近日，美国国防部针对潜在承包商发布了严格的新网络安全规则，旨在强化国防供应链的网络安全防护。一套全新的网络安全要求——网络安全成熟度模型认证2.0（CMMC 2.0）标准正式发布。该标准对所有潜在美国国防部（DoD）承包商提出了严格的合规要求，且将于2025年11月10日正式生效。

国防部代理首席信息官凯蒂·阿灵顿（Katie Arrington）在声明中强调：“我们期望供应商将美国国家安全置于首位。遵守网络安全标准并获得CMMC认证，正是供应商践行这一使命的体现。”

此次新发布的网络安全框架依据所处理数据的敏感性，划分为三个不同的合规级别。若供应商无法满足相应要求，将失去获得DoD合同的资格。

第二版简化合规流程

实施CMMC并非一帆风顺，而是一个充满挑战的漫长过程。在特朗普政府第一任期内，网络安全行业就曾对这些要求表示抵制。行业认为，当时的规则过于复杂，给中小企业带来了沉重的负担。

在第二版要求中，合规流程得到了显著简化，评估级别从五个减少至三个。具体而言，对于最低敏感度级别的数据，供应商可进行自我评估；第二级别需由经认证的第三方评估员进行验证；而最高级别，即第三级别，则必须由国防工业基地网络安全评估中心进行评估。

此外，新要求还制定了“行动计划和里程碑”，为不符合规定的承包商提供180天的有条件认证期限，以便他们在这段时间内努力达到合规标准。

美国国防部 IT 系统缺陷亟待解决

今年早些时候，美国国防部曾被敦促解决其IT系统中的严重缺陷。调查发现，某些项目未能达到所需的性能标准，其中四个关键国防系统甚至“没有制定计划在2027年最后期限前实施更严格的网络安全方法——零信任架构”。此次新网络安全规则的发布，或许正是国防部为应对这些挑战所采取的重要举措。