美研究提升国防工业基础中非密网络的安全性.docx
《美研究提升国防工业基础中非密网络的安全性.docx》由会员分享,可在线阅读,更多相关《美研究提升国防工业基础中非密网络的安全性.docx(17页珍藏版)》请在第一文库网上搜索。
1、美喉提升国防工业基础神密解的安全性导语2020年3月,兰德公司发布非密与安全:针对国防工业基础中非密网络的保护计划研究报告,对美国防工业基础中的非密网络安全情况进行了全面评估,指出了存在问题,并提出具体建议。其建议作法值得我参考借鉴。目录导语1目录11 .报告背景22 .报告内容32.1. 存在问题32.1.1. 国防工业基础中的小企业非密网络存在较高风险32.1.2. 中小企业无法负担网络安全成熟度模型(CMMC)认证成本32.1.3. 当前网络威胁共享计划无法覆盖所有国防企业32.2. 先进的网络安全工具效果好但成本高42.3. 改进建议42.3.1. .建立网络安全运营中心集中管理数据4
2、2.3.2. .将企业的非密网络转移到“国防工业基础云”上42.3.3. .增加国防工业基础透明度的同时维持供应链的可信度52.3.4. 订联邦采办条例国防部补充条例关于受控非密信息的相关条款53 .解读美国防部网络安全能力成熟度认证新标准53.1. 2020年美国国防部发布了网络安全成熟度模型认证532CMMC 级别63.3. CMMC域和能力83.4. CMMC流程成熟度103.5. 网御星云安全咨询能力104 .美军推行CMMC计划的背景及进程114.1. 出台背景114.2. 推进过程115 .美军CMMC标准的主要内容115.1. 1.0版模型概述125.2. 1.0版的新功能136
3、 .美军CMMC标准的特点146.1. 覆盖范围广146.2. 标准统一146.3. 强制执行146.4. 第三方认证157 .几点认识158 .结语161 .报告背景早在本世纪初,美军就开始重视国防工业基础的网络安全问题,2002年美国通过了政府信息安全改革法,同年9月又颁布了确保网络空间安全的国家战略一一网络安全战略。2015年10月国防部发布采办项目网络安全部署指南,将网络安全纳入整个采办流程。随着2018年国家安全战略和国防战略将大国竞争提升为国家战略,美将网络安全提升到前所未有的高度,近两年密集出台各项措施,2018年9月国防部发布国防部网络战略,2019年7月,美国防创新委员会(D
4、IB)发布通往零信任安全之路白皮书,2019年8月,国防部出台5205.13指示国防工业基础的网络安全活动,2020年1月,国防部宣布面向国防承包商实施“网络安全成熟模型认证”(CMMC)l.O版,将承包商的网络安全等级由低至高分为1-5级,认证由第三方商业机构组织,采取三方认证的方式,确保认证的公平性。2020年3月23日,国防部采办与保障副部长和网络安全成熟度模型认证委员会主席共同签署了一份谅解备忘录,明确了相关部门的职责和权限,确保国防工业基础网络安全工作落到实处。但总体来看,国防部认为,美军网络安全管理主要集中于涉密网络,非密网络成为其他国家的攻击“后门”。目前企业非密信息管理主要依据
5、联邦采办条例第252.204-7012条规定和国家标准和技术协会800-171的网络安全控制标准,这是远远不够的,国防部缺乏保护国防工业基础非密网络的全面战略。基于以上认识,兰德公司受国防部委托,对美国防工业基础中的非密网络安全进行了全面评估,并提出了针对性建议。2 .报告内容报告认为目前美国防工业基础中的非密网络存在较高风险,建议国防部实施国防工业基础网络保护计划(DCP2),加强对国防工业基础中非密网络的保护,以抵御网络空间严重的安全威胁。2.1. 存在问题2.1.1. 国防工业基础中的小企业非密网络存在较高风险报告调查发现,受控非密信息(CUI)广泛存在于国防供应链的每一级承包商,而国防
6、部的相关法规只能规范到主包商,作为分包商的众多小企业并没有遵守国防部相关规定。小企业网络安全架构在以下几个关键领域存在缺陷:用户认证、网络防御、漏洞扫描、软件补丁,以及安全信息和事件管理(SIEM)或者是网络攻击响应。报告认为小企业的非密网络在国防工业基础中风险最高。2.1.2. 中小企业无法负担网络安全成熟度模型(CMMC)认证成本国防部计划实施的CMMC认证方案中,需要由五角大楼授权第三方对企业进行评估,成本由企业承担。国防部一开始认为这项成本不过数千美元,而调查发现,实际上需要数十万美元。对于大多数国防中小企业而言,这项成本可能是其无法承担的,特别是如果要保持CMMC最高级别(5级)的情
7、况下。如果不通过成本分担或报销方式来减轻企业负担,高额的成本可能会将相当一部分潜在的中小企业挤兑出国防市场,阻碍国防科技创新发展。2.1.3. 当前网络威胁共享计划无法覆盖所有国防企业美自2014年开始实施“网络威胁信息共享计划”,旨在使美联邦所有承包商能够更有效地共享网络威胁信息。但从实施效果看,并不能覆盖是所有国防工业基础(DIB)中的企业。因为要共享这些信息需要国防部通用访问卡(CAC),而处于供应链下层的很多中小企业由于与政府机构直接联系较少,并不具备这种访问权限,导致他们无法获取重要的网络威胁信息。而且网络威胁信息共享平台本身也存在一些问题,例如信息并不是实时的,而且不包括保密信息等
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 研究 提升 国防工业 基础 中非 网络 安全性