CMMC：美國國防部的網絡安全成熟度模型認證

幾年來，數據泄露連攀高峰，堪稱爆發之勢。如此之高的攻擊頻率和企業損失的不斷攀升，已經引起了各國政府的高度重視。在過去，數據泄露還相對“本地化”一些，也就是說，數據泄露事件僅影響目標公司。但現在，新型攻擊可以摧毀整條供應鏈。雖然許多公司已投入大量資金來防范此類攻擊，但完善的安全計劃需要包含能夠明確驗證這種安全準備情況的能力。

CMMC是什么？

政府機構是攻擊者眼中極具吸引力的目標。美國國防工業基礎（DIB）和國防部（DoD）供應鏈都相當誘人。DIB部門涵蓋30多萬家公司，負責為美國國防部提供各方各面的支持。美國國防部內部多個小組為這些公司創建了統一的合規驗證系統，也就是網絡安全成熟度模型認證（CMMC）。

安全專業人士大多很熟悉網絡安全框架。該框架由美國國家標準與技術研究院（NIST）制定，已成為許多企業公認的標準，可用于通過正式的安全計劃來展示安全準備情況。采用CMMC，公司能夠通過可以客觀評估的多個層級來證明安全準備情況。

CMMC針對兩類獨立的成就提供五個一致性層級。需要說明的是，流程和實踐均匹配更高的合規層級。

加上流程和實踐，是對網絡安全規范的補充，可以明確知悉各自的實踐需要哪些流程，消除了許多其他評估標準中存在的貌似自由裁量的判斷。 

有鑒于此，CMMC不僅僅局限于層級。引用文檔里的話：

“除了CMMC層級描述，規范并映射流程及實踐到特定級別還考慮了多重因素……”文檔中還指出，“CMMC模型實際上提供了一種方法，可以更好地根據需保護信息的類型和敏感性與威脅的范圍來協調成熟度流程和網絡安全實踐。”

這些陳述似乎是為了說明并非所有數據都同等重要。具體講，每個層級匹配特定類型的信息。例如，聯邦合同信息的保護級別低于受控非機密信息的保護級別。 

深入了解CMMC

CMMC的粒度級別讓人聯想到私營部門的審計工具，例如信息技術控制目標（COBIT）和其他評估標準。CMMC標準橫跨17個“領域”。這些領域涵蓋了全面網絡安全實踐的方方面面。如果考慮滿足每個領域各自的要求，CMMC明顯總共由171個“最佳實踐”組成。（文檔摘要中也對此做出了說明。）

沿CMMC的路徑前進，似乎可以認為CMMC的流程比實踐更容易實現。這是因為，流程可以視為一組實際行為，而實踐建立在“文化”依從這些行為的基礎上。“制度化一詞描述了一項活動嵌入或根植到公司運營中的程度。”這聽起來很像安全專業人員長期以來一直試圖在公司里表達的內容！因此，這似乎是一項更具挑戰性的任務。

如果全公司范圍內多個層級混雜，則按照CMMC，公司將被歸為最低的兩個層級：已執行或已記錄的流程；以及基本或中級網絡衛生實踐。

應該注意的是，CMMC是一種組織認證，類似于制度與組織控制（SOC）審計是組織現有控制措施有效性的保證。CMMC不是安全行業的個人認證，盡管個人可以被認證為CMMC或高級CMMC“評估員”。作為美國國防部的新要求，CMMC將成為網絡安全領域值得擁有的一項認證。

CMMC對于美國國防部的所有供應商都有效。這項認證十分完善，每家企業的網絡安全人員都應該熟悉這項認證。與許多NIST指南一樣，采用CMMC可以提升每家企業的網絡安全狀況。這是大家都適用的模型。