公司背景

Phoenix Defense 公司（包括 Phoenix Logistics、PLI Manufacturing、Riptide Software 和 Phoenix Defense Germany GmbH）是为国防、空间、航空航天和工业市场提供工程、制造、信息技术、物流和供应链服务的敏捷产品和服务供应商。复杂软件的开发和维护以及航空航天设计和制造都是企业面对的重大挑战，为此该组织聘请了具有多年国防和工业经验的优秀专家以解决相关的技术和规划问题，并应对交付关键基础设施（医疗、能源、IT 和运输）等物流挑战。

Phoenix Defense 业务部门为国防工业提供复杂的定制软件和服务，面临着异常激烈的市场竞争。能否赢得下一份国防合同，在很大程度上取决于他们过去的业绩以及以具有成本优势的价格提供优质产品的能力。以下几点对实现上述业务目标至关重要：

• 减少交付的缺陷和对现场操作的影响

• 降低劣质成本，提高质量

• 一次性开发并交付正确的、无缺陷的产品

• 简化内部流程，避免安全问题、 数据泄露、返工和低效流程

由于 Phoenix Defense 的产品部署在安全的环境中，他们有责任保护政府数据并在开发系统时采用安全措施来保护、识别、减轻和跟踪安全威胁。由于 CMMC（网络安全成熟度模型认证）或 ISO 27001 等其他模型仅针对网络或信息安全的特定方面（其中一些模型的推出或更新面临延迟），而且中小企业在实施 CMMC 等模型时面临越来越多的障碍，新的 CMMI 安全域和管理威胁实践领域为 Phoenix Defense 提供了一套整体而全面的安全实践、控制和方法，以确保其系统安全并改善其整个组织的安全态势，包括任务的安全态势。  

Phoenix Defense 于 2005 年通过了 CMMI 评估，其运营部门（OU）已多次成功应用 CMMI 模型并通过评估。18 年来，该公司持续应用 CMMI 最佳实践来提高其业务绩效并于 2020 年首次达到成熟度 5 级。

成熟度 5 级第二次评估的主要目标是：

• 整合“赋能安全ESEC”和“管理安全威胁和漏洞MST”实践域，包括构建安全监控、自动化和预测模型，以补充其现有的 NIST 800-171 实践和控制措施（如 CMMC V2.0）

• 维护并保持先前经过评估的实践域

• 持续改进流程、质量标准和预测模型

• 首次引入“供应商合同管理”SAM实践域

此外，本次评估旨在提高以下能力：

• 确保质量

• 设计和开发产品

• 规划与管理

• 养成习惯、持之以恒

• 提高绩效

• 安全管理

• 供应链管理

• 支持规划落地

• 管理业务弹性

Phoenix Defense 采用 CMMI 性能指标来实现量化目标，这在“网络威胁 QPP”模型和“实体安全威胁”模型中得到了体现。“威胁情报”模型可确保公司具备强大的安全能力。公司可以对网络相关流量进行分析，然后基于此来分析各种安全事件并采取行动。公司设定了关键绩效指标率（KPI）（>=1）以确保网络流量分析能够转化为实际行动。在将“CMMI 安全”和“管理安全威胁与漏洞”MST实践域纳入模型之前，Phoenix Defense 没有完全实现对网络攻击或其他数据流的量化追踪，因为该组织应用封闭的网络，没有面向外部的应用程序。此外，该组织还依赖第三方供应商来监控威胁和垃圾邮件。在应用 CMMI SEC 之后，IT 经理、首席技术官和总经理一致认为企业需要一种更强大的解决方案来确保网络安全。

在整合了“赋能安全ESEC”和“管理安全威胁与漏洞MST”实践域之后 ，Phoenix Defense 开发了三个新模型——“威胁情报”模型、“实体安全”模型和“邮件跟踪”模型。该公司同时应用这三个模型来确保能够监控并分析所有网络活动。这些模型用于跟踪并拦截垃圾邮件、追踪恶意软件、识别来源国、IP 地址和网络攻击次数（成功次数和失败次数）。在这些模型中，“威胁情报”模型是成效最为显著的一个模型。

整合了这些模型后，Phoenix Defense 掌握了网络攻击的基线，能够精准识别安全威胁并采取行动防止同类事件再次发生。在基线报告期间，IT 团队在 6 月份发现了 18616 次网络攻击。对此，IT 部门进行了原因分析审查并制定了一系列纠正和预防措施，实施了新协议并增强了企业防火墙。随后的数据显示，7 月和 8 月的网络攻击次数显著减少，分别减少了 48.9% 和 79.4%。

此外，Phoenix Defense 还缩短了识别威胁的时间——过去的平均识别时间超过 72 小时，而现在的平均时间不到 12 小时。同时，解决安全威胁的时间也大幅缩短——过去的平均用时约为 4 小时，而现在只需要 15 分钟。

下表展示了威胁分析“之前”及“之后”的安全态势。威胁情报分析与 ESEC 和 MST 领域强大的最佳实践相结合，帮助企业充分落实了直接举措并减少了安全威胁。Phoenix Defense 公司将继续应用这种方法进一步改进模型，充分利用现代威胁情报分析技术及相关工具来提高组织的应变能力。

组织： Phoenix Defense 发现，在正式评估时限之前与其负责统计质量控制（SQC）的首席评估师 Kris Puthucode 合作有助于验证改进措施并帮助企业更全面地了解新的 SEC 实践域。

养成习惯、持之以恒： Phoenix Defense 定期对项目和员工的合规情况进行自我评估，确保所有团队成员都能持续实现自我提高。

提高绩效： Phoenix Defense 发现，开展持续教育并将 CMMI 原则纳入其基础企业文化是成功的关键。该公司自新员工入职起就展开了培训工作并采取午餐学习、正式培训、在职培训、质量审核和检查表等多种方式持续推进学习。公司员工在学习中能够不断认识到 CMMI 绩效解决方案最佳实践的重要性，这也有利于巩固这些最佳实践并将其习惯化。