一、引言

随着全球网络战和供应链攻击的日益频繁，美国国防部（DoD）对供应链安全的关注达到了前所未有的高度。作为回应，Cybersecurity Maturity Model Certification（CMMC）应运而生，旨在确保国防供应链中的企业具备足够的网络安全能力，以保护受控非具分类保密等级信息（CUI）。自2020年CMMC 1.0的发布至今，该模型已经历了多次修订和调整，不仅反映了美国国防部对供应链安全的持续深化认识，也揭示了全球国防供应链安全管理的未来趋势。

二、背景

自2013年斯诺登事件揭露美国国家安全局的监控程序，美国国防部(DOD)便开始加强对外包供应商的安全管理。尽管采取了措施，但随后的十年内，包括2019年的SolarWinds供应链攻击在内的多起严重网络安全事件暴露了美国国防供应链中存在的脆弱性。这些事件催生了CMMC 1.0的诞生，以及后续推出的CMMC 2.0。

(1）斯诺登事件

2013年，爱德华·斯诺登揭露了美国国家安全局（NSA）的大规模监控活动，震惊全球。斯诺登的泄密揭示了两个重要情报：一是国家级别的网络监控和数据收集的广泛性；二是内部人员造成的安全漏洞的严重性。这场事件促使美国国防部（DoD）重新审视对外包供应商的安全管控。

在斯诺登事件后，DoD开始实施更严格的安全措施，特别是针对那些能够访问敏感信息的承包商。这些措施包括加强背景审查、提高安全意识培训的频率及质量，以及实施更细致的数据访问控制。此外，DoD要求所有与之合作的企业都必须遵守《国防工业安全程序手册》（NISPOM），以确保他们的安全措施与联邦标准一致。

然而，斯诺登事件也暴露出一个现实：单纯依靠政策和规定，并不能完全保障信息安全。需要一种更为系统和全面的方法来评估和提高供应链中每个实体的安全性能。

(2）SolarWinds事件

2020年，SolarWinds供应链攻击事件成为了全球网络安全领域的一个转折点。黑客通过植入恶意代码到SolarWinds Orion平台的软件更新中，成功侵入了数千家公司和政府机构的网络，包括美国财政部和国土安全部。这一事件再次提醒了美国国防部供应链的脆弱性，并凸显了供应链安全的紧迫性。

SolarWinds事件证明，即使是最高级别的网络安全措施也可能存在盲点，特别是当供应链中的一个环节被攻破时，整个网络都可能面临风险。为了解决这一问题，DoD推出了CMMC 1.0，这是一个层级化的认证模型，旨在保护联邦合同信息系统（FIS）中的受控未分类信息（CUI）和联邦合同信息（FCI）。

(3）CMMC概述

CMMC是美国政府和美国国防部针对美国国家整体国防工业基础（DIB）供应链安全提出的国防供应链网络安全成熟度模型认证机制，其主要目标是统筹规划整体国防供应链风险管控制度与网络安全基准规范，要求所有参与美国国防采购的供应商，对联邦法令及采购合约中所定义必须进行保护的管制信息，在供应商的网络系统、信息管理系统、生产控制系统、制度流程等均须符合一定的安全标准，并取得相对应的安全级别认证；同时也藉此机会构建美国政府与国防工业界，针对网络攻击与威胁情报预警、共享、事件通报、技术支持及威胁管控的闭环网络安全联防联控体系。

三、CMMC的演变与进展

(1）从CMMC 1.0到CMMC 2.0的转型

CMMC 1.0在2020年底发布时，引入了五级验证体系，对供应链中的企业提出了严格的网络安全要求。然而，这一模型在实施过程中遇到了诸多挑战，如验证程序的复杂性、控制项的繁多以及中小企业的合规负担等。因此，美国国防部在2021年推出了简化版的CMMC 2.0，将验证等级减少到三级，并精简了控制项和验证程序。这一变革旨在提高CMMC的可行性和普及性，使更多企业能够参与到国防供应链中。

CMMC 2.0的制定目的在于降低实施难度，减少成本，并且更加有效地帮助供应商落实安全控制措施。然而，CMMC 2.0作为一套参考性规范，并非强制性法律，DOD正计划在CFR和DFARS中明确规定如何在合约中实施这些规范。尽管立法时间表有所延迟，但CMMC 2.0的全面采纳预计将在2026年实现。

(2）立法审议与生态系统的构建

尽管CMMC 2.0在简化方面取得了显著进展，但其立法过程却颇为漫长。美国国防部原计划在2023年秋季通过立法，将CMMC正式纳入《联邦法规》和《国防联邦采购管制补充条例》。然而，由于涉及多方利益和复杂的审议程序，CMMC的立法时程被推迟。在此期间，美国国防部不断完善CMMC的生态系统，包括成立专门的验证机构（C3PAOs）、讲师及辅导师训练机构（CAICAO）以及评估师（Independent Assessors）等，以确保CMMC的有效实施和持续改进。

(3）CMMC的最新发展

近期，美国国防部对CMMC进行了进一步的调整和完善。首先，在验证模型方面，美国国防部不再刻意区分三个层级的名称（基础、进阶与专家等级），而是根据实际需求进行灵活调整。其次，在控制项方面，美国国防部暂时移除了具体内容，以便进行更深入的讨论和修改。这些变化反映了美国国防部对CMMC的持续关注和改进意愿，也预示着CMMC未来可能的发展方向。

四、CMMC体系生态系统

CMMC的实施是由美国国防部主导，涉及到多个内部机构的配合，包括DCMA和DIBCAC。第三方验证机构（C3PAOs）和其他相关机构如Cyber AB，负责监管和认证，确保组织和个人的专业性和有效性。

(1）CMMC定义

美国正在推动的网络安全成熟度模型认证（CMMC）是一个注重提升国防供应链安全性的重要举措。在美国联邦政府的众多法规框架中，包括涉及不同保密等级信息的保护，从“机密级”到“绝密级”，已经形成了一系列完整的法律基础和严格的管理措施。这些措施涵盖了对敏感信息的分类、安全标准的设定、对涉密企业的实际检查，以及在出现异常情况时的报告流程。

然而，CMMC的推动重点并不仅限于这些已经受到严格管理的分类信息。更重要的是，它着眼于那些尽管没有被赋予具体保密等级的信息，却因其他法规或政府政策需要被管控的敏感数据。这些信息被称为“受控非分类信息”（Controlled Unclassified Information，简称CUI），它们包括个人身份信息（PII）、企业专有信息（PBI）、非分类技术信息（UCTI），以及受法律保护的敏感执法信息（LES）。CUI的定义和保护措施已由美国总统通过行政命令13556进行了明确规定，旨在统一不同部门之前使用的多种标记方式，如“仅限官方使用”（FOUO）或“敏感但非分类”（Sensitive but Unclassified，SBU）。

除此之外，CMMC机制的实施还旨在加强整个美国采购供应链的安全性。在此框架下，“联邦合约信息”（Federal Contract Information，简称FCI）也成为了重要的保护对象。FCI是指在联邦采购合同履行过程中，政府向供应商提供或供应商预计交付给政府的信息，考虑到这些信息不宜被公开，因此需要进行保护。这类信息可能包括研发需求、产品规格、财务数据、客户名单等，这些都是在联邦采购规则第52.204-21节中明确定义的。

通过CMMC机制的推行，美国政府希望能够确保那些对国家安全至关重要的信息能够得到更加全面和系统的保护，同时提升整个供应链的安全性和抵抗力。

(2）推动历程Q

为了加速这一进程，美国国会在2020年和2021年期间通过了一系列的国防授权法案（NDAA），要求行政部门特别是国防部，迅速建立并推行整体的管控机制。这些法案的内容包括：在一定期限内向国会提交机制运作架构的完整报告、主动与国防产业的供应链进行沟通协调并提供必要的支持，以及建立Cybersecurity Maturity Model Certification（CMMC）实务运作机制的组织分工和能力建设等。

美国国防部作为该策略的主要执行机构，由"采购与维持办公室"（OUSD/A&S）及其下属的"国防合约管理局"（DCMA）和"首席信息官"（CIO）办公室共同负责规划与实施。国防部首先对支持任务推动的法律基础《联邦采购规则—国防增补规定》（DFARS）进行了审查。特别是对DFARS的第252.204-7012节，这一节在2019年12月进行了增补修订，加入了《国防信息保护及网络事件报告》的内容，为整体管控机制提供了法规基础。

美国国防部不仅关注法规，还与"国家标准与技术研究院"（NIST）紧密合作，后者已发布了一系列与受控未分类信息（CUI）保护和网络安全管控相关的特殊标准，如NIST 800-171和172系列。这些标准为CMMC机制的运作构建了坚实的技术基础。国防部的专案小组经过实务评估后确认，这些信安基准能够满足并实践DFARS的相关要求，从而确立了CMMC机制的整体运作架构。

美国国防部在2020年9月发布了CMMC的1.0版本，并在2021年11月修订发布了2.0版本，考虑了各界的意见，确定了最佳的实务执行架构。此外，国防部还对现行法规进行了进一步的审视和修订，并在DFARS的相关章节中增补了与CMMC实务运作和安全评估条件相关的内容，以确保机制得到完整的法律支持。

最后，为了确保CMMC机制未来的全面运作，美国国防部正与国家标准与技术研究院一同持续征询业界对相关安全标准的反馈，并对CMMC架构进行必要的调整。这项工作仍在进行中，最终版的CMMC架构将在反馈意见充分考虑后公布。这些努力展现了美国政府在确保国家网络和供应链安全方面的决心和行动。

(3）机制分工

网络安全成熟度模型认证（CMMC）机制的实施涉及多个部门的紧密协作和明确的职责划分。

首先，美国国防部的副部长负责协调信息办公室，以确保有关法律和政策的更新及执行得到规划。同时，国家标准与技术研究院则承担着制定和发布相关网络安全标准的角色。

在实际操作层面，国防合约管理局及其新成立的国防工业基础网络安全评鉴中心（DIBCAC）负责处理与国防工业厂商相关的网络安全需求和评估工作。该局直接隶属于国防部，现在管理着价值3.5万亿美元的国防合约，因此自然成为CMMC认证和评估工作的主要执行机构。在短短四个月内，这个机构不仅建立了新的子单位还计划并实现了将外部的网络安全认证机构（Cyber AB）以及第三方评估组织（C3PAOs）整合进评估体系中，这是一个有效整合民间资源和专业力量以促进国家安全目标的明确实例。

此外，为了确保CMMC机制能够在2026年前顺利实施，国防工业基础网络安全评估中心启动了一个自愿评估联合监管计划。该计划对那些自愿参与并通过相当于CMMC第二级安全基准合规评估的厂商进行全面监管。这些厂商的评估结果将被视为完成了高度可信的合规评估工作，一旦相关联邦法规（DFARS 252.204-7021）最终修订并公布，他们将能够直接获得为期三年的CMMC第二级安全认证资格。

最后，在网络攻击威胁情报分享与反馈机制的构建方面，国防部的网络安全信息官（DoD CISO）、网络犯罪防制中心（DC3）以及反间谍与安全局（DCSA），协同国家安全局，共同努力确保这一体系的高效运转。通过这些措施，美国政府希望能够为国防供应链提供更强大的网络安全保障，以应对日益复杂的网络安全挑战。

五、CMMC的重要观点与影响

(1）采购契约的硬性规定

CMMC作为美国国防部采购契约的硬性规定，将对国防供应链产生深远影响。一方面，这将提高国防供应链的整体安全水平，降低网络攻击和数据泄露的风险；另一方面，这也将加剧供应链中的竞争，只有具备足够网络安全能力的企业才能获得国防订单。 

(2）保护受控非具分类保密等级信息

CMMC的核心目标是保护CUI，这类信息虽未被赋予分类保密等级，但仍需受到严格控制。通过实施CMMC，美国国防部能够确保供应链中的企业在处理、存储和传输CUI时采取必要的安全措施，从而维护国家安全和利益。 

(3）管控供应链的信息流安全 

CMMC不仅关注单个企业的网络安全能力，还强调整个供应链的信息流安全。这要求供应链中的上下游企业共同协作，确保人员安全、环境隔离、信息防护等方面的全面管控。通过这种方式，CMMC有助于构建更加安全、可靠的国防供应链体系。

六、对美国实施CMMC的思考

(1）强化供应链安全的必要性

美国实施CMMC的举措充分体现了强化供应链安全的必要性。在全球网络战和供应链攻击频发的背景下，保护CUI和确保信息流安全已成为维护国家安全和利益的关键环节。通过实施CMMC，美国国防部能够有效提升国防供应链的整体安全水平，降低潜在风险。

中国的国防供应链同样面临着网络安全威胁。借鉴CMMC的经验，中国可以强化供应链中各企业的合规性要求，特别是对于涉及国家安全和关键基础设施的部分。通过建立全面的安全评估和认证标准，可以有效提升整个供应链的抵抗力和恢复力。

(2）平衡安全与成本的挑战

在实施CMMC过程中，美国国防部也面临着平衡安全与成本的挑战。一方面，为了确保供应链安全，需要投入大量的资金和人力进行资安建设、认证和持续监控；另一方面，过高的合规成本可能会阻碍中小企业的参与，影响供应链的多样性和竞争力。因此，在制定和实施CMMC时，需要权衡各种因素，寻求最佳平衡点。

(3）CMMC对全球供应链安全的启示

美国CMMC的推行为全球供应链安全提供了重要的参考。对于中国和其他国家而言，CMMC的策略和方法可以借鉴以强化自己的国防供应链安全。特别是在加强对中小企业的支持、提高安全意识和能力、以及推动国内安全标准化方面，CMMC提供了宝贵的经验。

CMMC对国际合作伙伴提出了一定的要求和标准，这对于中国也是一个重要的启示。中国需要在积极参与国际合作的同时，加强自主技术的研发，确保在关键技术和设备上的自主可控。这种平衡对于保障国家的长期安全和发展至关重要。

(4）建立本土化的评估与认证体系

CMMC的推出表明，建立一套本土化的评估与认证体系是可行且必要的。可以根据自身国情和安全需求，建立一套符合国际标准且具有特色的网络安全认证体系，不仅有利于提高企业的安全水平，也有助于提升在国际上的竞争力和话语权。

七、结论与展望

美国国防供应链CMMC倡议的演变和进展反映了全球国防供应链安全管理的最新趋势和实践经验。通过实施CMMC，美国国防部旨在提升国防供应链的整体安全水平、保护CUI并确保信息流安全；同时，也面临着平衡安全与成本、推动全球合作与标准互认以及关注中小企业实际需求等挑战。展望未来，随着网络技术和威胁形势的不断发展变化，各国在实施过程中也需要结合本国实际情况进行灵活调整和完善，共同应对全球供应链安全挑战并促进国际贸易和合作的发展。

来源：时间之外沉浮事

|

原文始发于微信公众号（内生安全联盟）：供应链安全 | 美国国防供应链CMMC倡议的演变、进展与思考