当前课程知识点:网络空间安全技术 > 第2章 网络空间安全攻防对抗体系 > 2.2 网络空间信息系统安全工程 > 2.2.3 网络空间信息系统安全工程(下)
同学们,大家好
接下来我们来学习
《网络空间安全技术》
第一篇网络空间安全技术体系基础
第2章网络空间安全攻防对抗体系
第2节网络空间信息系统安全工程
第四个问题:网络安全成熟度模型认证
在这一节里面
我们准备分四小点来给大家讲授
首先是网络安全成熟度模型认证
也就是CMMC
它的概念和作用
第二点是CMMC体系结构及其应用
第三点是CMMC与SSE-CMM的对比分析
第四点是CMMC对我国网络安全认证的启示
我们首先来看第一小点
CMMC的概念及其作用
CMMC是指网络安全成熟度模型认证
美国国防部认为
之前的NIST等网络安全控制类标准
不能够满足其网络防御的要求
因此它制定了一个
网络安全成熟度模型认证CMMC
这个模型是源自CMM模型
构建了五个等级的网络安全成熟度标准
它的目标是形成成熟流程和网络安全最佳实践
需要整合现有的体系标准开发CMMC框架
将要保护的信息数据类型和敏感性
以及相应的威胁范围相结合
形成来自多个网络安全标准框架
和其它参考的最佳实践
CMMC的版本发布
2020年1月31日美国国防部发布
《网络安全成熟度模型认证》
CMMC的1.0版
CMMC的作用
用于对组织的网络安全能力
网络安全准备进行评估
它重点关注风险管理、资产管理
身份管理、威胁和脆弱性管理
事件管理、供应链管理以及态势感知等
CMMC
它是一种组织安全能力
与准备的基线框架指导
它首先是一种框架模型
为顶层架构规划的体系
此外
它为信息管控提供了参考依据
为整个组织的信息管控
设置了相应的参考依据和指南
它还可以量体裁衣
组织可以根据自身的情况
来进行适应化的具体量体裁衣
而且它是一种面向认证评估的标准模型
它面向对象和带有行政许可的认证评估事项
接下来我们看一下
CMMC体系结构及其应用
我们重点介绍
它的基本模型、能力等级
以及它与SSE-CMM的对比分析
我们首先来看基本模型
CMMC的体系结构也是一种二维框架模型
分为两个结构维度
包括域维和能力维
域维规定清楚了
整个CMMC的工作的主体内容
而能力维就是建立起
模型评估对象的等级划分
CMMC域维是针对组织的网络安全能力
网络安全准备
面向对象的考量
设置的17个过程域
主要是面向对象评估来设置
而域维当中各个过程域的基本实践
在每个等级当中是不同的
而且它还增加了流程和功能的概念
CMMC的能力维不再设置公共特征
而且它把每个级别的流程
功能和实践都规定的特别清楚
接下来我们来看一下CMMC的的能力等级
CMMC能力等级
它也是源自CMM的能力等级划分
分为五级
第1级是执行级
第2级是记录级
第3级是管理级
第4级是评估级
第5级是优化级
CMMC的能力等级越高
就表明它的成熟度越高
同时它的风险也就越低
接下来我们看一下CMMC
它的能力等级与相应的实践之间的关系
等级1是执行级
它对应的实践是基础网络成熟度
等级2是记录级
它对应的实践是中期网络成熟度
等级3是管理级
它的实践是良好的网络成熟度
而等级4是评估级
对应着前瞻性的实践
等级5作为优化级别的等级
它的实践是advanced
也就是所谓的高级或者是先进性的实践
接下来我们来讨论一下
CMMC与SSE-CMM二者的对比分析
首先我们来看二者的相同点
在能力成熟度架构方面
二者均继承CMM 5级架构
被评估对象需要建立前序等级
而且满足前序等级所有的要求实践
或者公共特征之后
方能从低等级升级到更高的等级
由此体现出成熟度
具有跨等级间经验积累的特点
这是能力成熟的架构方面
在体系结构方面
二者均建立了域维和能力维的
二维模型体系结构
域维规定了整体工作的主体内容
能力维则是建立起
模型评估对象的5个等级划分
在域维结构方面均设置了过程域
而且各个过程域又由相关的基本实践所组成
在框架模型方面
二者均为顶层架构规划的体系
都需要针对不同的过程域
或者是不同的级别的达到
而配套更为详尽的标准体系
来作为框架模型的支撑
这是它们的相同点
接下来我们看一下
CMMC与SSE-CMM二者的不同点
不同点体现在很多方面
比如说作用对象、域维模式
能力维模式以及模型评估方法方面
首先我们来看作用对象的不同
CMMC是网络安全服务
产品组织的网络安全能力
网络安全准备
这是它的作用对象
而SSE-CMM
它的作用对象是安全可信产品
或者是安全系统的系统安全工程能力
这是它们作用对象的不同
在域维模式方面
二者的不同主要体现在以下方面
CMMC是面向对象的考量
设置的17个过程域
主要是面向对象评估来设置
各过程域的基本实践在各等级不同
而且增加了流程和功能的相应概念
而SSE-CMM
主要是针对安全可信产品
或者是安全系统的生命周期的安全能力
各个工程域当中的基本实践
在各个等级当中是相同的
等级之间的不同
主要是靠能力维的公共特征来呈现
这是二者在域维模式方面的一个重要的区别
接下来我们来看一下
二者在能力维模式方面的区别
CMMC没有设置公共特征
而是清楚地规定了各个等级
也就是五个等级的具体流程
功能或相应的实践
而SSE-CMM是通过公共特征
来区分出等级之间的特点
基于公共特征
各个等级域维的过程域
基本实践呈现出的成熟度各有不同
接下来我们看一下
二者在模型评估方法方面的不同
CMMC主要是针对网络安全服务
产品组织的自身网络安全能力
网络安全准备的评估
面向对象和带有行政许可的
这么一种认证的评估
而SSE-CMM这个模型
它主要是针对安全可信产品
或者是信息系统
它的评估对象是面向过程
结合面向对象的能力评估
因此二者在模型评估方法的选择方面
也是有很多差异的
接下来我们来讨论一下
CMMC思想对我国网络安全认证的启示
我们说“他山之石,可以攻玉”
兼容并蓄、为我所用
我国可以借鉴
美国国防部提出的CMMC的思想
来建立一套适合于我们国家
特定工业(比如说国防工业)
供应商网络安全能力的管控体系
对此要进行强制的行政实施
来保证特定领域工业行业的
信息安全
根据我国具体的国情
和实际的网情
能够形成来自多个网络安全标准框架
及其它参考的成熟流程
和网络安全的最佳实践
具体我们可以参考整合
国内外各类网络安全标准体系
比如说国际标准化组织ISO的27001
我国网络安全等级保护系列标准
也就是现在讲的等保2.0系列标准
以及我国网络安全产品
及服务认证的系列标准
和我国网络安全审查系列标准等等
同学们
我们这一讲就讲到这里
感谢观看
谢谢大家,再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题