2020年1月31日，美國防部發(fā)布《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》（CMMC）1．0版。該文件構(gòu)建了五個(gè)等級(jí)的網(wǎng)絡(luò)安全成熟度標(biāo)準(zhǔn)，2020年開始逐步推進(jìn)落實(shí)，預(yù)計(jì)6月發(fā)布首批包含基于該模型的網(wǎng)絡(luò)安全成熟度等級(jí)要求的信息征詢書（RFI），全年發(fā)布10份；9月發(fā)布首批包含該要求的方案征詢書（RFP），全年也發(fā)布10份。到2026財(cái)年，所有的美國防部合同都將包含網(wǎng)絡(luò)安全成熟度認(rèn)證等級(jí)要求。

《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》（CMMC）1．0版文件封面（美國防部圖片）

作者觀點(diǎn)：在瞄準(zhǔn)中俄高強(qiáng)度落實(shí)大國競(jìng)爭(zhēng)戰(zhàn)略的過程中，美高度重視加強(qiáng)對(duì)武器系統(tǒng)和國防工業(yè)的網(wǎng)絡(luò)防護(hù)，保證作戰(zhàn)和競(jìng)爭(zhēng)優(yōu)勢(shì)。美國防部于2014年提出并推行“網(wǎng)絡(luò)韌性”，要求在研在役武器系統(tǒng)通過設(shè)計(jì)或升級(jí)改造滿足“網(wǎng)絡(luò)韌性”關(guān)鍵性能參數(shù)或關(guān)鍵系統(tǒng)屬性要求；發(fā)布正式版網(wǎng)絡(luò)安全成熟度模型認(rèn)證文件，標(biāo)志著美國防部開始將強(qiáng)制性網(wǎng)絡(luò)安全要求擴(kuò)大到包含中小企業(yè)在內(nèi)的國防工業(yè)，未來不滿足相應(yīng)等級(jí)要求的企業(yè)將無法競(jìng)爭(zhēng)美國防部合同。美軍在武器系統(tǒng)和國防工業(yè)網(wǎng)絡(luò)防護(hù)要求方面已率先形成規(guī)范，將有力推動(dòng)網(wǎng)絡(luò)防護(hù)能力全面提升。

《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》將網(wǎng)絡(luò)安全劃分出17個(gè)能力域，并列出5個(gè)成熟度等級(jí)。這種做法反映出美軍對(duì)于新概念新理論的一貫操作：盡快同時(shí)又審慎地進(jìn)行前瞻性戰(zhàn)略規(guī)劃和操作性規(guī)范設(shè)計(jì)，使之成為武器系統(tǒng)的關(guān)鍵性能參數(shù)（KPP）或關(guān)鍵系統(tǒng)屬性（KSA），以及國防工業(yè)的規(guī)范。對(duì)網(wǎng)絡(luò)（指組網(wǎng)聯(lián)網(wǎng)）中心戰(zhàn)是如此，對(duì)網(wǎng)絡(luò)安全也是如此。“網(wǎng)絡(luò)中心戰(zhàn)”構(gòu)想于20世紀(jì)90年代中期提出之后，美軍立刻開始分析該構(gòu)想可以用何種定性或定量要求表征，從而指導(dǎo)美軍在研在役武器裝備發(fā)展，由此提出或完善了“信息保證”要求，明確了武器系統(tǒng)的“信息交換需求”和“網(wǎng)絡(luò)準(zhǔn)備度”等關(guān)鍵性能參數(shù)，直接指導(dǎo)武器系統(tǒng)需求論證、指標(biāo)提出和試驗(yàn)與鑒定等工作?，F(xiàn)在，隨著《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》提出和貫徹，美軍在武器系統(tǒng)和國防工業(yè)網(wǎng)絡(luò)防護(hù)要求方面已率先形成規(guī)范，將有力推動(dòng)網(wǎng)絡(luò)防護(hù)能力全面提升。這里最需要借鑒的是，要盡快考慮把一些新概念新理論等既納入戰(zhàn)略規(guī)劃等頂層設(shè)計(jì)，又進(jìn)行框架化、流程化和面向規(guī)范與評(píng)估的定性結(jié)構(gòu)化和定量化操作，把握先機(jī)，真正快速實(shí)現(xiàn)“落地”（美國防部圖片）（中國航空工業(yè)發(fā)展研究中心  張洋）