2020年1月31日,美國國防部發布了《網路安全成熟度模型認證1.0版》(Cybersecurity Maturity Model Certification,CMMC)檔案及其概要介紹和附件,CMMC是由國防部開發的認證框架,用於衡量國防承包商維護執行國防部合同時處理的聯邦合同資訊(“FCI”)和受控非機密資訊(“CUI”)的能力。這是美國防部為防務承包商確定的首套網路安全標準。隨後,在2月24-28日召開的全球資訊保安行業年度盛會RSA會議上,美軍方代表公開表示:CMMC對美國國家國防工業基地(DIB)網路安全影響深遠,對美國網路安全發展至關重要;3月下旬,美國傳統基金會發表特別報告,報告站在使美國能夠更好應對大國競爭的角度,重點就提高美軍網路空間作戰能力提出四條建議,其中第一條建議就包括實施網路安全成熟度模型認證。
《網路安全成熟度模型認證》的提出和貫徹,意味著美軍在武器系統和國防工業網路防護要求方面已率先形成規範,將有力推動網路防護能力全面提升。未來,CMMC很有可能成為全球企業資訊保安認證的下一個“黃金標準”。
一、美軍推行CMMC計劃的背景及程序
1.出臺背景
CMMC計劃出臺的背景主要是基於美軍近年來對美國DIB網路面臨的安全風險分析:美國國防部每天要遭受4000萬次網際網路攻擊,而國防部認定其供應鏈為網路安全風險的主要領域之一,該供應鏈由DIB內30多萬家承包商構成。特別是,在這些承包商中,小型企業越來越受到民族國家的數字化攻擊,必須做更多的工作來評估和加強與網路攻擊作鬥爭的承包商的安全性。
在當今大國競爭的環境中,資訊和技術都是國家安全的基石,而攻擊次級供應商遠比直接攻擊主要供應商更具吸引力。為了確保國防部供應鏈的安全,嚴格審查和認證這30多萬家承包商的網路安全行為,美國國防部推出了CMMC計劃。CMMC計劃的出臺標誌著,美國國防部開始將強制性網路安全要求擴大到包含中小企業在內的國防工業,未來不滿足相應等級要求的企業將無法競爭美國國防部合同。
2.推進過程
* 2019年3月,國防部首次宣佈將開發CMMC;
* 2019年5月底,美國國防部宣佈與卡內基梅隆大學和約翰霍普金斯大學應用物理實驗室有限責任公司合作開發CMMC框架;
* 2020 年1月31日,國防部發布CMMC 1.0版;
* 2020年6月,國防部將釋出首批包含基於該模型的網路安全成熟度等級要求的資訊徵詢書(RFI),全年釋出10份;
* 2020年9月,國防部將釋出首批包含該要求的方案徵詢書(RFP),全年釋出10份;
* 到2021年底,預計將有1,500家公司獲得認證;
* 到2026財年,所有的美國防部合同都將包含網路安全成熟度認證等級要求。
二、美軍CMMC標準的主要內容
CMMC是一套網路安全指南,也可以看作是一個分層網路安全框架,是美國國防部用來對NIST 800-171合規範圍內企業進行第三方獨立審計的一套方法。它根據防務承包商參與工作的分類和專案敏感性的安全級別,具有跨多個成熟度級別(從基本網路衛生到高階措施)的相關控制和過程,能夠保護企業和網路系統免遭最高階駭客攻擊。
1.1.0版模型概述
CMMC框架對國防部供應鏈中的網路安全將基於五個認證等級的確定,每個級別都由承包商必須證明以達到該級別認證的實踐和流程組成。這五個等級是:
1級:基本網路衛生;
2級:中級網路衛生;
3級:良好的網路衛生;
4級:積極主動;
5級:進階/漸進。
以上五個CMMC級別與以下目標相關:保護CUI並降低高階持續威脅(APT)的風險。
級別1:保護聯邦合同資訊(FCI);
級別2:充當網路安全成熟度發展的過渡步驟,以保護受控的非機密資訊(CUI);
級別3:保護CUI;4–5級:
4–5級:保護CUI並降低高階持續威脅(APT)的風險。其中:
1級要求最低:CMMC框架大約確定了17個網路安全特定“領域”,1級合規性僅要求在各個領域制定一項基本的“控制”措施。
2級是過渡階段:五角大樓透過建立新的流程、規劃和預算幫助各企業為更高的認證級別做好準備。其目標仍以“幫助小企業”為主。
3級跨度最大:是處理受控非機密資訊的最低要求,企業的控制措施必須從前兩級要求的17項增加到110多項。這些標準出自美國國家標準技術研究院的NIST 800-171修訂版檔案,也是目前許多企業聲稱已經達到的標準。
4級和5級針對承包最敏感合同的“極核心技術企業”,增加了額外的控制措施。這些標準將來自美國國家標準技術研究院、國際標準組織(ISO)、航空航天工業協會(AIA)等機構已經發布或正在制定的標準。
CMMC模型的1.0版包含17個域(網路安全合規性的高階類別),其中包含43種功能(確保在每個域內都實現網路安全目標的成就)。這些功能依次包括五個成熟度級別的171個實踐。1.0版還包含五個過程,這些過程涉及組織的實踐制度化。國防部針對版本1.0的簡介檔案顯示了這些域,功能,實踐和流程如何在CMMC模型中結合在一起。
2.1.0版的新功能
1.0版的大小和內容與先前的0.7版非常相似。但是,版本1.0確實包含了先前草案的一些重要更新:
(1)流程成熟度
CMMC版本1.0不包括在先前的草案中提到的預期的特定域的過程。CMMC框架基於承包商的實踐(技術活動)和過程(使這些實踐制度化的過程)為承包商分配評級。與版本0.7中的九個程序相比,版本1.0僅包含五個程序(第2級中有兩個程序,第3-5級中每個都有一個程序)。此外,該模型的版本1.0並未詳細描述如何修改每個流程以適用於每個單獨的域,如版本0.7所建議的那樣。相反,如先前的草案一樣,版本1.0僅將流程描述為適用於模型中每個域的通用成熟度流程。
(2)對所有級別進行討論、說明和示例
CMMC版本1.0的附錄B包含針對該模型的所有五個級別的171個實踐和五個過程的每一個進行的詳細說明。附錄B詳細說明了:(1)實踐或過程所源自的參考;(2)對實踐或過程的討論;(3)實踐或過程的說明,至少包括一個如何在組織內證明該實踐的示例。版本0.7僅針對與級別1-3相關的實踐提供了這些描述。現在,版本1.0包含了模型所有級別上的實踐和流程的詳細說明。
(3)源對映
版本1.0的附錄E是一個新的“源對映”資源,它提供了來自其他網路安全參考和框架的相關實踐的詳細列表,並顯示了這些實踐如何“對映”到CMMC模型的實踐和過程。
(4)認證期限
儘管CMMC版本1.0並未說明認證期限,但國防部國防採購部助理部長首席資訊保安官兼CMMC推出過程中的關鍵角色美國國防部的Katie Arrington在釋出當天的新聞釋出會上表示,公司的三年認證期將是“很好的”。這表明,一旦在一定的成熟度水平上進行了稽核和認證,組織將被要求保留該認證級別三年,然後才需要進行另一次稽核。
三、美軍CMMC標準的特點
1.覆蓋範圍廣
CMMC框架將要求DOD供應鏈中的所有公司都必須獲得認證才能開展業務,其認證範圍涉及國防部供應鏈中的30多萬家公司,全部需要獲得認證才能與國防部開展業務。
這一要求主要是基於國防部發現,其供應鏈中最容易受到網路安全威脅傷害的就是那些初創公司和小型公司,下層供應商比主承包商更容易被網路攻擊對手瞄準。
2.標準統一
CMMC標準整合了現有標準體系,將要保護的資訊資料型別和敏感性以及相關的威脅範圍相結合,形成來自多個網路安全標準、框架和其他參考的成熟流程和網路安全最佳實踐。其參考整合的各類網路安全標準有:NIST SP 800-171;NIST SP 800-171B;NIST SP 800-53;NIST CSF V1.1;CERT RMM V1.2;CIS Controls;ISO 270001和ISO 27032;;AIA NAS9933,以及其他成熟的網路安全最佳實踐體系(比如,UK NCSC、AU ACSC、FAR等)。
但與NIST SP 800-171之類的安全標準體系不同,除了網路安全控制標準外,CMMC將更廣泛地“衡量一家公司網路安全實踐和安全運營過程制度化的成熟度”。CMMC將實現多個級別的網路安全。除了評估公司實施網路安全控制措施的成熟度外,CMMC還將評估公司網路安全實踐和流程的成熟度/制度化水平。
3.強制執行
CMMC規定,美國國防部合同將強制投標人達到一定的認證水平,以贏得特定的工作。例如,如果企業不競標包含極為敏感資訊的合同,則它們必須僅獲得第一級認證,這涉及基本的網路安全性,例如更改密碼和執行防病毒軟體;更敏感的程式將需要更嚴格的控制。
從2020年9月份的10個試點性招標書開始,越來越多的招標書將指定競標者在授標時必須達到的CMMC等級。理論上,企業今後可以在不遵守規定的情況下競標,但必須在選擇勝出者之前獲得認證,否則將失去資格。未經認證的企業無法獲得合同。五角大樓官員無權給予任何企業網路安全認證的通行證。到2026財年,所有的美國防部合同都必須包含網路安全成熟度認證等級要求。
4.第三方認證
在CMMC認證方案中,最大的變化是,企業不能再“自行認證”達到某種標準,而要由五角大樓授權第三方根據嚴格的利益衝突規則評估每家企業。它建立了一個認證委員會和評估員,董事會是獨立於國防部的外部實體,負責批准評估員對過程中的公司進行認證。這將被稱為認證第三方評估組織(C3PAO)。
同時,一個由來自國防行業、網路安全界和學術界的13名成員組成的CMMC認證機構將負責監督C3PAOs的培訓工作、質量和管理能力。此外,國防部和CMMC認證機構之間將簽署備忘錄,明確雙方角色、職責和規則,以規避認證過程中的利益衝突。國防部還表示,CMMC將為企業投標創造公平的競爭環境,只有達到要求的企業才能參與競標。
四.結語
CMMC版本1.0的釋出是國防部的一個重要里程碑,2021年CMMC還將會有更多的進展。隨著國防部發布有關其新的分階段實施計劃的詳細資訊,我們將繼續跟蹤CMMC的部署。
當然,美國防部在目前緩慢推進CMMC計劃的過程中,也面臨著來自各方的質疑之聲。4月初,有外媒報道,美國BSA網際網路協會(該協會代表了包括美國軟體聯盟、網路安全聯盟等100多家公司)致信五角大樓指出,目前實施的CMMC計劃在關鍵領域缺乏足夠的清晰度和可預測性經驗,可能會造成不必要的制度混亂和額外開銷,如果不對該問題加以解決,這些問題可能導致網路安全性降低;可能會限制行業科技競爭並減少政府使用新技術的機會;CMMC中的某些控制元件其實比較適用於傳統模型,但不一定適用於現代大規模的基礎架構,嚴格遵守這些控制措施實際上可能會為高安全性和高可用性的控制措施帶來新的風險,等等。
未來,美國防部將考慮並結合IT行業的反饋意見,確保國防部最佳化實施結構的合理性,最佳化CMMC的有效性,為2026年全面實施CMMC做好充分的準備。
商務合作 | 開白轉載 | 媒體交流 | 理事服務
請聯絡:15710013727(微信同號)
《資訊保安與通訊保密》雜誌投稿
聯絡電話:13391516229(微信同號)
《通訊技術》雜誌投稿
聯絡電話:15198220331(微信同號)
