2020年1月31日，美國防部發布《網絡安全成熟度模型認證》（CMMC）1．0版。該文件構建了五個等級的網絡安全成熟度標準，2020年開始逐步推進落實，預計6月發布首批包含基于該模型的網絡安全成熟度等級要求的信息征詢書（RFI），全年發布10份；9月發布首批包含該要求的方案征詢書（RFP），全年也發布10份。到2026財年，所有的美國防部合同都將包含網絡安全成熟度認證等級要求。

《網絡安全成熟度模型認證》（CMMC）1．0版文件封面（美國防部圖片）

作者觀點：在瞄準中俄高強度落實大國競爭戰略的過程中，美高度重視加強對武器系統和國防工業的網絡防護，保證作戰和競爭優勢。美國防部于2014年提出并推行“網絡韌性”，要求在研在役武器系統通過設計或升級改造滿足“網絡韌性”關鍵性能參數或關鍵系統屬性要求；發布正式版網絡安全成熟度模型認證文件，標志著美國防部開始將強制性網絡安全要求擴大到包含中小企業在內的國防工業，未來不滿足相應等級要求的企業將無法競爭美國防部合同。美軍在武器系統和國防工業網絡防護要求方面已率先形成規范，將有力推動網絡防護能力全面提升。

《網絡安全成熟度模型認證》將網絡安全劃分出17個能力域，并列出5個成熟度等級。這種做法反映出美軍對于新概念新理論的一貫操作：盡快同時又審慎地進行前瞻性戰略規劃和操作性規范設計，使之成為武器系統的關鍵性能參數（KPP）或關鍵系統屬性（KSA），以及國防工業的規范。對網絡（指組網聯網）中心戰是如此，對網絡安全也是如此?！熬W絡中心戰”構想于20世紀90年代中期提出之后，美軍立刻開始分析該構想可以用何種定性或定量要求表征，從而指導美軍在研在役武器裝備發展，由此提出或完善了“信息保證”要求，明確了武器系統的“信息交換需求”和“網絡準備度”等關鍵性能參數，直接指導武器系統需求論證、指標提出和試驗與鑒定等工作?，F在，隨著《網絡安全成熟度模型認證》提出和貫徹，美軍在武器系統和國防工業網絡防護要求方面已率先形成規范，將有力推動網絡防護能力全面提升。這里最需要借鑒的是，要盡快考慮把一些新概念新理論等既納入戰略規劃等頂層設計，又進行框架化、流程化和面向規范與評估的定性結構化和定量化操作，把握先機，真正快速實現“落地”（美國防部圖片）（中國航空工業發展研究中心  張洋）