网络安全成熟度模型认证(CMMC)

网络安全成熟度模型认证(CMMC)认证框架对美国网络安全的影响.S. 国防部(DoD)承包商、供应链、解决方案提供商和系统集成商.

什么是CMMC?

CMMC是网络安全成熟度模型认证, 正在开发的帮助保护国防部供应链免受网络安全相关威胁的系统. 国防部在未来的合同中包含了针对CMMC成熟度模型的认证需求, 也包括分包商吗. 供应链, 在国防部圈子里被称为国防工业基地或DIB, 可能成为国家对手的潜在目标,因为DIB的供应商可能拥有与国家安全有关的敏感或机密信息. 其理念是,没有一个安全的基础,所有的功能都处于危险之中. 网络安全应成为国防工业基础各个方面的基础.

为什么要创建CMMC?

外国对手对美国国防部(DoD)供应链的全球网络攻击, 行业竞争对手, 以及国际犯罪分子是美国国家安全最关注的问题.  中国等国家, 俄罗斯, 朝鲜向美国转移了6000多亿美元(占全球GDP的1%)。, 据艾伦·洛德说, 负责采办和维持的国防部副部长. 即使在今天, 这些不法分子利用COVID-19大流行作为他们邪恶行为的掩护,而组织则分散了注意力,因为他们将业务从实体办公室扩展到个人家中.

CMMC适用于谁?

30万家公司在某种程度上参与了国防工业基地(DIB), 无论是直接与国防部签订合同,还是作为大公司的分包商. 不管和国防部的关系如何, 所有供应链承包商都需要获得至少1级认证.

什么是CMMC认证过程?

CMMC计划主要由国防部负责采办的副部长办公室推动. 一般, 认证过程将类似于许多其他认证或网络安全评估, 例如ISO或FedRAMP. 第一个, 为了形成围绕整个评估和认证过程的规则和框架,成立了一个认证机构. 然后,评估机构必须向认证机构申请认可其组织能够执行CMMC评估,然后培训和认证其员工执行评估工作. 评估机构完成认可后, 培训, 人员认证流程, 然后他们将能够执行CMMC评估来认证客户.

谁是CMMC评估员?

整个2020年,这一进程一直在向前推进, 从CMMC认证委员会的成立开始, 或CMMC-AB. 审计委员会最初是由一个完全由志愿者组成的委员会妥协的,该委员会致力于为评估机构建立一个框架, 专业人士, 以及寻求认证的组织. 框架包括标准本身, 认证的要求, 评估和认证的过程, 和培训. cmc - ab建立了临时评估员的测试程序. 这些评估人员是从评估空间中挑选出来的较小的人员,目前正在接受培训,以便在临时基础上进行评估. 国防部已经选择了非常具体的合同,这些合同目前正在进行新的CMMC要求的采购过程,作为测试/临时评估的测试. 这个经过仔细考虑的测试步骤将允许遵从性评估人员, 认可机构, 行业, 和国防部CMMC项目管理办公室进行一些评估,然后评估过程,以确定什么是最有效的.

在进行这些临时评估之后, cmc - ab将推进更大规模的培训, 评税公司认可, 以及需求的最终确定. cmc - ab在建立认证生态系统的过程中仍处于非常早期的阶段. 目前的试点阶段被认为是临时阶段,只涉及有限数量的临时评审员及其相关的认证机构(或第三方评估组织)。. 国防部今年将试行不超过15个合同,直到2025年才会完全实施该要求.

2021年2月, 省级政府解决方案(PGS), NIST和FISMA评估的领导者,LBMC的战略合作伙伴, 成为首批获得cmc - ab认可的认证第三方评估机构(C3PAO). 阅读更多关于PGS和LBMC如何合作提供CMMC评估服务的信息: http://www.24-7pressrelease.com/press-release/479289/provincia-government-solutions-among-first-organizations-to-achieve-c3pao-status-and-announces-cmmc-partnership-with-lbmc

什么时候需要CMMC?

一般, 如果你是国防部的承包商或供应商,CMMC是你可能需要担心的事情, 或国防部承包商的分包商. 然而, 国防部和CMMC认证机构已经表示,国防部将在未来几年的新合同中部署这一要求. CMMC要求不期望被插入到现行合同中. 即使你现在可能不必担心,但开始考虑你的安全状况永远不会太早.

对CMMC有问题吗? LBMC可以帮助您的组织准备并获得CMMC认证. 联系 我们现在.

播客:什么是网络安全成熟度模型认证(CMMC)?

在这一集 网络安全意识, Caryn Woolley加入Bill Dean讨论网络安全成熟度模型认证(CMMC). 请收听本节目,了解美国国防部(DoD)为何创建了新的网络安全评估,以提高政府承包商和分包商的安全性. 在这一集里, Caryn解释了五个认证级别,反映了公司网络安全基础设施的成熟度和可靠性,以保护承包商信息系统上的敏感政府信息. 她还提供了有关CMMC当前状态的更多信息,以及国防部承包商现在可以采取哪些准备步骤.

CMMC框架

根据 国防部负责采办的副部长办公室 & 维护, CMMC框架包含五个成熟度流程和171个网络安全最佳实践,跨越五个成熟度级别. CMMC成熟度过程将网络安全活动制度化,以确保它们是一致的, 可重复的, 高质量的. CMMC框架与认证程序相结合,以验证流程和实践的实施.

cmmc5的等级是什么?

CMMC实践提供了一系列跨级别的缓解, 从1级的基本防护开始, 将对受控非机密信息(CUI)的广泛保护提升至第3级, 并最终降低4级和5级高级持续性威胁(apt)的风险.

CMMC如何带您通过5个级别的网络安全,有哪些实际的例子?

从共同安全程序的角度来看,
示例1 -事件响应:

  • 第1级,基本网络卫生,不直接处理事件响应
  • 二级,中级网络卫生,记录事件响应程序
  • 3级, 良好的网络卫生, 管理阶段, 包括管理报告事件和向适当级别报告的实践
  • 4级, 积极的网络卫生, 包括持续审查事件和建立响应能力
  • 5级, 先进/进步网络卫生, 事件响应能力包括异常活动和建立CIRT

要求:

水平数量实践
2IR.2.096根据预先定义的程序制定和实施对已宣布事件的响应.
3IR.3.098Track, 文档, 并向指定的官员和/或机构报告事件,包括内部和外部的组织.
4IR.4.101建立和维护安全运营中心能力,促进24/7响应能力.
5IR.5.102使用手动和自动的组合, 对符合事件模式的异常活动的实时响应.
5IR.5.108建立并维护一个网络事件响应团队,可以在24小时内在任何地点进行物理或虚拟的问题调查.

例2 -执行配置和变更管理:

  • 级别1的成熟度不需要此功能.
  • 在2级, 控制侧重于控制实践的文档,我们将介绍安全配置, 变更控制跟踪, 安全影响分析
  • 3级, 围绕配置的控制变得更加成熟,并进展到已管理状态, 需要物理和逻辑访问限制, 删除不必要的功能, 以及白名单/黑名单访问软件限制.
  • 级别4引入了基于管理评审的应用程序白名单
  • 第5级引入了一个持续审查有效性的过程,它引入了优化. 在这种时尚中观看越来越成熟, 改进的安全态势, 以及围绕配置的能力如何在组织开展业务的方式中变得越来越根深蒂固.

要求:

水平数量实践
2CM.2.064为组织系统中使用的信息技术产品建立并实施安全配置设置.
2CM.2.065跟踪、审查、批准或不批准,并记录组织系统的变更.
2CM.2.066在实施之前分析变更的安全影响.
3CM.3.067定义, 文档, 批准, 并执行与组织系统变更相关的物理和逻辑访问限制.
3CM.3.068限制, 禁用, 或者防止使用不必要的程序, 功能, 港口, 协议, 和服务.
3CM.3.069应用例外拒绝(黑名单)策略,防止使用未经授权的软件或拒绝所有, 允许执行授权软件的例外允许(白名单)策略.
4CM.4.073对组织确定的系统采用应用程序白名单和应用程序审查流程.
5CM.5.074验证组织定义的安全关键或必要软件的完整性和正确性(e).g.信任的根、形式验证或加密签名).

前3个级别的安全域添加

  • 1级,跨越6个域的17个控件:
    1. 访问控制(ac)
    2. 识别和认证(ia)
    3. 媒体保护(mp)
    4. 物理保护(pe)
    5. 系统和通信保护(sc)
    6. 系统和信息完整性(si)
  • 第2级,72个控件跨越15个域,这增加了:
    1. 审计和问责制(au)
    2. 认识和培训(网址:
    3. 配置管理(cm)
    4. 事件响应(ir)
    5. 维护(MA)
    6. 人事保安(ps)
    7. 恢复(RE)
    8. 风险管理(rm)
    9. 安全评估(ca)
  • 三级130控制17个域,其中增加:
    1. 资产管理(am)
    2. 态势感知(sa)
CMMC一级实践 CMMC 2级实践 CMMC三级实践

大多数公司将落入第1级,那么这17个控制是什么呢?

这17项控制实际上是大多数公司已经在做的事情, 您可能只需要将它们形式化一点,以便为审计做好准备. 这些基本功能包括使用用户id和有效密码, 限制系统访问, 和功能, 消毒媒体, 限制/记录/控制物理访问和控制访问者, 控制系统边界(通常通过防火墙和DMZ), 修补漏洞, 和, 最后但同样重要的, 恶意代码保护,更新和扫描.

以下是这17个控件的外观:

  • 限制授权用户访问信息系统, 代表授权用户的进程, 或设备(包括其他信息系统).
  • 限制信息系统对授权用户被允许执行的事务和功能类型的访问.
  • 验证和控制/限制外部信息系统的连接和使用.
  • 控制在公共信息系统上发布或处理的信息.
  • 识别信息系统用户、代表用户的过程或设备.
  • 验证(或验证)这些用户的身份, 流程, 或设备, 作为允许访问组织信息系统的先决条件.
  • 在处理或重新使用前,对包含联邦合同信息的信息系统媒体进行消毒或销毁.
  • 限制对组织信息系统的物理访问, 设备, 并将各自的操作环境交给授权人员.
  • 陪同访客并监控访客活动.
  • 维护物理访问的审计日志.
  • 控制和管理物理接入设备.
  • 监视、控制和保护组织通信(1.e., 在信息系统的外部边界和关键的内部边界上,组织信息系统传送或接收的信息.
  • 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网.
  • 及时发现、报告和纠正信息和信息系统的缺陷.
  • 在组织信息系统的适当位置提供针对恶意代码的保护.
  • 当新版本可用时,更新恶意代码保护机制.
  • 定期对信息系统进行扫描,并在下载文件时对外部源的文件进行实时扫描, 打开, 或执行.

当我移动到第2层时会是什么样子?

还有55个额外的控制,总共72个. 这个列表可能太长了,不能全部包含在这里. 但是为了让你们了解我们在看什么.

  • 访问控制和识别/授权, 在第一级, 侧重于限制对系统和功能的访问, 使用身份验证机制和标识符, 并保持对外部和公共访问系统的访问控制, 现在更进一步. 级别2添加隐私/安全通知, 便携式设备存储的限制, 最小特权, 会话锁, 登录尝试限制, 无线控制, 远程访问控制, 以及具体的密码管理和加密要求
  • 系统与通讯, 哪一个级别1需要防火墙类型的边界保护和DMZ的实现, 增加围绕协作工具的远程控制和网络设备管理会话加密的控制.

也, 为什么一家公司要去获得二级认证, 当国防部只要求1级或3级时? 第2级表示正在向第3级迈进的公司的过渡状态. 比如说, 贵公司希望签订一份需要三级证书的合同, 但你的安全状况还没到那个地步, 您可以获得2级认证,以更好地展示您当前的过渡状态. 目前,在合同奖励之前不需要合同认证级别. So, 2级认证的过渡状态可以帮助您的组织在合同授予之前显示合同提案的进展.

好的,告诉我第3、4、5层的情况?

第3级是另一个重大进步,增加了58个控件,总共有130个控件. 对于一个不太成熟的安全项目来说,提升到第3级可能意义重大. 第三级是良好的网络卫生. 虽然大多数公司将解决第3级出现的大部分风险, 他们可能没有按照这些要求的特殊性来做. 此外,能够显示这些控件的实现可能是一个挑战. 三级, 您不仅有政策/程序需求, 还有与持续实施控制有关的计划.

回到前面的两个例子, 访问控制, 哪个从1级的4到2级的14, 现在又增加了8个,总共有22个控件. 然后是鉴定和认证, 从1级的2到2级的7, 现在又增加了4个,总共有11个控件. 为这两个域添加的控件类型-无线的附加控件, 远程访问, 职责分离, 特权用户、移动设备、加密和多因素身份验证.

系统与通讯——从1级的2分开始到2级的4分, 现在又增加了15个,总共19个控件. 其他需求包括更具体的防火墙, 远程访问, 加密技术, 围绕移动代码的新需求, 网络电话, 会话控制, 以及密钥管理.

第4级和第5级引入了最少的主动网络控制和高级网络保护. 这些级别适用于拥有比3级更敏感信息的公司. 在CMMC的最初试点阶段, 重点是1级到3级,4级和5级被认为是未来的状态. 尽管如此,还是有人提议控制辐射水平.

让我们回到访问控制的领域,看看我们为第4级添加了什么:

  • 控制连接系统安全域之间的信息流.
  • 定期审查和更新CUI程序访问权限.
  • 根据组织定义的风险因素(如一天中的时间)限制远程网络访问, 通道位置, 物理位置, 网络连接状态, 并测量当前用户和角色的属性.

第5级:

  • 识别并降低与连接到网络的未识别无线接入点相关的风险.

对CMMC级别有问题吗? LBMC可以帮助您的组织准备和驾驭CMMC框架. 联系 我们现在.

画了网络安全成熟度模型认证(CMMC)链接

画了 Hendrickson

股东 & 网络安全实践负责人

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔