CMMC 是网络安全成熟度模型认证，正在开发中以帮助保护国防部的供应链免受网络安全相关威胁。国防部在未来的合同中包括了针对 CMMC 成熟度模型的认证要求，其中也包括分包商。在国防部圈子中被称为国防工业基地或 DIB 的供应链可能成为国家对手的目标，因为 DIB 中的供应商可能拥有与国家安全相关的敏感或机密信息。这个想法是，如果没有安全的基础，所有功能都将面临风险。网络安全应作为国家国防工业基础各个方面的基础。

来自外国对手、行业竞争对手和国际犯罪分子对美国国防部 (DoD) 供应链的全球网络攻击处于美国国家安全问题的最前沿。根据负责采购和维持的国防部副部长艾伦·洛德 (Ellen Lord) 的说法，中国、俄罗斯和朝鲜等国家从美国窃取了超过 6000 亿美元（占全球 GDP 的 1%）。即使在今天，这些不良行为者仍在利用 COVID-19 大流行作为其邪恶行为的掩护，而组织则在将业务运营从实体办公室扩展到个人家时分心。

有 30 万家公司在某种程度上参与了国防工业基地 (DIB)，无论它们是直接与国防部签订合同还是分包给更大的公司。无论与国防部的关系如何，所有供应链承包商都需要至少获得 1 级认证。

CMMC 计划主要由国防部副部长采购办公室推动。通常，认证过程将类似于许多其他认证或网络安全评估，例如 ISO 或 FedRAMP。首先，成立了一个认证机构，以形成围绕整个评估和认证过程的规则和框架。然后，评估机构必须向认可机构申请认可其组织能够执行 CMMC 评估，然后培训和认证其员工以执行评估工作。一旦评估机构完成认证、培训和人员认证过程，他们将能够执行 CMMC 评估以认证客户。

从 CMMC 认证委员会或 CMMC-AB 的形成开始，该过程一直在整个 2020 年推进。 AB 最初受到一个完全由志愿者组成的委员会的影响，该委员会致力于为评估机构、专业人士和寻求认证的组织建立一个框架。该框架包括标准本身、认证要求、评估和认证过程以及培训。 CMMC-AB 建立了一个临时评估员测试计划。这些评估员是从目前正在接受培训以临时执行评估的评估空间中挑选出来的较小人才库。国防部选择了非常具体的合同，这些合同目前正在按照新的 CMMC 要求进行采购流程，作为 Beta/临时评估的 Beta 测试。这个经过深思熟虑的测试步骤将允许合规评估员、认证机构、行业和国防部 CMMC PMO 执行一些评估，然后评估流程以确定最有效的方法。

在这些临时评估发生后，CMMC-AB 将推进更大规模的培训可用性、评估公司认证和要求的最终确定。 CMMC-AB 还处于建立认证生态系统的早期阶段。试点的当前阶段被认为是临时阶段，涉及数量有限的临时评估员及其相关认证机构（或第三方评估组织）。国防部今年试行的合同不超过 15 份，并且要到 2025 年才会全面实施该要求。

2021 年 2 月，作为 NIST 和 FISMA 评估的领导者和 LBMC 的战略合作伙伴，Provincia Government Solutions (PGS) 成为首批被公认为 CMMC-AB 批准的认证第三方评估组织 (C3PAO) 的组织之一。阅读有关 PGS 和 LBMC 如何合作提供 CMMC 评估服务的更多信息： //www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

通常，如果您是国防部的承包商或供应商，或者是国防部承包商的分包商，则可能需要担心 CMMC。但是，国防部和 CMMC 认证机构表示，国防部将在未来几年内在新合同中部署该要求。 CMMC 要求预计不会插入到有效合同中。即使您现在可能不必担心它 - 现在开始考虑您的安全状况永远不会太早。

有关于 CMMC 的问题？ LBMC 可以帮助您的组织准备并获得 CMMC 认证。 接触 us now.

这 17 项控制确实是大多数公司已经在做的事情，您可能只需要将它们正式化一下，以便为审计做好准备。这些基本措施包括使用用户 ID 和有效密码、限制系统访问和功能、清理媒体、限制/记录/控制物理访问和控制访问者、控制系统边界（通常通过防火墙和 DMZ）、修补漏洞，以及，最后但并非最不重要的是，更新和扫描的恶意代码保护。

以下是 17 个控件的外观：

• 将信息系统访问权限限制为授权用户、代表授权用户的流程或设备（包括其他信息系统）。
• 将信息系统访问权限限制为允许授权用户执行的交易类型和功能。
• 验证和控制/限制与外部信息系统的连接和使用。
• 控制在可公开访问的信息系统上发布或处理的信息。
• 识别信息系统用户、代表用户的流程或设备。
• 验证（或验证）这些用户、流程或设备的身份，作为允许访问组织信息系统的先决条件。
• 在处置或释放以供重复使用之前，对包含联邦合同信息的信息系统介质进行消毒或销毁。
• 限制授权个人对组织信息系统、设备和相应操作环境的物理访问。
• 护送访客并监控访客活动。
• 维护物理访问的审计日志。
• 控制和管理物理访问设备。
• 在信息系统的外部边界和关键内部边界处监视、控制和保护组织通信（即由组织信息系统传输或接收的信息）。
• 为与内部网络物理或逻辑分离的可公开访问的系统组件实施子网。
• 及时发现、报告和纠正信息和信息系统缺陷。
• 在组织信息系统内的适当位置提供对恶意代码的保护。
• 当新版本可用时更新恶意代码保护机制。
• 在下载、打开或执行文件时执行信息系统的定期扫描和来自外部源的文件的实时扫描。

还有 55 个额外的控件，使我们总共有 72 个。这个列表可能有点太长了，无法全部包括在这里。但是为了让您了解我们正在查看的内容。

• 访问控制和身份识别/授权在第 1 级，侧重于限制对系统和功能的访问、身份验证机制和标识符的使用，以及维护对外部和公共访问系统的访问控制，现在更进一步。级别 2 添加隐私/安全通知、便携式设备存储限制、最低权限、会话锁定、登录尝试限制、无线控制、远程访问控制以及特定密码管理和加密要求
• 系统和通信在 1 级要求边界处的防火墙类型保护和 DMZ 的实施，增加了围绕协作工具的远程控制和网络设备管理会话的加密的控制。

另外，当国防部只要求 1 级或 3 级认证时，为什么公司要获得 2 级认证？级别 2 旨在显示正在向级别 3 努力的公司的过渡状态。例如，如果您的组织希望签订需要 3 级证书的合同，但您的安全状况还没有达到那个点，您可以获得 2 级认证以更好地展示您当前的过渡状态。目前，在合同奖励之前，不需要合同认证级别。因此，2 级认证的过渡状态可以帮助您的组织在授予合同之前显示合同提案的进展情况。

级别 3 是另一个重大升级，增加了 58 个控件，总共 130 个控件。对于不太成熟的安全计划来说，提升到 3 级可能很重要。 3 级是良好的网络卫生。虽然大多数公司将解决第 3 级中出现的大部分风险，但他们可能不会按照这些要求的特殊性来做这件事。此外，能够展示这些控制的实施可能是一个挑战。在第 3 级，您不仅拥有政策/程序要求，还拥有与持续实施控制相关的计划。

回到前面的示例中的 2 个，访问控制从级别 1 的 4 到级别 2 的 14，现在增加了 8 个，总共 22 个控制。然后是身份验证和身份验证，从级别 1 的 2 到级别 2 的 7，现在增加了 4 个，总共 11 个控件。为这 2 个域添加的控制类型 - 对无线、远程访问、职责分离、 特权用户、移动设备、加密和多因素身份验证。

系统和通信——从 1 级的 2 到 2 级的 4，现在增加了 15 个，总共 19 个控件。其他要求包括更具体的防火墙、远程访问和加密技术、围绕移动代码、VOIP、会话控制和密钥管理的新要求。

4 级和 5 级引入最少的主动网络控制和高级网络保护。这些级别适用于拥有比级别 3 更敏感的信息的公司。在 CMMC 的初始试点阶段，重点是级别 1 到级别 3，级别 4 和级别 5 被视为未来状态。尽管如此，建议对这些水平进行控制。

让我们回到访问控制领域，看看我们为第 4 级添加了什么：

• 控制连接系统上安全域之间的信息流。
• 定期审查和更新 CUI 程序访问权限。
• 根据组织定义的风险因素（例如一天中的时间、访问位置、物理位置、网络连接状态以及当前用户和角色的测量属性）限制远程网络访问。

和第 5 级：

• 识别并降低与连接到网络的未识别无线接入点相关的风险。

对 CMMC 级别有疑问？ LBMC 可以帮助您的组织为 CMMC 框架做好准备和导航。 接触 us now.