信息化觀察網(wǎng)

1.前言

安恒信息安全服務(wù)咨詢規(guī)劃團(tuán)隊(duì)一直關(guān)注國內(nèi)外安全體系的演進(jìn)，此次解讀時間比較倉促，希望給業(yè)內(nèi)專家?guī)硪恍┯幸娴乃伎?，如有不足之處還請大家給予指正。團(tuán)隊(duì)還持續(xù)跟進(jìn)該模型的后續(xù)版本以及相關(guān)的操作指南，歡迎聯(lián)系，共同探討。

2.網(wǎng)絡(luò)安全成熟度模型建立背景

網(wǎng)際空間安全問題日益凸顯，各個國家網(wǎng)絡(luò)戰(zhàn)軍備競賽愈演愈烈，最近幾年各類網(wǎng)絡(luò)攻擊事件已經(jīng)對全球各個國家的網(wǎng)絡(luò)空間安全造成了嚴(yán)重威脅，直接威脅到經(jīng)濟(jì)安全和國家安全，并認(rèn)為惡意網(wǎng)絡(luò)行動者已經(jīng)并將持續(xù)針對國防工業(yè)基地(DIB)部門和國防部(DoD)的供應(yīng)鏈發(fā)起攻擊，國防部供應(yīng)鏈的知識產(chǎn)權(quán)和某些非機(jī)密信息的總損失可能削弱美國的技術(shù)優(yōu)勢和創(chuàng)新，并顯著增加國家安全風(fēng)險。美國國防部負(fù)責(zé)采購與維持的副部長辦公室(OUSD(A&S))認(rèn)為之前的NIST等網(wǎng)絡(luò)安全控制類標(biāo)準(zhǔn)不能滿足當(dāng)今的網(wǎng)絡(luò)防御要求，為此，在2019年5月底對合作的研究機(jī)構(gòu)卡內(nèi)基梅隆大學(xué)和約翰霍普金斯大學(xué)應(yīng)用物理實(shí)驗(yàn)室有限責(zé)任公司提出了整合現(xiàn)有體系標(biāo)準(zhǔn)，開發(fā)網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)框架的要求，將要保護(hù)的信息數(shù)據(jù)類型和敏感性以及相關(guān)的威脅范圍相結(jié)合，形成來自多個網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、框架和其他參考的成熟流程和網(wǎng)絡(luò)安全最佳實(shí)踐。參考整合的各類網(wǎng)絡(luò)安全標(biāo)準(zhǔn)有：

NIST SP 800-171

NIST SP 800-171B

NIST SP 800-53

NIST CSF V1.1

CERT RMM V1.2

CIS Controls

ISO 270001和ISO 27032

AIA NAS9933

其他成熟的網(wǎng)絡(luò)安全最佳實(shí)踐體系（UK NCSC、AU ACSC、FAR等）

但與NIST SP 800-171之類的安全標(biāo)準(zhǔn)體系不同，除了網(wǎng)絡(luò)安全控制標(biāo)準(zhǔn)外，CMMC將更廣泛地“衡量一家公司網(wǎng)絡(luò)安全實(shí)踐和安全運(yùn)營過程制度化的成熟度”。CMMC將實(shí)現(xiàn)多個級別的網(wǎng)絡(luò)安全。 除了評估公司實(shí)施網(wǎng)絡(luò)安全控制措施的成熟度外，CMMC還將評估公司網(wǎng)絡(luò)安全實(shí)踐和流程的成熟度/制度化水平。

從美國國防部各級官員對于網(wǎng)絡(luò)安全成熟度模型認(rèn)證的要求可以看到美國正在傾力打造國防相關(guān)的信息數(shù)據(jù)保護(hù)和安全防御體系，強(qiáng)制要求所有國防相關(guān)企業(yè)快速落地網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)框架。

A.美國國防部首席信息安全官（CISO）凱蒂·阿靈頓（Katie Arrington）：

任何涉及到美國聯(lián)邦合同信息（FCI）的企業(yè)都必須滿足基本的網(wǎng)絡(luò)安全成熟度要求，涉及到美國受控未分類信息（CUI）的企業(yè)和組織都需要達(dá)到網(wǎng)絡(luò)安全成熟度安全認(rèn)證的第三級，而涉及到國家安全的企業(yè)和組織必須滿足四五級要求，才能應(yīng)對各類高級持續(xù)威脅（APT）黑客組織攻擊，保障國家安全。

B.美國國防部負(fù)責(zé)采購和維持事務(wù)的副部長埃倫·洛德（Ellen Lord）：

國防部意識到認(rèn)證成本對于中小型企業(yè)可能是沉重的負(fù)擔(dān)，并將與這些企業(yè)合作以確保其符合合規(guī)標(biāo)準(zhǔn)。該部門去年向5,200個小型企業(yè)國防承包商提供了CMMC合規(guī)培訓(xùn)，并預(yù)計將來會運(yùn)行類似的計劃。國防部還計劃直接向大型承包商提供幫助，以轉(zhuǎn)嫁給較小的分包商。

C.國防部（DoD）解釋創(chuàng)建CMMC原因：

國防部（DoD）的承包商現(xiàn)在已經(jīng)非常清楚過去幾年來席卷整個美國的防網(wǎng)絡(luò)安全要求。2015年，美國國防部發(fā)布了《國防采辦聯(lián)邦法規(guī)補(bǔ)充》（稱為DFARS），該法規(guī)要求私人DoD承包商根據(jù)NIST SP 800-171網(wǎng)絡(luò)安全框架采用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。這是政府主導(dǎo)的努力的一部分，旨在保護(hù)美國國防供應(yīng)鏈免受國內(nèi)外網(wǎng)絡(luò)威脅，并降低該部門的整體安全風(fēng)險。

自從DFARS通過以來，已有超過30萬美國國防部承包商爭先恐后地了解DFARS并在其公司內(nèi)實(shí)施NIST SP 800-171標(biāo)準(zhǔn)以符合法規(guī)要求。一些公司擁有內(nèi)部資源以使其自己能夠合規(guī)，而另一些公司則將該任務(wù)外包給了托管服務(wù)提供商，例如SysArc，后者幫助DoD承包商遵守其網(wǎng)絡(luò)安全要求。盡管國防部通過在合同授予過程中使其成為“競爭優(yōu)勢”來激勵合規(guī)性，但許多承包商還是選擇推遲合規(guī)性。由于DFARS 252.204-7012法規(guī)的采用速度很慢，實(shí)際效果無法滿足國家級網(wǎng)絡(luò)防護(hù)的需求，所以國防部發(fā)布了網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC），以確保適當(dāng)水平的網(wǎng)絡(luò)安全控制和流程適當(dāng)并已到位，以保護(hù)DoD承包商系統(tǒng)上的受控未分類信息（CUI）。

3.CMMC網(wǎng)絡(luò)安全成熟度模型認(rèn)證體系解讀

A.首先CMMC是一個基于數(shù)據(jù)保護(hù)為中心的安全成熟度評價體系。在這套體系里面，重點(diǎn)提到保護(hù)目標(biāo)是CUI-受控的非機(jī)密信息，那這個定義清晰的界定了所保護(hù)數(shù)據(jù)的范圍，任何絕密/秘密的涉及國家安全的數(shù)據(jù)信息不包含在內(nèi)，CUI是政府創(chuàng)建或擁有的，或組織實(shí)體為政府創(chuàng)建或擁有的或代表政府創(chuàng)建或擁有的信息，這些信息是法律，法規(guī)或政府范圍內(nèi)的政策要求或允許機(jī)構(gòu)使用保障或傳播控制措施進(jìn)行處理的信息。在CMMC體系文檔中沒有明確針對所保護(hù)數(shù)據(jù)信息的分類分級做明確的定義和說明，直接引用在美國的國家檔案網(wǎng)站中CUI的分類與細(xì)分子類的詳細(xì)描述說明，以及細(xì)分子類的分類指南和示例。

B.CUI數(shù)據(jù)信息的總體分類包括：關(guān)鍵基礎(chǔ)設(shè)施、防御、出口管制、金融、出入境、情報、國際協(xié)定、執(zhí)法、法律、自然和文化資源、北約、核、隱私、采購與供應(yīng)鏈、專有業(yè)務(wù)信息、臨時信息、統(tǒng)計、稅務(wù)。

C.重點(diǎn)分析涵蓋的17個域， 17個域都是圍繞著對數(shù)據(jù)的全生命周期的保護(hù)，從數(shù)據(jù)的創(chuàng)建、收集、存儲、傳輸使用到銷毀進(jìn)行保護(hù)和監(jiān)控。我們可以提取其中幾個比較重要的點(diǎn)來做分析，第1個，數(shù)據(jù)保護(hù)的需求在業(yè)務(wù)系統(tǒng)開發(fā)的早期就得以介入，這一點(diǎn)和歐盟的通用數(shù)據(jù)數(shù)據(jù)保護(hù)條例GDPR中的PBD是很類似的。第2個，重點(diǎn)關(guān)注了對數(shù)據(jù)的訪問控制和身份認(rèn)證，以及對數(shù)據(jù)訪問的審計追溯，有三個域涵蓋了這方面的安全能力。

D.接著基于以數(shù)據(jù)為中心的安全能力分類方法對整個17個域做一個分類，基于數(shù)據(jù)保護(hù)的身份與訪問管理包括訪問控制AC、身份認(rèn)證IA、審計和問責(zé)制AU，基于數(shù)據(jù)保護(hù)的業(yè)務(wù)系統(tǒng)設(shè)計開發(fā)運(yùn)維包括系統(tǒng)和通訊保護(hù)SC、系統(tǒng)和信息完整性SI、安全評估CA，基于數(shù)據(jù)保護(hù)的安全運(yùn)營包括風(fēng)險管理RM、態(tài)勢感知SA、配置管理CM、事件響應(yīng)IR、資產(chǎn)管理AM、運(yùn)維MA，基于數(shù)據(jù)保護(hù)的人員安全包括安全意識和培訓(xùn)AT、人員安全PS，數(shù)據(jù)保護(hù)技術(shù)措施包括介質(zhì)保護(hù)MP、物理安全保護(hù)PE、數(shù)據(jù)備份與恢復(fù)RE。

E.可以看到在這17個域里面所涉及多個安全實(shí)踐，CMMC體系文檔中對每一條實(shí)踐的描述說明實(shí)際上還是比較簡單的，所以在實(shí)際的落地過程活動中，還需要結(jié)合行業(yè)和組織的業(yè)務(wù)場景來開發(fā)細(xì)粒度的實(shí)踐指南，用于指導(dǎo)組織建立相關(guān)的安全管理制度流程以及部署合適的安全技術(shù)手段，并通過安全運(yùn)營實(shí)現(xiàn)PDCA，從而通過其所適配級別的CMMC安全成熟度認(rèn)證。

4.CMMC標(biāo)準(zhǔn)執(zhí)行思路解讀

A.全新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)由獨(dú)立第三方組織C3PAO進(jìn)行審核

CMMC通過創(chuàng)建具有五個級別的新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和一個第三方審核機(jī)構(gòu)C3PAO來執(zhí)行審核，從而解決了這些問題。CMMC的第一級對應(yīng)于基本的網(wǎng)絡(luò)安全，第三級大致對應(yīng)于NIST SP 800-171標(biāo)準(zhǔn)，而第四級及以上則包括針對高級威脅的防護(hù)。CMMC的第三方認(rèn)證機(jī)構(gòu)將評估所有300,000多家國防工業(yè)基礎(chǔ)公司，根據(jù)他們的網(wǎng)絡(luò)安全狀況為其分配一個級別（從1到5）

鑒于新的攻擊手法和攻擊態(tài)勢，信息安全標(biāo)準(zhǔn)的采用尤其重要。安全地使用這些數(shù)據(jù)（在整個供應(yīng)鏈中集成數(shù)據(jù)），不僅需要增強(qiáng)網(wǎng)絡(luò)安全性，而且還需要更加謹(jǐn)慎的關(guān)注信息安全性。

CMMC框架的概念是針對一系列國防部信息泄露而產(chǎn)生的。這使得國防部重新評估了其對國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的SP800-171中安全控制的要求，認(rèn)為該標(biāo)準(zhǔn)不足以抵御日益增長和演變的威脅，尤其是來自國家行為網(wǎng)絡(luò)攻擊的威脅。

B.各級成熟度安全要求

根據(jù)CMMC網(wǎng)站發(fā)布的信息，CMMC的初始實(shí)施僅適用于國防部。但CMMC草案使用了CUI術(shù)語，而不是DFARS 252.204-7012中使用的涵蓋國防信息（CDI），這表明，該模型在國防部之外的潛在作用更為廣泛。根據(jù)CMMC要求，所有與國防部開展業(yè)務(wù)的公司，包括分包商，都必須經(jīng)過認(rèn)證。CMMC將各類網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（如NIST SP 800-171、NIST SP 800-53、ISO 270001和ISO 27032）的相關(guān)部分合并為一個統(tǒng)一的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。但與NIST SP 800-171不同，CMMC將更廣泛地“衡量一家公司網(wǎng)絡(luò)安全實(shí)踐和安全運(yùn)營過程制度化的成熟度”。

一級可以是“簡單到你的公司有防病毒軟件嗎？你在更新你的殺毒軟件嗎？你在更新你的密碼嗎？CMMC框架確定了網(wǎng)絡(luò)安全的17個特定方面（來自于NIST 800-171 rev1），一級遵從性只需要在17個方面中的每一個中建立一個基本的“控制”措施。

第二階段是一個過渡階段，需要實(shí)施NIST 800-171 rev1的另外48個控件以及7個新的“其他”控件，通過制定新的流程、規(guī)劃和預(yù)算，幫助企業(yè)為更高層次做好準(zhǔn)備。

最大的飛躍是第三級，這是處理受控非保密信息的最低要求，公司必須從第一級和第二級所需的17項(xiàng)控制上升到110多項(xiàng)。這些標(biāo)準(zhǔn)也同樣源于國家標(biāo)準(zhǔn)NIST 800-171 rev1。

第四級和第五級為“非常關(guān)鍵的技術(shù)公司”的最敏感合同增加了額外的控制。這些標(biāo)準(zhǔn)將源于NIST 800-171 RevB、國際標(biāo)準(zhǔn)組織（ISO）、航空工業(yè)協(xié)會（AIA）和其他機(jī)構(gòu)發(fā)布或正在制定的標(biāo)準(zhǔn)。

C.CMMC2020執(zhí)行時間表

1月：來自工業(yè)界、學(xué)術(shù)界和網(wǎng)絡(luò)安全界的13位專家——其中一半有小企業(yè)背景——齊聚一堂，組成了一個CMMC“認(rèn)證機(jī)構(gòu)”。這基本上是一個獨(dú)立的、非盈利的、由行業(yè)資助的委員會，負(fù)責(zé)監(jiān)督第三方評估員的培訓(xùn)和認(rèn)證。國防部和委員會之間的詳細(xì)諒解備忘錄正在起草中。

3-4月：DOD的在線“市場”將上線，在那里尋求CMMC認(rèn)證的公司可以找到并雇傭第三方認(rèn)證公司。

5-6月：五角大樓將完成正式的規(guī)則制定過程，并發(fā)布一份新的國防部聯(lián)邦采購條例（DFAR），說明CMMC的工作原理。

7月：國防采購部門（DAU）將開始提供CMMC在線課程，五角大樓將發(fā)布前10個“探路者”合同的信息請求（RFI），每個合同預(yù)計將影響約150個承包商和分包商。其中一些合同只要求CMMC一級，其他三級，而“一個或兩個”可能要求四級或五級。

9月：根據(jù)行業(yè)反饋，五角大樓將發(fā)布10份探路者合同的正式征求建議書（RFP）。實(shí)際的證書將在數(shù)周或數(shù)月后頒發(fā)。

D.企業(yè)如何準(zhǔn)備CMMC審核

如上所述，各種CMMC級別要求NIST SP 800-171版本1 和NIST SP 800-171版本B中概述的不同控件。國防部承包商應(yīng)確定他們希望獲得的CMMC等級，然后實(shí)施必要的控制措施。對于已經(jīng)實(shí)施了所有NIST SP 800-171控制措施的國防部承包商，他們結(jié)合標(biāo)準(zhǔn)，配合外部咨詢公司成功通過CMMC審核直至CMMC 3級方面應(yīng)該沒有問題。

擁有足夠資源和安全人員的DoD承包商或供應(yīng)商可以在內(nèi)部滿足適當(dāng)?shù)腃MMC網(wǎng)絡(luò)安全級別。內(nèi)部IT部門可以使用美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）提供的“自我評估手冊-NIST手冊162”。該手冊是由NIST創(chuàng)建的，旨在協(xié)助為國防部提供產(chǎn)品和服務(wù)的美國國防部承包商。不幸的是，該手冊僅涵蓋NIST SP 800-171版本1（適用于CMMC 3級認(rèn)證），目前尚無NIST SP 800-171版本B的自我評估手冊。

如果承包商不具備滿足NIST SP 800-171版本1或版本B要求的專業(yè)知識，則國防部承包商可以選擇將要求外包給提供CMMC合規(guī)性服務(wù)的第三方CMMC顧問。美國有許多合格且經(jīng)驗(yàn)豐富的托管安全服務(wù)提供商（MSSP），他們專門提供法規(guī)遵從服務(wù)并為需要實(shí)施NIST網(wǎng)絡(luò)安全控制的國防部承包商監(jiān)控網(wǎng)絡(luò)安全。合格的MSSP將能夠執(zhí)行此評估并執(zhí)行通過CMMC審核所需的任何補(bǔ)救工作。

NIST SP 800-171自我評估手冊下載

https://nvlpubs.nist.gov/nistpubs/hb/2017/NIST.HB.162.pdf

E. 外包：與CMMC顧問合作

對于許多國防部承包商而言，滿足CMMC網(wǎng)絡(luò)安全要求的最有效方法是將任務(wù)外包給專門從事CMMC咨詢的托管安全服務(wù)提供商（MSSP）。請記住，國防部承包商仍然要最終負(fù)責(zé)確保其公司滿足適當(dāng)?shù)木W(wǎng)絡(luò)安全要求，因此選擇您確定可以信任的MSSP至關(guān)重要。

通過將NIST網(wǎng)絡(luò)安全工作外包給合格的提供商，國防部承包商應(yīng)節(jié)省大量時間和金錢，以保持和遵守CMMC。外包供應(yīng)商將具有差距分析和系統(tǒng)安全計劃所需的所有必需文檔模板，以及監(jiān)視和響應(yīng)安全事件所需的高級工具。他們還將擁有執(zhí)行合規(guī)性所需的補(bǔ)救步驟所需的資源，以及在需要進(jìn)行CMMC審核時將證明已達(dá)到合規(guī)性的法律文件并得到維護(hù)。

1.CMMC準(zhǔn)備情況評估

認(rèn)證的第一步是讓DoD承包商完成第三方準(zhǔn)備情況評估，以查看DoD承包商距離適當(dāng)CMMC級別概述的最低要求有多近或多遠(yuǎn)。就緒評估旨在發(fā)現(xiàn)可能無法滿足所有必需控制要求的不足的系統(tǒng)設(shè)置和流程。仔細(xì)研究公司的網(wǎng)絡(luò)和程序是確保合規(guī)性的第一步。

CMMC準(zhǔn)備狀況評估的結(jié)果可能會揭示以下問題：

如何控制對信息系統(tǒng)的訪問

管理人員和信息系統(tǒng)管理員的培訓(xùn)方式

數(shù)據(jù)記錄如何存儲

如何實(shí)施安全控制和措施

事故響應(yīng)計劃如何制定和實(shí)施

沒有差距分析，就不可能知道組織在達(dá)到要求的CMMC級別之前需要進(jìn)行哪些更改。MSSP的專業(yè)人員使用他們的發(fā)現(xiàn)來制定補(bǔ)救計劃，該計劃將糾正任何問題并使我們的客戶符合CMMC的要求。差距分析將幫助國防部承包商執(zhí)行他們自己的補(bǔ)救計劃，或者他們可能選擇讓第三方（例如MSSP）為他們進(jìn)行補(bǔ)救。

F.整改計劃

CMMC準(zhǔn)備情況顧問應(yīng)根據(jù)準(zhǔn)備情況評估中概述的結(jié)果制定補(bǔ)救計劃。補(bǔ)救計劃可能涉及對網(wǎng)絡(luò)和過程的影響較小且相對便宜的修復(fù)，或者從頭開始可能涉及更廣泛的開發(fā)符合當(dāng)今網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的兼容網(wǎng)絡(luò)和過程。

修復(fù)計劃提供了不符合當(dāng)今標(biāo)準(zhǔn)的詳細(xì)過程文檔，精心研究的計劃還可以使國防部承包商更輕松地對其系統(tǒng)進(jìn)行必要的更改。

G.持續(xù)的網(wǎng)絡(luò)安全監(jiān)控和報告

一旦修復(fù)計劃完成并且DoD承包商的系統(tǒng)和程序符合相應(yīng)的CMMC級別，MSSP將擁有適當(dāng)?shù)墓ぞ吆瓦^程來監(jiān)視，檢測和報告DoD承包商系統(tǒng)中的網(wǎng)絡(luò)安全漏洞。如果DoD承包商未將合規(guī)性外包給MSSP，則他們可以選擇自行報告網(wǎng)絡(luò)事件，因?yàn)樗麄兙哂斜O(jiān)視和檢測此類事件的工具。

5.總結(jié)

網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)框架包含五個成熟度過程和 171 個跨越五個成熟度級別的網(wǎng)絡(luò)安全最佳實(shí)踐。CMMC 成熟度過程使網(wǎng)絡(luò)安全活動制度化，以確保它們是一致的、可重復(fù)的和高質(zhì)量的。

從2018年美國的加州消費(fèi)者隱私法案（CCPA）到歐盟的通用數(shù)據(jù)保護(hù)條例GDPR，再到國內(nèi)數(shù)據(jù)安全成熟度模型以及個人隱私法案的落地，全球?qū)εc數(shù)據(jù)安全和用戶隱私安全的要求愈加嚴(yán)格，而CMMC從創(chuàng)立的背景要求來看是對《國防采辦聯(lián)邦法規(guī)補(bǔ)充》（稱為DFARS）要求遵循的NIST SP 800-171強(qiáng)有力的補(bǔ)充優(yōu)化，而實(shí)際上成熟度模型認(rèn)證(CMMC)是將數(shù)據(jù)安全的要求進(jìn)一步和多種標(biāo)準(zhǔn)以及最佳實(shí)踐相融合，把信息數(shù)據(jù)安全的要求提到最重要的維度，關(guān)注安全運(yùn)營過程的成熟度，彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)安全控制類防護(hù)要求的不足，更符合現(xiàn)現(xiàn)代網(wǎng)際空間對抗形式下對與高級威脅的防御保護(hù)要求。