M2模型而言，資產(chǎn)包括組織業(yè)務(wù)相關(guān)功能內(nèi)的所有IT、OT和信息資產(chǎn)，包括業(yè)務(wù)和系統(tǒng)以及它們所運(yùn)行的環(huán)境。可能還包括虛擬化資產(chǎn)、受監(jiān)管資產(chǎn)、云資產(chǎn)和移動(dòng)資產(chǎn)。可能包括由第三方管理的資產(chǎn)、軟件服務(wù)、平臺(tái)服務(wù)和基礎(chǔ)設(shè)施服務(wù)，以及公共、私有或混合云資產(chǎn)。

IT資產(chǎn)：用于收集、處理、維護(hù)、使用、共享、分發(fā)或處置信息的獨(dú)立信息資源。包括業(yè)務(wù)和系統(tǒng)以及它們所運(yùn)行的環(huán)境§

OT資產(chǎn)：OT資產(chǎn)是指對(duì)于服務(wù)交付或生產(chǎn)活動(dòng)所必需的資產(chǎn)。大多數(shù)現(xiàn)代控制系統(tǒng)包括傳統(tǒng)上被稱為IT的資產(chǎn)，例如使用標(biāo)準(zhǔn)操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器或域控制器的工作站，也包括工業(yè)控制系統(tǒng)，攝像頭，門禁等。

信息資產(chǎn)：對(duì)組織有價(jià)值的任何知識(shí)描述，如業(yè)務(wù)數(shù)據(jù)，財(cái)務(wù)數(shù)據(jù)，合同，客戶資料等。信息資產(chǎn)可以是任何媒體或形式，包括數(shù)字的或非數(shù)字的。

1687747386_6498fb3ab26fd2da336c9.png!small?1687747390030

整個(gè)目標(biāo)資產(chǎn)被分成三大類：

• 對(duì)功能的交付很重要的資產(chǎn)：保證業(yè)務(wù)功能正常運(yùn)行必需的資產(chǎn)，當(dāng)這些資產(chǎn)不可用時(shí)，可能導(dǎo)致業(yè)務(wù)無(wú)法正常使用或者影響業(yè)務(wù)使用。
• 容易受到威脅的資產(chǎn)：比如暴露在公網(wǎng)的資產(chǎn)，容易橫向移動(dòng)的資產(chǎn)，有可能提升管理權(quán)限的資產(chǎn)，保存重要信息的資產(chǎn)等。
• 其他所有資產(chǎn)：這些資產(chǎn)可能被認(rèn)為對(duì)功能的交付不重要，也不太可能受到威脅的資產(chǎn)（例如，打印機(jī)、收音機(jī)、閱讀器或電話）。

1687747392_6498fb40c448e12dff21e.png!small?1687747396149

四、如何使用

C2M2是一個(gè)組織用于持續(xù)評(píng)估其網(wǎng)絡(luò)安全能力的模型，下圖總結(jié)了使用該模型的一種潛在方法。組織對(duì)模型進(jìn)行自我評(píng)估，使用該自我評(píng)估來(lái)識(shí)別能力上的差距，對(duì)這些差距進(jìn)行優(yōu)先排序，并制定解決它們的計(jì)劃，并最終實(shí)施解決差距的計(jì)劃。隨著計(jì)劃的實(shí)施，業(yè)務(wù)目標(biāo)不斷變化，風(fēng)險(xiǎn)環(huán)境的演變，過(guò)程不斷重復(fù)。

1687747402_6498fb4a406d8efb61765.png!small?1687747405563

下面的部分將描述這種方法中的每個(gè)步驟。

步驟1：執(zhí)行自我評(píng)估

自我評(píng)估提供了對(duì)組織內(nèi)網(wǎng)絡(luò)安全活動(dòng)情況的度量。在開始準(zhǔn)備工作前，組織首先確定模型應(yīng)用程序的范圍。接下來(lái)，組織確定對(duì)功能交付很重要的IT、OT和信息資產(chǎn)。組織應(yīng)選擇適當(dāng)?shù)娜藛T，根據(jù)模型實(shí)踐來(lái)評(píng)估。應(yīng)確定一個(gè)熟悉模型內(nèi)容的咨詢?nèi)藛T，以指導(dǎo)自我評(píng)價(jià)。選擇參與自我評(píng)估的人員應(yīng)包括運(yùn)營(yíng)人員、管理人員和利益相關(guān)者，以及任何能夠提供關(guān)于模型中組織網(wǎng)絡(luò)安全實(shí)踐有用的信息人員。通過(guò)最佳實(shí)踐說(shuō)明，確定了每個(gè)領(lǐng)域的實(shí)踐水平。評(píng)估結(jié)果有四種：未實(shí)現(xiàn)、部分實(shí)現(xiàn)、大部分實(shí)現(xiàn)或完全實(shí)現(xiàn)。在完成自我評(píng)估后，將生成一個(gè)評(píng)分報(bào)告，提供總結(jié)及描述，以及完成的實(shí)現(xiàn)狀態(tài)。必須注意的是，自我評(píng)價(jià)報(bào)告可能包括敏感信息，并應(yīng)得到相應(yīng)的保護(hù)。

步驟2：分析已識(shí)別的差距

來(lái)自自我評(píng)估的評(píng)分報(bào)告將確定模型實(shí)踐和實(shí)際的差距。組織的第一個(gè)分析步驟是確定這些差距對(duì)組織是否有意義和重要。一個(gè)組織努力在所有領(lǐng)域中實(shí)現(xiàn)最高的等級(jí)通常不是最佳的。相反，組織應(yīng)該確定每個(gè)領(lǐng)域的合理級(jí)別水平，以使其最能實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)和網(wǎng)絡(luò)安全戰(zhàn)略。對(duì)于首次使用該模型的組織，通常在初始自我評(píng)估后確定目標(biāo)輪廓。在模型方面有更多經(jīng)驗(yàn)的組織通常在進(jìn)行自我評(píng)估之前確定目標(biāo)概況。在目標(biāo)概況的選擇中應(yīng)包括利益相關(guān)者的集合。然后，可以根據(jù)自我評(píng)估研討會(huì)的結(jié)果來(lái)檢查目標(biāo)概況，以確定對(duì)組織很重要的實(shí)踐要求的差距。

步驟3：確定優(yōu)先級(jí)和計(jì)劃

在差距分析完成后，組織應(yīng)該優(yōu)先考慮充分實(shí)施實(shí)踐所需的行動(dòng)，以便在特定領(lǐng)域?qū)崿F(xiàn)所需的能力。優(yōu)先級(jí)應(yīng)該使用以下標(biāo)準(zhǔn)，如差距如何影響組織目標(biāo)、該域支持的業(yè)務(wù)目標(biāo)的重要性、實(shí)施必要實(shí)踐的成本以及實(shí)施實(shí)踐資源的可用性。對(duì)差距和活動(dòng)進(jìn)行成本效益分析確定優(yōu)先順序，接下來(lái)制定一個(gè)計(jì)劃來(lái)解決選定的差距。規(guī)劃應(yīng)遵循標(biāo)準(zhǔn)的組織規(guī)劃流程，并與組織和網(wǎng)絡(luò)安全計(jì)劃的戰(zhàn)略目標(biāo)保持一致。這些計(jì)劃可以跨越數(shù)周、月或年，這取決于縮小所選差距和實(shí)現(xiàn)所需能力的改進(jìn)程度。負(fù)責(zé)人應(yīng)有足夠的權(quán)力執(zhí)行計(jì)劃。組織領(lǐng)導(dǎo)層定期進(jìn)行審查，以評(píng)估狀況，清除障礙，糾正偏離目標(biāo)的內(nèi)容。

步驟4：實(shí)施計(jì)劃，并定期重新評(píng)估

執(zhí)行在上一步中制定的計(jì)劃，以解決已確定的差距。模型自我評(píng)價(jià)在跟蹤實(shí)施情況方面特別有用，應(yīng)定期進(jìn)行，以確保取得預(yù)期的進(jìn)展。當(dāng)業(yè)務(wù)、技術(shù)、市場(chǎng)或威脅環(huán)境中有重大變化后還應(yīng)重新評(píng)估，以確保當(dāng)前的配置符合組織的期望狀態(tài)。

1687747411_6498fb530875f69dda0d1.png!small?1687747414510

五、十大領(lǐng)域

下面介紹模型的十大領(lǐng)域。

1、資產(chǎn)、變更和配置管理(Asset)

目的：管理組織的IT和OT資產(chǎn)，包括硬件和軟件，以及與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)風(fēng)險(xiǎn)相關(guān)的信息資產(chǎn)。一個(gè)資產(chǎn)對(duì)一個(gè)組織來(lái)說(shuō)是非常有價(jià)值的東西。就該模型而言，要考慮的資產(chǎn)是IT和OT的硬件和軟件資產(chǎn)，以及操作該功能所必需的信息。

該領(lǐng)域包括五個(gè)目標(biāo)：

1. 管理 IT 和 OT 資產(chǎn)庫(kù)
2. 管理信息資產(chǎn)清單
3. 管理資產(chǎn)配置
4. 管理對(duì)資產(chǎn)的更改
5. 經(jīng)營(yíng)活動(dòng)

資產(chǎn)清單是管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的一個(gè)重要內(nèi)容。它記錄了很多重要的信息，比如軟件版本、物理位置、資產(chǎn)所有者和優(yōu)先級(jí)等，它是許多其他網(wǎng)絡(luò)安全管理活動(dòng)的基礎(chǔ)。例如，一個(gè)完善的資產(chǎn)庫(kù)可以確定需要打補(bǔ)丁的軟件的部署位置。

資產(chǎn)配置包括定義配置基線，并確保根據(jù)基線配置資產(chǎn)。管理基線可以確保用相同的方式配置類似的資產(chǎn)。對(duì)資產(chǎn)的變更管理包括分析配置變化，以確保它們不會(huì)在操作過(guò)程中引入不可接受的風(fēng)險(xiǎn)，確保所有更改都遵循變更管理流程，以及識(shí)別未經(jīng)授權(quán)的更改。變更控制適用于整個(gè)資產(chǎn)生命周期，包括需求定義、測(cè)試、部署和維護(hù)，以及退出操作。

2、威脅和漏洞管理（THREAT）

目的：通過(guò)技術(shù)來(lái)檢測(cè)、識(shí)別、分析、管理和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和漏洞，與組織的基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險(xiǎn)相匹配。網(wǎng)絡(luò)安全威脅被定義為通過(guò)未經(jīng)授權(quán)的訪問(wèn)、破壞、披露、修改信息或拒絕服務(wù)而可能對(duì)組織運(yùn)營(yíng)（包括任務(wù)、功能、圖像或聲譽(yù)）、資源、對(duì)其他組織或通信基礎(chǔ)設(shè)施等產(chǎn)生不利影響的任何事件。網(wǎng)絡(luò)安全漏洞是指IT、OT、通信系統(tǒng)或設(shè)備、程序或內(nèi)部控制中可能被威脅利用的弱點(diǎn)或缺陷。

該模型包括三個(gè)目標(biāo)：

1. 減少網(wǎng)絡(luò)安全漏洞
2. 響應(yīng)威脅并共享威脅信息
3. 經(jīng)營(yíng)活動(dòng)

首先要從可靠的來(lái)源收集有用的威脅信息，并對(duì)具有影響服務(wù)的威脅作出反應(yīng)。威脅概況包括威脅的可能意圖、能力和目標(biāo)的描述。威脅概況可用于指導(dǎo)威脅的識(shí)別、風(fēng)險(xiǎn)管理領(lǐng)域中描述的風(fēng)險(xiǎn)分析過(guò)程，以及在態(tài)勢(shì)感知領(lǐng)域中描述的運(yùn)營(yíng)和網(wǎng)絡(luò)狀態(tài)的構(gòu)建。

減少網(wǎng)絡(luò)安全漏洞，從收集和分析漏洞開始。漏洞發(fā)現(xiàn)可以使用自動(dòng)掃描工具來(lái)執(zhí)行，網(wǎng)絡(luò)滲透測(cè)試、網(wǎng)絡(luò)安全演習(xí)和網(wǎng)絡(luò)審計(jì)等。脆弱性分析應(yīng)考慮漏洞的影響以及資產(chǎn)對(duì)功能交付的重要性。漏洞可以通過(guò)監(jiān)控威脅狀態(tài)、應(yīng)用安全補(bǔ)丁、替換過(guò)時(shí)的設(shè)備或執(zhí)行其他活動(dòng)來(lái)解決。

3、風(fēng)險(xiǎn)管理（RISK）

目的：建立、運(yùn)營(yíng)和維護(hù)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃，以識(shí)別、分析和減輕組織（包括其業(yè)務(wù)部門、子公司、相關(guān)互連基礎(chǔ)設(shè)施和利益相關(guān)者）的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)風(fēng)險(xiǎn)被定義為由于未經(jīng)授權(quán)訪問(wèn)、使用、披露、中斷、修改或破壞信息、對(duì)組織運(yùn)營(yíng)（包括使命、職能、形象和聲譽(yù)）、資源和其他組織構(gòu)成的風(fēng)險(xiǎn)。網(wǎng)絡(luò)風(fēng)險(xiǎn)是整體業(yè)務(wù)風(fēng)險(xiǎn)環(huán)境的一個(gè)組成部分，并納入組織的企業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略和計(jì)劃。網(wǎng)絡(luò)風(fēng)險(xiǎn)無(wú)法完全消除，但可以通過(guò)明智的決策過(guò)程進(jìn)行管理。

風(fēng)險(xiǎn)管理（RISK）領(lǐng)域包括五個(gè)目標(biāo)：

1. 建立和維護(hù)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理戰(zhàn)略和計(jì)劃
2. 識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)
3. 分析網(wǎng)絡(luò)風(fēng)險(xiǎn)
4. 應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)
5. 經(jīng)營(yíng)活動(dòng)

管理網(wǎng)絡(luò)風(fēng)險(xiǎn)涉及構(gòu)建、識(shí)別和評(píng)估、響應(yīng)（接受、避免、緩解、轉(zhuǎn)移）和監(jiān)控風(fēng)險(xiǎn)。通過(guò)定義風(fēng)險(xiǎn)標(biāo)準(zhǔn)，組織可以一致地響應(yīng)和監(jiān)控已識(shí)別的風(fēng)險(xiǎn)。網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略是一種高級(jí)策略，為分析和確定網(wǎng)絡(luò)風(fēng)險(xiǎn)的優(yōu)先級(jí)提供方向，并定義風(fēng)險(xiǎn)容忍度。網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略包括風(fēng)險(xiǎn)評(píng)估方法、風(fēng)險(xiǎn)監(jiān)控策略和網(wǎng)絡(luò)安全治理計(jì)劃。包括定義企業(yè)風(fēng)險(xiǎn)標(biāo)準(zhǔn)（例如，影響閾值和風(fēng)險(xiǎn)響應(yīng)方法），這些標(biāo)準(zhǔn)指導(dǎo)本模型后面的網(wǎng)絡(luò)安全項(xiàng)目管理域中討論的網(wǎng)絡(luò)安全計(jì)劃。網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略應(yīng)與企業(yè)風(fēng)險(xiǎn)管理策略保持一致，以確保以符合組織使命和業(yè)務(wù)目標(biāo)的管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。

4、身份和訪問(wèn)管理 （ACCESS）

用途：對(duì)組織資產(chǎn)的邏輯或物理訪問(wèn)權(quán)限的實(shí)體創(chuàng)建和管理標(biāo)識(shí)。控制對(duì)組織資產(chǎn)的訪問(wèn)，與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險(xiǎn)相稱。訪問(wèn)控制適用于對(duì)資產(chǎn)的邏輯訪問(wèn)、對(duì)與功能相關(guān)的網(wǎng)絡(luò)資產(chǎn)的物理訪問(wèn)以及與功能相關(guān)的訪問(wèn)控制系統(tǒng)（邏輯或物理）。不當(dāng)?shù)脑L問(wèn)管理實(shí)踐可能導(dǎo)致未經(jīng)授權(quán)的使用、披露、破壞或修改，以及不必要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)暴露。

身份和訪問(wèn)管理 （ACCESS） 領(lǐng)域包括四個(gè)目標(biāo)：

1. 建立和維護(hù)身份
2. 控制邏輯訪問(wèn)
3. 控制物理訪問(wèn)
4. 經(jīng)營(yíng)活動(dòng)

建立和維護(hù)標(biāo)識(shí)首先向?qū)嶓w預(yù)配和取消預(yù)配標(biāo)識(shí)（在不再需要可用標(biāo)識(shí)時(shí)刪除可用標(biāo)識(shí)）。實(shí)體可能包括個(gè)人（組織內(nèi)部或外部）以及需要訪問(wèn)資產(chǎn)的設(shè)備、系統(tǒng)或流程。在某些情況下，組織可能需要使用共享標(biāo)識(shí)。共享身份的管理可能需要采取額外補(bǔ)償方案，以確保適當(dāng)?shù)陌踩?jí)別。身份維護(hù)包括可跟蹤性（確保所有已知身份都有效）以及取消預(yù)配。

控制邏輯和物理訪問(wèn)包括確定訪問(wèn)要求、根據(jù)這些要求授予對(duì)資產(chǎn)的訪問(wèn)權(quán)限，以及在不再需要時(shí)撤銷訪問(wèn)權(quán)限。邏輯和物理訪問(wèn)要求與給定區(qū)域內(nèi)的一個(gè)或多個(gè)資產(chǎn)相關(guān)聯(lián)，并為允許訪問(wèn)資產(chǎn)的實(shí)體或個(gè)人類型、允許訪問(wèn)的限制以及邏輯訪問(wèn)的身份驗(yàn)證參數(shù)提供指導(dǎo)。例如，特定資產(chǎn)的邏輯訪問(wèn)要求可能僅允許供應(yīng)商在指定和計(jì)劃的維護(hù)間隔期間進(jìn)行遠(yuǎn)程訪問(wèn)，并且可能還需要多重身份驗(yàn)證才能進(jìn)行此類訪問(wèn)。基于物理訪問(wèn)要求的訪問(wèn)限制通過(guò)可見(jiàn)方式（例如標(biāo)牌）進(jìn)行認(rèn)證。在較高的成熟度指標(biāo)水平上，對(duì)所授予的訪問(wèn)權(quán)進(jìn)行審查。只有在考慮功能風(fēng)險(xiǎn)后，才會(huì)授予邏輯和物理訪問(wèn)，并定期審查訪問(wèn)。

5、態(tài)勢(shì)感知（SITUATION）

目的：建立和維護(hù)技術(shù)手段，以收集、分析、報(bào)警、呈現(xiàn)和使用網(wǎng)絡(luò)安全信息，包括來(lái)自其他 C2M2 域的狀態(tài)和摘要信息，以形成通用運(yùn)營(yíng)圖景。態(tài)勢(shì)感知涉及開發(fā)對(duì)動(dòng)態(tài)操作環(huán)境的知識(shí)。在某種程度上，這是通過(guò)記錄和監(jiān)控對(duì)功能交付至關(guān)重要的IT、OT和通信基礎(chǔ)設(shè)施資產(chǎn)來(lái)實(shí)現(xiàn)的。一旦組織建設(shè)了態(tài)勢(shì)感知，它就可以使預(yù)定義的操作狀態(tài)與操作環(huán)境中的變化保持一致。從一個(gè)預(yù)定義狀態(tài)切換到另一個(gè)預(yù)定義狀態(tài)的能力可以更快、更有效地響應(yīng)網(wǎng)絡(luò)安全事件或威脅環(huán)境的變化。

態(tài)勢(shì)感知（SITUATION）領(lǐng)域包括四個(gè)目標(biāo)：

1. 執(zhí)行日志記錄
2. 執(zhí)行監(jiān)控
3. 建立并保持態(tài)勢(shì)感知
4. 經(jīng)營(yíng)活動(dòng)

應(yīng)根據(jù)資產(chǎn)對(duì)業(yè)務(wù)的潛在影響啟用日志記錄。例如，受損資產(chǎn)的潛在影響越大，組織收集的有關(guān)該資產(chǎn)的數(shù)據(jù)就越多。監(jiān)控和分析日志中收集的數(shù)據(jù)以及通過(guò)其他方式收集的數(shù)據(jù)，使組織能夠了解職能的運(yùn)營(yíng)和網(wǎng)絡(luò)安全狀態(tài)。有效地向相關(guān)決策者傳達(dá)運(yùn)營(yíng)和網(wǎng)絡(luò)安全狀態(tài)是態(tài)勢(shì)感知（有時(shí)稱為通用運(yùn)營(yíng)圖）的目標(biāo)。

六、事件和事件響應(yīng)，運(yùn)營(yíng)連續(xù)性(RESPONSE)

目的：系統(tǒng)或網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全事件是與網(wǎng)絡(luò)安全要求（資產(chǎn)的機(jī)密性、完整性或可用性）相關(guān)的任何可觀察事件。網(wǎng)絡(luò)安全事件是重大影響或可能顯著影響關(guān)鍵基礎(chǔ)設(shè)施或組織資產(chǎn)和服務(wù)的事件或一系列事件，并要求組織（可能還有其他利益相關(guān)者）以某種方式做出響應(yīng)以防止或限制不利影響。

“事件和事件響應(yīng)，運(yùn)營(yíng)連續(xù)性”領(lǐng)域包括五個(gè)目標(biāo)：

1. 檢測(cè)網(wǎng)絡(luò)安全事件
2. 分析網(wǎng)絡(luò)安全事件并聲明事件
3. 應(yīng)對(duì)網(wǎng)絡(luò)安全事件
4. 解決運(yùn)營(yíng)連續(xù)性中的網(wǎng)絡(luò)安全問(wèn)題
5. 經(jīng)營(yíng)活動(dòng)

檢測(cè)網(wǎng)絡(luò)安全事件包括指定一個(gè)平臺(tái)來(lái)報(bào)告事件和建立事件優(yōu)先級(jí)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)應(yīng)與風(fēng)險(xiǎn)管理領(lǐng)域指定的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略保持一致，確保對(duì)事件的一致理解，并提供一種方法來(lái)確定網(wǎng)絡(luò)安全事件的構(gòu)成，何時(shí)升級(jí)網(wǎng)絡(luò)安全事件，以及發(fā)布網(wǎng)絡(luò)安全事件的條件。

網(wǎng)絡(luò)安全事件都應(yīng)根據(jù)響應(yīng)計(jì)劃進(jìn)行管理。網(wǎng)絡(luò)安全事件和已宣布的事件可能會(huì)觸發(fā)外部操作，包括向監(jiān)管機(jī)構(gòu)報(bào)告或通知客戶。將多個(gè)網(wǎng)絡(luò)安全事件以及其他記錄關(guān)聯(lián)起來(lái)可能會(huì)發(fā)現(xiàn)環(huán)境中的系統(tǒng)性問(wèn)題。

響應(yīng)網(wǎng)絡(luò)安全事件要求組織有一個(gè)流程來(lái)限制網(wǎng)絡(luò)安全事件對(duì)其職能和組織單位的影響。該過(guò)程應(yīng)描述組織如何管理事件生命周期的所有階段，例如會(huì)審、處理、通信、協(xié)調(diào)和關(guān)閉。

連續(xù)性規(guī)劃涉及在發(fā)生中斷（例如嚴(yán)重的網(wǎng)絡(luò)安全事件或?yàn)?zāi)難）時(shí)維持功能的必要活動(dòng)。確保連續(xù)性計(jì)劃解決潛在的網(wǎng)絡(luò)安全事件需要考慮已知的網(wǎng)絡(luò)威脅和已確定的網(wǎng)絡(luò)風(fēng)險(xiǎn)類別。

七、第三方風(fēng)險(xiǎn)管理 (THIRD-PARTIES)

目的：建立和維護(hù)控制措施，以管理與依賴于外部實(shí)體的服務(wù)和資產(chǎn)相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險(xiǎn)相匹配。隨著基礎(chǔ)設(shè)施、運(yùn)營(yíng)合作伙伴、供應(yīng)商、服務(wù)提供商和客戶之間的相互依賴性增加，建立并保持對(duì)關(guān)鍵關(guān)系的全面了解并管理其相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)于安全、可靠和彈性地交付至關(guān)重要。

此模型將外部依賴關(guān)系分類為供應(yīng)商或客戶。供應(yīng)商依賴關(guān)系是功能交付所依賴的外部各方，包括運(yùn)營(yíng)合作伙伴。客戶依賴關(guān)系是依賴于功能交付的外部各方，包括運(yùn)營(yíng)合作伙伴。

供應(yīng)鏈風(fēng)險(xiǎn)是非常容易忽視的。如果沒(méi)有適當(dāng)?shù)娘L(fēng)險(xiǎn)管理，它們將構(gòu)成嚴(yán)重威脅，包括來(lái)源不明的軟件和假冒（可能是惡意）硬件。組織的選型大多只關(guān)注功能要求，可能缺乏對(duì)安全和質(zhì)量保證的要求。

第三方風(fēng)險(xiǎn)管理（第三方）領(lǐng)域包括三個(gè)目標(biāo)：

1. 識(shí)別第三方并確定其優(yōu)先級(jí)
2. 管理第三方風(fēng)險(xiǎn)
3. 經(jīng)營(yíng)活動(dòng)

識(shí)別依賴關(guān)系涉及建立和維護(hù)對(duì)交付所需的關(guān)鍵外部依賴，管理依賴關(guān)系風(fēng)險(xiǎn)包括獨(dú)立測(cè)試、代碼審查、漏洞掃描以及審查供應(yīng)商提供的可證明證據(jù)（表明已遵循安全的軟件開發(fā)過(guò)程）等。對(duì)組織的產(chǎn)品或服務(wù)的合作伙伴或供應(yīng)商的安全要求寫入合同，以緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

八、勞動(dòng)力管理（WORKFORCE ）

目的：創(chuàng)建網(wǎng)絡(luò)安全文化，并確保人員的持續(xù)適用性和能力，與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險(xiǎn)相匹配。隨著組織越來(lái)越多地采用先進(jìn)的數(shù)字技術(shù)，提高現(xiàn)有員工的技能并雇用具有適當(dāng)網(wǎng)絡(luò)安全經(jīng)驗(yàn)的人員是一項(xiàng)挑戰(zhàn)。組織對(duì)數(shù)字通信和先進(jìn)技術(shù)的依賴持續(xù)增長(zhǎng)，勞動(dòng)力問(wèn)題是成功解決這些系統(tǒng)的網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理的關(guān)鍵方面。

勞動(dòng)力管理（WORKFORCE ）領(lǐng)域包括五個(gè)目標(biāo)：

1. 分配網(wǎng)絡(luò)安全責(zé)任
2. 培養(yǎng)網(wǎng)絡(luò)安全勞動(dòng)力
3. 實(shí)施勞動(dòng)力控制
4. 提高網(wǎng)絡(luò)安全意識(shí)
5. 經(jīng)營(yíng)活動(dòng)

為關(guān)鍵網(wǎng)絡(luò)安全角色（如系統(tǒng)管理員）制定計(jì)劃至關(guān)重要，以提供適當(dāng)?shù)呐嘤?xùn)、測(cè)試、冗余和績(jī)效評(píng)估。網(wǎng)絡(luò)安全責(zé)任不僅限于傳統(tǒng)的IT角色也包括別的角色;例如，一些運(yùn)營(yíng)工程師可能負(fù)有網(wǎng)絡(luò)安全責(zé)任。

發(fā)展網(wǎng)絡(luò)安全勞動(dòng)力包括培訓(xùn)和招聘，以解決已確定的技能差距。例如，招聘實(shí)踐應(yīng)確保招聘人員和面試官了解網(wǎng)絡(luò)安全勞動(dòng)力的需求。此外，人員（和承包商）應(yīng)定期接受安全意識(shí)培訓(xùn)，以減少他們對(duì)社會(huì)工程和其他的威脅。應(yīng)評(píng)估培訓(xùn)和提高認(rèn)識(shí)活動(dòng)的有效性，并應(yīng)根據(jù)需要進(jìn)行改進(jìn)。

實(shí)施勞動(dòng)力控制包括人員審查，例如背景調(diào)查，并對(duì)有權(quán)訪問(wèn)提供基本服務(wù)所需資產(chǎn)的職位進(jìn)行額外審查。例如，系統(tǒng)管理員通常能夠更改關(guān)鍵系統(tǒng)上的配置設(shè)置、修改或刪除日志文件、創(chuàng)建新帳戶以及更改密碼，并采取特定措施來(lái)保護(hù)這些系統(tǒng)免受此類人員的意外或惡意行為。

提高員工的網(wǎng)絡(luò)安全意識(shí)與改善組織網(wǎng)絡(luò)安全的技術(shù)方法一樣重要。網(wǎng)絡(luò)攻擊對(duì)組織的威脅通常在公司的IT或OT系統(tǒng)中進(jìn)行突破，例如，通過(guò)獲得粗心的員工或承包商的信任，然后將設(shè)備或者木馬引入組織的網(wǎng)絡(luò)。組織應(yīng)與其員工提供知識(shí)庫(kù)，比如識(shí)別可疑行為、避免垃圾郵件和魚叉式網(wǎng)絡(luò)釣魚以及識(shí)別社會(huì)工程學(xué)攻擊的方法和技術(shù)的信息，以避免向潛在對(duì)手提供有關(guān)組織的信息。例如，內(nèi)部網(wǎng)站可以提供有關(guān)行業(yè)中新威脅和漏洞的信息。

九、網(wǎng)絡(luò)安全架構(gòu)（ARCHITECTURE）

目的：建立網(wǎng)絡(luò)安全架構(gòu)涉及識(shí)別組織的關(guān)鍵資產(chǎn)并設(shè)計(jì)一組適當(dāng)?shù)目刂拼胧﹣?lái)保護(hù)它們。這些控制的有效性是通過(guò)它們單獨(dú)和集體實(shí)現(xiàn)該功能的網(wǎng)絡(luò)安全目標(biāo)的程度來(lái)衡量的。通過(guò)網(wǎng)絡(luò)安全架構(gòu)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。

網(wǎng)絡(luò)安全架構(gòu)（ARCHITECTURE）領(lǐng)域包括六個(gè)目標(biāo)：

1. 建立和維護(hù)網(wǎng)絡(luò)安全架構(gòu)戰(zhàn)略和計(jì)劃
2. 將網(wǎng)絡(luò)保護(hù)作為網(wǎng)絡(luò)安全架構(gòu)的一個(gè)要素實(shí)施
3. 將 IT 和 OT 資產(chǎn)安全作為網(wǎng)絡(luò)安全架構(gòu)的一個(gè)要素實(shí)施
4. 將應(yīng)用程序安全性作為網(wǎng)絡(luò)安全架構(gòu)的一個(gè)要素實(shí)施
5. 將數(shù)據(jù)安全作為網(wǎng)絡(luò)安全架構(gòu)的一個(gè)要素實(shí)施
6. 管理活動(dòng)

網(wǎng)絡(luò)安全架構(gòu)為如何以超越單個(gè)資產(chǎn)（如身份管理或訪問(wèn)控制）的單點(diǎn)解決方案的方式為企業(yè)提供了一個(gè)總體計(jì)劃。它能夠根據(jù)已知的體系結(jié)構(gòu)策略對(duì)關(guān)鍵應(yīng)用程序和數(shù)據(jù)的安全性進(jìn)行處理，例如，檢測(cè)、抵抗、響應(yīng)攻擊和從攻擊中恢復(fù)。

這些策略包括分區(qū)域、密碼控制、監(jiān)控和冗余。此外，由于網(wǎng)絡(luò)安全架構(gòu)是一種前瞻性的規(guī)劃，因此不僅應(yīng)考慮當(dāng)前的技術(shù)趨勢(shì)，還應(yīng)考慮潛在的未來(lái)發(fā)展，例如量子計(jì)算及其可能對(duì)現(xiàn)有加密系統(tǒng)構(gòu)成的相關(guān)風(fēng)險(xiǎn)。為了使網(wǎng)絡(luò)安全架構(gòu)有效，在考慮對(duì)組織、IT 系統(tǒng)或 OT 系統(tǒng)進(jìn)行更改時(shí)，必須將負(fù)責(zé)它的人員納入規(guī)劃和決策過(guò)程。

十、網(wǎng)絡(luò)安全項(xiàng)目管理（PROGRAM）

目的：建立和維護(hù)企業(yè)網(wǎng)絡(luò)安全計(jì)劃，該計(jì)劃為組織的網(wǎng)絡(luò)安全活動(dòng)提供治理、戰(zhàn)略規(guī)劃和贊助，使網(wǎng)絡(luò)安全目標(biāo)與組織的戰(zhàn)略目標(biāo)和關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)保持一致。網(wǎng)絡(luò)安全計(jì)劃是一組集成的活動(dòng)，旨在實(shí)現(xiàn)組織和職能部門的網(wǎng)絡(luò)安全目標(biāo)。網(wǎng)絡(luò)安全計(jì)劃可以在組織或業(yè)務(wù)級(jí)別上實(shí)施，但更高級(jí)別的實(shí)施和大多數(shù)觀點(diǎn)是可以通過(guò)整合活動(dòng)并利用整個(gè)企業(yè)的資源整合使組織受益。

網(wǎng)絡(luò)安全項(xiàng)目管理（PROGRAM）領(lǐng)域包括三個(gè)目標(biāo)：

1.制定網(wǎng)絡(luò)安全計(jì)劃戰(zhàn)略

2. 贊助網(wǎng)絡(luò)安全計(jì)劃

3. 經(jīng)營(yíng)活動(dòng)

在最簡(jiǎn)單的形式中，計(jì)劃戰(zhàn)略應(yīng)包括網(wǎng)絡(luò)安全目標(biāo)列表和實(shí)現(xiàn)這些目標(biāo)的計(jì)劃。在更高的成熟度下，計(jì)劃戰(zhàn)略將更加完整，包括優(yōu)先事項(xiàng)、治理方法、計(jì)劃的結(jié)構(gòu)和組織，以及高級(jí)管理層更多地參與計(jì)劃的設(shè)計(jì)。制定計(jì)劃需要公司領(lǐng)導(dǎo)及其相關(guān)負(fù)責(zé)人的支持。

C2M2模型內(nèi)容很豐富，牽扯到的面很多，在實(shí)施的過(guò)程中不能一蹴而就，需要根據(jù)公司情況逐步來(lái)開展，也可也作為現(xiàn)有安全建設(shè)的參考和查漏補(bǔ)缺。后續(xù)有對(duì)此模型有興趣的人可以共同討論。