2020年1月31日，美国国防部发布了《网络安全成熟度模型认证1.0版》（Cybersecurity Maturity Model Certification，CMMC）文件及其概要介绍和附件，CMMC是由国防部开发的认证框架，用于衡量国防承包商维护执行国防部合同时处理的联邦合同信息（“FCI”）和受控非机密信息（“CUI”）的能力。这是美国防部为防务承包商确定的首套网络安全标准。随后，在2月24-28日召开的全球信息安全行业年度盛会RSA会议上，美军方代表公开表示：CMMC对美国国家国防工业基地（DIB）网络安全影响深远，对美国网络安全发展至关重要；3月下旬，美国传统基金会发表特别报告，报告站在使美国能够更好应对大国竞争的角度，重点就提高美军网络空间作战能力提出四条建议，其中第一条建议就包括实施网络安全成熟度模型认证。

　　《网络安全成熟度模型认证》的提出和贯彻，意味着美军在武器系统和国防工业网络防护要求方面已率先形成规范，将有力推动网络防护能力全面提升。未来，CMMC很有可能成为全球企业信息安全认证的下一个“黄金标准”。

　　一、美军推行CMMC计划的背景及进程

　　1.出台背景

　　CMMC计划出台的背景主要是基于美军近年来对美国DIB网络面临的安全风险分析：美国国防部每天要遭受4000万次互联网攻击，而国防部认定其供应链为网络安全风险的主要领域之一，该供应链由DIB内30多万家承包商构成。特别是，在这些承包商中，小型企业越来越受到民族国家的数字化攻击，必须做更多的工作来评估和加强与网络攻击作斗争的承包商的安全性。

　　在当今大国竞争的环境中，信息和技术都是国家安全的基石，而攻击次级供应商远比直接攻击主要供应商更具吸引力。为了确保国防部供应链的安全，严格审查和认证这30多万家承包商的网络安全行为，美国国防部推出了CMMC计划。CMMC计划的出台标志着，美国国防部开始将强制性网络安全要求扩大到包含中小企业在内的国防工业，未来不满足相应等级要求的企业将无法竞争美国国防部合同。

　　2.推进过程

　　* 2019年3月，国防部首次宣布将开发CMMC；

　　* 2019年5月底，美国国防部宣布与卡内基梅隆大学和约翰霍普金斯大学应用物理实验室有限责任公司合作开发CMMC框架；

　　* 2020 年1月31日，国防部发布CMMC 1.0版；

　　* 2020年6月，国防部将发布首批包含基于该模型的网络安全成熟度等级要求的信息征询书（RFI），全年发布10份；

　　* 2020年9月，国防部将发布首批包含该要求的方案征询书（RFP），全年发布10份；

　　* 到2021年底，预计将有1,500家公司获得认证；

　　* 到2026财年，所有的美国防部合同都将包含网络安全成熟度认证等级要求。

　　二、美军CMMC标准的主要内容

　　CMMC是一套网络安全指南，也可以看作是一个分层网络安全框架，是美国国防部用来对NIST 800-171合规范围内企业进行第三方独立审计的一套方法。它根据防务承包商参与工作的分类和项目敏感性的安全级别，具有跨多个成熟度级别（从基本网络卫生到高级措施）的相关控制和过程，能够保护企业和网络系统免遭最高级黑客攻击。

　　1.1.0版模型概述

　　CMMC框架对国防部供应链中的网络安全将基于五个认证等级的确定，每个级别都由承包商必须证明以达到该级别认证的实践和流程组成。这五个等级是：

　　1级：基本网络卫生；

　　2级：中级网络卫生；

　　3级：良好的网络卫生；

　　4级：积极主动；

　　5级：进阶/渐进。

　　以上五个CMMC级别与以下目标相关：保护CUI并降低高级持续威胁（APT）的风险。

　　级别1：保护联邦合同信息（FCI）；

　　级别2：充当网络安全成熟度发展的过渡步骤，以保护受控的非机密信息（CUI）；

　　级别3：保护CUI；4–5级：

　　4–5级：保护CUI并降低高级持续威胁（APT）的风险。其中：

　　1级要求最低：CMMC框架大约确定了17个网络安全特定“领域”，1级合规性仅要求在各个领域制定一项基本的“控制”措施。

　　2级是过渡阶段：五角大楼通过建立新的流程、规划和预算帮助各企业为更高的认证级别做好准备。其目标仍以“帮助小企业”为主。

　　3级跨度最大：是处理受控非机密信息的最低要求，企业的控制措施必须从前两级要求的17项增加到110多项。这些标准出自美国国家标准技术研究院的NIST 800-171修订版文件，也是目前许多企业声称已经达到的标准。

　　4级和5级针对承包最敏感合同的“极核心技术企业”，增加了额外的控制措施。这些标准将来自美国国家标准技术研究院、国际标准组织（ISO）、航空航天工业协会（AIA）等机构已经发布或正在制定的标准。

　　CMMC模型的1.0版包含17个域（网络安全合规性的高级类别），其中包含43种功能（确保在每个域内都实现网络安全目标的成就）。这些功能依次包括五个成熟度级别的171个实践。1.0版还包含五个过程，这些过程涉及组织的实践制度化。国防部针对版本1.0的简介文件显示了这些域，功能，实践和流程如何在CMMC模型中结合在一起。

　　2.1.0版的新功能

　　1.0版的大小和内容与先前的0.7版非常相似。但是，版本1.0确实包含了先前草案的一些重要更新：

　　（1）流程成熟度

　　CMMC版本1.0不包括在先前的草案中提到的预期的特定域的过程。CMMC框架基于承包商的实践（技术活动）和过程（使这些实践制度化的过程）为承包商分配评级。与版本0.7中的九个进程相比，版本1.0仅包含五个进程（第2级中有两个进程，第3-5级中每个都有一个进程）。此外，该模型的版本1.0并未详细描述如何修改每个流程以适用于每个单独的域，如版本0.7所建议的那样。相反，如先前的草案一样，版本1.0仅将流程描述为适用于模型中每个域的通用成熟度流程。

　　（2）对所有级别进行讨论、说明和示例

　　CMMC版本1.0的附录B包含针对该模型的所有五个级别的171个实践和五个过程的每一个进行的详细说明。附录B详细说明了：（1）实践或过程所源自的参考；（2）对实践或过程的讨论；（3）实践或过程的说明，至少包括一个如何在组织内证明该实践的示例。版本0.7仅针对与级别1-3相关的实践提供了这些描述。现在，版本1.0包含了模型所有级别上的实践和流程的详细说明。

　　（3）源映射

　　版本1.0的附录E是一个新的“源映射”资源，它提供了来自其他网络安全参考和框架的相关实践的详细列表，并显示了这些实践如何“映射”到CMMC模型的实践和过程。

　　（4）认证期限

　　尽管CMMC版本1.0并未说明认证期限，但国防部国防采购部助理部长首席信息安全官兼CMMC推出过程中的关键角色美国国防部的Katie Arrington在发布当天的新闻发布会上表示，公司的三年认证期将是“很好的”。这表明，一旦在一定的成熟度水平上进行了审核和认证，组织将被要求保留该认证级别三年，然后才需要进行另一次审核。

　　三、美军CMMC标准的特点

　　1.覆盖范围广

　　CMMC框架将要求DOD供应链中的所有公司都必须获得认证才能开展业务，其认证范围涉及国防部供应链中的30多万家公司，全部需要获得认证才能与国防部开展业务。

　　这一要求主要是基于国防部发现，其供应链中最容易受到网络安全威胁伤害的就是那些初创公司和小型公司，下层供应商比主承包商更容易被网络攻击对手瞄准。

　　2.标准统一

　　CMMC标准整合了现有标准体系，将要保护的信息数据类型和敏感性以及相关的威胁范围相结合，形成来自多个网络安全标准、框架和其他参考的成熟流程和网络安全最佳实践。其参考整合的各类网络安全标准有：NIST SP 800-171；NIST SP 800-171B；NIST SP 800-53；NIST CSF V1.1；CERT RMM V1.2；CIS Controls；ISO 270001和ISO 27032；；AIA NAS9933，以及其他成熟的网络安全最佳实践体系（比如，UK NCSC、AU ACSC、FAR等）。

　　但与NIST SP 800-171之类的安全标准体系不同，除了网络安全控制标准外，CMMC将更广泛地“衡量一家公司网络安全实践和安全运营过程制度化的成熟度”。CMMC将实现多个级别的网络安全。除了评估公司实施网络安全控制措施的成熟度外，CMMC还将评估公司网络安全实践和流程的成熟度/制度化水平。

　　3.强制执行

　　CMMC规定，美国国防部合同将强制投标人达到一定的认证水平，以赢得特定的工作。例如，如果企业不竞标包含极为敏感信息的合同，则它们必须仅获得第一级认证，这涉及基本的网络安全性，例如更改密码和运行防病毒软件；更敏感的程序将需要更严格的控制。

　　从2020年9月份的10个试点性招标书开始，越来越多的招标书将指定竞标者在授标时必须达到的CMMC等级。理论上，企业今后可以在不遵守规定的情况下竞标，但必须在选择胜出者之前获得认证，否则将失去资格。未经认证的企业无法获得合同。五角大楼官员无权给予任何企业网络安全认证的通行证。到2026财年，所有的美国防部合同都必须包含网络安全成熟度认证等级要求。

　　4.第三方认证

　　在CMMC认证方案中，最大的变化是，企业不能再“自行认证”达到某种标准，而要由五角大楼授权第三方根据严格的利益冲突规则评估每家企业。它建立了一个认证委员会和评估员，董事会是独立于国防部的外部实体，负责批准评估员对过程中的公司进行认证。这将被称为认证第三方评估组织（C3PAO）。

　　同时，一个由来自国防行业、网络安全界和学术界的13名成员组成的CMMC认证机构将负责监督C3PAOs的培训工作、质量和管理能力。此外，国防部和CMMC认证机构之间将签署备忘录，明确双方角色、职责和规则，以规避认证过程中的利益冲突。国防部还表示，CMMC将为企业投标创造公平的竞争环境，只有达到要求的企业才能参与竞标。

　　四。结语

　　CMMC版本1.0的发布是国防部的一个重要里程碑，2021年CMMC还将会有更多的进展。随着国防部发布有关其新的分阶段实施计划的详细信息，我们将继续跟踪CMMC的部署。

　　当然，美国防部在目前缓慢推进CMMC计划的过程中，也面临着来自各方的质疑之声。4月初，有外媒报道，美国BSA互联网协会（该协会代表了包括美国软件联盟、网络安全联盟等100多家公司）致信五角大楼指出，目前实施的CMMC计划在关键领域缺乏足够的清晰度和可预测性经验，可能会造成不必要的制度混乱和额外开销，如果不对该问题加以解决，这些问题可能导致网络安全性降低；可能会限制行业科技竞争并减少政府使用新技术的机会；CMMC中的某些控件其实比较适用于传统模型，但不一定适用于现代大规模的基础架构，严格遵守这些控制措施实际上可能会为高安全性和高可用性的控制措施带来新的风险，等等。

　　未来，美国防部将考虑并结合IT行业的反馈意见，确保国防部优化实施结构的合理性，优化CMMC的有效性，为2026年全面实施CMMC做好充分的准备。