2020年1月31日,美國國防部發(fā)布了《網(wǎng)絡(luò)安全成熟度模型認證1.0版》(Cybersecurity Maturity Model Certification,CMMC)文件及其概要介紹和附件,CMMC是由國防部開發(fā)的認證框架,用于衡量國防承包商維護執(zhí)行國防部合同時處理的聯(lián)邦合同信息(“FCI”)和受控非機密信息(“CUI”)的能力。這是美國防部為防務(wù)承包商確定的首套網(wǎng)絡(luò)安全標準。隨后,在2月24-28日召開的全球信息安全行業(yè)年度盛會RSA會議上,美軍方代表公開表示:CMMC對美國國家國防工業(yè)基地(DIB)網(wǎng)絡(luò)安全影響深遠,對美國網(wǎng)絡(luò)安全發(fā)展至關(guān)重要;3月下旬,美國傳統(tǒng)基金會發(fā)表特別報告,報告站在使美國能夠更好應(yīng)對大國競爭的角度,重點就提高美軍網(wǎng)絡(luò)空間作戰(zhàn)能力提出四條建議,其中第一條建議就包括實施網(wǎng)絡(luò)安全成熟度模型認證。
《網(wǎng)絡(luò)安全成熟度模型認證》的提出和貫徹,意味著美軍在武器系統(tǒng)和國防工業(yè)網(wǎng)絡(luò)防護要求方面已率先形成規(guī)范,將有力推動網(wǎng)絡(luò)防護能力全面提升。未來,CMMC很有可能成為全球企業(yè)信息安全認證的下一個“黃金標準”。
一、美軍推行CMMC計劃的背景及進程
1.出臺背景
CMMC計劃出臺的背景主要是基于美軍近年來對美國DIB網(wǎng)絡(luò)面臨的安全風險分析:美國國防部每天要遭受4000萬次互聯(lián)網(wǎng)攻擊,而國防部認定其供應(yīng)鏈為網(wǎng)絡(luò)安全風險的主要領(lǐng)域之一,該供應(yīng)鏈由DIB內(nèi)30多萬家承包商構(gòu)成。特別是,在這些承包商中,小型企業(yè)越來越受到民族國家的數(shù)字化攻擊,必須做更多的工作來評估和加強與網(wǎng)絡(luò)攻擊作斗爭的承包商的安全性。
在當今大國競爭的環(huán)境中,信息和技術(shù)都是國家安全的基石,而攻擊次級供應(yīng)商遠比直接攻擊主要供應(yīng)商更具吸引力。為了確保國防部供應(yīng)鏈的安全,嚴格審查和認證這30多萬家承包商的網(wǎng)絡(luò)安全行為,美國國防部推出了CMMC計劃。CMMC計劃的出臺標志著,美國國防部開始將強制性網(wǎng)絡(luò)安全要求擴大到包含中小企業(yè)在內(nèi)的國防工業(yè),未來不滿足相應(yīng)等級要求的企業(yè)將無法競爭美國國防部合同。
2.推進過程
* 2019年3月,國防部首次宣布將開發(fā)CMMC;
* 2019年5月底,美國國防部宣布與卡內(nèi)基梅隆大學和約翰霍普金斯大學應(yīng)用物理實驗室有限責任公司合作開發(fā)CMMC框架;
* 2020 年1月31日,國防部發(fā)布CMMC 1.0版;
* 2020年6月,國防部將發(fā)布首批包含基于該模型的網(wǎng)絡(luò)安全成熟度等級要求的信息征詢書(RFI),全年發(fā)布10份;
* 2020年9月,國防部將發(fā)布首批包含該要求的方案征詢書(RFP),全年發(fā)布10份;
* 到2021年底,預(yù)計將有1,500家公司獲得認證;
* 到2026財年,所有的美國防部合同都將包含網(wǎng)絡(luò)安全成熟度認證等級要求。
二、美軍CMMC標準的主要內(nèi)容
CMMC是一套網(wǎng)絡(luò)安全指南,也可以看作是一個分層網(wǎng)絡(luò)安全框架,是美國國防部用來對NIST 800-171合規(guī)范圍內(nèi)企業(yè)進行第三方獨立審計的一套方法。它根據(jù)防務(wù)承包商參與工作的分類和項目敏感性的安全級別,具有跨多個成熟度級別(從基本網(wǎng)絡(luò)衛(wèi)生到高級措施)的相關(guān)控制和過程,能夠保護企業(yè)和網(wǎng)絡(luò)系統(tǒng)免遭最高級黑客攻擊。
1.1.0版模型概述
CMMC框架對國防部供應(yīng)鏈中的網(wǎng)絡(luò)安全將基于五個認證等級的確定,每個級別都由承包商必須證明以達到該級別認證的實踐和流程組成。這五個等級是:
1級:基本網(wǎng)絡(luò)衛(wèi)生;
2級:中級網(wǎng)絡(luò)衛(wèi)生;
3級:良好的網(wǎng)絡(luò)衛(wèi)生;
4級:積極主動;
5級:進階/漸進。
以上五個CMMC級別與以下目標相關(guān):保護CUI并降低高級持續(xù)威脅(APT)的風險。
級別1:保護聯(lián)邦合同信息(FCI);
級別2:充當網(wǎng)絡(luò)安全成熟度發(fā)展的過渡步驟,以保護受控的非機密信息(CUI);
級別3:保護CUI;4–5級:
4–5級:保護CUI并降低高級持續(xù)威脅(APT)的風險。其中:
1級要求最低:CMMC框架大約確定了17個網(wǎng)絡(luò)安全特定“領(lǐng)域”,1級合規(guī)性僅要求在各個領(lǐng)域制定一項基本的“控制”措施。
2級是過渡階段:五角大樓通過建立新的流程、規(guī)劃和預(yù)算幫助各企業(yè)為更高的認證級別做好準備。其目標仍以“幫助小企業(yè)”為主。
3級跨度最大:是處理受控非機密信息的最低要求,企業(yè)的控制措施必須從前兩級要求的17項增加到110多項。這些標準出自美國國家標準技術(shù)研究院的NIST 800-171修訂版文件,也是目前許多企業(yè)聲稱已經(jīng)達到的標準。
4級和5級針對承包最敏感合同的“極核心技術(shù)企業(yè)”,增加了額外的控制措施。這些標準將來自美國國家標準技術(shù)研究院、國際標準組織(ISO)、航空航天工業(yè)協(xié)會(AIA)等機構(gòu)已經(jīng)發(fā)布或正在制定的標準。
CMMC模型的1.0版包含17個域(網(wǎng)絡(luò)安全合規(guī)性的高級類別),其中包含43種功能(確保在每個域內(nèi)都實現(xiàn)網(wǎng)絡(luò)安全目標的成就)。這些功能依次包括五個成熟度級別的171個實踐。1.0版還包含五個過程,這些過程涉及組織的實踐制度化。國防部針對版本1.0的簡介文件顯示了這些域,功能,實踐和流程如何在CMMC模型中結(jié)合在一起。
2.1.0版的新功能
1.0版的大小和內(nèi)容與先前的0.7版非常相似。但是,版本1.0確實包含了先前草案的一些重要更新:
?。?)流程成熟度
CMMC版本1.0不包括在先前的草案中提到的預(yù)期的特定域的過程。CMMC框架基于承包商的實踐(技術(shù)活動)和過程(使這些實踐制度化的過程)為承包商分配評級。與版本0.7中的九個進程相比,版本1.0僅包含五個進程(第2級中有兩個進程,第3-5級中每個都有一個進程)。此外,該模型的版本1.0并未詳細描述如何修改每個流程以適用于每個單獨的域,如版本0.7所建議的那樣。相反,如先前的草案一樣,版本1.0僅將流程描述為適用于模型中每個域的通用成熟度流程。
?。?)對所有級別進行討論、說明和示例
CMMC版本1.0的附錄B包含針對該模型的所有五個級別的171個實踐和五個過程的每一個進行的詳細說明。附錄B詳細說明了:(1)實踐或過程所源自的參考;(2)對實踐或過程的討論;(3)實踐或過程的說明,至少包括一個如何在組織內(nèi)證明該實踐的示例。版本0.7僅針對與級別1-3相關(guān)的實踐提供了這些描述?,F(xiàn)在,版本1.0包含了模型所有級別上的實踐和流程的詳細說明。
?。?)源映射
版本1.0的附錄E是一個新的“源映射”資源,它提供了來自其他網(wǎng)絡(luò)安全參考和框架的相關(guān)實踐的詳細列表,并顯示了這些實踐如何“映射”到CMMC模型的實踐和過程。
?。?)認證期限
盡管CMMC版本1.0并未說明認證期限,但國防部國防采購部助理部長首席信息安全官兼CMMC推出過程中的關(guān)鍵角色美國國防部的Katie Arrington在發(fā)布當天的新聞發(fā)布會上表示,公司的三年認證期將是“很好的”。這表明,一旦在一定的成熟度水平上進行了審核和認證,組織將被要求保留該認證級別三年,然后才需要進行另一次審核。
三、美軍CMMC標準的特點
1.覆蓋范圍廣
CMMC框架將要求DOD供應(yīng)鏈中的所有公司都必須獲得認證才能開展業(yè)務(wù),其認證范圍涉及國防部供應(yīng)鏈中的30多萬家公司,全部需要獲得認證才能與國防部開展業(yè)務(wù)。
這一要求主要是基于國防部發(fā)現(xiàn),其供應(yīng)鏈中最容易受到網(wǎng)絡(luò)安全威脅傷害的就是那些初創(chuàng)公司和小型公司,下層供應(yīng)商比主承包商更容易被網(wǎng)絡(luò)攻擊對手瞄準。
2.標準統(tǒng)一
CMMC標準整合了現(xiàn)有標準體系,將要保護的信息數(shù)據(jù)類型和敏感性以及相關(guān)的威脅范圍相結(jié)合,形成來自多個網(wǎng)絡(luò)安全標準、框架和其他參考的成熟流程和網(wǎng)絡(luò)安全最佳實踐。其參考整合的各類網(wǎng)絡(luò)安全標準有:NIST SP 800-171;NIST SP 800-171B;NIST SP 800-53;NIST CSF V1.1;CERT RMM V1.2;CIS Controls;ISO 270001和ISO 27032;;AIA NAS9933,以及其他成熟的網(wǎng)絡(luò)安全最佳實踐體系(比如,UK NCSC、AU ACSC、FAR等)。
但與NIST SP 800-171之類的安全標準體系不同,除了網(wǎng)絡(luò)安全控制標準外,CMMC將更廣泛地“衡量一家公司網(wǎng)絡(luò)安全實踐和安全運營過程制度化的成熟度”。CMMC將實現(xiàn)多個級別的網(wǎng)絡(luò)安全。除了評估公司實施網(wǎng)絡(luò)安全控制措施的成熟度外,CMMC還將評估公司網(wǎng)絡(luò)安全實踐和流程的成熟度/制度化水平。
3.強制執(zhí)行
CMMC規(guī)定,美國國防部合同將強制投標人達到一定的認證水平,以贏得特定的工作。例如,如果企業(yè)不競標包含極為敏感信息的合同,則它們必須僅獲得第一級認證,這涉及基本的網(wǎng)絡(luò)安全性,例如更改密碼和運行防病毒軟件;更敏感的程序?qū)⑿枰鼑栏竦目刂啤?/p>
從2020年9月份的10個試點性招標書開始,越來越多的招標書將指定競標者在授標時必須達到的CMMC等級。理論上,企業(yè)今后可以在不遵守規(guī)定的情況下競標,但必須在選擇勝出者之前獲得認證,否則將失去資格。未經(jīng)認證的企業(yè)無法獲得合同。五角大樓官員無權(quán)給予任何企業(yè)網(wǎng)絡(luò)安全認證的通行證。到2026財年,所有的美國防部合同都必須包含網(wǎng)絡(luò)安全成熟度認證等級要求。
4.第三方認證
在CMMC認證方案中,最大的變化是,企業(yè)不能再“自行認證”達到某種標準,而要由五角大樓授權(quán)第三方根據(jù)嚴格的利益沖突規(guī)則評估每家企業(yè)。它建立了一個認證委員會和評估員,董事會是獨立于國防部的外部實體,負責批準評估員對過程中的公司進行認證。這將被稱為認證第三方評估組織(C3PAO)。
同時,一個由來自國防行業(yè)、網(wǎng)絡(luò)安全界和學術(shù)界的13名成員組成的CMMC認證機構(gòu)將負責監(jiān)督C3PAOs的培訓(xùn)工作、質(zhì)量和管理能力。此外,國防部和CMMC認證機構(gòu)之間將簽署備忘錄,明確雙方角色、職責和規(guī)則,以規(guī)避認證過程中的利益沖突。國防部還表示,CMMC將為企業(yè)投標創(chuàng)造公平的競爭環(huán)境,只有達到要求的企業(yè)才能參與競標。
四。結(jié)語
CMMC版本1.0的發(fā)布是國防部的一個重要里程碑,2021年CMMC還將會有更多的進展。隨著國防部發(fā)布有關(guān)其新的分階段實施計劃的詳細信息,我們將繼續(xù)跟蹤CMMC的部署。
當然,美國防部在目前緩慢推進CMMC計劃的過程中,也面臨著來自各方的質(zhì)疑之聲。4月初,有外媒報道,美國BSA互聯(lián)網(wǎng)協(xié)會(該協(xié)會代表了包括美國軟件聯(lián)盟、網(wǎng)絡(luò)安全聯(lián)盟等100多家公司)致信五角大樓指出,目前實施的CMMC計劃在關(guān)鍵領(lǐng)域缺乏足夠的清晰度和可預(yù)測性經(jīng)驗,可能會造成不必要的制度混亂和額外開銷,如果不對該問題加以解決,這些問題可能導(dǎo)致網(wǎng)絡(luò)安全性降低;可能會限制行業(yè)科技競爭并減少政府使用新技術(shù)的機會;CMMC中的某些控件其實比較適用于傳統(tǒng)模型,但不一定適用于現(xiàn)代大規(guī)模的基礎(chǔ)架構(gòu),嚴格遵守這些控制措施實際上可能會為高安全性和高可用性的控制措施帶來新的風險,等等。
未來,美國防部將考慮并結(jié)合IT行業(yè)的反饋意見,確保國防部優(yōu)化實施結(jié)構(gòu)的合理性,優(yōu)化CMMC的有效性,為2026年全面實施CMMC做好充分的準備。