m o h t i g b u c . 5 宇宸的研究室 网络安全能力成熟度模型（第二版） 网络安全能力成熟度模型（第二版） 感谢 该网络安全能力成熟度模型(C2M2)由美国能源部(DOE)、电力分部门协调委员会(ESCC)和 石油和天然气分部门协调委员会(ONG SCC)资助的公共和私营部门组织共同开发。能源部感谢 为编制本文件提供必要批评、评估和建议的组织和个人。 本出版物的预期范围和用途 m o c . 5 本出版物提供的指南旨在仅仅解决与信息技术(IT)和运营技术(OT)资产及其运营环境相关 的网络安全实践的实施和管理问题。本指南无意取代或纳入组织已经实施或打算实施的其他网 络安全相关活动、计划、流程或方法，包括与法律、法规、政策、规划计划或任务和业务需求 相关的任何网络安全活动。此外，本指南不属于任何监管框架的一部分，也不计划用于监管。 b u 相反，本出版物中的指南旨在补充全面的企业网络安全计划。预期实施本模型以达到满足合规 性需求的实体，请注意，合规性需求不会被本模型以任何方式改变。有关法规合规性的任何问 h t i g 题，请咨询您的合规主管部门。 简介 对各类组织的频繁网络入侵表明，需要改进网络安全。网络威胁持续增长，它们是现代组 织面临的最严重的运营风险之一。国家安全和经济活力取决于关键基础设施的稳定运性和组织 在面对这种威胁时能够持续运作。网络安全能力成熟度模型可以帮助所有行业、类型和规模的 组织评估和改进其网络安全计划，并增强其运营弹性。 C2M2 侧重于与信息、信息技术(IT)和运营技术(OT)资产及其运营环境相关的网络安全实 践实施与管理。该模型可用于： ⚫ 加强组织的网络安全能力 ⚫ 使组织能够有效且标准化地评估和检验网络安全能力 ⚫ 在组织间共享知识、最佳实践和相关参考资料，以提高网络安全能力 ⚫ 使组织能够优先考虑行动和投资，以提高网络安全能力 C2M2 设计适用于一种自评估方法和工具(可根据要求获得)一起使用，以便组织衡量和改 1 宇宸的研究室 网络安全能力成熟度模型（第二版） 进其网络安全计划。使用该工具可以在一天内完成自评估，该工具也可以适用于更严格的评估 工作。此外，C2M2 还可用于指导新的网络安全计划的开发。 （在线评估工具：C2M2 (doe.gov)） C2M2 提供了描述性的而非说明性的指导。模型内容以较高的抽象级别表示，因此可以由 不同类型、结构、规模和行业的组织来解释。一个行业广泛使用该模型可以支持对该行业的网 络安全能力进行基准测试。这些特性也使 C2M2 成为实现 NIST 网络安全框架(NIST CSF)的一 个易扩展的工具。 b u m o c . 5 h t i g 2 宇宸的研究室 网络安全能力成熟度模型（第二版） 1. 成熟度模型（Maturity Model） 成熟度模型是一组特征、属性、指示器或模式，它们表示特定规程中的能力和进展。模型 内容举例说明典型最佳实践，并可能包含规程的标准或其他实践代码。 成熟度模型提供了一个基准，组织可以据此评估其当前实践、过程和方法的能力水平，并 为改进设定目标和优先级。此外，当一个模型在特定行业中广泛使用，并且评估结果被匿名和 共享时，组织可以将其绩效与其他组织进行基准测试。一个行业可以通过检查其成员组织的能 力来确定其整体表现如何。 m o c . 5 1.1 模型结构 该模型由 10 个域组成。每个领域都是网络安全实践的逻辑分组。一个领域内的实践根据 支持该领域的目标成就进行分组。在每个目标中，实践按照成熟度指标级别(maturity indicator b u levels,MILs)排序。 C2M2 包括 342 项网络安全实践，这些实践被分为 10 个领域。这些实践代表了组织可以执 h t i g 行的活动，以建立和完善该领域的能力。例如，资产、变更和配置管理域是组织可以执行的一 组实践，以建立和完善的资产管理、变更管理和配置管理能力。 每个领域中的实践被组合成目标，这些目标代表支持该领域的成就。例如，资产、变更和 配置管理领域包含五个目标： 1. 管理 IT 和 OT 资产清单 2. 管理信息资产清单 3. 管理资产配置 4. 管理资产变更 5. 管理活动 一个领域中的每个目标都包含一组实践，这些实践是由 MIL 排序的。 3 宇宸的研究室 网络安全能力成熟度模型（第二版） 图：模型与域元素 m o c . 5 b u 对于每个域，模型提供一个目的陈述，这是对域意图的总结，接着是介绍性说明，为域提 供上下文并介绍实践。目的陈述和介绍性说明为解释域中的实践提供了上下文联系。 h t i g 10 个域的目的陈述按照域在模型中出现的顺序排列。每个域都提供了一个简称，在整个模 型中使用。 资产、变更和配置管理(Asset) 管理组织的 IT 和 OT 资产，包括软硬件以及与关键基础设施和组织目标的风险相应的信 息资产。 威胁和漏洞管理(Threat) 建立和维护计划、程序和技术，以检测、识别、分析、管理和响应网络安全威胁及漏洞， 并与组织的基础设施(如关键、IT 和运营)和组织目标的风险相适应。 风险管理(Risk) 建立、操作和维护企业网络风险管理计划，以识别、分析和应对组织所面临的网络风险， 包括其业务部门、子公司、相关的互连基础设施和利益相关者。 身份访问管理（Access） 为可能被授权逻辑或物理访问组织资产的实体创建和管理身份。控制对组织资产的访问， 与关键基础设施和企业目标一致，管理资产访问风险。 4 宇宸的研究室 网络安全能力成熟度模型（第二版） 态势感知（Situation） 建立并维护各类活动和技术，以收集、分析、预警、报告以及利用运营、安全和威胁信息， 包括来自其他域模型的状态和汇总信息，构建组织运营状态和网络安全状态的态势感知。 事件响应与持续运营（Response） 建立并维护计划、流程和技术，以检测、分析、缓解、响应和从网络安全事件中恢复，与 关键基础设施和企业目标一致，在网络安全事件发生时保证连续性。 第三方风险管理（Third-Parties） 建立并维护控制，以管理来自供应商和其他第三方的网络风险，与关键基础设施和企业目 标一致。 m o c . 5 员工管理（Workforce） 建立并维护计划、流程、技术和控制，以创造网络安全文化，并确保人员的稳定性和工作 能力，与关键基础设施和企业目标一致。 网络安全架构（Architecture） b u 建立并维护组织网络安全架构的结构和行为，包括控制、流程、技术和其他元素，与关键 基础设施和企业目标一致。 h t i g 网络安全计划管理（Program） 建立并维护企业网络安全计划，该计划为组织的网络安全活动提供治理、战略规划和支持， 使网络安全目标与关键基础设施和企业目标一致。 1.2 成熟度级别 模型定义了四个成熟度指标级别(maturity indicator level,MIL)，从 MIL0 到 MIL3，独立应 用于模型中的各个领域。MIL 定义了成熟度的双重进程：方法演进和管理演进。对于理解和应 用模型，以下 MIL 的四个方面非常重要。 ⚫ 成熟度指示级别独立应用于每个域。因此，使用该模型的组织可能在不同的领域以不 同的 MIL 评级运行。例如，一个组织可能在一个域中运行 MIL1，在另一个域中运行 MIL2。 ⚫ MIL 在每个域内是累积的。要在给定域内获得 MIL，组织必须执行该级别及其以下级 别的所有实践。例如，组织必须在 MIL1 和 MIL2 中执行所有领域实践，才能在领域中 5 宇宸的研究室 网络安全能力成熟度模型（第二版） 实现 MIL2。类似地，组织必须执行 MIL1、MIL2 和 MIL3 中的所有实践以实现 MIL3。 ⚫ 为每个域建立目标 MIL 是利用该模型指导网络安全方案改进的有效策略。在确定目标 MIL 之前，组织应熟悉模型中的实践。然后，可以将差距分析活动和改进工作集中在 实现目标级别上。 ⚫ 实践效果和 MIL 成就需要与业务目标和组织网络安全战略计划相一致。努力在所有领 域实现最高级别 MIL 可能不是最佳选择。公司应评估实现特定 MIL 的成本和潜在收 益。该模型的设计使所有公司，不论规模，都应该能够跨全领域实现 MIL1。 MIL 特点汇总 级别 特点 MIL0 未执行实践 MIL1 初步开始实践，但可能是临时性的 MIL2 管理特点 ⚫ 记录实践 ⚫ 有足够资源支持这个过程 方法特点 ⚫ MIL3 m o c . 5 b u 实践变得完善或高于 MIL1 标准 管理特点 h t i g ⚫ 由政策（或其他组织化指导）指引活动 ⚫ 实践执行人员具备相应的技能和知识 ⚫ 定义了执行相关的义务、职责和权力 ⚫ 评估并跟踪活动的有效性 方法特点 ⚫ 实践变得完善或高于 MIL2 标准 1.3 方法的演进 特定领域的目标和实践描述了模型中每个领域网络安全方法的演进。方法指的是领域中活 动开发的完整性、完备性或级别。当组织从一个 MIL 发展到下一个 MIL 时，它将完成该领域 中更完整或更高级的核心活动。在 MIL1 中，虽然只期望一个领域的初始实践集，但不排除组 织在更高的 MIL 中执行额外实践。 要实现 MIL1，这些初始活动可以以一种特别的方式执行，但是必须执行。如果一个组织 一开始没有管理网络安全的能力，那么它应该首先关注于实现 MIL1 实践。 模型的关联中,临时性(即没有形成或用于特殊目的政策或计划)是指执行实践的方式,在很 大程度上取决于个人或团队的行动和经验,没有太多有组织性的指导,如规划的计划、政策或培 6 宇宸的研究室 网络安全能力成熟度模型（第二版） 训。结果质量可能会明显不同，这取决于执行实践的人、执行时间、处理问题的环境、使用的 方法、工具和技术，以及给定实践的特定实例优先级。有了经验丰富且有能力的人员，即使做 法是临时性的，也可以取得高质量的成果。在这个 MIL 中，所吸取的经验教训通常不会适用 于组织级别，因此方法和结果很难在整个组织中复用或改进。值得注意的是，虽然记录在案的 政策或流程对临时性实践的执行并非必不可少，但许多实践的有效执行将产生记录资料，如记 录的资产清单或记录的网络安全计划策略。 下表提供了方法演进的一个例子，目标 1，资产、变更和配置管理域。在 MIL1 级别，IT 和 OT 资产清单以任意形式存在，并且只针对关键功能交付的资产。MIL2 向清单中添加了更 多需求，包括对功能和资产属性交付非常重要的附加资产。最后，除