网络安全成熟度模型认证CMMC 2.0版本发布

上周，五角大楼发布了此前因过于复杂而在业界饱受争议的网络安全成熟度模型认证(CMMC)的2.0版本。CMMC是面向美国国防工业基地(DIB)承包商的培训、认证和第三方评估框架，过去几年也被网络安全业界看好甚至炒作的——供应链安全能力建设和评估的最重要的几个安全框架之一。

美国国防部(DoD)三年前推出了CMMC，并于2020年9月作为临时性框架实施，旨在用第三方合规性验证取代DIB承包商之前的网络安全自我证明。五角大楼还选择了一个独立的CMMC认证机构(CMMC-AB)来进行第三方验证。

安全成熟度级别从五个减少到三个

CMMC2.0与CMMC1.0的最大区别是成熟度级别大幅精简。1.0版本在一个复杂的模型框架中阐明了基本的网络安全流程和实践，包含17个领域，涵盖五个成熟度级别：基本、中级、良好、主动和高级。而CMCC 2.0则旨在通过减少对认证的需求并将级别数量减少到三个级别：基础、高级和专家，来减少“中小型企业的繁文缛节”。

为了达到基础级别，美国国防部概述了承包商必须满足的17项基本实践，并且只需要自我证明作为合规证明。高级级别将所需实践增加到110，与美国国家标准与技术研究院(NIST)特别出版物(SP) 800-171保持一致。

高级别要求对关键的国家安全信息进行三年一次的第三方评估，并对选定的程序进行年度自我证明。新的顶级专家要求承包商实施110多项与800-171一致的做法，并需要政府主导的三年一次的评估。

CMMC 2.0落地还需要两年

美国国防部将通过两个尚处公众意见征询期的法规实施CMMC 2.0。这些法规制定完成可能需要长达24个月的时间，美国防部表示还将暂停2020年12月启动的CMMC试点计划，并停止将CMMC要求纳入国防部的任何采购。此外，在美国防部完成规则制定之前，CMMC 2.0不会成为合同要求。与此同时，美国防部正在探索为在此期间为自愿获得CMMC认证的承包商提供奖励的想法。

美国防部表示，处理相同类型的联邦承包商信息(FCI)和受控非机密信息(CUI)的承包商和分包商仍必须满足相同的要求。但是，在主承包商仅向其分包商提供某些类型的信息的情况下，较低的CMMC级别可能适用于分包商。

DARS要求仍然存在

所有承包商仍然有义务满足几个国防采办条例补充的网络安全要求（DARS），包括252.204-7012、252.227-7017、252.204-7019和252.204-7020。美国国防部还向承包商推荐Project Spectrum项目，以“帮助DIB公司评估他们的网络安全态势并开始采用健全的网络安全实践。”

CMMC-AB首席执行官Matthew Travis对这一变化表示欢迎，并在一份声明中说：“国防部从合理的风险管理角度对此进行了处理，并实现了了内部评估目标：澄清标准，降低成本负担，提高可扩展性，以及增强对CMMC生态系统的信任和信心。”

然而，Travis指出了他认为新CMMC迭代的挑战，“例如我们的培训提供者现在需要进行课程调整，还要满足新一轮联邦规则制定的时间要求。” 为应对挑战，CMMC-AB将举办一个特别的听证会讨论CMMC 2.0的变化。

CMMC：一个利益漩涡中的“烫手”标准

CMMC从一开始就处于动荡之中。由于担心与五角大楼有独家谅解备忘录(MOU)的CMMC-AB正在运行一项合作伙伴计划，许多人认为该计划是“充钱游戏”。CMMC-AB主席Ty Schieber和通讯委员会主席Mark Berman出人意料地离开了该组织的董事会。其他董事会成员也逃离了该组织，其中包括Fathom Cyber的首席执行官兼总法律顾问Jim Goepel。

业界不断有人抱怨CMMC过于复杂且成本太高以至于小型组织无法采用，国防部于去年3月对CMMC计划的实施进行了内部评估，征求了850多条公众意见。根据现已撤回的DoD联邦公报：“这次评估催生了‘CMMC 2.0’，后者更新了模型结构和要求，以简化和改进CMMC的实施。（国防部和联邦纪事办公室都没有回应有关五角大楼为何撤回通知的问题。而且，联邦纪事办公室尚未发布国防部的联邦纪事撤回信，这可能有助于我们了解通知撤回的原因)

在美国国家安全局(NSA)报告未经授权披露军事情报机构的机密信息后，负责监督CMMC的五角大楼官员、前采购和运维首席信息安全官凯蒂·阿灵顿(Katie Arrington)被停职。眼下阿灵顿正在起诉美国国防部以解决她的人事问题。她声称被“带薪休假”是有人想干扰CMMC的运行，而美国国家安全局并不支持CMMC。

只有少数承包商可能需要第三方验证

James Goepel是前CMMC-AB董事会成员，现在CMMC信息研究所的创始人之一，曾在11月5日致函美国总统拜登炮轰CMMC 2.0。他表示，CMMC2与白宫5月发布的网络安全行政命令的目标相矛盾，并危害国家。

Goepel和前CMMC-AB董事会成员Mark Berman（也是CMMC信息研究所的联合创始人）对CMMC 2.0重新引入自我证明尤其不满：“CMMC 2.0给承包商带来了更大的危险，因为组织负责人必须签署承包商遵守法规的证明。然而，承包商也意识到司法部(DoJ)每年智能追究少数虚假证明索赔案件”。

Goepel估计大约22万DIB承包商中大约17.5万家企业需要取得CMMC 2.0的第一级或第二级成熟度（仅需自我证明），只剩下大约4.5万家名需要取得第三方验证（第三级成熟度）的承包商。“与整个国防部供应链相比，第三方证明只是杯水车薪，”他说。

此外，通过精简CMMC的成熟度元素，CMMC2.0成了一个以技术为中心的模型，忽略了基本的安全政策和程序，Goepel说：“你看看像Equifax甚至SolarWinds这样的公司，他们缺的不是技术，而是没有围绕这些技术制定适当的政策和程序以及计划，以确保它们得到充分和正确的使用。”