最近在学习云安全成熟度评估的方法论，顺便学习和查看一些传统安全成熟度评估。感觉云安全评估和传统安全评估还是有些细微差别，有技术创新带来新的 方法和方式，也有IT 运营成熟度提升带来的福利。这里，我们花点时间来做一些总结和思考，将自己的所见和所感，记录下来。 这里首先声明，以下内容均来自互联网及公开材料，所写内容仅供学习和交流，无任何商业利益相关。 郑重声明，本文所涉及内容及信息均来自网站的公开发布信息。 撰写本文仅作为个人学习兴趣及研究，所述内容与本人服务的组织并无关联关系。 前言： 因为工作的微调，我现在更多参与到公司的安全咨询顾问活动中，因此在接受新工作内容之后，会有更多时间同圈中大佬进行学习和沟通。这里，我把这段时 间听到和看到有关成熟度评估的内容进行一下整理，同时将自己的理解和思考总结成文。 文章内容简单整理如下： 安全成熟度评估，组织和企业安全成熟度评估在很多组织都已有采用和体现。有自评自测的，也有请第三方咨询公司进场评测。评估的各类形式不限，绝大部 分的评估内容和结论，都会针对组织当前安全现状及所发现问题进行总结和讨论。 通常利用调查问卷或者访谈问卷的形式，进行信息收集和分析，通过计算和模型评估，得出特定的结论。并以此结论为参考依据，作为一段时间内安全工作的 总结和下一阶段安全工作的开展和依据。 评估之后的动作，发现缺陷，弥补缺陷。缓解风险，设计控制点。制定目标运营模式，制定路线图。完善流程和治理，加强策略制定和完善规章制度。 摸清现状，控制风险，量化管理，提升安全管理成熟度，持续优化。 第一节  安全成熟度评估方法论 在安全评估过程中，很多客户对评估方法论比较感兴趣，在参考一大圈之后，发现没有一个方法论能给覆盖所有的场景和满足其需求。 大部分客户都想通过定制化评估来解决此类问题。因此，我这里也不花太多时间来讨论评估方法论的问题，这些具体评估方法论的设计过程，大家可以参考其 它文章。每一种评估方法论都有其优势和思路的合理性。 相似的，我也同时思考过如下几个问题？ 成熟度到底是五级还是三级？ PDCA 戴明环？ 如何评分才能真实反馈现状？ 如何设计并完成下一步路线图？ 评估的目标是什么？ 安全评估如何打分？ 云安全到底有什么不同？ 带着一大堆的问题，我开始写这篇文章。 因为看 IBM 公司的资料比较多，开篇，我们先介绍 IBM 公司常用的IT成熟度模型。这里，五级成熟度，可以清晰体现每个阶段的特点，初级，可管理，可定 义，量化管理，持续优化。 https://www.ibm.com/garage/method/practices/think/it-maturity-model/ 文中有解释为什么选用这个五级模型，选用最流行的 CMMI 模型比较适合软件开发，因此对应到 IT 成熟度中还可以。如果对应到网络安全成熟度又如何呢？ Levels of maturity The most familiar definitions of levels are defined in CMMI (Capability Maturity Model Integration), which has five levels: Initial, Managed, Defined, Quantitatively Managed, and Optimizing. While CMMI is targeted at a software development process rather than another domain, a simple characterization of the five levels shows that they provide a sense of increasing maturity: 1. Initial(初始): No standards are in place and inconsistency exists across the organization. 2. Managed(管理): A process is in place and activities are managed, but the process is orchestration without insights. 3. Defined(定义): A process is defined as a standard across the organization and is tailored for individual projects. 4. Quantitatively Managed(量化管理): The process is measured and any deviation from the standard is addressed. 5. Optimizing(持续优化): The process is continuously improved. 在一份 2020 年的白皮书中，IBM Security 将 CMMC（Cybersecurity Maturity Model Certification） 的五级评估定义如下： 1. Performed, Basic Cybersecurity Hygiene 2. Documented, Intermediate Hygiene 3. Managed, Good Hygiene 4. Reviewed, Proactive 5. Optimizing, Advanced 这里可以看出，在 Level 2,3,4 部分，同 安全成熟度同IT 成熟度，有明显不同。在 Level 2更多强调安全管理的文档化和制度化，在 Level 4 中，主动防御和干 预，似乎更关键。 除 CMMI 之外还有SSE-CMM， Security system engineer capability maturity model，其版本 2.0 之后没有再更新，更多关注安全软件工程，包含组织的安全工 程，及过程必备的架构。 系统安全工程-能力成熟度模型ISO/IEC 21827:2008 specifies the Systems Security Engineering – Capability Maturity Model® (SSE-CMM®),该模型是安全工程实 践的标准度量。 学术方面的资料，卡内基美隆大学网站有篇文章详细介绍 CMMC 模型。各位可以看看。 https://insights.sei.cmu.edu/blog/an-introduction-to-the-cybersecurity-maturity-model-certification-cmmc/ 在第四级别中，特别提到 TTP 和 ATP。强调主动性动作。proactive activities。 第二节  安全成熟度评估模型 在网络安全评估过程中，有技术类型的框架模型，也有单纯成熟度的框架模型。这里，我们不做成熟度模型的介绍，很多公司和机构都有相关内容，请大家自 行研究。 美国公司大多会参考和围绕NIST 的框架进行成熟度评估。（NIST Cybersecurity Framework），不同的政府部门也推出各自成熟度模型。 其它评估模型如下： The (NIST) National Institute of Standards and Technology (NIST) framework CISA Zero Trust Maturity Model The Center for Internet Security (CIS) framework CSA Cloud Controls Matrix Cybersecurity Maturity Model (CMM) Cybersecurity Capability Maturity Model (C2M2) Cybersecurity Maturity Model Certification （CMMC 2.0） Capability Maturity Model CIS Critical Security Controls V7 Measures & Metrics CMMC 2.0 was announced in November 2021 and the proposed changes build upon the CMMC 1.0 framework. 细节大家自行网上查询。 CMMC 2.0 builds upon the initial CMMC 1.0 framework to dynamically enhance DIB cybersecurity against evolving threats.  从五级变为三级。增加 Expert 作为 最高级别。但是，Advanced 在 Level2 的内容变化比较大。目前 2.0 还在计划和细则制定中，暂时没有太多分析和讨论。 Level 1: Foundational, 17 Practices, based on basic cybersecurity practices. Level 2: Advanced, 110 Practices, based on practices aligned with NIST SP 800-171. Level 3: Expert, 110+ Practices, based on all practices in Levels 1 and 2 augmented by NIST SP 800-172, which supplements NIST SP 800-171 to mitigate attacks from advanced cyber threats. 回到文章题目，云安全成熟度评估，目前越来越多的组织开始针对现有的云环境进行安全成熟度评估。不同的组织有不同的云使用场景，有私有云也有混合多 云。以传统 IT 成熟度或者网络安全成熟度进行分析和评估，似乎没能与时具进。但是，在基础的控制项和 domain 安全域的分布情况，似乎大部分内容都还可 以适用。 因此，在云安全评估项目中，混合使用多个评估模型或者采用自定义评估 domain 和 control point 控制项的情况还是比较常见，很多大型企业会根据自身业务 特点和重点关注点，主动进行适当裁剪和优化。 第三节  云安全成熟度评估模型 前文内容，我们讨论很多安全成熟度评估模型，在云安全成熟度评估方面，其实还有一些云成熟度及云计算成熟度评估模型，这里我们只看云安全这部分。 Cloud Maturity Mode