我们每天将为您更新无码免费_婷婷中文字幕视频在线_yy6080无码av午夜福利免费_91精品国产免费久久久久久无码_黄片在线免费播放

一、概述

經(jīng)過多年網(wǎng)絡(luò)安全工作，一直缺乏網(wǎng)絡(luò)安全的整體視角，網(wǎng)絡(luò)安全的全貌到底是什么，一直挺迷惑的。目前網(wǎng)絡(luò)安全的分類和廠家非常多，而且每年還會冒出來不少新的產(chǎn)品。但這些產(chǎn)品感覺還是像盲人摸象，只看到網(wǎng)絡(luò)安全的一個點，而不是一個整體。最近無意看到了網(wǎng)絡(luò)安全能力成熟度模型(C2M2)，有種相見恨晚的感覺。它是一套自成體系的模型，內(nèi)容比較全面，更貼近企業(yè)落地。它的目的是幫助所有一定規(guī)模的組織評估和改進其網(wǎng)絡(luò)安全，并加強其運營彈性。

二、模型介紹

網(wǎng)絡(luò)安全能力成熟度模型(C2M2)由美國能源部(DOE)、電力部門協(xié)調(diào)委員會(ESCC)和石油和天然氣部門協(xié)調(diào)委員會(ONG SCC)資助共同開發(fā)出版發(fā)行。它解決與信息技術(shù)(IT)和運營技術(shù)(OT)資產(chǎn)及其運營環(huán)境相關(guān)的網(wǎng)絡(luò)安全實踐的實施和管理問題?？梢宰鳛槿娴钠髽I(yè)網(wǎng)絡(luò)安全建設(shè)的參考和補充。

C2M2 包括領(lǐng)域、目標(biāo)、實踐和 MIL（成熟度指標(biāo)級別）。以下各節(jié)將討論每個組件。

【資料圖】

域：域是網(wǎng)絡(luò)安全的一類主題。該模型有10個域，每個域都包含一組網(wǎng)絡(luò)安全實踐。每組實踐都表示組織可以執(zhí)行的活動，以域為單位建立成熟度模型。

目標(biāo)：每個域內(nèi)的實踐被組織設(shè)定成目標(biāo)，這些目標(biāo)代表了可以通過在該領(lǐng)域?qū)嵤嵺`來實現(xiàn)的網(wǎng)絡(luò)安全成果。例如，風(fēng)險管理領(lǐng)域包括五個目標(biāo)：

建立和維護網(wǎng)絡(luò)風(fēng)險管理戰(zhàn)略和計劃識別網(wǎng)絡(luò)風(fēng)險分析網(wǎng)絡(luò)風(fēng)險應(yīng)對網(wǎng)絡(luò)風(fēng)險經(jīng)營活動

實踐：實踐是 C2M2 最基本的組成部分。每個實踐都是一個簡短的聲明，描述了組織可能執(zhí)行的網(wǎng)絡(luò)安全活動。這些活動的目的是實現(xiàn)和維持與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險相符合的適當(dāng)網(wǎng)絡(luò)安全水平。每個域中的實踐都按照成熟度等級進行排序和組織的。

該模型由 10 個域組成。每個域由多個目標(biāo)組成，每個目標(biāo)有多個實踐組成。在每個目標(biāo)中，實踐按照成熟度指標(biāo)級別排序。目前最新的是2.1版本，該2.1版本有356個實踐。

1687747352_6498fb187e81cc44b74d5.png!small?1687747356195

成熟度指標(biāo)級別（MIL）：模型定義了四個成熟度級別(maturity indicator level,MIL)，從 MIL0 到 MIL3，獨立應(yīng)用于模型中的各個領(lǐng)域。每個級別表示成熟度能力，MIL 定義了成熟度包括兩方面：方法和管理。

1687747358_6498fb1eb6155512a5997.png!small?1687747362022

以下的四個方面非常重要：

成熟度級別獨立于每個域。因此，使用該模型的組織可能在不同的領(lǐng)域用不同的級別評級運行。MIL在每個域內(nèi)是累積的。要在實施指定的級別，組織必須執(zhí)行該級別及其以下級別的所有實踐。為每個域建立目標(biāo)級別是利用該模型指導(dǎo)網(wǎng)絡(luò)安全方案改進的有效策略。實踐效果和級別目標(biāo)需要與業(yè)務(wù)目標(biāo)和組織網(wǎng)絡(luò)安全戰(zhàn)略計劃相一致。所有公司都應(yīng)該在全領(lǐng)域?qū)崿F(xiàn)1級別。三、資產(chǎn)

就C2M2模型而言，資產(chǎn)包括組織業(yè)務(wù)相關(guān)功能內(nèi)的所有IT、OT和信息資產(chǎn)，包括業(yè)務(wù)和系統(tǒng)以及它們所運行的環(huán)境?？赡苓€包括虛擬化資產(chǎn)、受監(jiān)管資產(chǎn)、云資產(chǎn)和移動資產(chǎn)?？赡馨ㄓ傻谌焦芾淼馁Y產(chǎn)、軟件服務(wù)、平臺服務(wù)和基礎(chǔ)設(shè)施服務(wù)，以及公共、私有或混合云資產(chǎn)。

IT資產(chǎn)：用于收集、處理、維護、使用、共享、分發(fā)或處置信息的獨立信息資源。包括業(yè)務(wù)和系統(tǒng)以及它們所運行的環(huán)境§

OT資產(chǎn)：OT資產(chǎn)是指對于服務(wù)交付或生產(chǎn)活動所必需的資產(chǎn)。大多數(shù)現(xiàn)代控制系統(tǒng)包括傳統(tǒng)上被稱為IT的資產(chǎn)，例如使用標(biāo)準(zhǔn)操作系統(tǒng)、數(shù)據(jù)庫服務(wù)器或域控制器的工作站，也包括工業(yè)控制系統(tǒng)，攝像頭，門禁等。

信息資產(chǎn)：對組織有價值的任何知識描述，如業(yè)務(wù)數(shù)據(jù)，財務(wù)數(shù)據(jù)，合同，客戶資料等。信息資產(chǎn)可以是任何媒體或形式，包括數(shù)字的或非數(shù)字的。

1687747386_6498fb3ab26fd2da336c9.png!small?1687747390030

整個目標(biāo)資產(chǎn)被分成三大類：

對功能的交付很重要的資產(chǎn)：保證業(yè)務(wù)功能正常運行必需的資產(chǎn)，當(dāng)這些資產(chǎn)不可用時，可能導(dǎo)致業(yè)務(wù)無法正常使用或者影響業(yè)務(wù)使用。容易受到威脅的資產(chǎn)：比如暴露在公網(wǎng)的資產(chǎn)，容易橫向移動的資產(chǎn)，有可能提升管理權(quán)限的資產(chǎn)，保存重要信息的資產(chǎn)等。其他所有資產(chǎn)：這些資產(chǎn)可能被認(rèn)為對功能的交付不重要，也不太可能受到威脅的資產(chǎn)（例如，打印機、收音機、閱讀器或電話）。

1687747392_6498fb40c448e12dff21e.png!small?1687747396149

四、如何使用

C2M2是一個組織用于持續(xù)評估其網(wǎng)絡(luò)安全能力的模型，下圖總結(jié)了使用該模型的一種潛在方法。組織對模型進行自我評估，使用該自我評估來識別能力上的差距，對這些差距進行優(yōu)先排序，并制定解決它們的計劃，并最終實施解決差距的計劃。隨著計劃的實施，業(yè)務(wù)目標(biāo)不斷變化，風(fēng)險環(huán)境的演變，過程不斷重復(fù)。

1687747402_6498fb4a406d8efb61765.png!small?1687747405563

下面的部分將描述這種方法中的每個步驟。

步驟1：執(zhí)行自我評估

自我評估提供了對組織內(nèi)網(wǎng)絡(luò)安全活動情況的度量。在開始準(zhǔn)備工作前，組織首先確定模型應(yīng)用程序的范圍。接下來，組織確定對功能交付很重要的IT、OT和信息資產(chǎn)。組織應(yīng)選擇適當(dāng)?shù)娜藛T，根據(jù)模型實踐來評估。應(yīng)確定一個熟悉模型內(nèi)容的咨詢?nèi)藛T，以指導(dǎo)自我評價。選擇參與自我評估的人員應(yīng)包括運營人員、管理人員和利益相關(guān)者，以及任何能夠提供關(guān)于模型中組織網(wǎng)絡(luò)安全實踐有用的信息人員。通過最佳實踐說明，確定了每個領(lǐng)域的實踐水平。評估結(jié)果有四種：未實現(xiàn)、部分實現(xiàn)、大部分實現(xiàn)或完全實現(xiàn)。在完成自我評估后，將生成一個評分報告，提供總結(jié)及描述，以及完成的實現(xiàn)狀態(tài)。必須注意的是，自我評價報告可能包括敏感信息，并應(yīng)得到相應(yīng)的保護。

步驟2：分析已識別的差距

來自自我評估的評分報告將確定模型實踐和實際的差距。組織的第一個分析步驟是確定這些差距對組織是否有意義和重要。一個組織努力在所有領(lǐng)域中實現(xiàn)最高的等級通常不是最佳的。相反，組織應(yīng)該確定每個領(lǐng)域的合理級別水平，以使其最能實現(xiàn)其業(yè)務(wù)目標(biāo)和網(wǎng)絡(luò)安全戰(zhàn)略。對于首次使用該模型的組織，通常在初始自我評估后確定目標(biāo)輪廓。在模型方面有更多經(jīng)驗的組織通常在進行自我評估之前確定目標(biāo)概況。在目標(biāo)概況的選擇中應(yīng)包括利益相關(guān)者的集合。然后，可以根據(jù)自我評估研討會的結(jié)果來檢查目標(biāo)概況，以確定對組織很重要的實踐要求的差距。

步驟3：確定優(yōu)先級和計劃

在差距分析完成后，組織應(yīng)該優(yōu)先考慮充分實施實踐所需的行動，以便在特定領(lǐng)域?qū)崿F(xiàn)所需的能力。優(yōu)先級應(yīng)該使用以下標(biāo)準(zhǔn)，如差距如何影響組織目標(biāo)、該域支持的業(yè)務(wù)目標(biāo)的重要性、實施必要實踐的成本以及實施實踐資源的可用性。對差距和活動進行成本效益分析確定優(yōu)先順序，接下來制定一個計劃來解決選定的差距。規(guī)劃應(yīng)遵循標(biāo)準(zhǔn)的組織規(guī)劃流程，并與組織和網(wǎng)絡(luò)安全計劃的戰(zhàn)略目標(biāo)保持一致。這些計劃可以跨越數(shù)周、月或年，這取決于縮小所選差距和實現(xiàn)所需能力的改進程度。負(fù)責(zé)人應(yīng)有足夠的權(quán)力執(zhí)行計劃。組織領(lǐng)導(dǎo)層定期進行審查，以評估狀況，清除障礙，糾正偏離目標(biāo)的內(nèi)容。

步驟4：實施計劃，并定期重新評估

執(zhí)行在上一步中制定的計劃，以解決已確定的差距。模型自我評價在跟蹤實施情況方面特別有用，應(yīng)定期進行，以確保取得預(yù)期的進展。當(dāng)業(yè)務(wù)、技術(shù)、市場或威脅環(huán)境中有重大變化后還應(yīng)重新評估，以確保當(dāng)前的配置符合組織的期望狀態(tài)。

1687747411_6498fb530875f69dda0d1.png!small?1687747414510

五、十大領(lǐng)域

下面介紹模型的十大領(lǐng)域。

一、資產(chǎn)、變更和配置管理(Asset)

目的：管理組織的IT和OT資產(chǎn)，包括硬件和軟件，以及與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)風(fēng)險相關(guān)的信息資產(chǎn)。一個資產(chǎn)對一個組織來說是非常有價值的東西。就該模型而言，要考慮的資產(chǎn)是IT和OT的硬件和軟件資產(chǎn)，以及操作該功能所必需的信息。

該領(lǐng)域包括五個目標(biāo)：1. 管理 IT 和 OT 資產(chǎn)庫2. 管理信息資產(chǎn)清單3. 管理資產(chǎn)配置4. 管理對資產(chǎn)的更改

5. 經(jīng)營活動

資產(chǎn)清單是管理網(wǎng)絡(luò)風(fēng)險的一個重要內(nèi)容。它記錄了很多重要的信息，比如軟件版本、物理位置、資產(chǎn)所有者和優(yōu)先級等，它是許多其他網(wǎng)絡(luò)安全管理活動的基礎(chǔ)。例如，一個完善的資產(chǎn)庫可以確定需要打補丁的軟件的部署位置。

資產(chǎn)配置包括定義配置基線，并確保根據(jù)基線配置資產(chǎn)。管理基線可以確保用相同的方式配置類似的資產(chǎn)。對資產(chǎn)的變更管理包括分析配置變化，以確保它們不會在操作過程中引入不可接受的風(fēng)險，確保所有更改都遵循變更管理流程，以及識別未經(jīng)授權(quán)的更改。變更控制適用于整個資產(chǎn)生命周期，包括需求定義、測試、部署和維護，以及退出操作。

二、威脅和漏洞管理（THREAT）

目的：通過技術(shù)來檢測、識別、分析、管理和應(yīng)對網(wǎng)絡(luò)安全威脅和漏洞，與組織的基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險相匹配。網(wǎng)絡(luò)安全威脅被定義為通過未經(jīng)授權(quán)的訪問、破壞、披露、修改信息或拒絕服務(wù)而可能對組織運營（包括任務(wù)、功能、圖像或聲譽）、資源、對其他組織或通信基礎(chǔ)設(shè)施等產(chǎn)生不利影響的任何事件。網(wǎng)絡(luò)安全漏洞是指IT、OT、通信系統(tǒng)或設(shè)備、程序或內(nèi)部控制中可能被威脅利用的弱點或缺陷。

該模型包括三個目標(biāo)：1. 減少網(wǎng)絡(luò)安全漏洞2. 響應(yīng)威脅并共享威脅信息3. 經(jīng)營活動

首先要從可靠的來源收集有用的威脅信息，并對具有影響服務(wù)的威脅作出反應(yīng)。威脅概況包括威脅的可能意圖、能力和目標(biāo)的描述。威脅概況可用于指導(dǎo)威脅的識別、風(fēng)險管理領(lǐng)域中描述的風(fēng)險分析過程，以及在態(tài)勢感知領(lǐng)域中描述的運營和網(wǎng)絡(luò)狀態(tài)的構(gòu)建。

減少網(wǎng)絡(luò)安全漏洞，從收集和分析漏洞開始。漏洞發(fā)現(xiàn)可以使用自動掃描工具來執(zhí)行，網(wǎng)絡(luò)滲透測試、網(wǎng)絡(luò)安全演習(xí)和網(wǎng)絡(luò)審計等。脆弱性分析應(yīng)考慮漏洞的影響以及資產(chǎn)對功能交付的重要性。漏洞可以通過監(jiān)控威脅狀態(tài)、應(yīng)用安全補丁、替換過時的設(shè)備或執(zhí)行其他活動來解決。

三、風(fēng)險管理（RISK）

目的：建立、運營和維護企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理計劃，以識別、分析和減輕組織（包括其業(yè)務(wù)部門、子公司、相關(guān)互連基礎(chǔ)設(shè)施和利益相關(guān)者）的網(wǎng)絡(luò)安全風(fēng)險。網(wǎng)絡(luò)風(fēng)險被定義為由于未經(jīng)授權(quán)訪問、使用、披露、中斷、修改或破壞信息、對組織運營（包括使命、職能、形象和聲譽）、資源和其他組織構(gòu)成的風(fēng)險。網(wǎng)絡(luò)風(fēng)險是整體業(yè)務(wù)風(fēng)險環(huán)境的一個組成部分，并納入組織的企業(yè)風(fēng)險管理戰(zhàn)略和計劃。網(wǎng)絡(luò)風(fēng)險無法完全消除，但可以通過明智的決策過程進行管理。

風(fēng)險管理（RISK）領(lǐng)域包括五個目標(biāo)：1. 建立和維護網(wǎng)絡(luò)風(fēng)險管理戰(zhàn)略和計劃2. 識別網(wǎng)絡(luò)風(fēng)險3. 分析網(wǎng)絡(luò)風(fēng)險4. 應(yīng)對網(wǎng)絡(luò)風(fēng)險

5. 經(jīng)營活動

管理網(wǎng)絡(luò)風(fēng)險涉及構(gòu)建、識別和評估、響應(yīng)（接受、避免、緩解、轉(zhuǎn)移）和監(jiān)控風(fēng)險。通過定義風(fēng)險標(biāo)準(zhǔn)，組織可以一致地響應(yīng)和監(jiān)控已識別的風(fēng)險。網(wǎng)絡(luò)風(fēng)險管理策略是一種高級策略，為分析和確定網(wǎng)絡(luò)風(fēng)險的優(yōu)先級提供方向，并定義風(fēng)險容忍度。網(wǎng)絡(luò)風(fēng)險管理策略包括風(fēng)險評估方法、風(fēng)險監(jiān)控策略和網(wǎng)絡(luò)安全治理計劃。包括定義企業(yè)風(fēng)險標(biāo)準(zhǔn)（例如，影響閾值和風(fēng)險響應(yīng)方法），這些標(biāo)準(zhǔn)指導(dǎo)本模型后面的網(wǎng)絡(luò)安全項目管理域中討論的網(wǎng)絡(luò)安全計劃。網(wǎng)絡(luò)風(fēng)險管理策略應(yīng)與企業(yè)風(fēng)險管理策略保持一致，以確保以符合組織使命和業(yè)務(wù)目標(biāo)的管理網(wǎng)絡(luò)風(fēng)險。

四、身份和訪問管理 （ACCESS）

用途：對組織資產(chǎn)的邏輯或物理訪問權(quán)限的實體創(chuàng)建和管理標(biāo)識?？刂茖M織資產(chǎn)的訪問，與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險相稱。訪問控制適用于對資產(chǎn)的邏輯訪問、對與功能相關(guān)的網(wǎng)絡(luò)資產(chǎn)的物理訪問以及與功能相關(guān)的訪問控制系統(tǒng)（邏輯或物理）。不當(dāng)?shù)脑L問管理實踐可能導(dǎo)致未經(jīng)授權(quán)的使用、披露、破壞或修改，以及不必要的網(wǎng)絡(luò)安全風(fēng)險暴露。

身份和訪問管理 （ACCESS） 領(lǐng)域包括四個目標(biāo)：1. 建立和維護身份2. 控制邏輯訪問3. 控制物理訪問

4. 經(jīng)營活動

建立和維護標(biāo)識首先向?qū)嶓w預(yù)配和取消預(yù)配標(biāo)識（在不再需要可用標(biāo)識時刪除可用標(biāo)識）。實體可能包括個人（組織內(nèi)部或外部）以及需要訪問資產(chǎn)的設(shè)備、系統(tǒng)或流程。在某些情況下，組織可能需要使用共享標(biāo)識。共享身份的管理可能需要采取額外補償方案，以確保適當(dāng)?shù)陌踩墑e。身份維護包括可跟蹤性（確保所有已知身份都有效）以及取消預(yù)配。

控制邏輯和物理訪問包括確定訪問要求、根據(jù)這些要求授予對資產(chǎn)的訪問權(quán)限，以及在不再需要時撤銷訪問權(quán)限。邏輯和物理訪問要求與給定區(qū)域內(nèi)的一個或多個資產(chǎn)相關(guān)聯(lián)，并為允許訪問資產(chǎn)的實體或個人類型、允許訪問的限制以及邏輯訪問的身份驗證參數(shù)提供指導(dǎo)。例如，特定資產(chǎn)的邏輯訪問要求可能僅允許供應(yīng)商在指定和計劃的維護間隔期間進行遠程訪問，并且可能還需要多重身份驗證才能進行此類訪問?；谖锢碓L問要求的訪問限制通過可見方式（例如標(biāo)牌）進行認(rèn)證。在較高的成熟度指標(biāo)水平上，對所授予的訪問權(quán)進行審查。只有在考慮功能風(fēng)險后，才會授予邏輯和物理訪問，并定期審查訪問。

五、態(tài)勢感知（SITUATION）

目的：建立和維護技術(shù)手段，以收集、分析、報警、呈現(xiàn)和使用網(wǎng)絡(luò)安全信息，包括來自其他 C2M2 域的狀態(tài)和摘要信息，以形成通用運營圖景。態(tài)勢感知涉及開發(fā)對動態(tài)操作環(huán)境的知識。在某種程度上，這是通過記錄和監(jiān)控對功能交付至關(guān)重要的IT、OT和通信基礎(chǔ)設(shè)施資產(chǎn)來實現(xiàn)的。一旦組織建設(shè)了態(tài)勢感知，它就可以使預(yù)定義的操作狀態(tài)與操作環(huán)境中的變化保持一致。從一個預(yù)定義狀態(tài)切換到另一個預(yù)定義狀態(tài)的能力可以更快、更有效地響應(yīng)網(wǎng)絡(luò)安全事件或威脅環(huán)境的變化。

態(tài)勢感知（SITUATION）領(lǐng)域包括四個目標(biāo)：1. 執(zhí)行日志記錄2. 執(zhí)行監(jiān)控3. 建立并保持態(tài)勢感知

4. 經(jīng)營活動

應(yīng)根據(jù)資產(chǎn)對業(yè)務(wù)的潛在影響啟用日志記錄。例如，受損資產(chǎn)的潛在影響越大，組織收集的有關(guān)該資產(chǎn)的數(shù)據(jù)就越多。監(jiān)控和分析日志中收集的數(shù)據(jù)以及通過其他方式收集的數(shù)據(jù)，使組織能夠了解職能的運營和網(wǎng)絡(luò)安全狀態(tài)。有效地向相關(guān)決策者傳達運營和網(wǎng)絡(luò)安全狀態(tài)是態(tài)勢感知（有時稱為通用運營圖）的目標(biāo)。

六、事件和事件響應(yīng)，運營連續(xù)性(RESPONSE)

目的：系統(tǒng)或網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全事件是與網(wǎng)絡(luò)安全要求（資產(chǎn)的機密性、完整性或可用性）相關(guān)的任何可觀察事件。網(wǎng)絡(luò)安全事件是重大影響或可能顯著影響關(guān)鍵基礎(chǔ)設(shè)施或組織資產(chǎn)和服務(wù)的事件或一系列事件，并要求組織（可能還有其他利益相關(guān)者）以某種方式做出響應(yīng)以防止或限制不利影響。

“事件和事件響應(yīng)，運營連續(xù)性”領(lǐng)域包括五個目標(biāo)：1. 檢測網(wǎng)絡(luò)安全事件2. 分析網(wǎng)絡(luò)安全事件并聲明事件3. 應(yīng)對網(wǎng)絡(luò)安全事件4. 解決運營連續(xù)性中的網(wǎng)絡(luò)安全問題

5. 經(jīng)營活動

檢測網(wǎng)絡(luò)安全事件包括指定一個平臺來報告事件和建立事件優(yōu)先級標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)應(yīng)與風(fēng)險管理領(lǐng)域指定的網(wǎng)絡(luò)風(fēng)險管理策略保持一致，確保對事件的一致理解，并提供一種方法來確定網(wǎng)絡(luò)安全事件的構(gòu)成，何時升級網(wǎng)絡(luò)安全事件，以及發(fā)布網(wǎng)絡(luò)安全事件的條件。

網(wǎng)絡(luò)安全事件都應(yīng)根據(jù)響應(yīng)計劃進行管理。網(wǎng)絡(luò)安全事件和已宣布的事件可能會觸發(fā)外部操作，包括向監(jiān)管機構(gòu)報告或通知客戶。將多個網(wǎng)絡(luò)安全事件以及其他記錄關(guān)聯(lián)起來可能會發(fā)現(xiàn)環(huán)境中的系統(tǒng)性問題。

響應(yīng)網(wǎng)絡(luò)安全事件要求組織有一個流程來限制網(wǎng)絡(luò)安全事件對其職能和組織單位的影響。該過程應(yīng)描述組織如何管理事件生命周期的所有階段，例如會審、處理、通信、協(xié)調(diào)和關(guān)閉。

連續(xù)性規(guī)劃涉及在發(fā)生中斷（例如嚴(yán)重的網(wǎng)絡(luò)安全事件或災(zāi)難）時維持功能的必要活動。確保連續(xù)性計劃解決潛在的網(wǎng)絡(luò)安全事件需要考慮已知的網(wǎng)絡(luò)威脅和已確定的網(wǎng)絡(luò)風(fēng)險類別。

七、第三方風(fēng)險管理 (THIRD-PARTIES)

目的：建立和維護控制措施，以管理與依賴于外部實體的服務(wù)和資產(chǎn)相關(guān)的網(wǎng)絡(luò)安全風(fēng)險，與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險相匹配。隨著基礎(chǔ)設(shè)施、運營合作伙伴、供應(yīng)商、服務(wù)提供商和客戶之間的相互依賴性增加，建立并保持對關(guān)鍵關(guān)系的全面了解并管理其相關(guān)的網(wǎng)絡(luò)安全風(fēng)險對于安全、可靠和彈性地交付至關(guān)重要。

此模型將外部依賴關(guān)系分類為供應(yīng)商或客戶。供應(yīng)商依賴關(guān)系是功能交付所依賴的外部各方，包括運營合作伙伴。客戶依賴關(guān)系是依賴于功能交付的外部各方，包括運營合作伙伴。

供應(yīng)鏈風(fēng)險是非常容易忽視的。如果沒有適當(dāng)?shù)娘L(fēng)險管理，它們將構(gòu)成嚴(yán)重威脅，包括來源不明的軟件和假冒（可能是惡意）硬件。組織的選型大多只關(guān)注功能要求，可能缺乏對安全和質(zhì)量保證的要求。

第三方風(fēng)險管理（第三方）領(lǐng)域包括三個目標(biāo)：1. 識別第三方并確定其優(yōu)先級2. 管理第三方風(fēng)險

3. 經(jīng)營活動

識別依賴關(guān)系涉及建立和維護對交付所需的關(guān)鍵外部依賴，管理依賴關(guān)系風(fēng)險包括獨立測試、代碼審查、漏洞掃描以及審查供應(yīng)商提供的可證明證據(jù)（表明已遵循安全的軟件開發(fā)過程）等。對組織的產(chǎn)品或服務(wù)的合作伙伴或供應(yīng)商的安全要求寫入合同，以緩解網(wǎng)絡(luò)安全風(fēng)險。

八、勞動力管理（WORKFORCE ）

目的：創(chuàng)建網(wǎng)絡(luò)安全文化，并確保人員的持續(xù)適用性和能力，與關(guān)鍵基礎(chǔ)設(shè)施和組織目標(biāo)的風(fēng)險相匹配。隨著組織越來越多地采用先進的數(shù)字技術(shù)，提高現(xiàn)有員工的技能并雇用具有適當(dāng)網(wǎng)絡(luò)安全經(jīng)驗的人員是一項挑戰(zhàn)。組織對數(shù)字通信和先進技術(shù)的依賴持續(xù)增長，勞動力問題是成功解決這些系統(tǒng)的網(wǎng)絡(luò)安全和風(fēng)險管理的關(guān)鍵方面。

勞動力管理（WORKFORCE ）領(lǐng)域包括五個目標(biāo)：1. 分配網(wǎng)絡(luò)安全責(zé)任2. 培養(yǎng)網(wǎng)絡(luò)安全勞動力3. 實施勞動力控制4. 提高網(wǎng)絡(luò)安全意識

5. 經(jīng)營活動

為關(guān)鍵網(wǎng)絡(luò)安全角色（如系統(tǒng)管理員）制定計劃至關(guān)重要，以提供適當(dāng)?shù)呐嘤?xùn)、測試、冗余和績效評估。網(wǎng)絡(luò)安全責(zé)任不僅限于傳統(tǒng)的IT角色也包括別的角色;例如，一些運營工程師可能負(fù)有網(wǎng)絡(luò)安全責(zé)任。

發(fā)展網(wǎng)絡(luò)安全勞動力包括培訓(xùn)和招聘，以解決已確定的技能差距。例如，招聘實踐應(yīng)確保招聘人員和面試官了解網(wǎng)絡(luò)安全勞動力的需求。此外，人員（和承包商）應(yīng)定期接受安全意識培訓(xùn)，以減少他們對社會工程和其他的威脅。應(yīng)評估培訓(xùn)和提高認(rèn)識活動的有效性，并應(yīng)根據(jù)需要進行改進。

實施勞動力控制包括人員審查，例如背景調(diào)查，并對有權(quán)訪問提供基本服務(wù)所需資產(chǎn)的職位進行額外審查。例如，系統(tǒng)管理員通常能夠更改關(guān)鍵系統(tǒng)上的配置設(shè)置、修改或刪除日志文件、創(chuàng)建新帳戶以及更改密碼，并采取特定措施來保護這些系統(tǒng)免受此類人員的意外或惡意行為。

提高員工的網(wǎng)絡(luò)安全意識與改善組織網(wǎng)絡(luò)安全的技術(shù)方法一樣重要。網(wǎng)絡(luò)攻擊對組織的威脅通常在公司的IT或OT系統(tǒng)中進行突破，例如，通過獲得粗心的員工或承包商的信任，然后將設(shè)備或者木馬引入組織的網(wǎng)絡(luò)。組織應(yīng)與其員工提供知識庫，比如識別可疑行為、避免垃圾郵件和魚叉式網(wǎng)絡(luò)釣魚以及識別社會工程學(xué)攻擊的方法和技術(shù)的信息，以避免向潛在對手提供有關(guān)組織的信息。例如，內(nèi)部網(wǎng)站可以提供有關(guān)行業(yè)中新威脅和漏洞的信息。

九、網(wǎng)絡(luò)安全架構(gòu)（ARCHITECTURE）

目的：建立網(wǎng)絡(luò)安全架構(gòu)涉及識別組織的關(guān)鍵資產(chǎn)并設(shè)計一組適當(dāng)?shù)目刂拼胧﹣肀Ｗo它們。這些控制的有效性是通過它們單獨和集體實現(xiàn)該功能的網(wǎng)絡(luò)安全目標(biāo)的程度來衡量的。通過網(wǎng)絡(luò)安全架構(gòu)來實現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。

網(wǎng)絡(luò)安全架構(gòu)（ARCHITECTURE）領(lǐng)域包括六個目標(biāo)：1. 建立和維護網(wǎng)絡(luò)安全架構(gòu)戰(zhàn)略和計劃2. 將網(wǎng)絡(luò)保護作為網(wǎng)絡(luò)安全架構(gòu)的一個要素實施3. 將 IT 和 OT 資產(chǎn)安全作為網(wǎng)絡(luò)安全架構(gòu)的一個要素實施4. 將應(yīng)用程序安全性作為網(wǎng)絡(luò)安全架構(gòu)的一個要素實施5. 將數(shù)據(jù)安全作為網(wǎng)絡(luò)安全架構(gòu)的一個要素實施

6. 管理活動

網(wǎng)絡(luò)安全架構(gòu)為如何以超越單個資產(chǎn)（如身份管理或訪問控制）的單點解決方案的方式為企業(yè)提供了一個總體計劃。它能夠根據(jù)已知的體系結(jié)構(gòu)策略對關(guān)鍵應(yīng)用程序和數(shù)據(jù)的安全性進行處理，例如，檢測、抵抗、響應(yīng)攻擊和從攻擊中恢復(fù)。

這些策略包括分區(qū)域、密碼控制、監(jiān)控和冗余。此外，由于網(wǎng)絡(luò)安全架構(gòu)是一種前瞻性的規(guī)劃，因此不僅應(yīng)考慮當(dāng)前的技術(shù)趨勢，還應(yīng)考慮潛在的未來發(fā)展，例如量子計算及其可能對現(xiàn)有加密系統(tǒng)構(gòu)成的相關(guān)風(fēng)險。為了使網(wǎng)絡(luò)安全架構(gòu)有效，在考慮對組織、IT 系統(tǒng)或 OT 系統(tǒng)進行更改時，必須將負(fù)責(zé)它的人員納入規(guī)劃和決策過程。

十、網(wǎng)絡(luò)安全項目管理（PROGRAM）

目的：建立和維護企業(yè)網(wǎng)絡(luò)安全計劃，該計劃為組織的網(wǎng)絡(luò)安全活動提供治理、戰(zhàn)略規(guī)劃和贊助，使網(wǎng)絡(luò)安全目標(biāo)與組織的戰(zhàn)略目標(biāo)和關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險保持一致。網(wǎng)絡(luò)安全計劃是一組集成的活動，旨在實現(xiàn)組織和職能部門的網(wǎng)絡(luò)安全目標(biāo)。網(wǎng)絡(luò)安全計劃可以在組織或業(yè)務(wù)級別上實施，但更高級別的實施和大多數(shù)觀點是可以通過整合活動并利用整個企業(yè)的資源整合使組織受益。

網(wǎng)絡(luò)安全項目管理（PROGRAM）領(lǐng)域包括三個目標(biāo)：

1.制定網(wǎng)絡(luò)安全計劃戰(zhàn)略

2. 贊助網(wǎng)絡(luò)安全計劃

3. 經(jīng)營活動

在最簡單的形式中，計劃戰(zhàn)略應(yīng)包括網(wǎng)絡(luò)安全目標(biāo)列表和實現(xiàn)這些目標(biāo)的計劃。在更高的成熟度下，計劃戰(zhàn)略將更加完整，包括優(yōu)先事項、治理方法、計劃的結(jié)構(gòu)和組織，以及高級管理層更多地參與計劃的設(shè)計。制定計劃需要公司領(lǐng)導(dǎo)及其相關(guān)負(fù)責(zé)人的支持。

C2M2模型內(nèi)容很豐富，牽扯到的面很多，在實施的過程中不能一蹴而就，需要根據(jù)公司情況逐步來開展，也可也作為現(xiàn)有安全建設(shè)的參考和查漏補缺。后續(xù)有對此模型有興趣的人可以共同討論。

本文作者：，轉(zhuǎn)載請注明來自