网络安全成熟度模型认证2.0:对高等教育意味着什么

美国国防部(DoD)最近公布了网络安全成熟度模型认证的第2版(CMMC)项目(CMMC 2.0)，我被新程序的清晰性和实用性所鼓舞。我想花点时间来指出一些我认为值得强调的变化，并反思信息安全社区可以从放弃原始计划中学到什么教训。万博体育全站官网

CMMC 2.0中的变化似乎是对CMMC 1.0的许多弱点的直接回应。

• CMMC 1.0需要一个外部为国防工业基地的30多万成员提供足够的评估人员是不现实的，这是显而易见的。在CMMC 2.0中，大多数评估已经转移到自我评价,这与以前建立的做法和所需保障的基本水平是一致的。
• CMMC 1.0是一个完全新一套标准。CMMC 2.0虽然保留了原始CMMC规范的基础一级(L1)，但只关注于NIST 800 - 171和800 - 172。此外，国防部已承诺在NIST标准流程的基础上对CMMC项目进行未来的增强。
• CMMC 1.0一般是a通过/失败评估。随着有限的行动计划和里程碑(POAMs)的引入，国防部已经认识到合规的实际挑战需要一个协作度量在评估者和被评估者之间。
• CMMC 1.0要求永远不会出现在任何协议中。CMMC 2.0要求将在联邦规则制定过程结束之前不会出现，国防部估计将从任何地方开始9到24个月。

那么这些和其他的变化影响高等教育，你的机构应该考虑什么?

首先，CMMC 2.0真正建立了17个1级控制作为所有合同的基础基线，即所有“联邦合同信息”(FCI)。虽然大多数L1控制(希望)在您的管理环境中得到满足，但现在是为您的研究项目创建正式评估流程的好时机。在加州大学圣地亚哥分校，我正在考虑将L1作为重写我们的最低安全标准的基础，适用于所有基础设施。

其次，研究网络安全的新亮点是受控非机密信息(CUI)。如果您维护CUI飞地，这是一个很好的开始，但是现在是时候开始计划涉及不能移动到飞地中的CUI的研究了。“确保到位”的挑战要困难得多。那些没有相当规模的国防部足迹的人可能认为这是不必要的，但请记住，不仅联邦政府倾向于CUI，而且大多数赞助机构都非常密切地关注CMMC项目。随着800-171和800-172在CMMC 2.0中被采纳为可预见的未来的标准，不难想象其他人会迅速效仿。

最后，是时候认真而诚实地评估您的信息安全功能是否有足够的资源来支持在您的研究任务中广泛实施安全控制。虽然举办糕饼义卖可能很诱人，但这是与支持研究人员的其他校园工作人员建立或丰富伙伴关系的好时机。研究促进者、研究事务人员、高性能计算(HPC)人员和部门人员可以而且应该在支持研究环境中的网络安全方面发挥作用——特别是在L1流程和控制方面。未来几年，机构将不得不大幅增加对网络安全的投资和对研究人员的支持，而利用已经到位的投资是最好的开始方式。

当我们在加州大学圣地亚哥分校重新审视我们自己非常积极的CMMC项目时，根据2.0版本的发布，有一件事很突出:几乎所有1.0版本下需要做的工作都保留了下来。我们有数百个实验室需要(经过机构评估的)L1认证。我们的协议中有CUI，必须继续符合800-171，无论是外部评估还是通过自我评估过程。我们需要为研究人员创造新的流程和服务。这些新功能将需要跨领域提供高度安全的服务，并以避免破坏科学的方式提供服务。加上变化，加上c'est la même selected。

然而，作为一名安全专业人员，我觉得有必要问一下，从CMMC 1.0的解体中可以学到什么教训?当然，也不乏非常聪明、敬业的专业人士为这个项目做出贡献——他们将CMMC 1.0视为我们国防的重要支柱，并以必要的严肃态度对待它。我认识其中一些人，他们仍然是我最尊敬的人。此外，最初的成熟度模型总是给我留下深刻的印象，因为它是分配控件的一种相当合理的方式，因此框架的基本逻辑是有意义的。

然而，在规划和建立CMMC 1.0时犯了错误，这些错误反映了其方法中的系统性失败。例如，如果没有激励组织从一个级别移动到下一个级别，我永远无法理解如何真正成为一个成熟度模型。没有成熟代理的成熟度模型只是一组需要满足的标准。此外，真的有人相信在2020年启动CMMC或在几年后的所有国防部合同中全面应用CMMC要求会有足够的评估人员吗?如果我们看看其他受到严格监管的行业，就会发现一些比较点，有助于解释CMMC列车可能在哪里脱轨了。问任何一个医生关于与行医相关的官僚主义，他们会告诉你，在高度管制的领域，监管官僚主义倾向于成为自己的行业。我们也可以从同样的角度来看待CMMC 1.0:它的失败主要是因为它需要建立一个庞大的、医疗保健级别的官僚机构，而这是不可能凭空创造出来的。

抽象地说，CMMC非常有意义:定义一个标准，收集数据证明您符合该标准，并要求第三方验证您符合标准-清洗，冲洗，然后重复。但是，伟大的安全性仅仅是坚持高度精炼和相对静态的控制集吗?安全性是否一定需要CMMC 1.0中隐含的那种开销?我们的世界充满了相似之处。法规的制定无视人类心理的作用，以及由内在需求驱动的操作原则和过程，它们需要不断增加和昂贵的警务。

我们，作为安全专业人士的万博体育全站官网社区，是否因为坚持控制集的神学而成为CMMC 1.0崩溃的同谋?安全实践是非常微妙和高度上下文相关的。伟大的NIST 800-53库就是这样一个控件清单，可以根据给定的问题从中选择合适的控件。

网络安全不仅仅是一套法规;它是一个活生生的程序，存在于原则性最佳实践(控制集)和现实(设计、部署和策划的系统)的交叉点。也就是说，一个成功的安全程序必须影响行为和思维，从而包含系统架构所依据的知识风格。CMMC 1.0固有的首要错误是，它仅仅将网络安全视为一套需要遵守的抽象规则，而没有充分考虑到支持官僚机构的影响。

将规章制度与现实生活中的安全相结合是一项艰巨的任务。我们所有人每天都从政策和法规中获得价值，这些政策和法规只不过是控制集，我们利用它们作为我们有限控制范围的代理。然而，标准不仅仅是一个蓝图。这也是一个责任盾牌，当我们的努力被证明是徒劳时，它保护我们免受无能的指责。CMMC并没有消亡，它给我们的校园带来的挑战仍然令人生畏。然而，我希望作为一个社区，我们可以花一些时间从国防部向CMMC 2.0的转变中学习，并万博体育全站官网问问自己，明天是否可以比今天更严格。

---

迈克玉米是加州大学圣地亚哥分校首席信息安全官。