公共部门 
零信任是一项网络安全框架,核心原则为“永不信任,始终
网络安全成熟度模型认证(CMMC)是美国国防部(DoD)制定的一项框架,旨在确保处理联邦信息的组织具备足够的网络安全控制能力。 虽然 CMMC 通常与政府机构及国防承包商相关,但参与国防部资助项目的研究型高校同样可能需要保护受控非机密信息(CUI),例如研究数据和技术规范。 随着高校持续开展政府资助研究及联邦拨款项目,它们必须遵守最新合规要求,以维持资质并保护敏感数据。 研究型高校可以通过识别 CUI 存储位置、加强访问控制,并实施必要的安全措施来保护敏感数据,从而为 CMMC 二级合规做好准备。
继续阅读,了解更多关于 CMMC 二级的内容、其对研究型高校的重要性,以及 Keeper 如何支持 CMMC 合规。
什么是 CMMC 二级?
CMMC 包含多个认证等级,但参与国防部资助研究的机构最可能面临 CMMC 二级要求。CMMC 二级适用于存储、处理或共享 CUI 的组织,旨在确保敏感政府信息免受潜在网络威胁及未经授权访问。 CMMC 二级与美国国家标准与技术研究院(NIST)特别出版物 800-171 中规定的安全控制要求保持一致,该框架旨在帮助非联邦机构保护 CUI。 其 110 项安全控制涵盖多项网络安全实践,包括访问控制、身份认证、事件响应以及数据完整性保护。
CMMC 二级对研究型高校的重要性
随着针对政府机构的网络威胁持续上升,各类机构正逐步采用零信任安全原则,而 CMMC 要求也并不仅限于传统国防承包商。 对于研究型高校而言,CMMC 二级尤为重要,因为许多政府资助的研究项目涉及敏感数据、研究成果、测试结果以及其他形式的 CUI。 要达到 CMMC 二级要求,机构必须证明已建立完善的安全控制体系,以确保 CUI 在其整个生命周期内得到有效保护。
要求在国防部合同中纳入 CMMC 的实施规则(48 CFR)已于 2025 年 11 月 10 日生效,相关合同正按分阶段方式逐步落实 CMMC 要求。 在第一阶段,大多数要求以一级或二级自我评估形式实施,但部分合同已要求通过认证第三方评估机构(C3PAO)完成二级认证。 自 2026 年 11 月 10 日起,CMMC 二级 C3PAO 认证要求将全面生效。 具体要求取决于合同条款及所处理的信息类型。 参与当前或未来国防部资助项目的研究型高校,应尽快评估自身安全态势,以提前做好准备。
研究型高校的 CMMC 合规路径
为 CMMC 二级合规做好准备,需要研究型高校识别其环境中 CUI 的分布情况,评估现有安全控制体系,并持续推进合规管理工作。 积极推进 CMMC 二级合规,有助于机构尽早识别安全漏洞,并为敏感数据保护建立更稳固的基础。
识别 CUI 存在的位置
在实施安全控制之前,研究型高校必须全面了解组织内 CUI 的存储与处理位置。 CUI 可能存在于研究数据库、实验室系统、云平台以及教师和研究人员使用的终端设备中。 由于高校通常跨多个院系与项目运行,因此对敏感信息实现全面可见性可能具有一定挑战。 在许多情况下,CUI 可能存在于专用研究环境之外,例如电子邮件、共享云盘或教师个人设备中。 识别这些数据源是确定哪些用户与系统需要实施额外安全控制的重要第一步。
开展全面的安全差距评估
在识别 CUI 之后,研究型高校应评估其当前安全实践与 NIST SP 800-171 所规定要求之间的差距。 评估内容应包括现有访问控制、监控能力、事件响应计划以及审计流程的全面审查。 高校还应盘点特权账户并审查其权限配置,以判断访问权限是否超出岗位职责所需范围。 尽管许多机构已部署安全措施,但这些控制在不同院系与项目之间往往未能统一、持续执行。
构建安全的研究环境
研究环境应确保 CUI 仅对授权用户与系统开放访问。 限制访问权限可降低数据暴露风险,并有效防止敏感信息的未经授权泄露。 身份与访问管理(IAM)解决方案可帮助高校落实最小权限原则,确保用户仅获得履行职责所需的最低权限。 机构还应强制要求所有访问 CUI 系统的账户启用多因素认证(MFA),包括远程访问场景。 强有力的身份与访问控制有助于降低内部威胁风险,并满足 CMMC 二级在身份识别与认证方面的要求。
编制并维护 SSP 与 POAM 文档
保持系统安全计划(SSP)及行动与里程碑计划(POAM)的准确性,有助于简化后续评估,并证明符合 CMMC 二级要求。 SSP 记录了组织的安全控制措施,并定义了这些措施的实施和管理方式。 POAM 用于识别安全差距,并列出相应的整改措施与计划。 高校应将相关文档管理视为持续性工作,而非一次性任务,以确保系统与研究环境变化时信息仍保持准确更新。
为 C3PAO 审核做好准备
申请 CMMC 二级认证的研究型高校,可能需要接受由 C3PAO 执行的评估。 准备此类评估不仅需要部署安全控制措施,还需证明其运行状态符合要求并持续有效。 机构应保存能够验证其安全实践的证据材料,包括详细审计日志、访问记录、安全策略以及培训记录等。 提前收集相关信息有助于简化评估流程,并减轻正式评审准备工作的负担。
Keeper® 如何支持 CMMC 2.0 准备工作
处理 CUI 的组织需要强有力的访问控制、对用户行为的全面可视性,以及验证安全控制有效运行的能力。 实现 CMMC 二级合规需要人员、技术与流程的协同,而 Keeper Security Government Cloud(KSGC)可帮助组织保护 CUI,并强化多项支持 CMMC 准备工作的安全控制能力。 作为 FedRAMP High 认证平台,Keeper 为研究型高校提供保护敏感信息、控制特权访问以及实现跨环境审计可视性的工具支持。
KSGC 通过以下能力支持研究型高校实现 CMMC 2.0 准备工作:
- 在零知识架构中保护凭证与敏感数据(SC.L2-3.13.11, SC.L2-3.13.16, IA.L2-3.5.10):通过加密保管库保护密码、研究相关凭证及敏感信息。
- 执行基于角色的访问控制(RBAC)(AC.L2-3.1.2,AC.L2-3.1.4,AC.L2-3.1.5):根据用户责任限制对系统和数据的访问,减少不必要的 CUI 暴露。
- 通过多因素认证(MFA)强化身份验证(IA.L2-3.5.3, IA.L2-3.5.4):在访问敏感系统时要求额外验证因素,以提升账户安全性。
- 监控和记录特权会话(AU.L2-3.3.1、AU.L2-3.3.2):通过 会话监控和记录功能掌握特权活动情况,并支持责任追溯和安全调查。
- 生成可审计的报告(AU.L2-3.3.6):维护详尽的合规报告,记录用户活动、访问和安全控制,有助于简化审计准备。
- 实施零信任安全原则(SC.L2-3.13.1,SC.L2-3.13.6):授予访问前验证所有用户和设备,同时消除本地、混合和云研究环境中的隐性信任。
借助 Keeper 准备 CMMC 二级合规
随着研究型高校持续参与国防部资助研究,CMMC 合规已成为保护敏感信息并维持未来研究机会资格的关键组成部分。 由于 CMMC 二级重点关注 CUI 保护,机构应尽早开展安全态势评估,而非等待合规成为强制要求后再行动。立即申请演示,了解 KSGC 如何帮助机构强化访问控制、保护 CUI 并支持 CMMC 二级准备工作。
