落地！美国防部发布并推行“网络安全成熟度模型认证”标准

2020-03-02 14:11

2020年1月31日，美国防部发布《网络安全成熟度模型认证》（CMMC）1．0版。该文件构建了五个等级的网络安全成熟度标准，2020年开始逐步推进落实，预计6月发布首批包含基于该模型的网络安全成熟度等级要求的信息征询书（RFI），全年发布10份；9月发布首批包含该要求的方案征询书（RFP），全年也发布10份。到2026财年，所有的美国防部合同都将包含网络安全成熟度认证等级要求。

《网络安全成熟度模型认证》（CMMC）1．0版文件封面（美国防部图片）

作者观点：在瞄准中俄高强度落实大国竞争战略的过程中，美高度重视加强对武器系统和国防工业的网络防护，保证作战和竞争优势。美国防部于2014年提出并推行“网络韧性”，要求在研在役武器系统通过设计或升级改造满足“网络韧性”关键性能参数或关键系统属性要求；发布正式版网络安全成熟度模型认证文件，标志着美国防部开始将强制性网络安全要求扩大到包含中小企业在内的国防工业，未来不满足相应等级要求的企业将无法竞争美国防部合同。美军在武器系统和国防工业网络防护要求方面已率先形成规范，将有力推动网络防护能力全面提升。

《网络安全成熟度模型认证》将网络安全划分出17个能力域，并列出5个成熟度等级。这种做法反映出美军对于新概念新理论的一贯操作：尽快同时又审慎地进行前瞻性战略规划和操作性规范设计，使之成为武器系统的关键性能参数（KPP）或关键系统属性（KSA），以及国防工业的规范。对网络（指组网联网）中心战是如此，对网络安全也是如此。“网络中心战”构想于20世纪90年代中期提出之后，美军立刻开始分析该构想可以用何种定性或定量要求表征，从而指导美军在研在役武器装备发展，由此提出或完善了“信息保证”要求，明确了武器系统的“信息交换需求”和“网络准备度”等关键性能参数，直接指导武器系统需求论证、指标提出和试验与鉴定等工作。现在，随着《网络安全成熟度模型认证》提出和贯彻，美军在武器系统和国防工业网络防护要求方面已率先形成规范，将有力推动网络防护能力全面提升。这里最需要借鉴的是，要尽快考虑把一些新概念新理论等既纳入战略规划等顶层设计，又进行框架化、流程化和面向规范与评估的定性结构化和定量化操作，把握先机，真正快速实现“落地”（美国防部图片）（中国航空工业发展研究中心张洋）

本篇供稿：系统工程研究所运营：李沅栩