为保护美国国防工业中的信息安全，特别像2018年末暴露的大约30,000名军事和文职人员的个人信息和支付卡信息事件的发生，国防工业供应链中非机密信息的保护得到美国国防部的关注，美国国防部着手开发国防工业中的信息安全保护体系。美国国防部（DoD）于2020年1月30日发布了网络安全成熟度模型认证（CMMC）文件，该体系为国际上利用成熟度模型理论作为行政许可认证的先驱者，一经发布就引起了国内外信息安全行业同仁的关注。业界人士在分析美国防部发布CMMC文件初衷的同时，也在关注该文件体系的内容，及该成熟度模型与目前系列能力成熟之间的关系。成熟度模型理论体系在我国信息安全行业中同样得到广泛的研究、应用，笔者针对在成熟度模型方面积累的经验，总结相关内容心得与行业分享。

如今国际网络空间安全的较量日趋紧张，恶意的网络活动频繁，美国国防工业部门的知识产权和敏感信息频频受到，进而影响到其经济安全和国家安全，对此美国经济顾问委员会(Council of Economic Advisors)和战略与国际研究中心(Centerfor Strategic and International Studies)进行了持续的调查和分析。美国政府认为，美国国防工业基地（DIB）由30多万家公司组成，这些公司负责为作战人员提供支持，为国防部系统、网络、安装、能力和服务的研究、工程、开发、采购、生产、交付、维护和运营提供支撑，恶意网络行动者持续针对国防工业基地(DIB)部门和国防部(DoD)的供应链进行攻击，削弱了美国的技术优势，增加了国家安全风险。为此，美国国防部认为有必要建立一套适合整个国防工业承包商网络安全能力的管控体系，对此进行强制的行政实施，保障美国国防工业信息的安全。

2019年5月底，征求到了国防部利益相关者、大学附属研究中心(UARCs)、联邦资助的研究与发展中心(FFRDCs)和DIB部门的意见。由美国国防部组织，卡内基梅隆大学和约翰霍普金斯大学应用物理实验室有限责任公司共同开发了网络安全成熟度模型认证(CMMC)框架，主要成果基于美国国防部与卡内基梅隆大学签订编号为EA8702-15-D-0002的运营合同，以及由联邦政府资助的研究开发中心和霍普金斯大学应用物理实验室有限责任公司签订编号为HQ0034-13-D-0003、N00024-13-D-6400合同规定内容。

网络安全成熟度模型认证(CMMC)框架整合系列标准体系的内容，将要保护的信息数据类型和敏感性以及相关的威胁范围相结合，形成来自多个网络安全标准、框架和其他参考的成熟流程和网络安全最佳实践。参考整合的各类网络安全标准、体系有：联邦采购法规（FAR）、NIST SP 800-171、ISO 270001等。

网络安全成熟度意在加强对美国国防工业供应链中非机密信息的保护:

➢ 联邦合同信息(FCI):FCI是由政府合同提供或生成的信息，该合同不打算公开发布[3]。

➢ 受控未分类信息(CUI): CUI是根据并符合法律、法规和政府范围政策要求保护或传播控制的信息，不包括根据行政命令13526，国家安全保密信息，2009年12月29日，或任何前任或继任命令，或经修正的1954年原子能法[41]。

CMMC将实现多个级别的网络安全， 除了评估公司实施网络安全控制措施的成熟度外，CMMC还将评估公司网络安全实践和流程的成熟度水平。该成熟度模型是一组特征、属性、指标或模式，它们代表特定规程中的能力和进展。此类模型的内容通常是最佳实践的范例。成熟度模型提供了一个基准，组织可以根据这个基准来评估其当前过程、实践和方法的能力水平，并为其改进设置目标和优先级。该成熟度模型采用传统成熟度模型理念采用五级架构。

网络安全成熟度模型认证(CMMC)框架参考包括多个网络安全标准、框架的成熟流程和最佳实践，并结合来自国防工业基地(DIB)和国防部(DoD)相关人员的建议。模型框架将这些过程和实践合并为一组域，并将它们映射到五个层次上。

图1  CMMC模型框架 (简化的层次视图 )

CMMC模型将网络安全成熟度分为五个等级。每一个级别依次由一组过程和实践组成，如下图所示：

图2  CMMC级别与描述

跨域的CMMC级别和相关的过程和实践是累积的。为了使一个组织达到特定的CMMC级别，它还必须满足前面较低级别的要求。

CMMC级别针对流程和实践到特定级别的规范和映射还考虑了多种因素，包括法规、信息的类型和信息的敏感性、威胁、实现成本、实现的复杂性、DIB部门的多样性以及评估影响和其他因素。CMMC模型提供的是一种方法，以帮助改进成熟度流程，使得网络安全实践与被保护的信息类型、敏感性以及威胁范围的一致性。因此，CMMC级别也可以通过这种方式或者更简单地描述它们，如下所示:

☻ 级别1:保护联邦合同信息(FCI)

☻ 级别2:作为网络安全成熟度等级的过渡步骤以保护CUI

☻ 级别3:保护受控未分类信息(CUI)

☻ 级别4-5:保护CUI并减少高级持久威胁(APTs)的风险

图3 CMMC级别与相关焦点

CMMC模型由17个域组成。这些域中的大多数来自联邦信息处理标准(FIPS)出版物200[12]中的安全相关领域，以及NIST SP 800-171中的相关安全需求系列。CMMC模型还包括资产管理(AM)、恢复(RE)和态势感知(SA)三个领域。

图4 CMMC域

正如前面提到的，每个域由跨越5个级别的一组流程和功能。表1列出了CMMC模型中的17个域相关联的43个功能。

表1  CMMC域关联的功能列表

CMMC模型由5个成熟度过程组成，它们跨越了成熟度级别(ML) 2-5，适用于所有领域。

图2 CMMC流程

图5每个级别跨域的 CMMC实践

3.1 安全工程过程描述

SSE-CMM®是安全工程最佳实践的汇编，安全工程分为三个基本领域：风险、工程和保障，见图6。风险过程识别所开发的产品或系统的内在风险，并且给出优先顺序。针对这些危险所呈现的问题，安全工程过程与其他工程学科一起确定和实现相应的解决方案。最后，保障过程确立安全解决方案的置信度并且把置信度传递给客户。

图6 安全工程过程的三个主要领域

3.2 SSE-CMM®域维与能力维内涵

SSE-CMM®体系结构将安全工程过程的基本特征从其过程的管理和制度化特征中清晰地分离出来，从而用于确定安全工程组织的过程成熟度。为了确保分离，该体系结构涉及了“域”和“能力”两个维度。

SSE-CMM®包括两个维度，即“域”维和“能力”维。域维由共同定义安全工程的所有实践构成，这些实践被称为“基本实践”。能力维描述过程管理和制度化能力的实践，这些实践被称为“通用实践”。通用实践描述的活动应该作为基本实践实施时的一部分予以执行。

公共特征的排序源于实践的执行和制度化受益于其他实践的存在。在一个组织能够有效地定义、裁剪和使用某个过程之前，单个项目应已经积累管理该过程的经验。

在执行评估和改进组织的过程能力时，公共特征和能力等级都重要。如果评估发现某个组织在某个特定过程的特定能力等级实施了一部分公共特征，那么这个组织通常是运行在该过程最低的已执行能力等级上。在改进组织的过程能力时，为了提高某特定过程的能力，最好把实践按照能力等级进行分组，从而可为组织提供一幅“改进路线图”。因此，SSE-CMM®中的实践都归类到各个按能力等级排序的公共特征中。

应执行评估程序来判定每个过程的能力等级。不同的过程域根据其实际情况可能将处于不同能力等级。在判定后，组织可根据评估信息来改进其安全过程。组织应将安全过程改进的优先权和先后顺序纳入业务目标考虑范畴。

图7 安全工程组织成熟度的能力等级

每个过程域都是由若干个基本实践组成，每个公共特征由若干个通用实践组成。

图8 过程域与公共特征关系汇总

3.3 SSE-CMM®应用现状

SSE-CMM®是重点对安全可信产品或安全系统的系统安全工程能力进行评估的模型，是以安全产品或信息系统的整个生命周期为主线，达到信息技术实现过程安全的目的。我国网络安全服务能力测评业务开展过程中，通过对SSE-CMM®体系进行中国化的复合型改进，以信息安全服务组织的技术与管理能力为主线，增加了对组织基本资格、硬件设施、环境、人员、背景等因素的评估，能够对被评估组织的综合能力进行评估。我国利用SSE-CMM®体系开展网络安全服务能力认证已近20年，达到了对国内主流信息安全服务组织的基本覆盖，为国内信息安全服务组织的安全服务能力提供了一个客观的评定依据，得到了国内业界的广泛认可。

SSE-CMM®体系与CMMC体系的部分内容相对接近，核心思路基本相同，同出于卡耐基梅隆大学。两个模型同样继承了能力成熟度经典的5级架构，核心思路相同，目的统一。二者具体异同如下：

4.1相同点

➢版权同在卡耐基梅隆大学。卡耐基梅隆大学一直致力于能力成熟模型的研究与开发，在能力成熟度模型积累了丰富的经验；CMM®的商标权所属在卡耐基梅隆大学，对于应用对象的不同，成熟度模型呈现的模式有所调整，这个在各类能力成熟度模型中体现的较为明显。

➢同样为五级架构，基本思路统一。两个模型同样继承了能力成熟度经典的5级架构，评估的对象想要从低级别升级到更高的级别，均要建立在前序级别基础上，满足前序级别的所有要求、实践或者公共特征的前提下才能升级到下一个更高级别，总结来说两个体系均满足成熟度具有跨级别间经验积累的特点。

➢同样为二维模型框架，分为域维和能力维。两个模型都是建立二维的模型框架，分为域维和能力维。域维规定清楚整个工作的主体内容，能力维建立起模型评估对象的等级划分。

➢同样的域维结构。两个标准体系在域维中同样设置了过程域，各个过程域又由相关的基本实践组成。

➢同样为框架模型。两个标准体系同样为顶层架构规划的体系，若想实现两个顶层标准体系的目的，均要在这两个体系标准下针对不同的过程域、或者不同级别的达到而研制更为详尽的标准体系作为支撑。

4.2不同点

➢针对的对象不同。CMMC对组织的网络安全能力、网络安全准备进行的评估模型，关注点在风险管理、资产管理、身份管理、威胁和脆弱性管理、事件管理、供应链管理、态势感知等。而SSE-CMM®度量的是安全可信产品或安全系统的系统安全工程能力的评估，用来实现信息技术过程的安全，尤其是这些过程的成熟度，是以安全产品或信息系统的整个生命周期为主线，利用安全工程三个过程（风险过程、工程过程、保障过程）的面向过程结合面向对象的多闭环控制评估模型。

➢域维的思路模式不同。CMMC的域维主体思路是，针对组织的网络安全能力、网络安全准备，面向对象的考量，设置的17个过程域主要是面向对象评估设置。CMMC在域维中各个过程域的基本实践在每个等级是不同的，且增加了流程和功能的概念。SSE-CMM®域维主体思路是，针对安全可信产品或者安全系统的生命周期的安全能力。SSE-CMM®在域维中各个过程域中的基本实践在各个等级中是相同，级别间的不同主要能力维的公共特征来呈现。

➢能力维思路模式不同。CMMC的能力维不再设置公共特征，而是把每个级别的流程、功能、实践规定清楚。SSE-CMM®的能力维主要是通过公共特征来区分出级别间的特点，在公共特征的指导下，各级别域维的过程域、基本实践呈现的成熟度不同。

➢两个模型的评估方法上有区别。网络安全成熟度模型认证（CMMC）针对的是网络安全服务、产品组织，针对组织的自身网络安全能力、网络安全准备的评估，面向对象和带有行政许可的认证评估。系统安全工程能力成熟度（SSE-CMM®）针对的是安全可信产品或者信息系统，评估对象是面向过程结合面向对象的能力评估。二者之间存在评估方法的不同。

CMMC的整个标准体系应用为所有组织的网络安全能力、网络安全准备指引了一个基线的框架指导，目的是在为整个组织的信息管控设置了参考的依据。组织在为自身的网络安全能力建立管控体系时可以参考借鉴，组织可依据自身情况进行量体裁衣。SSE-CMM®体系同样是一个标准框架指导，意在构建组织的整个网络安全能力的指引，这方面的网络安全能力适用于提供方、需求方、第三方，各类角色可以依据自身的出发点进行裁剪使用。SSE-CMM®通过在域维设置的过程域，配合能力维的公共特征，两个维度的双重作用相辅相成，形成一个二维相互限制的体系框架。SSE-CMM®是一个世界多个组织依据大量的实践经验通过统计学原理总结出的框架模型，在模型下的具体应用层面并未设置明确的限制，自由度更高。

目前我国利用SSE-CMM®为主要模板思路开展针对组织的各类安全服务能力的评判测评认证较为常见，大量组织应用SSE-CMM®建立自身的组织级服务体系较为常见。中国信息安全测评中心自2002年开始利用成熟度理论开展组织级的服务资质测评，经过近20年的发展，在安全工程、安全开发、风险评估、灾难恢复、信息系统审计、大数据安全、云计算安全等领域建立了完善的基于成熟度模型的理论体系，得到广泛认可，部分体系已转化为国家标准，行业内应用效果良好。

来源：中国信息安全测评中心