為保護(hù)美國國防工業(yè)中的信息安全，特別像2018年末暴露的大約30,000名軍事和文職人員的個(gè)人信息和支付卡信息事件的發(fā)生,，國防工業(yè)供應(yīng)鏈中非機(jī)密信息的保護(hù)得到美國國防部的關(guān)注,，美國國防部著手開發(fā)國防工業(yè)中的信息安全保護(hù)體系。美國國防部（DoD）于2020年1月30日發(fā)布了網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC）文件，該體系為國際上利用成熟度模型理論作為行政許可認(rèn)證的先驅(qū)者,，一經(jīng)發(fā)布就引起了國內(nèi)外信息安全行業(yè)同仁的關(guān)注,。業(yè)界人士在分析美國防部發(fā)布CMMC文件初衷的同時(shí)，也在關(guān)注該文件體系的內(nèi)容,，及該成熟度模型與目前系列能力成熟之間的關(guān)系,。成熟度模型理論體系在我國信息安全行業(yè)中同樣得到廣泛的研究、應(yīng)用，筆者針對(duì)在成熟度模型方面積累的經(jīng)驗(yàn),，總結(jié)相關(guān)內(nèi)容心得與行業(yè)分享,。

如今國際網(wǎng)絡(luò)空間安全的較量日趨緊張,，惡意的網(wǎng)絡(luò)活動(dòng)頻繁,，美國國防工業(yè)部門的知識(shí)產(chǎn)權(quán)和敏感信息頻頻受到,，進(jìn)而影響到其經(jīng)濟(jì)安全和國家安全,，對(duì)此美國經(jīng)濟(jì)顧問委員會(huì)(Council of Economic Advisors)和戰(zhàn)略與國際研究中心(Centerfor Strategic and International Studies)進(jìn)行了持續(xù)的調(diào)查和分析。美國政府認(rèn)為,，美國國防工業(yè)基地（DIB）由30多萬家公司組成，這些公司負(fù)責(zé)為作戰(zhàn)人員提供支持,，為國防部系統(tǒng),、網(wǎng)絡(luò),、安裝、能力和服務(wù)的研究,、工程,、開發(fā),、采購,、生產(chǎn),、交付、維護(hù)和運(yùn)營提供支撐,，惡意網(wǎng)絡(luò)行動(dòng)者持續(xù)針對(duì)國防工業(yè)基地(DIB)部門和國防部(DoD)的供應(yīng)鏈進(jìn)行攻擊,，削弱了美國的技術(shù)優(yōu)勢(shì)，增加了國家安全風(fēng)險(xiǎn),。為此，美國國防部認(rèn)為有必要建立一套適合整個(gè)國防工業(yè)承包商網(wǎng)絡(luò)安全能力的管控體系,，對(duì)此進(jìn)行強(qiáng)制的行政實(shí)施，保障美國國防工業(yè)信息的安全,。

2019年5月底,，征求到了國防部利益相關(guān)者、大學(xué)附屬研究中心(UARCs)、聯(lián)邦資助的研究與發(fā)展中心(FFRDCs)和DIB部門的意見。由美國國防部組織，卡內(nèi)基梅隆大學(xué)和約翰霍普金斯大學(xué)應(yīng)用物理實(shí)驗(yàn)室有限責(zé)任公司共同開發(fā)了網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)框架，主要成果基于美國國防部與卡內(nèi)基梅隆大學(xué)簽訂編號(hào)為EA8702-15-D-0002的運(yùn)營合同,，以及由聯(lián)邦政府資助的研究開發(fā)中心和霍普金斯大學(xué)應(yīng)用物理實(shí)驗(yàn)室有限責(zé)任公司簽訂編號(hào)為HQ0034-13-D-0003、N00024-13-D-6400合同規(guī)定內(nèi)容,。

網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)框架整合系列標(biāo)準(zhǔn)體系的內(nèi)容,，將要保護(hù)的信息數(shù)據(jù)類型和敏感性以及相關(guān)的威脅范圍相結(jié)合,，形成來自多個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),、框架和其他參考的成熟流程和網(wǎng)絡(luò)安全最佳實(shí)踐,。參考整合的各類網(wǎng)絡(luò)安全標(biāo)準(zhǔn),、體系有：聯(lián)邦采購法規(guī)（FAR）、NIST SP 800-171、ISO 270001等,。

網(wǎng)絡(luò)安全成熟度意在加強(qiáng)對(duì)美國國防工業(yè)供應(yīng)鏈中非機(jī)密信息的保護(hù):

? 聯(lián)邦合同信息(FCI):FCI是由政府合同提供或生成的信息,，該合同不打算公開發(fā)布[3],。

? 受控未分類信息(CUI): CUI是根據(jù)并符合法律、法規(guī)和政府范圍政策要求保護(hù)或傳播控制的信息,，不包括根據(jù)行政命令13526,，國家安全保密信息，2009年12月29日,，或任何前任或繼任命令,，或經(jīng)修正的1954年原子能法[41]。

CMMC將實(shí)現(xiàn)多個(gè)級(jí)別的網(wǎng)絡(luò)安全,， 除了評(píng)估公司實(shí)施網(wǎng)絡(luò)安全控制措施的成熟度外,，CMMC還將評(píng)估公司網(wǎng)絡(luò)安全實(shí)踐和流程的成熟度水平。該成熟度模型是一組特征,、屬性,、指標(biāo)或模式，它們代表特定規(guī)程中的能力和進(jìn)展,。此類模型的內(nèi)容通常是最佳實(shí)踐的范例,。成熟度模型提供了一個(gè)基準(zhǔn)，組織可以根據(jù)這個(gè)基準(zhǔn)來評(píng)估其當(dāng)前過程,、實(shí)踐和方法的能力水平,，并為其改進(jìn)設(shè)置目標(biāo)和優(yōu)先級(jí)。該成熟度模型采用傳統(tǒng)成熟度模型理念采用五級(jí)架構(gòu),。

網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)框架參考包括多個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),、框架的成熟流程和最佳實(shí)踐，并結(jié)合來自國防工業(yè)基地(DIB)和國防部(DoD)相關(guān)人員的建議,。模型框架將這些過程和實(shí)踐合并為一組域,，并將它們映射到五個(gè)層次上。

圖1  CMMC模型框架 (簡(jiǎn)化的層次視圖 )

CMMC模型將網(wǎng)絡(luò)安全成熟度分為五個(gè)等級(jí),。每一個(gè)級(jí)別依次由一組過程和實(shí)踐組成,，如下圖所示：

圖2  CMMC級(jí)別與描述

跨域的CMMC級(jí)別和相關(guān)的過程和實(shí)踐是累積的。為了使一個(gè)組織達(dá)到特定的CMMC級(jí)別,，它還必須滿足前面較低級(jí)別的要求,。

CMMC級(jí)別針對(duì)流程和實(shí)踐到特定級(jí)別的規(guī)范和映射還考慮了多種因素，包括法規(guī),、信息的類型和信息的敏感性,、威脅、實(shí)現(xiàn)成本,、實(shí)現(xiàn)的復(fù)雜性,、DIB部門的多樣性以及評(píng)估影響和其他因素。CMMC模型提供的是一種方法,，以幫助改進(jìn)成熟度流程,，使得網(wǎng)絡(luò)安全實(shí)踐與被保護(hù)的信息類型,、敏感性以及威脅范圍的一致性。因此,，CMMC級(jí)別也可以通過這種方式或者更簡(jiǎn)單地描述它們,，如下所示:

? 級(jí)別1:保護(hù)聯(lián)邦合同信息(FCI)

? 級(jí)別2:作為網(wǎng)絡(luò)安全成熟度等級(jí)的過渡步驟以保護(hù)CUI

? 級(jí)別3:保護(hù)受控未分類信息(CUI)

? 級(jí)別4-5:保護(hù)CUI并減少高級(jí)持久威脅(APTs)的風(fēng)險(xiǎn)

圖3 CMMC級(jí)別與相關(guān)焦點(diǎn)

CMMC模型由17個(gè)域組成。這些域中的大多數(shù)來自聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)出版物200[12]中的安全相關(guān)領(lǐng)域,，以及NIST SP 800-171中的相關(guān)安全需求系列,。CMMC模型還包括資產(chǎn)管理(AM)、恢復(fù)(RE)和態(tài)勢(shì)感知(SA)三個(gè)領(lǐng)域,。

圖4 CMMC域

正如前面提到的,，每個(gè)域由跨越5個(gè)級(jí)別的一組流程和功能。表1列出了CMMC模型中的17個(gè)域相關(guān)聯(lián)的43個(gè)功能,。

表1  CMMC域關(guān)聯(lián)的功能列表

CMMC模型由5個(gè)成熟度過程組成,，它們跨越了成熟度級(jí)別(ML) 2-5，適用于所有領(lǐng)域,。

圖2 CMMC流程

圖5每個(gè)級(jí)別跨域的 CMMC實(shí)踐

3.1 安全工程過程描述

SSE-CMM?是安全工程最佳實(shí)踐的匯編,，安全工程分為三個(gè)基本領(lǐng)域：風(fēng)險(xiǎn)、工程和保障,，見圖6,。風(fēng)險(xiǎn)過程識(shí)別所開發(fā)的產(chǎn)品或系統(tǒng)的內(nèi)在風(fēng)險(xiǎn)，并且給出優(yōu)先順序,。針對(duì)這些危險(xiǎn)所呈現(xiàn)的問題,，安全工程過程與其他工程學(xué)科一起確定和實(shí)現(xiàn)相應(yīng)的解決方案。最后,，保障過程確立安全解決方案的置信度并且把置信度傳遞給客戶,。

圖6 安全工程過程的三個(gè)主要領(lǐng)域

3.2 SSE-CMM?域維與能力維內(nèi)涵

SSE-CMM?體系結(jié)構(gòu)將安全工程過程的基本特征從其過程的管理和制度化特征中清晰地分離出來，從而用于確定安全工程組織的過程成熟度,。為了確保分離,，該體系結(jié)構(gòu)涉及了“域”和“能力”兩個(gè)維度。

SSE-CMM?包括兩個(gè)維度,，即“域”維和“能力”維。域維由共同定義安全工程的所有實(shí)踐構(gòu)成,，這些實(shí)踐被稱為“基本實(shí)踐”,。能力維描述過程管理和制度化能力的實(shí)踐，這些實(shí)踐被稱為“通用實(shí)踐”,。通用實(shí)踐描述的活動(dòng)應(yīng)該作為基本實(shí)踐實(shí)施時(shí)的一部分予以執(zhí)行,。

公共特征的排序源于實(shí)踐的執(zhí)行和制度化受益于其他實(shí)踐的存在。在一個(gè)組織能夠有效地定義,、裁剪和使用某個(gè)過程之前,，單個(gè)項(xiàng)目應(yīng)已經(jīng)積累管理該過程的經(jīng)驗(yàn),。

在執(zhí)行評(píng)估和改進(jìn)組織的過程能力時(shí)，公共特征和能力等級(jí)都重要,。如果評(píng)估發(fā)現(xiàn)某個(gè)組織在某個(gè)特定過程的特定能力等級(jí)實(shí)施了一部分公共特征,，那么這個(gè)組織通常是運(yùn)行在該過程最低的已執(zhí)行能力等級(jí)上。在改進(jìn)組織的過程能力時(shí),，為了提高某特定過程的能力,，最好把實(shí)踐按照能力等級(jí)進(jìn)行分組，從而可為組織提供一幅“改進(jìn)路線圖”,。因此,，SSE-CMM?中的實(shí)踐都?xì)w類到各個(gè)按能力等級(jí)排序的公共特征中。

應(yīng)執(zhí)行評(píng)估程序來判定每個(gè)過程的能力等級(jí),。不同的過程域根據(jù)其實(shí)際情況可能將處于不同能力等級(jí),。在判定后，組織可根據(jù)評(píng)估信息來改進(jìn)其安全過程,。組織應(yīng)將安全過程改進(jìn)的優(yōu)先權(quán)和先后順序納入業(yè)務(wù)目標(biāo)考慮范疇,。

圖7 安全工程組織成熟度的能力等級(jí)

每個(gè)過程域都是由若干個(gè)基本實(shí)踐組成，每個(gè)公共特征由若干個(gè)通用實(shí)踐組成,。

圖8 過程域與公共特征關(guān)系匯總

3.3 SSE-CMM?應(yīng)用現(xiàn)狀

SSE-CMM?是重點(diǎn)對(duì)安全可信產(chǎn)品或安全系統(tǒng)的系統(tǒng)安全工程能力進(jìn)行評(píng)估的模型,，是以安全產(chǎn)品或信息系統(tǒng)的整個(gè)生命周期為主線，達(dá)到信息技術(shù)實(shí)現(xiàn)過程安全的目的,。我國網(wǎng)絡(luò)安全服務(wù)能力測(cè)評(píng)業(yè)務(wù)開展過程中,，通過對(duì)SSE-CMM?體系進(jìn)行中國化的復(fù)合型改進(jìn)，以信息安全服務(wù)組織的技術(shù)與管理能力為主線,，增加了對(duì)組織基本資格,、硬件設(shè)施、環(huán)境,、人員,、背景等因素的評(píng)估，能夠?qū)Ρ辉u(píng)估組織的綜合能力進(jìn)行評(píng)估,。我國利用SSE-CMM?體系開展網(wǎng)絡(luò)安全服務(wù)能力認(rèn)證已近20年,，達(dá)到了對(duì)國內(nèi)主流信息安全服務(wù)組織的基本覆蓋，為國內(nèi)信息安全服務(wù)組織的安全服務(wù)能力提供了一個(gè)客觀的評(píng)定依據(jù),，得到了國內(nèi)業(yè)界的廣泛認(rèn)可,。

SSE-CMM?體系與CMMC體系的部分內(nèi)容相對(duì)接近，核心思路基本相同,，同出于卡耐基梅隆大學(xué),。兩個(gè)模型同樣繼承了能力成熟度經(jīng)典的5級(jí)架構(gòu)，核心思路相同，目的統(tǒng)一,。二者具體異同如下：

4.1相同點(diǎn)

?版權(quán)同在卡耐基梅隆大學(xué),。卡耐基梅隆大學(xué)一直致力于能力成熟模型的研究與開發(fā)，在能力成熟度模型積累了豐富的經(jīng)驗(yàn),；CMM?的商標(biāo)權(quán)所屬在卡耐基梅隆大學(xué),，對(duì)于應(yīng)用對(duì)象的不同，成熟度模型呈現(xiàn)的模式有所調(diào)整,，這個(gè)在各類能力成熟度模型中體現(xiàn)的較為明顯,。

?同樣為五級(jí)架構(gòu)，基本思路統(tǒng)一,。兩個(gè)模型同樣繼承了能力成熟度經(jīng)典的5級(jí)架構(gòu),，評(píng)估的對(duì)象想要從低級(jí)別升級(jí)到更高的級(jí)別，均要建立在前序級(jí)別基礎(chǔ)上,，滿足前序級(jí)別的所有要求,、實(shí)踐或者公共特征的前提下才能升級(jí)到下一個(gè)更高級(jí)別，總結(jié)來說兩個(gè)體系均滿足成熟度具有跨級(jí)別間經(jīng)驗(yàn)積累的特點(diǎn),。

?同樣為二維模型框架,，分為域維和能力維。兩個(gè)模型都是建立二維的模型框架,，分為域維和能力維,。域維規(guī)定清楚整個(gè)工作的主體內(nèi)容，能力維建立起模型評(píng)估對(duì)象的等級(jí)劃分,。

?同樣的域維結(jié)構(gòu),。兩個(gè)標(biāo)準(zhǔn)體系在域維中同樣設(shè)置了過程域，各個(gè)過程域又由相關(guān)的基本實(shí)踐組成,。

?同樣為框架模型,。兩個(gè)標(biāo)準(zhǔn)體系同樣為頂層架構(gòu)規(guī)劃的體系，若想實(shí)現(xiàn)兩個(gè)頂層標(biāo)準(zhǔn)體系的目的,，均要在這兩個(gè)體系標(biāo)準(zhǔn)下針對(duì)不同的過程域,、或者不同級(jí)別的達(dá)到而研制更為詳盡的標(biāo)準(zhǔn)體系作為支撐。

4.2不同點(diǎn)

?針對(duì)的對(duì)象不同,。CMMC對(duì)組織的網(wǎng)絡(luò)安全能力,、網(wǎng)絡(luò)安全準(zhǔn)備進(jìn)行的評(píng)估模型，關(guān)注點(diǎn)在風(fēng)險(xiǎn)管理,、資產(chǎn)管理,、身份管理、威脅和脆弱性管理,、事件管理、供應(yīng)鏈管理,、態(tài)勢(shì)感知等,。而SSE-CMM?度量的是安全可信產(chǎn)品或安全系統(tǒng)的系統(tǒng)安全工程能力的評(píng)估,，用來實(shí)現(xiàn)信息技術(shù)過程的安全，尤其是這些過程的成熟度,，是以安全產(chǎn)品或信息系統(tǒng)的整個(gè)生命周期為主線,，利用安全工程三個(gè)過程（風(fēng)險(xiǎn)過程、工程過程,、保障過程）的面向過程結(jié)合面向?qū)ο蟮亩嚅]環(huán)控制評(píng)估模型,。

?域維的思路模式不同。CMMC的域維主體思路是,，針對(duì)組織的網(wǎng)絡(luò)安全能力,、網(wǎng)絡(luò)安全準(zhǔn)備，面向?qū)ο蟮目剂?，設(shè)置的17個(gè)過程域主要是面向?qū)ο笤u(píng)估設(shè)置,。CMMC在域維中各個(gè)過程域的基本實(shí)踐在每個(gè)等級(jí)是不同的，且增加了流程和功能的概念,。SSE-CMM?域維主體思路是,，針對(duì)安全可信產(chǎn)品或者安全系統(tǒng)的生命周期的安全能力。SSE-CMM?在域維中各個(gè)過程域中的基本實(shí)踐在各個(gè)等級(jí)中是相同,，級(jí)別間的不同主要能力維的公共特征來呈現(xiàn),。

?能力維思路模式不同。CMMC的能力維不再設(shè)置公共特征,，而是把每個(gè)級(jí)別的流程,、功能、實(shí)踐規(guī)定清楚,。SSE-CMM?的能力維主要是通過公共特征來區(qū)分出級(jí)別間的特點(diǎn),，在公共特征的指導(dǎo)下，各級(jí)別域維的過程域,、基本實(shí)踐呈現(xiàn)的成熟度不同,。

?兩個(gè)模型的評(píng)估方法上有區(qū)別。網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC）針對(duì)的是網(wǎng)絡(luò)安全服務(wù),、產(chǎn)品組織,，針對(duì)組織的自身網(wǎng)絡(luò)安全能力、網(wǎng)絡(luò)安全準(zhǔn)備的評(píng)估,，面向?qū)ο蠛蛶в行姓S可的認(rèn)證評(píng)估,。系統(tǒng)安全工程能力成熟度（SSE-CMM?）針對(duì)的是安全可信產(chǎn)品或者信息系統(tǒng)，評(píng)估對(duì)象是面向過程結(jié)合面向?qū)ο蟮哪芰υu(píng)估,。二者之間存在評(píng)估方法的不同,。

CMMC的整個(gè)標(biāo)準(zhǔn)體系應(yīng)用為所有組織的網(wǎng)絡(luò)安全能力、網(wǎng)絡(luò)安全準(zhǔn)備指引了一個(gè)基線的框架指導(dǎo)，目的是在為整個(gè)組織的信息管控設(shè)置了參考的依據(jù),。組織在為自身的網(wǎng)絡(luò)安全能力建立管控體系時(shí)可以參考借鑒,，組織可依據(jù)自身情況進(jìn)行量體裁衣。SSE-CMM?體系同樣是一個(gè)標(biāo)準(zhǔn)框架指導(dǎo),，意在構(gòu)建組織的整個(gè)網(wǎng)絡(luò)安全能力的指引,，這方面的網(wǎng)絡(luò)安全能力適用于提供方、需求方,、第三方,，各類角色可以依據(jù)自身的出發(fā)點(diǎn)進(jìn)行裁剪使用。SSE-CMM?通過在域維設(shè)置的過程域,，配合能力維的公共特征,，兩個(gè)維度的雙重作用相輔相成，形成一個(gè)二維相互限制的體系框架,。SSE-CMM?是一個(gè)世界多個(gè)組織依據(jù)大量的實(shí)踐經(jīng)驗(yàn)通過統(tǒng)計(jì)學(xué)原理總結(jié)出的框架模型,，在模型下的具體應(yīng)用層面并未設(shè)置明確的限制，自由度更高,。

目前我國利用SSE-CMM?為主要模板思路開展針對(duì)組織的各類安全服務(wù)能力的評(píng)判測(cè)評(píng)認(rèn)證較為常見,，大量組織應(yīng)用SSE-CMM?建立自身的組織級(jí)服務(wù)體系較為常見。中國信息安全測(cè)評(píng)中心自2002年開始利用成熟度理論開展組織級(jí)的服務(wù)資質(zhì)測(cè)評(píng),，經(jīng)過近20年的發(fā)展,，在安全工程、安全開發(fā),、風(fēng)險(xiǎn)評(píng)估,、災(zāi)難恢復(fù)、信息系統(tǒng)審計(jì),、大數(shù)據(jù)安全,、云計(jì)算安全等領(lǐng)域建立了完善的基于成熟度模型的理論體系，得到廣泛認(rèn)可,，部分體系已轉(zhuǎn)化為國家標(biāo)準(zhǔn),，行業(yè)內(nèi)應(yīng)用效果良好。

來源：中國信息安全測(cè)評(píng)中心