前言

随着全球网络安全风险日益加剧,美国国防工业基础(defenseindustrial base, DIB)企业的特殊信息失窃事件频发,直接威胁着美国的军事技术优势。为此,美国国防部推出“网络安全成熟度模型认证”项目(Cybersecurity Maturity Model Certification, CMMC),设计CMMC框架标准,授权第三方机构对DIB企业的网络安全成熟度进行等级认证,并将成熟度等级作为授予国防订单的先决条件。从2020年11月30日起,美国防部计划用五年时间逐步在国防采购中落实CMMC的各项网络安全要求,驱动DIB网络安全能力建设,保护国防部供应链安全。

【图片来源:google】

一、应对美国防工业基础网络威胁,防范特殊信息泄露侵蚀技术优势

CMMC项目致力于解决对DIB日益严重的网络安全问题。DIB是为美军研发、设计、生产和保障武器系统,以及提供相关产品与服务的各类实体的统称。DIB是国防产品供应链的关键环节,以及军事技术创新的重要源头,由此成为网络攻击的目标。美国防工业协会(NDIA)指出,美国DIB在2019年的安全状况仅为63分(百分制),新网络漏洞发现数量从6957个(2014-2016年)增长至12535个(2016-2018年)[1];通过对相关DIB企业调研发现,42.5% 确信遭遇过网络攻击,30%可能遭遇过网络攻击[2]。与此同时,美国防部发现,在全美34.7万家制造商中,99%是中小企业,但超过一半的中小企业缺乏基本的网络管控措施,使得中小型DIB企业成为网络威胁的“重灾区”[3]。近年来发布的美国家网络空间战略、美国防部网络空间战略、国防授权法案等都提出加强DIB网络安全的要求,而CMMC就是美国防部将相关要求落地的具体措施。美国防部负责采购的副部长埃伦·洛德表示,开展CMMC项目是为了评估与提升国防工业基础的网络安全水平。

CMMC项目以联邦合同信息(federal contractinformation, FCI)与受控非密信息(controlled unclassifiedinformation, CUI)为保护对象。FCI是指根据与政府达成的生产交付合同,由政府提供或为政府生成的非公开发布信息[4];CUI是指根据相关法律、法规和政策进行保护或传播控制的信息[5]。FCI和CUI是介于保密与公开之间的特殊信息,大量存储于DIB企业的非密网络中。特别是DIB企业掌握的CUI,很多涉及武器装备设计、技术指标参数等敏感内容,直接反映着美军装备技术的现状;但因网络安全能力不足,CUI失窃事件频发,如F-35战机设计数据失窃案、“海龙”工程(水下战能力建设项目)技术数据失窃案等。因此,美国防部试图通过CMMC项目加强FCI和CUI的保护,在大国竞争时代继续保持相较于竞争对手的军事技术优势。

二、 编制CMMC框架的五级标准,从流程和实践两个维度评估DIB企业的网络安全成熟度

CMMC框架由美国防部牵头,约翰·霍普金斯大学应用物理实验室、卡内·基梅隆大学软件工程研究所等单位共同开发,2020年1月正式对外发布,主要用于评估当前DIB企业维护网络安全的流程、实践和方法的能力水平,确保其在执行国防部的采购合同时能够保护FCI和CUI。

CMMC框架设置五级成熟度,以渐进方式逐级提高FCI和CUI的保护要求。一方面,等级越高,安全要求越严格。第一级(Level 1)要保护FCI;第二级(Level 2)是向CUI保护的过渡阶段;第三级(Level 3)要保护CUI;第四级和第五级(Level 4-5)不仅要保护CUI,还要减少高级持续威胁(APT)的风险[6]。另一方面,成熟度等级以阶梯状提升,DIB企业必须达成低级别的认证并满足具备新的要求后,才能提升至更高的成熟度等级[7](参见图1)。

图1 CMMC成熟度等级示意图

CMMC框架以域(domain)作为成熟度评估的指标。域是指DIB企业的网络安全需求集[8],共17个(参见图2),每个域映射至不同的等级作为评估成熟度的指标之一。由于各等级的安全要求不同,每个域和五个等级之间并非一一映射的关系。例如,“接入控制”域(Access Control)适用于所有等级的评估,而“资产管理”域(Asset Management)要到评估第三、四级时才开始应用。DIB企业根据域的安全需求进行能力建设,满足规定数量域的需求后,才能评定相应的成熟度等级。例如,评定第一级,要满足接入控制、身份和认证、介质保护、物理保护、系统与通信保护,以及系统与信息完整性,共6个域的安全需求。

图2 CMMC框架下的17个域

CMMC框架通过实践(practices)和流程(processes)两个维度衡量网络安全状况。实践是指DIB企业维护网络安全应落实的一系列技术措施[9],共171项,分布于17个域中[10](参见图3);流程是指DIB企业为达到一定的成熟度等级而开展的程序性活动[11],流程的制度化水平称为流程成熟度,由低至高分别为执行、记录、管理、评估和优化五个等级,流程成熟度越高,DIB企业越能够长期稳定的落实实践,应对和防范网络攻击的能力也就越强[12]。从每个域的角度来看,既要落实规定数量的实践,又要达到相应的流程成熟度等级[13],才能成为一项合格的评估参考指标,例如“资产管理”域作为第三级评估指标时就设定1项实践和3项流程要求(参见表1)。从CMMC框架的整体角度看,实践数量在CMMC成熟度等级之间呈现阶梯式递增,第一级仅需要落实17项实践,实现“基本的网络清洁”(Basic Cyber Hygiene),而第五级则需要落实全部171项,达到“高级/先进”(Advanced/Progressive)的程度(参见图4);DIB企业必须落实相应数量的实践,并同时满足流程成熟度的要求,才能评定相应的CMMC成熟度等级[14](参见图5)。

图3 各域最佳实践的数量

表1“资产管理”域作为第三级成熟度的评估指标

流程

建立包含资产管理的政策

记录CMMC实践以实施资产管理政策

建立、维持包含资产管理的计划,并提供相关资源

实践

定义处理CUI数据的程序

图4 各成熟度等级实践的数量

图5 CMMC的流程成熟度与实践

三、建立第三方认证生态系统,军民协作打造符合网络安全标准的DIB企业

“一个中心+三类实体”组成第三方认证生态系统。“一个中心”是CMMC鉴定机构(CybersecurityMaturity Model Certification Accreditation Body, CMMC-AB),其作为独立于美国防部的非盈利组织,负责管理、监督CMMC的鉴定、认证、批准、训练和评估流程,建立经过培训且具有专业水准的评估队伍[15]。“三类实体”是经CMMC-AB授权从事相关服务的组织和个人:一是评估实体,包括CMMC第三方评估师组织(CMMC third-party assessor organization, C3PAO)和注册评估师(Certified Assessor),负责对DIB企业的网络安全成熟度进行认证评估。二是咨询实体,包括注册顾问组织和注册顾问 ,为DIB企业做好认证评估准备提供咨询建议。三是培训实体,包括执业伙伴出版商和执业训练提供商,为申请成为注册评估师的人员提供培训。

美国防部牵头对CMMC-AB主导的第三方认证予以指导和支持。国防部的指导和支持工作主要包括:成立CMMC项目管理办公室(CMMC Program Management Office, CMMC PMO),具体负责与CMMC-AB的交流协调;为CMMC-AB提供CMMC框架和评估指南,并根据网络安全需求和威胁变化,对框架和指南进行修订完善;根据法律规定与CMMC-AB共享重要的网络威胁信息;为CMMC-AB提供有关CMMC框架的专业指导等[16]。

DIB企业通过网络安全能力建设获得CMMC-AB认证的成熟度等级,成为安全可靠的供应商。按照CMMC项目的设计,成熟度等级评估结果具有三年效力,评估结果将上传至国防部的“供应商绩效风险系统”(SPRS),在合同授予前由国防部验证相关DIB企业的成熟度等级是否依然有效,且达到美国防部招标书中规定的级别,才有机会获得国防部的采购订单。对于涉及CUI的订单,DIB企业至少要达到成熟度的第三级。至2025财年,约3.2万家DIB企业获得1-2级认证,1.5万家企业获得3级以上认证(参见图6)。

图6 2021-2025财年完成认证的DIB企业数量

四、结束语

军工企业是我国综合实力的重要体现,对国防建设和国民经济发展意义重大,从而成为强敌对手网络攻击和数据窃取的重点目标。例如,360网络安全公司2020年3月披露,美国中央情报局对我国的航空航天、科研机构等单位进行了长达11年的网络攻击渗透。因此,我国应借鉴美国CMMC项目的有益经验,为军工企业设定相应的网络安全标准和要求,并作为军品采购的先决条件,确保国防技术和信息的安全,使军工企业更好的为强军兴军贡献力量。

参考文献及脚注:

[1] National DefenseIndustrial Associa­tion, “Vital Signs 2020: The Health and Readiness of theDefense Industrial Base,” January 2020.

[2] National DefenseIndustrial Associa­tion, “Beyond Obfuscation: The Defense Industry’s Positionwithin Federal Cybersecurity Policy ,” September 2019.

[3] “Assessing andStrengthening the Manufacturing and Defense Industrial Base and Supply ChainResiliency of the United States,” Report to President Donald J. Trump by theInteragency Task Force in Fulfillment of Executive Order 13806, September 2018.

[4] General ServicesAdministration, Department of Defense, National Aeronautics and SpaceAdministration, “Federal Acquisition Regulation (FAR) ,” 2019.

[5] https://www.archives.gov/cui/about.

[6] Office of the Under Secretary of Defense for Acquisition and Sustainment, “Cybersecurity Maturity Model Certification,”version 1.02, March 18, 2020.

[7] Congressional Research Service,” Defense Acquisitions: DOD’sCybersecurity Maturity Model Certification Framework, ” December18, 2020.

[8] Congressional Research Service,” Defense Acquisitions: DOD’sCybersecurity Maturity Model Certification Framework, ” December18, 2020.

[9] OUSD(A&S), “Cybersecurity Maturity Model Certification,” version1.02, March 18, 2020.

[10]能力(capabilities)是实践与域之间的桥梁。能力是指DIB企业达成网络安全需求必须履行的职责,共43项,分布于17个域中,每项能力又映射着多项实践,这样171项实践就分配至相应的域中。

[11] Andrew Hoover, “Cybersecurity Maturity Model Certification (CMMC) Part 2:Process Maturity”s Role in Cybersecurity,” June 1, 2020,https://insights.sei.cmu.edu/sei_blog/2020/06/cybersecurity-maturity-model- certification-cmmc-part-2-process-maturitys-role-in-cybersecurity.html.

[12]同上。

[13]评定CMMC成熟度的第一等级不需要进行流程成熟度评估,只需要落实相关实践。

[14] Katie C. Stewart, “An Introduction to the CybersecurityMaturity Model Certification (CMMC),”March 30, 2020,https://insights.sei.cmu.edu/sei_blog/2020/03/an-introduction-to-the-cybersecurity-maturity-model-

certification-cmmc.html

[15] Memorandum ofUnderstanding (MOU) between the Department of Defense, Office of the UnderSecretary of Defense for Acquisition and Sustainment (OUSD(A&S)) andCybersecurity Maturity Model Certification Accreditation Body, Inc. (CMMC-AB),signed March 2020.

[16] Memorandum ofUnderstanding (MOU) between the Department of Defense, Office of the UnderSecretary of Defense for Acquisition and Sustainment (OUSD(A&S)) andCybersecurity Maturity Model Certification Accreditation Body, Inc. (CMMC-AB),signed March 2020.

补充上期《对美军新近发展作战理念的梳理与思考》参考文献:

[1] “算法战争”的概念、特点与影响,龙坤等,国防科技,2017年12月;

[2] “联合作战概念开发:自下而上还是自上而下?”,

https://www.sohu.com/a/440595989_358040;

[3] “美军的作战理论体系与作战概念研发机制”,北纬40°,

http://www.bw40.net/15586.html

[4] 美空军敏捷作战思想研究,郝雅楠等,期刊论文《中国航天》 2017-11-20;

[5] “算法战”及其在空战领域中的应用,胡利平等,期刊论文 《国防科技》 2019-07-14。

声明:本文来自网安思考,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。