美国防部正式强制实施国防供应商网络安全合规要求

编者按：《美国国防联邦采购条例补充规定》于11月10日生效，正式强制要求美国防部所有招标和合同都必须包含“网络安全成熟度模型认证2.0”（CMMC 2.0）的要求。

CMMC计划创建于2019年，旨在确保国防供应商妥善保护美国防部敏感数据，防止其被敌对势力获取。CMMC 2.0是一个三级网络安全框架，要求处理美国联邦合同信息（FCI）或受控非密信息（CUI）的国防供应商，根据所处理数据的敏感程度，采取适当的安全控制措施。在竞标新合同时，国防供应商必须证明其网络及其整个供应链的网络符合CMMC规定的三个合规级别之一。新规则的生效标志着为期3年的三阶段实施计划的启动：第一阶段（2025年11月10日开始），国防供应商必须完成其网络安全合规性自评，评估其是否符合CMMC 1级和CMMC 2级标准；第二阶段（2026年11月10日），国防供应商可能需要通过经认证的CMMC第三方评估机构证明其符合CMMC 2级标准；第三阶段（2027年11月10日），国防供应商可能需要获得国防工业基础网络安全评估中心（DIBCAC）的CMMC 3级认证。

业界专家评估认为，CMMC准备工作方面仍存在差距，该计划合规要求的正式实施或将使国防工业基础和美国防部内部产生混乱，因为需要时间来适应分阶段推广的实际意义；CMMC可能要求一些供应商实施额外的网络控制以实现合规性，但技术并不是更广泛的工业基础面临的主要挑战，更多的是可能流程变更和内部职责及流程的调整；CMMC的推广实施或迫使小型企业和分包商付出高昂成本，从而严重影响国防工业基础；业界对CMMC计划的不一致采用可能会导致工业基础以及国防部与其供应商合作方式发生重大变化；虽然行业肯定会受到影响，但美国防部也无法避免实施CMMC等项目所带来的阵痛。

奇安网情局编译有关情况，供读者参考。

《美国国防联邦采购条例补充条款》的一项修正案于11月10日生效，正式强制要求国防部所有招标和合同都必须包含“网络安全成熟度模型认证2.0”（CMMC 2.0）的要求。

尽管CMMC 2.0的最终实施历时5年，但国防工业基础在验证该计划要求的网络安全控制措施方面仍然存在差距。

专家表示，这些差距主要是由于CMMC的争议历史、对规则变更含义的误解以及证明合规性的挑战造成的。

美国IT供应商C3 Integrated Solutions公司首席技术官瑞安·海多恩表示，“关于CMMC，你可以说很多，但你不能说你没有预料到它的到来。展望未来12个月，我认为国防工业基础和国防部内部将会非常混乱，因为我们需要时间来适应这一分阶段推广的实际意义。”

争议与混乱

CMMC 2.0是一个三级网络安全框架，要求处理美国联邦合同信息（FCI）或受控非密信息（CUI）的国防承包商，根据所处理数据的敏感程度，采取适当的安全控制措施。在竞标新合同时，公司必须证明其网络及其整个供应链的网络符合CMMC规定的三个合规级别之一。

该计划由特朗普第一届政府于2019年创建，旨在确保国防承包商妥善保护美国防部敏感数据，防止其被敌对势力获取。

然而，CMMC 充满争议的历史导致部分工业基础采取了“观望”态度——据为美国国防部承包商提供托管服务（MSP）和托管安全服务（MSSP）的供应商Summit 7公司首席网络安全布道师雅各布·霍恩表示，有些人甚至否认该计划会实施。

雅各布·霍恩称，“你不能真的责怪国防工业基地的普通人多年来形成的确认偏误，因为人们有很多事情要忙。他们有很多事情要做，并非每个人都了解发生了什么细节。”

CMMC是通过美国联邦法规制定程序制定的，该程序由各机构用于发布法规和执行国会通过的法律。雅各布·霍恩解释称，尽管美国防部坚称该计划真实存在，但长达数年的法规制定过程和含糊不清的信息传递在业界造成了混乱和消极态度。

但到了2024年，美国防部发布了CMMC 2.0的最终规则变更，将该计划纳入联邦法律，并巩固了其在2025年底前实施网络安全标准的计划。随后，美国防部在2025后9月份发布了修订《美国国防联邦采购条例补充条款》（DFARS）的规则，该规则要求合同招标必须包含CMMC验证作为中标的条件。

该规则变更于11月10日生效，标志着为期3年的实施计划的第一阶段正式启动，该计划旨在逐步引入CMMC要求。

在第一阶段，供应商必须完成其网络安全合规性自评，评估其是否符合CMMC 1级和CMMC 2级标准。第二阶段将于2026年11月开始，届时承包商需通过经认证的第三方评估机构（C3PAO）证明其符合CMMC 2级标准。

第三阶段将于2027年11月开始引入CMMC 3级要求——这意味着处理美国防部最敏感数据的厂商需要获得国防工业基础网络安全评估中心（DIBCAC）的认证。

该计划并不意味着承包商在第二阶段开始前不再需要第三方评估。DFARS修正案规定，项目经理可以“酌情决定，在第一阶段适用的美国防部招标和合同中，以CMMC 2级（C3PAO评估）状态要求代替CMMC 2级（自评）状态要求”。

美国Crowell & Moring 律师事务所的网络安全律师迈克尔·格鲁登表示，“我认为国防部将酌情决定，只要求那些对国家安全构成较高风险的高危项目获得外部认证，因为他们绝不能冒任何风险让威胁行为者获得这些认证。”

瑞安·海多恩指出，第三方评估在合同中出现的频率可能取决于各个采购部门对相关要求的解读。他表示，新规赋予项目经理在应用CMMC方面更大的自主权，这意味着第三方评估的出现频率可能比人们目前认为的要高。

尽管CMMC的开发和实施过程中存在诸多争议，但业内普遍存在一种误解，认为该项目引入了新的要求。实际上，该项目是证明承包商遵守美国国家标准与技术研究所（NIST）已实施近十年的网络安全法规的机制。

雅各布·霍恩表示，“自2013年以来，人们的合同中就一直包含这些网络安全要求，而《美国国防联邦采购条例补充条款》（DFARS）中现有的网络安全要求自2016年以来也从未改变过。直到出现一种验证机制，要求你向我们证明我们付费购买的服务确实得到了完成，人们才开始意识到，‘这将摧毁小型企业。这对国防工业基础来说是灾难性的。这对战备能力来说是极其不利的。’”

准备不足

1月，美国网络安全合规公司Redspin（CMMC授权第三方评估机构）的一份报告发现，国防工业基础的很大一部分人感觉没有为CMMC的实施做好准备——一些公司表示，他们还没有采取任何行动来实现合规。

Redspin 副总裁兼首席信息安全官托马斯·格雷厄姆表示，现在许多人都在争分夺秒，因为他们担心会错失合同机会。他称，“我预计会有越来越多的机构醒悟过来。因为即使在今天，仍然有一些机构说，‘至少到明年11月我都不用担心这个问题’，我认为他们很快就会感受到问题的严重性。”

反对CMMC的主要论点之一是，验证合规性将十分繁琐，需要数月的时间和大量资金——尤其对于中小企业而言。托马斯·格雷厄姆等人强调，承包商在CMMC活动上实际花费的时间和金钱很大程度上取决于多种因素，例如其网络安全控制措施的实施情况以及其处理的信息类型。

美国Holland & Knight律师事务所的政府合同律师克里斯蒂安·纳格尔表示，虽然CMMC可能要求一些供应商实施额外的网络控制以实现合规性，但技术并不是更广泛的工业基础面临的主要挑战。他称，“这可能更多的是流程变更和内部职责及流程的调整，而不是公司在网络安全方面采取的截然不同的措施。”

迈克尔·格鲁登指出，许多供应商缺乏完善或详细的机制来证明他们已完全满足网络安全控制要求，而且他们还沿用不一致或过时的政策。他表示，这在证明符合CMMC标准时可能会成为一个问题，因为该计划要求每项控制措施都提供两项证据——其中一项通常是政策或程序。

迈克尔·格鲁登表示，“如果公司在技术实施、行政政策或治理方面还没有做好准备，那么这可能会将项目推进到18个月的阶段。”

如果供应商同时使用本地网络和云端解决方案来处理数据，问题会更加复杂。迈克尔·格鲁登指出，如果受监管的数据存储在云端，公司可能不得不彻底重新设计其日常运营流程，才能符合合规要求。

关于实施CMMC的成本，雅各布·霍恩承认，对于一些供应商——尤其是小型企业和分包商——来说，满足所有控制要求可能会占用相当大一部分收入。但他表示，声称成本高昂可能会让公司陷入困境。

雅各布·霍恩表示，“人们的合同里都有相关要求，他们也接受了合同条款，并按合同条款领取了报酬。如果美国防部说，‘好的，我们只是想确认你们是否履行了这些义务’，而你们却说，‘这需要18个月的时间，15万美元，我需要更多时间’，那么这显然就等于承认这些要求没有得到落实。”

即将到来的变化

随着美国防部分阶段推进CMMC实施，业界对该计划的不一致采用可能会导致工业基础以及国防部与其承包商合作方式发生重大变化。

雅各布·霍恩表示，一些企业可能会因为无法证明自己已落实CMMC要求而退出国防工业领域。与此同时，其他供应商已做好“高度准备”，从而更有利于赢得更多国防部合同。

雅各布·霍恩称，“在最初的12个月里，你会看到国防工业基础领域出现分化，一部分公司发展迅猛，取得了巨大成功。而另一部分公司则会因为追赶速度缓慢，或者因为自身发展方向错误而落后，最终无法追赶。”

克里斯蒂安·纳格尔表示，虽然大型总承包商在达到合规方面可能进展更快，但许多分包商和小企业合作伙伴将受到最大的影响，因为他们很难找到时间和资源来遵守CMMC。

克里斯蒂安·纳格尔补充称，这个问题可能会迫使总承包商寻找其他供应商——这并非易事，尤其是在供应链高度专业化的情况下。他指出，虽然短期内可能会带来一些麻烦，但最终可能会促进工业基础的多元化发展。

克里斯蒂安·纳格尔称，“当政府或上游承包商都将重点放在小型企业上时，就会陷入僵局。如果这家供应商还有其他工作，感觉不到压力，可以拒绝订单，那么上游承包商的处境就会非常糟糕。”

克里斯蒂安·纳格尔还指出，不遵守CMMC可能将成为未来针对声称符合该计划要求但实际上不符合要求的公司提起投标抗议和虚假申报诉讼的依据。

托马斯·格雷厄姆表示，虽然行业肯定会受到影响，但美国防部也无法避免实施CMMC等项目所带来的阵痛。与此同时，由于获得认证需要数月时间，人们仍然担心缺乏足够的认证CMMC评估师（CCA）来进行第三方评估。

托马斯·格雷厄姆表示， “CCA的瓶颈不在于CMMC第三方评估机构（C3PAO），而在于美国防部，因为要成为一名合格的CCA，其中一项要求就是必须获得三级认证，而美国防部负责这项工作。不幸的是，与其他认证不同，这项认证没有过渡阶段，无法让人员在认证过程中继续开展工作。”

瑞安·海多恩预测，主要承包商将对第三方评估机构有显著的需求，以确保其供应链合规，尽管目前的市场还没有准备好应对这种激增。

瑞安·海多恩表示，总体而言，美国防部已明确表示，CMMC将继续对其保障国防工业基础的战略至关重要。

瑞安·海多恩表示，“美国防部完全明白，如果不采取类似措施，我们几十年来一直面临的问题——敏感的、由纳税人资助的知识产权数据被其他国家行为体窃取——就不会消失。美国防部认为，这是他们必须使用的工具。”

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。