网络安全成熟度模型认证 (CMMC)
什么是网络安全成熟度模型认证 (CMMC)?
CMMC 是网络安全成熟度模型认证,正在开发中以帮助保护国防部的供应链免受网络安全相关威胁。国防部在未来的合同中包括了针对 CMMC 成熟度模型的认证要求,其中也包括分包商。在国防部圈子中被称为国防工业基地或 DIB 的供应链可能成为国家对手的目标,因为 DIB 中的供应商可能拥有与国家安全相关的敏感或机密信息。这个想法是,如果没有安全的基础,所有功能都将面临风险。网络安全应作为国家国防工业基础各个方面的基础。
为什么创建CMMC?
来自外国对手、行业竞争对手和国际犯罪分子对美国国防部 (DoD) 供应链的全球网络攻击处于美国国家安全问题的最前沿。根据负责采购和维持的国防部副部长艾伦·洛德 (Ellen Lord) 的说法,中国、俄罗斯和朝鲜等国家从美国窃取了超过 6000 亿美元(占全球 GDP 的 1%)。即使在今天,这些不良行为者仍在利用 COVID-19 大流行作为其邪恶行为的掩护,而组织则在将业务运营从实体办公室扩展到个人家时分心。
CMMC 适用于谁?
有 30 万家公司在某种程度上参与了国防工业基地 (DIB),无论它们是直接与国防部签订合同还是分包给更大的公司。无论与国防部的关系如何,所有供应链承包商都需要至少获得 1 级认证。
什么是CMMC认证流程?
CMMC 计划主要由国防部副部长采购办公室推动。通常,认证过程将类似于许多其他认证或网络安全评估,例如 ISO 或 FedRAMP。首先,成立了一个认证机构,以形成围绕整个评估和认证过程的规则和框架。然后,评估机构必须向认可机构申请认可其组织能够执行 CMMC 评估,然后培训和认证其员工以执行评估工作。一旦评估机构完成认证、培训和人员认证过程,他们将能够执行 CMMC 评估以认证客户。
谁是 CMMC 评估员?
从 CMMC 认证委员会或 CMMC-AB 的形成开始,该过程一直在整个 2020 年推进。 AB 最初受到一个完全由志愿者组成的委员会的影响,该委员会致力于为评估机构、专业人士和寻求认证的组织建立一个框架。该框架包括标准本身、认证要求、评估和认证过程以及培训。 CMMC-AB 建立了一个临时评估员测试计划。这些评估员是从目前正在接受培训以临时执行评估的评估空间中挑选出来的较小人才库。国防部选择了非常具体的合同,这些合同目前正在按照新的 CMMC 要求进行采购流程,作为 Beta/临时评估的 Beta 测试。这个经过深思熟虑的测试步骤将允许合规评估员、认证机构、行业和国防部 CMMC PMO 执行一些评估,然后评估流程以确定最有效的方法。
在这些临时评估发生后,CMMC-AB 将推进更大规模的培训可用性、评估公司认证和要求的最终确定。 CMMC-AB 还处于建立认证生态系统的早期阶段。试点的当前阶段被认为是临时阶段,涉及数量有限的临时评估员及其相关认证机构(或第三方评估组织)。国防部今年试行的合同不超过 15 份,并且要到 2025 年才会全面实施该要求。
2021 年 2 月,作为 NIST 和 FISMA 评估的领导者和 LBMC 的战略合作伙伴,Provincia Government Solutions (PGS) 成为首批被公认为 CMMC-AB 批准的认证第三方评估组织 (C3PAO) 的组织之一。阅读有关 PGS 和 LBMC 如何合作提供 CMMC 评估服务的更多信息: //www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc
什么时候需要 CMMC?
通常,如果您是国防部的承包商或供应商,或者是国防部承包商的分包商,则可能需要担心 CMMC。但是,国防部和 CMMC 认证机构表示,国防部将在未来几年内在新合同中部署该要求。 CMMC 要求预计不会插入到有效合同中。即使您现在可能不必担心它 - 现在开始考虑您的安全状况永远不会太早。
有关于 CMMC 的问题? LBMC 可以帮助您的组织准备并获得 CMMC 认证。 接触 us now.
精选博客文章
CMMC框架
根据 负责采购和维持的国防部副部长办公室,CMMC 框架包含五个成熟度流程和 171 个网络安全最佳实践,这些实践跨越五个成熟度级别。 CMMC 成熟度流程将网络安全活动制度化,以确保它们的一致性、可重复性和高质量。 CMMC 框架与认证计划相结合,以验证流程和实践的实施。
CMMC 5 级别是什么?
CMMC 实践提供了一系列跨级别的缓解措施,从第 1 级的基本保护开始,到第 3 级对受控非机密信息 (CUI) 的广泛保护,并最终降低来自高级持续威胁 (APT) 的风险第 4 级和第 5 级。
CMMC 如何带您通过 5 个网络安全级别的实际示例有哪些?
从一个共同的安全过程的角度来看,
示例 1 – 事件响应:
- 1 级,基本网络卫生,不直接处理事件响应
- 级别 2,中级网络卫生,记录事件响应程序
- 第 3 级,良好的网络卫生,管理阶段,包括管理报告事件和向适当级别报告的实践
- 第 4 级,主动网络卫生,包括持续审查事件并建立响应能力
- 5 级,高级/渐进式网络卫生,事件响应能力包括异常活动和 CIRT 的建立
要求:
等级 | 数字 | 实践 |
2 | IR.2.096 | 根据预先定义的程序制定和实施对已宣布事件的响应。 |
3 | IR.3.098 | 跟踪、记录事件并向组织内部和外部的指定官员和/或当局报告事件。 |
4 | IR.4.101 | 建立和维护安全运营中心能力,促进 24/7 响应能力。 |
5 | IR.5.102 | 对与事件模式匹配的异常活动使用手动和自动实时响应的组合。 |
5 | IR.5.108 | 建立并维护一个网络事件响应团队,该团队可以在 24 小时内以物理方式或虚拟方式在任何地点调查问题。 |
示例 2 – 执行配置和变更管理:
- 级别 1 成熟度不需要此功能。
- 在第 2 级,控制侧重于控制实践的文档,我们介绍了安全配置、变更控制跟踪和安全影响分析
- 级别 3,围绕配置的控制变得更加成熟并进入托管状态,需要物理和逻辑访问限制、删除非必要功能以及白名单/黑名单访问软件限制。
- 第 4 级引入了基于管理审查的应用程序白名单
- 第 5 级引入了一个持续审查有效性的过程,这引入了优化。以这种方式查看显示了日益成熟的安全状况,以及围绕配置的功能如何在组织开展业务的方式中变得越来越根深蒂固。
要求:
等级 | 数字 | 实践 |
2 | CM.2.064 | 为组织系统中使用的信息技术产品建立和实施安全配置设置。 |
2 | CM.2.065 | 跟踪、审查、批准或不批准并记录对组织系统的更改。 |
2 | CM.2.066 | 在实施之前分析变更的安全影响。 |
3 | CM.3.067 | 定义、记录、批准和实施与组织系统变更相关的物理和逻辑访问限制。 |
3 | CM.3.068 | 限制、禁用或阻止使用非必要的程序、功能、端口、协议和服务。 |
3 | CM.3.069 | 应用拒绝例外(黑名单)策略以防止使用未经授权的软件或拒绝所有例外允许(白名单)策略以允许执行授权软件。 |
4 | CM.4.073 | 对组织确定的系统采用应用程序白名单和应用程序审查流程。 |
5 | CM.5.074 | 验证组织定义的安全关键或基本软件的完整性和正确性(例如,信任根、形式验证或加密签名)。 |
前 3 个级别的安全域添加
- 跨 6 个域的 1 级、17 项控制:
- 访问控制 (AC)
- 识别和认证 (IA)
- 媒体保护 (MP)
- 物理保护 (PE)
- 系统和通信保护 (SC)
- 系统和信息完整性 (SI)
- 级别 2,跨 15 个域的 72 个控件,其中增加了:
- 审计与问责 (AU)
- 意识和培训(AT)
- 配置管理 (CM)
- 事件响应 (IR)
- 维护 (MA)
- 人员安全 (PS)
- 恢复 (RE)
- 风险管理 (RM)
- 安全评估 (CA)
- 第 3 级,跨 17 个域的 130 个控件,增加了:
- 资产管理(上午)
- 态势感知(SA)



大多数公司将落入第 1 级,那么这 17 个控制是什么?
这 17 项控制确实是大多数公司已经在做的事情,您可能只需要将它们正式化一下,以便为审计做好准备。这些基本措施包括使用用户 ID 和有效密码、限制系统访问和功能、清理媒体、限制/记录/控制物理访问和控制访问者、控制系统边界(通常通过防火墙和 DMZ)、修补漏洞,以及,最后但并非最不重要的是,更新和扫描的恶意代码保护。
以下是 17 个控件的外观:
- 将信息系统访问权限限制为授权用户、代表授权用户的流程或设备(包括其他信息系统)。
- 将信息系统访问权限限制为允许授权用户执行的交易类型和功能。
- 验证和控制/限制与外部信息系统的连接和使用。
- 控制在可公开访问的信息系统上发布或处理的信息。
- 识别信息系统用户、代表用户的流程或设备。
- 验证(或验证)这些用户、流程或设备的身份,作为允许访问组织信息系统的先决条件。
- 在处置或释放以供重复使用之前,对包含联邦合同信息的信息系统介质进行消毒或销毁。
- 限制授权个人对组织信息系统、设备和相应操作环境的物理访问。
- 护送访客并监控访客活动。
- 维护物理访问的审计日志。
- 控制和管理物理访问设备。
- 在信息系统的外部边界和关键内部边界处监视、控制和保护组织通信(即由组织信息系统传输或接收的信息)。
- 为与内部网络物理或逻辑分离的可公开访问的系统组件实施子网。
- 及时发现、报告和纠正信息和信息系统缺陷。
- 在组织信息系统内的适当位置提供对恶意代码的保护。
- 当新版本可用时更新恶意代码保护机制。
- 在下载、打开或执行文件时执行信息系统的定期扫描和来自外部源的文件的实时扫描。
当我进入 2 级时,它会是什么样子?
还有 55 个额外的控件,使我们总共有 72 个。这个列表可能有点太长了,无法全部包括在这里。但是为了让您了解我们正在查看的内容。
- 访问控制和身份识别/授权在第 1 级,侧重于限制对系统和功能的访问、身份验证机制和标识符的使用,以及维护对外部和公共访问系统的访问控制,现在更进一步。级别 2 添加隐私/安全通知、便携式设备存储限制、最低权限、会话锁定、登录尝试限制、无线控制、远程访问控制以及特定密码管理和加密要求
- 系统和通信在 1 级要求边界处的防火墙类型保护和 DMZ 的实施,增加了围绕协作工具的远程控制和网络设备管理会话的加密的控制。
另外,当国防部只要求 1 级或 3 级认证时,为什么公司要获得 2 级认证?级别 2 旨在显示正在向级别 3 努力的公司的过渡状态。例如,如果您的组织希望签订需要 3 级证书的合同,但您的安全状况还没有达到那个点,您可以获得 2 级认证以更好地展示您当前的过渡状态。目前,在合同奖励之前,不需要合同认证级别。因此,2 级认证的过渡状态可以帮助您的组织在授予合同之前显示合同提案的进展情况。
好的,告诉我有关第 3、4 和 5 级的内容吗?
级别 3 是另一个重大升级,增加了 58 个控件,总共 130 个控件。对于不太成熟的安全计划来说,提升到 3 级可能很重要。 3 级是良好的网络卫生。虽然大多数公司将解决第 3 级中出现的大部分风险,但他们可能不会按照这些要求的特殊性来做这件事。此外,能够展示这些控制的实施可能是一个挑战。在第 3 级,您不仅拥有政策/程序要求,还拥有与持续实施控制相关的计划。
回到前面的示例中的 2 个,访问控制从级别 1 的 4 到级别 2 的 14,现在增加了 8 个,总共 22 个控制。然后是身份验证和身份验证,从级别 1 的 2 到级别 2 的 7,现在增加了 4 个,总共 11 个控件。为这 2 个域添加的控制类型 - 对无线、远程访问、职责分离、 特权用户、移动设备、加密和多因素身份验证。
系统和通信——从 1 级的 2 到 2 级的 4,现在增加了 15 个,总共 19 个控件。其他要求包括更具体的防火墙、远程访问和加密技术、围绕移动代码、VOIP、会话控制和密钥管理的新要求。
4 级和 5 级引入最少的主动网络控制和高级网络保护。这些级别适用于拥有比级别 3 更敏感的信息的公司。在 CMMC 的初始试点阶段,重点是级别 1 到级别 3,级别 4 和级别 5 被视为未来状态。尽管如此,建议对这些水平进行控制。
让我们回到访问控制领域,看看我们为第 4 级添加了什么:
- 控制连接系统上安全域之间的信息流。
- 定期审查和更新 CUI 程序访问权限。
- 根据组织定义的风险因素(例如一天中的时间、访问位置、物理位置、网络连接状态以及当前用户和角色的测量属性)限制远程网络访问。
和第 5 级:
- 识别并降低与连接到网络的未识别无线接入点相关的风险。
对 CMMC 级别有疑问? LBMC 可以帮助您的组织为 CMMC 框架做好准备和导航。 接触 us now.