【CMCC 2.0】美国防部发布新版“网络安全成熟度模型认证”计划

Original 掰棒子的防务菌从心推送的防务菌 2022-07-29

上周，美国防部表示，它正在推进一项有争议的网络安全计划，旨在确保数十万国防工业基地 (DIB) 所涉及的国防承包商的网络安全，这源于他们越来越多地面临复杂的网络攻击。在11月4日的一份公告中，美国防部公布了“网络安全成熟度模型认证”（CMCC）2.0，并称该认证包括对特朗普政府期间首次制定的初始计划的改进。

CMMC计划概述

“网络安全成熟度模型认证” (CMMC) 计划提高了 DIB 公司的网络保护标准。它旨在保护国防部与其承包商和分包商共享的敏感非机密信息。该计划将一系列网络安全要求纳入采办计划，并为国防部提供更多保证，确保承包商和分包商满足这些要求。

CMMC框架具有三个关键特性：

分层模型：CMMC要求受托国家安全信息的公司根据信息的类型和敏感性逐步实施高级网络安全标准。该计划还规定了信息流向分包商的流程。

评估要求：CMMC评估使国防部能够验证明确的网络安全标准的实施情况。

通过合同实施：一旦CMMC完全实施，作为授予合同的条件，某些处理敏感非机密国防部信息的国防部承包商将需要达到特定的CMMC级别。

CMCC计划基于一个分层的网络安全框架，根据公司工作所需的分类和安全水平，将其分为一至五级，最初的构想是为了打击被对手利用的承包商信息。去年1月31日，国防部负责采办和维持的副部长埃伦·洛德（Ellen Lord）在一次简报会上告诉记者：“对手知道，在当前的大国竞争环境中，信息和技术都是关键的基石，攻击一个次级供应商要比主供应商更有吸引力。”对手每年在网络盗窃方面给美国造成6000亿美元的损失。但一些承包商的支持者认为，该计划将是昂贵和繁琐的，特别是对小企业和非传统的承包商来说。国防部在一份规划文件中估计它可能影响多达30万名承包商。

CMMC2.0的演变

2020年9月，美国防部在联邦公报中向“国防部联邦采购条例补充”（DFARS）发布了临时规则（DFARS案例2019-D041），该规则实施了国防部对CMMC计划（即CMMC 1.0）的初步愿景，并概述了该框架的基本特征（分层模型、所需评估和通过合同实施）。该暂行规定于2020年11月30日生效，建立了一个五年的过渡期。

2021年3月，国防部根据临时DFARS规则收到了850多条公众意见，对CMMC的实施进行了内部审查。这项全面的、程序化的评估让国防部内的网络安全和采办领导者参与进来，以完善政策和计划实施。该内部评估由国防部负责网络政策的副助理部长米克·欧阳（Mieke Eoyang）、美国网络司令部执行主任大卫·弗雷德里克（David Frederick）、负责网络安全的副首席信息官大卫·麦基翁（David McKeown）和国防部负责工业政策的副助理部长杰西·萨拉查（Jesse Salazar），以及国防部18个部门的其他高级领导人进行。

2021年11月，美国防部宣布了“CMMC 2.0”，旨在实现内部审查的主要目标：

保护敏感信息以启用和保护作战人员；
动态增强DIB网络安全以应对不断变化的威胁；
确保问责制，同时最大限度地减少遵守国防部要求的障碍；
为灌输网络安全和网络弹性的协作文化做出贡献；
通过高专业和道德标准保持公众信任。

CMMC2.0的主要特性

随着CMMC2.0的实施，美国防部正在引入几个关键的变化，这些变化建立在原始计划要求的基础上并加以改进。包括：

流线型模型

专注于最关键的要求：将模型从5个合规级别简化为3个级别。

符合广泛接受的标准：使用美国国家标准与技术研究院 (NIST) 网络安全标准。

可靠的评估

降低评估成本：允许所有1级（基础）公司和部分2级（高级）公司通过自我评估证明合规性。

更高的问责制：加强对第三方评估员专业和道德标准的监督。

灵活实施

合作精神：允许公司在某些有限的情况下制定行动计划和里程碑（POA&Ms）以获得认证。

增加灵活性和速度：允许在某些有限情况下豁免CMMC要求。

CMMC2.0的规则制定和时间表

CMMC2.0中反映的变化将通过规则制定过程实施。一旦即将出台的规则生效，公司将被要求遵守。国防部打算在联邦法规 (CFR) 第32部分以及CFR第48部分的DFARS中制定规则。这两项规则都将有一个公众意见征询期。利益相关者的意见对于实现CMMC计划的目标至关重要，该部门将积极寻求机会让利益相关者参与进来，因为它正在推动全面实施。

虽然这些规则制定工作正在进行中，但国防部打算暂停当前的CMMC试点工作，并且不会批准将CMMC要求包含在任何国防部征集中。

国防部鼓励承包商在规则制定过程中的过渡期内继续加强其网络安全态势。该部门开发了“频谱计划”（Project Spectrum），以帮助DIB公司评估其网络准备情况并开始采用良好的网络安全实践。国防部正在探索为在过渡期间自愿获得CMMC认证的承包商授予合同的机会。

美国防界对CMMC的表态

国防部负责工业政策的副助理部长杰西·萨拉查（Jesse Salazar）表示：“CMMC 2.0将极大地加强国防工业基地的网络安全。通过与工业界建立更多的合作关系，这些更新将支持企业采用他们需要的做法来挫败网络威胁，同时最大限度地减少遵守国防部要求的障碍。”

CMMC认证机构的首席执行官马修·特拉维斯（Matthew Travis）说：“我们祝贺国防部的领导和CMMC执行指导小组制定了我们认为对CMMC的实施有意义的和令人信服的改进。国防部从适当的风险管理角度来处理这个问题，并实现了内部审查所设定的目标：澄清标准，减少成本负担，提高可扩展性，并在CMMC生态系统中注入更大的信任和信心。”他还指出，未来可能会有一些挑战，如调整培训机构的课程和为联邦规则制定提供更多时间。

联邦承包商贸易协会专业服务委员会总裁兼首席执行官大卫·贝托（David Berto）表示：“政府和承包商业界必须继续合作，以解决真正的和不断增长的网络安全威胁，我们需要一个强有力的反应来保护我们的基础设施、信息和供应链。通过今天的宣布，国防部已经实现了一个重要的里程碑。”

来将通名&非诚勿扰

前情回顾

【Gremlins】DARPA“小精灵”项目演示验证展示空中回收能力

【远望防务映像】美国空军军协会2021年度空天网研讨会视频集萃

【ASC21】人工智能是否给对手带来了新的攻击面？

【WMD Threat Sensor】DARPA推进大规模杀伤性武器探测研究应用

【JSTARS-K】美国推销韩版“联合星”

【EXTREME】DARPA、NGA将新型光学技术过渡到可实际应用的原型机上

【HPM Weapon】陆基移动式反无人机群系统竞争进入白热化

【ASC21】空战司令部司令马克·凯利上将：战斗机路线图

【AWACS Replacement】美国空军迈出E-3“哨兵”预警机替换第一步