最近几十年，信息通讯技能（ICT）的效果和位置益发重要。从经济视点来看，互联网和信息通讯技能对经济的促进已得到广泛认可。但是，这些技能一起也使得网络空间的非法活动激增。由此，兰德公司于2018年8月发布陈述《开展网络安全才能-依据概念验证的施行攻略》（Developing Cybersecurity Capacity- A proof-of concept implementation guide），旨在促进国家级网络安全才能建造方案以及全体方针和出资战略的拟定，以应对网络范畴的应战。

　　本文《开展网络安全才能(一)国家网络安全才能成熟度模型》主要从全体上介绍了这一模型的五个重要维度，以及每个维度下的多个要素。一起说明晰这一模型和攻略陈述的运用办法。

　　最近几十年，信息通讯技能（ICT）的效果和位置益发重要。从经济视点来看，互联网和信息通讯技能对经济的促进已得到广泛认可。但是，这些技能一起也使得网络空间的非法活动激增。由此，兰德公司于2018年8月发布陈述《开展网络安全才能》（Developing Cybersecurity Capacity），旨在促进国家级网络安全才能建造方案以及全体方针和出资战略的拟定，以应对网络范畴的应战。陈述中，对国家网络成熟度进行了具体的检查和评价，并将其定论更好地转化为实在的方针主张和出资战略，使方针拟定更好地增强该国的网络安全才能。

　　国家网络安全才能成熟度模型（CMM）由牛津大学（University of Oxford）的全球网络空间安全才能中心（GCSCC）创立，并由英国外交部（UK FCO）的网络安全才能建造方案进行赞助。因为美洲国家安排（OAS）、世界银行（WB）、世界电信联盟（ITU）和英联邦电信联盟（CTO）等世界安排在许多国家和地区都布置了这一东西，因此在实践者中备受重视。

　　全球网络空间安全才能中心才能成熟度模型（GCSCC CMM）的首个版别出书于2014年，2017年更新为最新版别。依据全球网络空间安全才能中心才能成熟度模型（GCSCC CMM）所述，一个国家的网络生态体系被认为由五个维度构成：

　　全球网络空间安全才能中心才能成熟度模型（GCSCC CMM）的每一个维度、要素和方面都进一步沿着成熟度的5个阶段进行构建。它们被用来协助各国确认自己现在的才能水平。全球网络空间安全才能中心才能成熟度模型（GCSCC CMM）的成熟度等级，从低到高，列示如下：发动级；构成级；树立级；战略级；以及动态级。图I.1供给了全球网络空间安全才能中心才能成熟度模型（GCSCC CMM）结构的可视化概述。

　　全球多个国家都在运用全球网络空间安全才能中心才能成熟度模型（GCSCC CMM）来支撑国家网络安全才能的专家评价。该模型也成功描绘出国家网络生态体系中利害攸关的问题，并为未来的开展和出资供给主张。但是，规划该东西并不是为了让方针拟定者和施行者运用该东西作为参阅攻略，而是为了在对国家网络安全才能进行评价后，将主张付诸施行。

　　全球网络空间安全才能中心才能成熟度模型（GCSCC CMM）的维度着眼于国家拟定、施行和检查国家级网络安全战略的才能，以及支撑该战略的要害战略、理论学说和操作文件和活动。这一维度包含以下六大要素：

　　这一要素侧重于国家拟定、检查和更新国家网络安全战略的才能，有助于确认网络安全举动的优先次第，确认职责，并分配相关资源。

　　这一要素重视的是安全应急呼应才能，特别是在国家层面上应对网络安全事情的才能。

　　这一要素着重维护那些对坚持包含健康、安全、安全保证、经济和社会福利在内的重要的社会功用必不可少的财物和体系的才能。

　　这一要素着重着重开展国家树立、检查和更新国家危机办理应用程序、功用协议和规范的才能。

　　这一要素侧重于国家规划和施行网络防护战略的才能，一起坚持对政府、世界商业集体和社会敞开网络空间的优点和灵活性。

　　这一要素重视的是各国政府辨认、具体规划和运用国家利益攸关方之间的数字冗余和冗余通讯的才能。

　　模型查询了网络安全的宽广的文明与社会维度，及其在进步网络空间安全性与康复力方面所发挥的效果。个别、大众、民间和社会层次的参与者之间所存在的国家网络安全文明是以对有助于网络生态体系的成熟度和康复力的价值观、情绪和实践的一起的了解与承受为条件的。本维度包含5个要素：

　　这个要素集中于国家网络安全参与者的价值观、情绪和实践，包含存在于网络生态体系中的政府、私营部门、个人用户及其他参与者。

　　这个要素聚集于一般民众以安全的和私密的办法运用因特网时所具有的信任和信任，包含运用政府的电子服务途径和电子商务途径。

　　这个要素聚集于一般民众以及公共部门和私营部门中的用户和参与者是否可以认识到和了解线上个人信息维护的重要性和含义。

　　这个要素聚集于用户陈述网络违法的陈述机制和途径的存在和运用，包含线上诈骗、网络暴力、优待孩子、身份偷盗、保密和安全损坏以及其他事情。

　　这个要素聚集于媒体和交际媒体的效果，着眼于它们在传达网络安全信息方面的效果以及网络安全作为一个主题在这些媒体和途径上评论和争辩的程度。

　　模型的第3维评价了高质量网络安全教育、训练和认识提高活动在全国的可施行性以及对这些活动进行开发和供给的才能。这包含为不同的政府利益相关者集体、私营部门和一般人群供给的教育和训练活动。包含三个要素：

　　这个要素评价的是以公共部门、私营部门、学术界和民间集体中的利益相关者以及大众为方针的网络安全认识方案和主张的可获得性、供给和承受状况。

　　这个要素重视的是网络安全专业训练对网络安全专业人员部队而言的可获得性和供给状况，包含经过安排内部的水平缓笔直网络安全常识搬运以及经过继续技能开发来供给的网络安全专业训练。

　　模型第4维评价了政府直接或间接地规划并公布网络安全相关国家法令的才能，包含针对与网络违法、隐私和数据维护有关的问题所公布的法令。GCSCC的这个维度由三个要素组成：

　　这个要素聚集于与网络安全有关的法令法规结构，包含：ICT安全性法令结构、隐私权、、网络人权、数据维护、儿童维护、顾客维护、常识产权以及实体和程序性网络违法立法。

　　这个要素聚集于国家冲击网络违法的才能，包含法律组织查询网络违法的才能、检察机关申述网络违法及运用电子依据的才能以及法院审理网络违法案子和电子依据案子的才能。

　　这个要素聚集于国家保证当地行为者之间以及与国外相关同行之间经过正式/非正式协作来震撼、冲击网络违法的才能。

　　模型第五维度考虑正式规范、世界原则和信息操控的运用，以协助开发安全、揭露和有弹性的网络生态体系。现在就技能信息操控、互联网协议、暗码规范、网络安全许诺、检查和认证程序等主题不断打开研讨，取得了很多的效果。因为技能开展的快速脚步，为了构建在这些范畴的才能，主张参阅最新版别的官方供货商文件和最先进的规范。GCSCC CMM的这个维度包含七个要素：

　　该要素侧重于采用和恪守世界规范和网络安全、危险办理、收购和软件开发方面的优异实践。

　　该要素侧重于国家互联网服务和基础设施的可用性和灵活性，以及支撑其维护的安全程序。

　　该要素侧重于对编码的运用把关，以削减公共和私营部门中普遍存在的易受攻击的软件代码，以及对有助于恰当的软件改善更新和维护的方针机制予以维护。

　　该要素侧重于经过采用世界规范和优异实践以完成网络空间安全的技能安全操控。

　　该要素侧重于在国家层面临静态数据和动态数据运用加密和安全通讯办法，并在国家实践中恪守世界规范。

　　该要素考虑了网络安全商场，着眼于竞争性网络安全技能的可操作性和开展，以及网络安全稳妥的可用性和承受度。

　　本文件可作为网络安全才能建造的概念验证东西箱运用。本文件最好用于依据外部专家运用全球网络空间安全才能中心才能成熟度模型（GCSCC CMM）对国家网络安全才能进行检查后生成的成果和才能建造主张来采纳举动。图I.2为东西箱运用的办法流程。