《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 美國(guó)防工業(yè)網(wǎng)絡(luò)安全能力的全面提升

美國(guó)防工業(yè)網(wǎng)絡(luò)安全能力的全面提升

2021-10-21
來(lái)源:信息安全與通信保密雜志社
關(guān)鍵詞: 工業(yè)網(wǎng)絡(luò)

  2020年1月31日,,美國(guó)國(guó)防部發(fā)布了《網(wǎng)絡(luò)安全成熟度模型認(rèn)證1.0版》(Cybersecurity Maturity Model Certification,,CMMC)文件及其概要介紹和附件,,CMMC是由國(guó)防部開發(fā)的認(rèn)證框架,,用于衡量國(guó)防承包商維護(hù)執(zhí)行國(guó)防部合同時(shí)處理的聯(lián)邦合同信息(“FCI”)和受控非機(jī)密信息(“CUI”)的能力,。這是美國(guó)防部為防務(wù)承包商確定的首套網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。隨后,,在2月24-28日召開的全球信息安全行業(yè)年度盛會(huì)RSA會(huì)議上,,美軍方代表公開表示:CMMC對(duì)美國(guó)國(guó)家國(guó)防工業(yè)基地(DIB)網(wǎng)絡(luò)安全影響深遠(yuǎn),對(duì)美國(guó)網(wǎng)絡(luò)安全發(fā)展至關(guān)重要,;3月下旬,,美國(guó)傳統(tǒng)基金會(huì)發(fā)表特別報(bào)告,報(bào)告站在使美國(guó)能夠更好應(yīng)對(duì)大國(guó)競(jìng)爭(zhēng)的角度,,重點(diǎn)就提高美軍網(wǎng)絡(luò)空間作戰(zhàn)能力提出四條建議,,其中第一條建議就包括實(shí)施網(wǎng)絡(luò)安全成熟度模型認(rèn)證。

  《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》的提出和貫徹,,意味著美軍在武器系統(tǒng)和國(guó)防工業(yè)網(wǎng)絡(luò)防護(hù)要求方面已率先形成規(guī)范,,將有力推動(dòng)網(wǎng)絡(luò)防護(hù)能力全面提升。未來(lái),,CMMC很有可能成為全球企業(yè)信息安全認(rèn)證的下一個(gè)“黃金標(biāo)準(zhǔn)”,。

  一、美軍推行CMMC計(jì)劃的背景及進(jìn)程

  1.出臺(tái)背景

  CMMC計(jì)劃出臺(tái)的背景主要是基于美軍近年來(lái)對(duì)美國(guó)DIB網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)分析:美國(guó)國(guó)防部每天要遭受4000萬(wàn)次互聯(lián)網(wǎng)攻擊,,而國(guó)防部認(rèn)定其供應(yīng)鏈為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的主要領(lǐng)域之一,,該供應(yīng)鏈由DIB內(nèi)30多萬(wàn)家承包商構(gòu)成。特別是,,在這些承包商中,,小型企業(yè)越來(lái)越受到民族國(guó)家的數(shù)字化攻擊,必須做更多的工作來(lái)評(píng)估和加強(qiáng)與網(wǎng)絡(luò)攻擊作斗爭(zhēng)的承包商的安全性,。

  在當(dāng)今大國(guó)競(jìng)爭(zhēng)的環(huán)境中,,信息和技術(shù)都是國(guó)家安全的基石,而攻擊次級(jí)供應(yīng)商遠(yuǎn)比直接攻擊主要供應(yīng)商更具吸引力,。為了確保國(guó)防部供應(yīng)鏈的安全,,嚴(yán)格審查和認(rèn)證這30多萬(wàn)家承包商的網(wǎng)絡(luò)安全行為,美國(guó)國(guó)防部推出了CMMC計(jì)劃,。CMMC計(jì)劃的出臺(tái)標(biāo)志著,,美國(guó)國(guó)防部開始將強(qiáng)制性網(wǎng)絡(luò)安全要求擴(kuò)大到包含中小企業(yè)在內(nèi)的國(guó)防工業(yè),未來(lái)不滿足相應(yīng)等級(jí)要求的企業(yè)將無(wú)法競(jìng)爭(zhēng)美國(guó)國(guó)防部合同,。

  2.推進(jìn)過(guò)程

  * 2019年3月,,國(guó)防部首次宣布將開發(fā)CMMC,;

  * 2019年5月底,美國(guó)國(guó)防部宣布與卡內(nèi)基梅隆大學(xué)和約翰霍普金斯大學(xué)應(yīng)用物理實(shí)驗(yàn)室有限責(zé)任公司合作開發(fā)CMMC框架,;

  * 2020 年1月31日,,國(guó)防部發(fā)布CMMC 1.0版;

  * 2020年6月,,國(guó)防部將發(fā)布首批包含基于該模型的網(wǎng)絡(luò)安全成熟度等級(jí)要求的信息征詢書(RFI),,全年發(fā)布10份;

  * 2020年9月,,國(guó)防部將發(fā)布首批包含該要求的方案征詢書(RFP),,全年發(fā)布10份;

  * 到2021年底,,預(yù)計(jì)將有1,500家公司獲得認(rèn)證,;

  * 到2026財(cái)年,所有的美國(guó)防部合同都將包含網(wǎng)絡(luò)安全成熟度認(rèn)證等級(jí)要求,。

  二,、美軍CMMC標(biāo)準(zhǔn)的主要內(nèi)容

  CMMC是一套網(wǎng)絡(luò)安全指南,也可以看作是一個(gè)分層網(wǎng)絡(luò)安全框架,,是美國(guó)國(guó)防部用來(lái)對(duì)NIST 800-171合規(guī)范圍內(nèi)企業(yè)進(jìn)行第三方獨(dú)立審計(jì)的一套方法,。它根據(jù)防務(wù)承包商參與工作的分類和項(xiàng)目敏感性的安全級(jí)別,具有跨多個(gè)成熟度級(jí)別(從基本網(wǎng)絡(luò)衛(wèi)生到高級(jí)措施)的相關(guān)控制和過(guò)程,,能夠保護(hù)企業(yè)和網(wǎng)絡(luò)系統(tǒng)免遭最高級(jí)黑客攻擊,。

  1.1.0版模型概述

  CMMC框架對(duì)國(guó)防部供應(yīng)鏈中的網(wǎng)絡(luò)安全將基于五個(gè)認(rèn)證等級(jí)的確定,每個(gè)級(jí)別都由承包商必須證明以達(dá)到該級(jí)別認(rèn)證的實(shí)踐和流程組成,。這五個(gè)等級(jí)是:

  1級(jí):基本網(wǎng)絡(luò)衛(wèi)生,;

  2級(jí):中級(jí)網(wǎng)絡(luò)衛(wèi)生;

  3級(jí):良好的網(wǎng)絡(luò)衛(wèi)生,;

  4級(jí):積極主動(dòng),;

  5級(jí):進(jìn)階/漸進(jìn)。

  以上五個(gè)CMMC級(jí)別與以下目標(biāo)相關(guān):保護(hù)CUI并降低高級(jí)持續(xù)威脅(APT)的風(fēng)險(xiǎn),。

  級(jí)別1:保護(hù)聯(lián)邦合同信息(FCI),;

  級(jí)別2:充當(dāng)網(wǎng)絡(luò)安全成熟度發(fā)展的過(guò)渡步驟,以保護(hù)受控的非機(jī)密信息(CUI),;

  級(jí)別3:保護(hù)CUI,;4–5級(jí):

  4–5級(jí):保護(hù)CUI并降低高級(jí)持續(xù)威脅(APT)的風(fēng)險(xiǎn)。其中:

  1級(jí)要求最低:CMMC框架大約確定了17個(gè)網(wǎng)絡(luò)安全特定“領(lǐng)域”,,1級(jí)合規(guī)性僅要求在各個(gè)領(lǐng)域制定一項(xiàng)基本的“控制”措施,。

  2級(jí)是過(guò)渡階段:五角大樓通過(guò)建立新的流程、規(guī)劃和預(yù)算幫助各企業(yè)為更高的認(rèn)證級(jí)別做好準(zhǔn)備,。其目標(biāo)仍以“幫助小企業(yè)”為主,。

  3級(jí)跨度最大:是處理受控非機(jī)密信息的最低要求,,企業(yè)的控制措施必須從前兩級(jí)要求的17項(xiàng)增加到110多項(xiàng)。這些標(biāo)準(zhǔn)出自美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院的NIST 800-171修訂版文件,,也是目前許多企業(yè)聲稱已經(jīng)達(dá)到的標(biāo)準(zhǔn)。

  4級(jí)和5級(jí)針對(duì)承包最敏感合同的“極核心技術(shù)企業(yè)”,,增加了額外的控制措施,。這些標(biāo)準(zhǔn)將來(lái)自美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院、國(guó)際標(biāo)準(zhǔn)組織(ISO),、航空航天工業(yè)協(xié)會(huì)(AIA)等機(jī)構(gòu)已經(jīng)發(fā)布或正在制定的標(biāo)準(zhǔn),。

  CMMC模型的1.0版包含17個(gè)域(網(wǎng)絡(luò)安全合規(guī)性的高級(jí)類別),其中包含43種功能(確保在每個(gè)域內(nèi)都實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)的成就),。這些功能依次包括五個(gè)成熟度級(jí)別的171個(gè)實(shí)踐,。1.0版還包含五個(gè)過(guò)程,這些過(guò)程涉及組織的實(shí)踐制度化,。國(guó)防部針對(duì)版本1.0的簡(jiǎn)介文件顯示了這些域,,功能,實(shí)踐和流程如何在CMMC模型中結(jié)合在一起,。

  2.1.0版的新功能

  1.0版的大小和內(nèi)容與先前的0.7版非常相似,。但是,版本1.0確實(shí)包含了先前草案的一些重要更新:

 ?。?)流程成熟度

  CMMC版本1.0不包括在先前的草案中提到的預(yù)期的特定域的過(guò)程,。CMMC框架基于承包商的實(shí)踐(技術(shù)活動(dòng))和過(guò)程(使這些實(shí)踐制度化的過(guò)程)為承包商分配評(píng)級(jí)。與版本0.7中的九個(gè)進(jìn)程相比,,版本1.0僅包含五個(gè)進(jìn)程(第2級(jí)中有兩個(gè)進(jìn)程,,第3-5級(jí)中每個(gè)都有一個(gè)進(jìn)程)。此外,,該模型的版本1.0并未詳細(xì)描述如何修改每個(gè)流程以適用于每個(gè)單獨(dú)的域,,如版本0.7所建議的那樣。相反,,如先前的草案一樣,,版本1.0僅將流程描述為適用于模型中每個(gè)域的通用成熟度流程。

 ?。?)對(duì)所有級(jí)別進(jìn)行討論,、說(shuō)明和示例

  CMMC版本1.0的附錄B包含針對(duì)該模型的所有五個(gè)級(jí)別的171個(gè)實(shí)踐和五個(gè)過(guò)程的每一個(gè)進(jìn)行的詳細(xì)說(shuō)明。附錄B詳細(xì)說(shuō)明了:(1)實(shí)踐或過(guò)程所源自的參考,;(2)對(duì)實(shí)踐或過(guò)程的討論,;(3)實(shí)踐或過(guò)程的說(shuō)明,至少包括一個(gè)如何在組織內(nèi)證明該實(shí)踐的示例,。版本0.7僅針對(duì)與級(jí)別1-3相關(guān)的實(shí)踐提供了這些描述?,F(xiàn)在,,版本1.0包含了模型所有級(jí)別上的實(shí)踐和流程的詳細(xì)說(shuō)明。

 ?。?)源映射

  版本1.0的附錄E是一個(gè)新的“源映射”資源,,它提供了來(lái)自其他網(wǎng)絡(luò)安全參考和框架的相關(guān)實(shí)踐的詳細(xì)列表,并顯示了這些實(shí)踐如何“映射”到CMMC模型的實(shí)踐和過(guò)程,。

 ?。?)認(rèn)證期限

  盡管CMMC版本1.0并未說(shuō)明認(rèn)證期限,但國(guó)防部國(guó)防采購(gòu)部助理部長(zhǎng)首席信息安全官兼CMMC推出過(guò)程中的關(guān)鍵角色美國(guó)國(guó)防部的Katie Arrington在發(fā)布當(dāng)天的新聞發(fā)布會(huì)上表示,,公司的三年認(rèn)證期將是“很好的”,。這表明,一旦在一定的成熟度水平上進(jìn)行了審核和認(rèn)證,,組織將被要求保留該認(rèn)證級(jí)別三年,,然后才需要進(jìn)行另一次審核。

  三,、美軍CMMC標(biāo)準(zhǔn)的特點(diǎn)

  1.覆蓋范圍廣

  CMMC框架將要求DOD供應(yīng)鏈中的所有公司都必須獲得認(rèn)證才能開展業(yè)務(wù),,其認(rèn)證范圍涉及國(guó)防部供應(yīng)鏈中的30多萬(wàn)家公司,全部需要獲得認(rèn)證才能與國(guó)防部開展業(yè)務(wù),。

  這一要求主要是基于國(guó)防部發(fā)現(xiàn),,其供應(yīng)鏈中最容易受到網(wǎng)絡(luò)安全威脅傷害的就是那些初創(chuàng)公司和小型公司,下層供應(yīng)商比主承包商更容易被網(wǎng)絡(luò)攻擊對(duì)手瞄準(zhǔn),。

  2.標(biāo)準(zhǔn)統(tǒng)一

  CMMC標(biāo)準(zhǔn)整合了現(xiàn)有標(biāo)準(zhǔn)體系,,將要保護(hù)的信息數(shù)據(jù)類型和敏感性以及相關(guān)的威脅范圍相結(jié)合,形成來(lái)自多個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),、框架和其他參考的成熟流程和網(wǎng)絡(luò)安全最佳實(shí)踐,。其參考整合的各類網(wǎng)絡(luò)安全標(biāo)準(zhǔn)有:NIST SP 800-171;NIST SP 800-171B,;NIST SP 800-53,;NIST CSF V1.1;CERT RMM V1.2,;CIS Controls,;ISO 270001和ISO 27032;,;AIA NAS9933,,以及其他成熟的網(wǎng)絡(luò)安全最佳實(shí)踐體系(比如,UK NCSC,、AU ACSC,、FAR等)。

  但與NIST SP 800-171之類的安全標(biāo)準(zhǔn)體系不同,,除了網(wǎng)絡(luò)安全控制標(biāo)準(zhǔn)外,,CMMC將更廣泛地“衡量一家公司網(wǎng)絡(luò)安全實(shí)踐和安全運(yùn)營(yíng)過(guò)程制度化的成熟度”,。CMMC將實(shí)現(xiàn)多個(gè)級(jí)別的網(wǎng)絡(luò)安全。除了評(píng)估公司實(shí)施網(wǎng)絡(luò)安全控制措施的成熟度外,,CMMC還將評(píng)估公司網(wǎng)絡(luò)安全實(shí)踐和流程的成熟度/制度化水平,。

  3.強(qiáng)制執(zhí)行

  CMMC規(guī)定,美國(guó)國(guó)防部合同將強(qiáng)制投標(biāo)人達(dá)到一定的認(rèn)證水平,,以贏得特定的工作,。例如,如果企業(yè)不競(jìng)標(biāo)包含極為敏感信息的合同,,則它們必須僅獲得第一級(jí)認(rèn)證,這涉及基本的網(wǎng)絡(luò)安全性,,例如更改密碼和運(yùn)行防病毒軟件,;更敏感的程序?qū)⑿枰鼑?yán)格的控制。

  從2020年9月份的10個(gè)試點(diǎn)性招標(biāo)書開始,,越來(lái)越多的招標(biāo)書將指定競(jìng)標(biāo)者在授標(biāo)時(shí)必須達(dá)到的CMMC等級(jí),。理論上,企業(yè)今后可以在不遵守規(guī)定的情況下競(jìng)標(biāo),,但必須在選擇勝出者之前獲得認(rèn)證,,否則將失去資格。未經(jīng)認(rèn)證的企業(yè)無(wú)法獲得合同,。五角大樓官員無(wú)權(quán)給予任何企業(yè)網(wǎng)絡(luò)安全認(rèn)證的通行證,。到2026財(cái)年,所有的美國(guó)防部合同都必須包含網(wǎng)絡(luò)安全成熟度認(rèn)證等級(jí)要求,。

  4.第三方認(rèn)證

  在CMMC認(rèn)證方案中,,最大的變化是,企業(yè)不能再“自行認(rèn)證”達(dá)到某種標(biāo)準(zhǔn),,而要由五角大樓授權(quán)第三方根據(jù)嚴(yán)格的利益沖突規(guī)則評(píng)估每家企業(yè),。它建立了一個(gè)認(rèn)證委員會(huì)和評(píng)估員,董事會(huì)是獨(dú)立于國(guó)防部的外部實(shí)體,,負(fù)責(zé)批準(zhǔn)評(píng)估員對(duì)過(guò)程中的公司進(jìn)行認(rèn)證,。這將被稱為認(rèn)證第三方評(píng)估組織(C3PAO)。

  同時(shí),,一個(gè)由來(lái)自國(guó)防行業(yè),、網(wǎng)絡(luò)安全界和學(xué)術(shù)界的13名成員組成的CMMC認(rèn)證機(jī)構(gòu)將負(fù)責(zé)監(jiān)督C3PAOs的培訓(xùn)工作、質(zhì)量和管理能力,。此外,,國(guó)防部和CMMC認(rèn)證機(jī)構(gòu)之間將簽署備忘錄,明確雙方角色,、職責(zé)和規(guī)則,,以規(guī)避認(rèn)證過(guò)程中的利益沖突,。國(guó)防部還表示,CMMC將為企業(yè)投標(biāo)創(chuàng)造公平的競(jìng)爭(zhēng)環(huán)境,,只有達(dá)到要求的企業(yè)才能參與競(jìng)標(biāo),。

  四。結(jié)語(yǔ)

  CMMC版本1.0的發(fā)布是國(guó)防部的一個(gè)重要里程碑,,2021年CMMC還將會(huì)有更多的進(jìn)展,。隨著國(guó)防部發(fā)布有關(guān)其新的分階段實(shí)施計(jì)劃的詳細(xì)信息,我們將繼續(xù)跟蹤C(jī)MMC的部署,。

  當(dāng)然,,美國(guó)防部在目前緩慢推進(jìn)CMMC計(jì)劃的過(guò)程中,也面臨著來(lái)自各方的質(zhì)疑之聲,。4月初,,有外媒報(bào)道,美國(guó)BSA互聯(lián)網(wǎng)協(xié)會(huì)(該協(xié)會(huì)代表了包括美國(guó)軟件聯(lián)盟,、網(wǎng)絡(luò)安全聯(lián)盟等100多家公司)致信五角大樓指出,,目前實(shí)施的CMMC計(jì)劃在關(guān)鍵領(lǐng)域缺乏足夠的清晰度和可預(yù)測(cè)性經(jīng)驗(yàn),可能會(huì)造成不必要的制度混亂和額外開銷,,如果不對(duì)該問(wèn)題加以解決,,這些問(wèn)題可能導(dǎo)致網(wǎng)絡(luò)安全性降低;可能會(huì)限制行業(yè)科技競(jìng)爭(zhēng)并減少政府使用新技術(shù)的機(jī)會(huì),;CMMC中的某些控件其實(shí)比較適用于傳統(tǒng)模型,,但不一定適用于現(xiàn)代大規(guī)模的基礎(chǔ)架構(gòu),嚴(yán)格遵守這些控制措施實(shí)際上可能會(huì)為高安全性和高可用性的控制措施帶來(lái)新的風(fēng)險(xiǎn),,等等,。

  未來(lái),美國(guó)防部將考慮并結(jié)合IT行業(yè)的反饋意見(jiàn),,確保國(guó)防部?jī)?yōu)化實(shí)施結(jié)構(gòu)的合理性,,優(yōu)化CMMC的有效性,為2026年全面實(shí)施CMMC做好充分的準(zhǔn)備,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。