2.2.3 网络空间信息系统安全工程（下）在线视频

同学们，大家好

接下来我们来学习

《网络空间安全技术》

第一篇网络空间安全技术体系基础

第2章网络空间安全攻防对抗体系

第2节网络空间信息系统安全工程

第四个问题：网络安全成熟度模型认证

在这一节里面

我们准备分四小点来给大家讲授

首先是网络安全成熟度模型认证

也就是CMMC

它的概念和作用

第二点是CMMC体系结构及其应用

第三点是CMMC与SSE-CMM的对比分析

第四点是CMMC对我国网络安全认证的启示

我们首先来看第一小点

CMMC的概念及其作用

CMMC是指网络安全成熟度模型认证

美国国防部认为

之前的NIST等网络安全控制类标准

不能够满足其网络防御的要求

因此它制定了一个

网络安全成熟度模型认证CMMC

这个模型是源自CMM模型

构建了五个等级的网络安全成熟度标准

它的目标是形成成熟流程和网络安全最佳实践

需要整合现有的体系标准开发CMMC框架

将要保护的信息数据类型和敏感性

以及相应的威胁范围相结合

形成来自多个网络安全标准框架

和其它参考的最佳实践

CMMC的版本发布

2020年1月31日美国国防部发布

《网络安全成熟度模型认证》

CMMC的1.0版

CMMC的作用

用于对组织的网络安全能力

网络安全准备进行评估

它重点关注风险管理、资产管理

身份管理、威胁和脆弱性管理

事件管理、供应链管理以及态势感知等

CMMC

它是一种组织安全能力

与准备的基线框架指导

它首先是一种框架模型

为顶层架构规划的体系

此外

它为信息管控提供了参考依据

为整个组织的信息管控

设置了相应的参考依据和指南

它还可以量体裁衣

组织可以根据自身的情况

来进行适应化的具体量体裁衣

而且它是一种面向认证评估的标准模型

它面向对象和带有行政许可的认证评估事项

接下来我们看一下

CMMC体系结构及其应用

我们重点介绍

它的基本模型、能力等级

以及它与SSE-CMM的对比分析

我们首先来看基本模型

CMMC的体系结构也是一种二维框架模型

分为两个结构维度

包括域维和能力维

域维规定清楚了

整个CMMC的工作的主体内容

而能力维就是建立起

模型评估对象的等级划分

CMMC域维是针对组织的网络安全能力

网络安全准备

面向对象的考量

设置的17个过程域

主要是面向对象评估来设置

而域维当中各个过程域的基本实践

在每个等级当中是不同的

而且它还增加了流程和功能的概念

CMMC的能力维不再设置公共特征

而且它把每个级别的流程

功能和实践都规定的特别清楚

接下来我们来看一下CMMC的的能力等级

CMMC能力等级

它也是源自CMM的能力等级划分

分为五级

第1级是执行级

第2级是记录级

第3级是管理级

第4级是评估级

第5级是优化级

CMMC的能力等级越高

就表明它的成熟度越高

同时它的风险也就越低

接下来我们看一下CMMC

它的能力等级与相应的实践之间的关系

等级1是执行级

它对应的实践是基础网络成熟度

等级2是记录级

它对应的实践是中期网络成熟度

等级3是管理级

它的实践是良好的网络成熟度

而等级4是评估级

对应着前瞻性的实践

等级5作为优化级别的等级

它的实践是advanced

也就是所谓的高级或者是先进性的实践

接下来我们来讨论一下

CMMC与SSE-CMM二者的对比分析

首先我们来看二者的相同点

在能力成熟度架构方面

二者均继承CMM 5级架构

被评估对象需要建立前序等级

而且满足前序等级所有的要求实践

或者公共特征之后

方能从低等级升级到更高的等级

由此体现出成熟度

具有跨等级间经验积累的特点

这是能力成熟的架构方面

在体系结构方面

二者均建立了域维和能力维的

二维模型体系结构

域维规定了整体工作的主体内容

能力维则是建立起

模型评估对象的5个等级划分

在域维结构方面均设置了过程域

而且各个过程域又由相关的基本实践所组成

在框架模型方面

二者均为顶层架构规划的体系

都需要针对不同的过程域

或者是不同的级别的达到

而配套更为详尽的标准体系

来作为框架模型的支撑

这是它们的相同点

接下来我们看一下

CMMC与SSE-CMM二者的不同点

不同点体现在很多方面

比如说作用对象、域维模式

能力维模式以及模型评估方法方面

首先我们来看作用对象的不同

CMMC是网络安全服务

产品组织的网络安全能力

网络安全准备

这是它的作用对象

而SSE-CMM

它的作用对象是安全可信产品

或者是安全系统的系统安全工程能力

这是它们作用对象的不同

在域维模式方面

二者的不同主要体现在以下方面

CMMC是面向对象的考量

设置的17个过程域

主要是面向对象评估来设置

各过程域的基本实践在各等级不同

而且增加了流程和功能的相应概念

而SSE-CMM

主要是针对安全可信产品

或者是安全系统的生命周期的安全能力

各个工程域当中的基本实践

在各个等级当中是相同的

等级之间的不同

主要是靠能力维的公共特征来呈现

这是二者在域维模式方面的一个重要的区别

接下来我们来看一下

二者在能力维模式方面的区别

CMMC没有设置公共特征

而是清楚地规定了各个等级

也就是五个等级的具体流程

功能或相应的实践

而SSE-CMM是通过公共特征

来区分出等级之间的特点

基于公共特征

各个等级域维的过程域

基本实践呈现出的成熟度各有不同

接下来我们看一下

二者在模型评估方法方面的不同

CMMC主要是针对网络安全服务

产品组织的自身网络安全能力

网络安全准备的评估

面向对象和带有行政许可的

这么一种认证的评估

而SSE-CMM这个模型

它主要是针对安全可信产品

或者是信息系统

它的评估对象是面向过程

结合面向对象的能力评估

因此二者在模型评估方法的选择方面

也是有很多差异的

接下来我们来讨论一下

CMMC思想对我国网络安全认证的启示

我们说“他山之石，可以攻玉”

兼容并蓄、为我所用

我国可以借鉴

美国国防部提出的CMMC的思想

来建立一套适合于我们国家

特定工业（比如说国防工业）

供应商网络安全能力的管控体系

对此要进行强制的行政实施

来保证特定领域工业行业的

信息安全

根据我国具体的国情

和实际的网情

能够形成来自多个网络安全标准框架

及其它参考的成熟流程

和网络安全的最佳实践

具体我们可以参考整合

国内外各类网络安全标准体系

比如说国际标准化组织ISO的27001

我国网络安全等级保护系列标准

也就是现在讲的等保2.0系列标准

以及我国网络安全产品

及服务认证的系列标准

和我国网络安全审查系列标准等等

同学们

我们这一讲就讲到这里

感谢观看

谢谢大家，再见