《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 12月1日起,網(wǎng)絡(luò)安全將成為美國(guó)防部采購(gòu)合同的必要合規(guī)項(xiàng)

12月1日起,網(wǎng)絡(luò)安全將成為美國(guó)防部采購(gòu)合同的必要合規(guī)項(xiàng)

2020-11-18
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參

  隨著新一代網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)授權(quán)的15份合同的截止日期臨近,美國(guó)五角大樓方面明確表示,這僅是個(gè)開(kāi)始,未來(lái)他們計(jì)劃對(duì)至少1500家承包商及分包商進(jìn)行網(wǎng)絡(luò)安全成熟度認(rèn)證。

微信圖片_20201118113539.jpg

  美國(guó)防部負(fù)責(zé)采購(gòu)與維護(hù)的副部長(zhǎng)辦公室CISO Katie Arrington談即將實(shí)施的網(wǎng)絡(luò)安全成熟度模型認(rèn)證。

  美國(guó)防部負(fù)責(zé)采購(gòu)與維護(hù)的副部長(zhǎng)辦公室CISO Katie Arrington表示,“我們充分信任(承包商),同時(shí)也需要認(rèn)證。這是國(guó)防部一個(gè)全新的開(kāi)始。正如我們多年來(lái)一直所強(qiáng)調(diào)的那樣,網(wǎng)絡(luò)安全是一切采購(gòu)決策的基礎(chǔ)。我們將說(shuō)到做到?!毕嚓P(guān)規(guī)則將于今年12月1日起對(duì)新的合同正式生效。考慮到美國(guó)商業(yè)及軍事網(wǎng)絡(luò)遭到敵對(duì)方攻擊、秘密被其竊取等嚴(yán)重后果,她強(qiáng)調(diào)“我們之所以這樣做,是因?yàn)檫@對(duì)我們的商業(yè)乃至國(guó)家安全至關(guān)重要?!?/p>

  Arrington還提到,她和她的團(tuán)隊(duì)將繼續(xù)推進(jìn),“CMMC將持續(xù)發(fā)展,我們絕不會(huì)止步。我們將在數(shù)天之內(nèi)完成過(guò)渡,直到臨時(shí)規(guī)則發(fā)揮效力?!?/p>

  在此次INSA會(huì)議發(fā)言當(dāng)中,她還提到接下來(lái)國(guó)防部將強(qiáng)制推行新的網(wǎng)絡(luò)安全合同規(guī)則,以確保整個(gè)員工隊(duì)伍建立能力基準(zhǔn),同時(shí)嚴(yán)格遵守美國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)與國(guó)防部相關(guān)標(biāo)準(zhǔn)。

  Arrington強(qiáng)調(diào),“臨時(shí)規(guī)則一經(jīng)制定,我們就在密切籌備作為首批試點(diǎn)項(xiàng)目的15份合同?!边@15份合同將通過(guò)網(wǎng)絡(luò)安全過(guò)渡對(duì)承包商提供的方案進(jìn)行驗(yàn)證。預(yù)計(jì)未來(lái)至少將有1500家承包商及分包商參與首批項(xiàng)目,而且將全部接受相應(yīng)的網(wǎng)絡(luò)安全認(rèn)證。

  首批15份合同涵蓋國(guó)防部下轄多個(gè)機(jī)構(gòu),包括美國(guó)運(yùn)輸司令部以及網(wǎng)絡(luò)司令部等,同時(shí)涉及導(dǎo)彈防御局等所謂“第四等級(jí)”機(jī)構(gòu)。各份合同的數(shù)額與復(fù)雜程度有所不同,認(rèn)證工作計(jì)劃在2021財(cái)年內(nèi)實(shí)行 。

  根據(jù)先前的建議,只要一家企業(yè)能夠符合部分110 NIST標(biāo)準(zhǔn)條款,并宣稱(chēng)將致力于遵守其余條款,即可參與競(jìng)標(biāo)。換言之,企業(yè)在競(jìng)爭(zhēng)國(guó)防部合同時(shí),并不必充分證明自身的合規(guī)性。

  Arrinton指出,“CMMC則設(shè)定了明確的通過(guò)/未通過(guò)標(biāo)準(zhǔn)。經(jīng)過(guò)審計(jì)之后,相關(guān)企業(yè)要么為L(zhǎng)1級(jí),要么不符合要求。”其目標(biāo)是為所有能夠在客觀上滿(mǎn)足安全能力要求的企業(yè)擁有公平的競(jìng)爭(zhēng)起點(diǎn)。這樣,五角大樓也可以自動(dòng)將安全成本納入合同,不必?fù)?dān)心可能在選擇當(dāng)中引入與合規(guī)性要求相沖突的供應(yīng)商。

  對(duì)于合規(guī)性標(biāo)準(zhǔn)較高的重大合同,CMMC規(guī)則還要求合同內(nèi)容明確指定各分包商是否需要達(dá)到相同的合規(guī)性水平,或者會(huì)根據(jù)不同分包商所觸及信息的實(shí)際敏感度為其指定更確切的具體合規(guī)性要求。

  這套建立在認(rèn)證基礎(chǔ)之上的全新網(wǎng)絡(luò)安全機(jī)制,意味著五角大樓終于可以擺脫種種多年以來(lái)難以解決的漏洞修復(fù)難題,甚至徹底消除此類(lèi)威脅到整個(gè)供應(yīng)鏈的簡(jiǎn)單錯(cuò)誤與安全缺陷。

  Arrington提到,“很多人沒(méi)有變更默認(rèn)密碼、沒(méi)有采用雙因素驗(yàn)證、沒(méi)有適當(dāng)做出文檔標(biāo)記。這一切都會(huì)給我們的供應(yīng)鏈造成危害?!倍魏稳源嬖谶@些問(wèn)題的供應(yīng)商,未來(lái)都很難再?gòu)奈褰谴髽沁@邊拿到項(xiàng)目。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。