2020年1月31日，美國國防部發(fā)布了《網(wǎng)絡(luò)安全成熟度模型認(rèn)證1.0版》（Cybersecurity Maturity Model Certification，CMMC）文件及其概要介紹和附件，CMMC是由國防部開發(fā)的認(rèn)證框架，用于衡量國防承包商維護(hù)執(zhí)行國防部合同時(shí)處理的聯(lián)邦合同信息（“FCI”）和受控非機(jī)密信息（“CUI”）的能力。這是美國防部為防務(wù)承包商確定的首套網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。隨后，在2月24-28日召開的全球信息安全行業(yè)年度盛會RSA會議上，美軍方代表公開表示：CMMC對美國國家國防工業(yè)基地（DIB）網(wǎng)絡(luò)安全影響深遠(yuǎn)，對美國網(wǎng)絡(luò)安全發(fā)展至關(guān)重要；3月下旬，美國傳統(tǒng)基金會發(fā)表特別報(bào)告，報(bào)告站在使美國能夠更好應(yīng)對大國競爭的角度，重點(diǎn)就提高美軍網(wǎng)絡(luò)空間作戰(zhàn)能力提出四條建議，其中第一條建議就包括實(shí)施網(wǎng)絡(luò)安全成熟度模型認(rèn)證。

　　《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》的提出和貫徹，意味著美軍在武器系統(tǒng)和國防工業(yè)網(wǎng)絡(luò)防護(hù)要求方面已率先形成規(guī)范，將有力推動網(wǎng)絡(luò)防護(hù)能力全面提升。未來，CMMC很有可能成為全球企業(yè)信息安全認(rèn)證的下一個(gè)“黃金標(biāo)準(zhǔn)”。

　　一、美軍推行CMMC計(jì)劃的背景及進(jìn)程

　　1.出臺背景

　　CMMC計(jì)劃出臺的背景主要是基于美軍近年來對美國DIB網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)分析：美國國防部每天要遭受4000萬次互聯(lián)網(wǎng)攻擊，而國防部認(rèn)定其供應(yīng)鏈為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的主要領(lǐng)域之一，該供應(yīng)鏈由DIB內(nèi)30多萬家承包商構(gòu)成。特別是，在這些承包商中，小型企業(yè)越來越受到民族國家的數(shù)字化攻擊，必須做更多的工作來評估和加強(qiáng)與網(wǎng)絡(luò)攻擊作斗爭的承包商的安全性。

　　在當(dāng)今大國競爭的環(huán)境中，信息和技術(shù)都是國家安全的基石，而攻擊次級供應(yīng)商遠(yuǎn)比直接攻擊主要供應(yīng)商更具吸引力。為了確保國防部供應(yīng)鏈的安全，嚴(yán)格審查和認(rèn)證這30多萬家承包商的網(wǎng)絡(luò)安全行為，美國國防部推出了CMMC計(jì)劃。CMMC計(jì)劃的出臺標(biāo)志著，美國國防部開始將強(qiáng)制性網(wǎng)絡(luò)安全要求擴(kuò)大到包含中小企業(yè)在內(nèi)的國防工業(yè)，未來不滿足相應(yīng)等級要求的企業(yè)將無法競爭美國國防部合同。

　　2.推進(jìn)過程

　　* 2019年3月，國防部首次宣布將開發(fā)CMMC；

　　* 2019年5月底，美國國防部宣布與卡內(nèi)基梅隆大學(xué)和約翰霍普金斯大學(xué)應(yīng)用物理實(shí)驗(yàn)室有限責(zé)任公司合作開發(fā)CMMC框架；

　　* 2020 年1月31日，國防部發(fā)布CMMC 1.0版；

　　* 2020年6月，國防部將發(fā)布首批包含基于該模型的網(wǎng)絡(luò)安全成熟度等級要求的信息征詢書（RFI），全年發(fā)布10份；

　　* 2020年9月，國防部將發(fā)布首批包含該要求的方案征詢書（RFP），全年發(fā)布10份；

　　* 到2021年底，預(yù)計(jì)將有1,500家公司獲得認(rèn)證；

　　* 到2026財(cái)年，所有的美國防部合同都將包含網(wǎng)絡(luò)安全成熟度認(rèn)證等級要求。

　　二、美軍CMMC標(biāo)準(zhǔn)的主要內(nèi)容

　　CMMC是一套網(wǎng)絡(luò)安全指南，也可以看作是一個(gè)分層網(wǎng)絡(luò)安全框架，是美國國防部用來對NIST 800-171合規(guī)范圍內(nèi)企業(yè)進(jìn)行第三方獨(dú)立審計(jì)的一套方法。它根據(jù)防務(wù)承包商參與工作的分類和項(xiàng)目敏感性的安全級別，具有跨多個(gè)成熟度級別（從基本網(wǎng)絡(luò)衛(wèi)生到高級措施）的相關(guān)控制和過程，能夠保護(hù)企業(yè)和網(wǎng)絡(luò)系統(tǒng)免遭最高級黑客攻擊。

　　1.1.0版模型概述

　　CMMC框架對國防部供應(yīng)鏈中的網(wǎng)絡(luò)安全將基于五個(gè)認(rèn)證等級的確定，每個(gè)級別都由承包商必須證明以達(dá)到該級別認(rèn)證的實(shí)踐和流程組成。這五個(gè)等級是：

　　1級：基本網(wǎng)絡(luò)衛(wèi)生；

　　2級：中級網(wǎng)絡(luò)衛(wèi)生；

　　3級：良好的網(wǎng)絡(luò)衛(wèi)生；

　　4級：積極主動；

　　5級：進(jìn)階/漸進(jìn)。

　　以上五個(gè)CMMC級別與以下目標(biāo)相關(guān)：保護(hù)CUI并降低高級持續(xù)威脅（APT）的風(fēng)險(xiǎn)。

　　級別1：保護(hù)聯(lián)邦合同信息（FCI）；

　　級別2：充當(dāng)網(wǎng)絡(luò)安全成熟度發(fā)展的過渡步驟，以保護(hù)受控的非機(jī)密信息（CUI）；

　　級別3：保護(hù)CUI；4–5級：

　　4–5級：保護(hù)CUI并降低高級持續(xù)威脅（APT）的風(fēng)險(xiǎn)。其中：

　　1級要求最低：CMMC框架大約確定了17個(gè)網(wǎng)絡(luò)安全特定“領(lǐng)域”，1級合規(guī)性僅要求在各個(gè)領(lǐng)域制定一項(xiàng)基本的“控制”措施。

　　2級是過渡階段：五角大樓通過建立新的流程、規(guī)劃和預(yù)算幫助各企業(yè)為更高的認(rèn)證級別做好準(zhǔn)備。其目標(biāo)仍以“幫助小企業(yè)”為主。

　　3級跨度最大：是處理受控非機(jī)密信息的最低要求，企業(yè)的控制措施必須從前兩級要求的17項(xiàng)增加到110多項(xiàng)。這些標(biāo)準(zhǔn)出自美國國家標(biāo)準(zhǔn)技術(shù)研究院的NIST 800-171修訂版文件，也是目前許多企業(yè)聲稱已經(jīng)達(dá)到的標(biāo)準(zhǔn)。

　　4級和5級針對承包最敏感合同的“極核心技術(shù)企業(yè)”，增加了額外的控制措施。這些標(biāo)準(zhǔn)將來自美國國家標(biāo)準(zhǔn)技術(shù)研究院、國際標(biāo)準(zhǔn)組織（ISO）、航空航天工業(yè)協(xié)會（AIA）等機(jī)構(gòu)已經(jīng)發(fā)布或正在制定的標(biāo)準(zhǔn)。

　　CMMC模型的1.0版包含17個(gè)域（網(wǎng)絡(luò)安全合規(guī)性的高級類別），其中包含43種功能（確保在每個(gè)域內(nèi)都實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)的成就）。這些功能依次包括五個(gè)成熟度級別的171個(gè)實(shí)踐。1.0版還包含五個(gè)過程，這些過程涉及組織的實(shí)踐制度化。國防部針對版本1.0的簡介文件顯示了這些域，功能，實(shí)踐和流程如何在CMMC模型中結(jié)合在一起。

　　2.1.0版的新功能

　　1.0版的大小和內(nèi)容與先前的0.7版非常相似。但是，版本1.0確實(shí)包含了先前草案的一些重要更新：

　?。?）流程成熟度

　　CMMC版本1.0不包括在先前的草案中提到的預(yù)期的特定域的過程。CMMC框架基于承包商的實(shí)踐（技術(shù)活動）和過程（使這些實(shí)踐制度化的過程）為承包商分配評級。與版本0.7中的九個(gè)進(jìn)程相比，版本1.0僅包含五個(gè)進(jìn)程（第2級中有兩個(gè)進(jìn)程，第3-5級中每個(gè)都有一個(gè)進(jìn)程）。此外，該模型的版本1.0并未詳細(xì)描述如何修改每個(gè)流程以適用于每個(gè)單獨(dú)的域，如版本0.7所建議的那樣。相反，如先前的草案一樣，版本1.0僅將流程描述為適用于模型中每個(gè)域的通用成熟度流程。

　?。?）對所有級別進(jìn)行討論、說明和示例

　　CMMC版本1.0的附錄B包含針對該模型的所有五個(gè)級別的171個(gè)實(shí)踐和五個(gè)過程的每一個(gè)進(jìn)行的詳細(xì)說明。附錄B詳細(xì)說明了：（1）實(shí)踐或過程所源自的參考；（2）對實(shí)踐或過程的討論；（3）實(shí)踐或過程的說明，至少包括一個(gè)如何在組織內(nèi)證明該實(shí)踐的示例。版本0.7僅針對與級別1-3相關(guān)的實(shí)踐提供了這些描述?，F(xiàn)在，版本1.0包含了模型所有級別上的實(shí)踐和流程的詳細(xì)說明。

　?。?）源映射

　　版本1.0的附錄E是一個(gè)新的“源映射”資源，它提供了來自其他網(wǎng)絡(luò)安全參考和框架的相關(guān)實(shí)踐的詳細(xì)列表，并顯示了這些實(shí)踐如何“映射”到CMMC模型的實(shí)踐和過程。

　?。?）認(rèn)證期限

　　盡管CMMC版本1.0并未說明認(rèn)證期限，但國防部國防采購部助理部長首席信息安全官兼CMMC推出過程中的關(guān)鍵角色美國國防部的Katie Arrington在發(fā)布當(dāng)天的新聞發(fā)布會上表示，公司的三年認(rèn)證期將是“很好的”。這表明，一旦在一定的成熟度水平上進(jìn)行了審核和認(rèn)證，組織將被要求保留該認(rèn)證級別三年，然后才需要進(jìn)行另一次審核。

　　三、美軍CMMC標(biāo)準(zhǔn)的特點(diǎn)

　　1.覆蓋范圍廣

　　CMMC框架將要求DOD供應(yīng)鏈中的所有公司都必須獲得認(rèn)證才能開展業(yè)務(wù)，其認(rèn)證范圍涉及國防部供應(yīng)鏈中的30多萬家公司，全部需要獲得認(rèn)證才能與國防部開展業(yè)務(wù)。

　　這一要求主要是基于國防部發(fā)現(xiàn)，其供應(yīng)鏈中最容易受到網(wǎng)絡(luò)安全威脅傷害的就是那些初創(chuàng)公司和小型公司，下層供應(yīng)商比主承包商更容易被網(wǎng)絡(luò)攻擊對手瞄準(zhǔn)。

　　2.標(biāo)準(zhǔn)統(tǒng)一

　　CMMC標(biāo)準(zhǔn)整合了現(xiàn)有標(biāo)準(zhǔn)體系，將要保護(hù)的信息數(shù)據(jù)類型和敏感性以及相關(guān)的威脅范圍相結(jié)合，形成來自多個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、框架和其他參考的成熟流程和網(wǎng)絡(luò)安全最佳實(shí)踐。其參考整合的各類網(wǎng)絡(luò)安全標(biāo)準(zhǔn)有：NIST SP 800-171；NIST SP 800-171B；NIST SP 800-53；NIST CSF V1.1；CERT RMM V1.2；CIS Controls；ISO 270001和ISO 27032；；AIA NAS9933，以及其他成熟的網(wǎng)絡(luò)安全最佳實(shí)踐體系（比如，UK NCSC、AU ACSC、FAR等）。

　　但與NIST SP 800-171之類的安全標(biāo)準(zhǔn)體系不同，除了網(wǎng)絡(luò)安全控制標(biāo)準(zhǔn)外，CMMC將更廣泛地“衡量一家公司網(wǎng)絡(luò)安全實(shí)踐和安全運(yùn)營過程制度化的成熟度”。CMMC將實(shí)現(xiàn)多個(gè)級別的網(wǎng)絡(luò)安全。除了評估公司實(shí)施網(wǎng)絡(luò)安全控制措施的成熟度外，CMMC還將評估公司網(wǎng)絡(luò)安全實(shí)踐和流程的成熟度/制度化水平。

　　3.強(qiáng)制執(zhí)行

　　CMMC規(guī)定，美國國防部合同將強(qiáng)制投標(biāo)人達(dá)到一定的認(rèn)證水平，以贏得特定的工作。例如，如果企業(yè)不競標(biāo)包含極為敏感信息的合同，則它們必須僅獲得第一級認(rèn)證，這涉及基本的網(wǎng)絡(luò)安全性，例如更改密碼和運(yùn)行防病毒軟件；更敏感的程序?qū)⑿枰鼑?yán)格的控制。

　　從2020年9月份的10個(gè)試點(diǎn)性招標(biāo)書開始，越來越多的招標(biāo)書將指定競標(biāo)者在授標(biāo)時(shí)必須達(dá)到的CMMC等級。理論上，企業(yè)今后可以在不遵守規(guī)定的情況下競標(biāo)，但必須在選擇勝出者之前獲得認(rèn)證，否則將失去資格。未經(jīng)認(rèn)證的企業(yè)無法獲得合同。五角大樓官員無權(quán)給予任何企業(yè)網(wǎng)絡(luò)安全認(rèn)證的通行證。到2026財(cái)年，所有的美國防部合同都必須包含網(wǎng)絡(luò)安全成熟度認(rèn)證等級要求。

　　4.第三方認(rèn)證

　　在CMMC認(rèn)證方案中，最大的變化是，企業(yè)不能再“自行認(rèn)證”達(dá)到某種標(biāo)準(zhǔn)，而要由五角大樓授權(quán)第三方根據(jù)嚴(yán)格的利益沖突規(guī)則評估每家企業(yè)。它建立了一個(gè)認(rèn)證委員會和評估員，董事會是獨(dú)立于國防部的外部實(shí)體，負(fù)責(zé)批準(zhǔn)評估員對過程中的公司進(jìn)行認(rèn)證。這將被稱為認(rèn)證第三方評估組織（C3PAO）。

　　同時(shí)，一個(gè)由來自國防行業(yè)、網(wǎng)絡(luò)安全界和學(xué)術(shù)界的13名成員組成的CMMC認(rèn)證機(jī)構(gòu)將負(fù)責(zé)監(jiān)督C3PAOs的培訓(xùn)工作、質(zhì)量和管理能力。此外，國防部和CMMC認(rèn)證機(jī)構(gòu)之間將簽署備忘錄，明確雙方角色、職責(zé)和規(guī)則，以規(guī)避認(rèn)證過程中的利益沖突。國防部還表示，CMMC將為企業(yè)投標(biāo)創(chuàng)造公平的競爭環(huán)境，只有達(dá)到要求的企業(yè)才能參與競標(biāo)。

　　四。結(jié)語

　　CMMC版本1.0的發(fā)布是國防部的一個(gè)重要里程碑，2021年CMMC還將會有更多的進(jìn)展。隨著國防部發(fā)布有關(guān)其新的分階段實(shí)施計(jì)劃的詳細(xì)信息，我們將繼續(xù)跟蹤C(jī)MMC的部署。

　　當(dāng)然，美國防部在目前緩慢推進(jìn)CMMC計(jì)劃的過程中，也面臨著來自各方的質(zhì)疑之聲。4月初，有外媒報(bào)道，美國BSA互聯(lián)網(wǎng)協(xié)會（該協(xié)會代表了包括美國軟件聯(lián)盟、網(wǎng)絡(luò)安全聯(lián)盟等100多家公司）致信五角大樓指出，目前實(shí)施的CMMC計(jì)劃在關(guān)鍵領(lǐng)域缺乏足夠的清晰度和可預(yù)測性經(jīng)驗(yàn)，可能會造成不必要的制度混亂和額外開銷，如果不對該問題加以解決，這些問題可能導(dǎo)致網(wǎng)絡(luò)安全性降低；可能會限制行業(yè)科技競爭并減少政府使用新技術(shù)的機(jī)會；CMMC中的某些控件其實(shí)比較適用于傳統(tǒng)模型，但不一定適用于現(xiàn)代大規(guī)模的基礎(chǔ)架構(gòu)，嚴(yán)格遵守這些控制措施實(shí)際上可能會為高安全性和高可用性的控制措施帶來新的風(fēng)險(xiǎn)，等等。

　　未來，美國防部將考慮并結(jié)合IT行業(yè)的反饋意見，確保國防部優(yōu)化實(shí)施結(jié)構(gòu)的合理性，優(yōu)化CMMC的有效性，為2026年全面實(shí)施CMMC做好充分的準(zhǔn)備。