www.53381yhb.cn-精品久久亚洲高清不卡,未满十八18禁止免费无码网站,小荡货奶真大水多好紧视频,最近中文字幕高清中文字幕无

<fieldset id="uu6o0"><menu id="uu6o0"></menu></fieldset>
    • <strike id="uu6o0"><input id="uu6o0"></input></strike>
        <strike id="uu6o0"></strike>

        技術前沿

        美研究提升國防工業(yè)基礎中非密網(wǎng)絡的安全性

        2020-07-13 航天藍西 396

        【導讀】2020年3月,蘭德公司發(fā)布《非密與安全:針對國防工業(yè)基礎中非密網(wǎng)絡的保護計劃》研究報告,對美國防工業(yè)基礎中的非密網(wǎng)絡安全情況進行了全面評估,指出了存在問題,并提出具體建議。其建議作法值得我參考借鑒。

        一、 報告背景

        早在本世紀初,美軍就開始重視國防工業(yè)基礎的網(wǎng)絡安全問題,2002年美國通過了《政府信息安全改革法》,同年9月又頒布了確保網(wǎng)絡空間安全的國家戰(zhàn)略——《網(wǎng)絡安全戰(zhàn)略》。2015年10月國防部發(fā)布《采辦項目網(wǎng)絡安全部署指南》,將網(wǎng)絡安全納入整個采辦流程。隨著2018年《國家安全戰(zhàn)略》和《國防戰(zhàn)略》將大國競爭提升為國家戰(zhàn)略,美將網(wǎng)絡安全提升到前所未有的高度,近兩年密集出臺各項措施,2018年9月國防部發(fā)布《國防部網(wǎng)絡戰(zhàn)略》,2019年7月,美國防創(chuàng)新委員會(DIB)發(fā)布《通往零信任安全之路》白皮書,2019年8月,國防部出臺5205.13指示《國防工業(yè)基礎的網(wǎng)絡安全活動》,2020年1月,國防部宣布面向國防承包商實施“網(wǎng)絡安全成熟模型認證”(CMMC)1.0版,將承包商的網(wǎng)絡安全等級由低至高分為1-5級,認證由第三方商業(yè)機構組織,采取三方認證的方式,確保認證的公平性。2020年3月23日,國防部采辦與保障副部長和網(wǎng)絡安全成熟度模型認證委員會主席共同簽署了一份諒解備忘錄,明確了相關部門的職責和權限,確保國防工業(yè)基礎網(wǎng)絡安全工作落到實處。

        但總體來看,國防部認為,美軍網(wǎng)絡安全管理主要集中于涉密網(wǎng)絡,非密網(wǎng)絡成為其他國家的攻擊“后門”。目前企業(yè)非密信息管理主要依據(jù)《聯(lián)邦采辦條例》第252.204-7012條規(guī)定和國家標準和技術協(xié)會800-171的網(wǎng)絡安全控制標準,這是遠遠不夠的,國防部缺乏保護國防工業(yè)基礎非密網(wǎng)絡的全面戰(zhàn)略。基于以上認識,蘭德公司受國防部委托,對美國防工業(yè)基礎中的非密網(wǎng)絡安全進行了全面評估,并提出了針對性建議。

         

        二、 報告內(nèi)容

        報告認為目前美國防工業(yè)基礎中的非密網(wǎng)絡存在較高風險,建議國防部實施國防工業(yè)基礎網(wǎng)絡保護計劃(DCP2),加強對國防工業(yè)基礎中非密網(wǎng)絡的保護,以抵御網(wǎng)絡空間嚴重的安全威脅。

        (一) 存在問題

        1. 國防工業(yè)基礎中的小企業(yè)非密網(wǎng)絡存在較高風險

        報告調(diào)查發(fā)現(xiàn),受控非密信息(CUI)廣泛存在于國防供應鏈的每一級承包商,而國防部的相關法規(guī)只能規(guī)范到主包商,作為分包商的眾多小企業(yè)并沒有遵守國防部相關規(guī)定。小企業(yè)網(wǎng)絡安全架構在以下幾個關鍵領域存在缺陷:用戶認證、網(wǎng)絡防御、漏洞掃描、軟件補丁,以及安全信息和事件管理(SIEM)或者是網(wǎng)絡攻擊響應。報告認為小企業(yè)的非密網(wǎng)絡在國防工業(yè)基礎中風險最高。

        2.中小企業(yè)無法負擔網(wǎng)絡安全成熟度模型(CMMC)認證成本

        國防部計劃實施的CMMC認證方案中,需要由五角大樓授權第三方對企業(yè)進行評估,成本由企業(yè)承擔。國防部一開始認為這項成本不過數(shù)千美元,而調(diào)查發(fā)現(xiàn),實際上需要數(shù)十萬美元。對于大多數(shù)國防中小企業(yè)而言,這項成本可能是其無法承擔的,特別是如果要保持CMMC最高級別(5級)的情況下。如果不通過成本分擔或報銷方式來減輕企業(yè)負擔,高額的成本可能會將相當一部分潛在的中小企業(yè)擠兌出國防市場,阻礙國防科技創(chuàng)新發(fā)展。

        3.當前網(wǎng)絡威脅共享計劃無法覆蓋所有國防企業(yè)

        美自2014年開始實施“網(wǎng)絡威脅信息共享計劃”,旨在使美聯(lián)邦所有承包商能夠更有效地共享網(wǎng)絡威脅信息。但從實施效果看,并不能覆蓋是所有國防工業(yè)基礎(DIB)中的企業(yè)。因為要共享這些信息需要國防部通用訪問卡(CAC),而處于供應鏈下層的很多中小企業(yè)由于與政府機構直接聯(lián)系較少,并不具備這種訪問權限,導致他們無法獲取重要的網(wǎng)絡威脅信息。而且網(wǎng)絡威脅信息共享平臺本身也存在一些問題,例如信息并不是實時的,而且不包括保密信息等。

        4.先進的網(wǎng)絡安全工具效果好但成本高

        目前網(wǎng)絡安全公司已經(jīng)開發(fā)出了先進的網(wǎng)絡安全工具集(CSTs),有助于加強國防工業(yè)基礎的網(wǎng)絡安全,但這些新工具的成本很高。一般來講,企業(yè)的網(wǎng)絡安全成本作為其信息技術預算的一部分,調(diào)查顯示,國防企業(yè)的平均信息技術預算只占其年度總收入的4.2%,即便是高技術企業(yè),這個比例平均也僅4.7%,這導致很多中小企業(yè)無力購買昂貴的網(wǎng)絡安全工具。而且安全分析師和網(wǎng)絡安全專家的薪酬也很高,平均年薪達到9.8萬和13.1萬美元。對于一個大約只有20人或80人的企業(yè)而言,分別需要雇傭2名和4名網(wǎng)絡安全方面的專家才能滿足需求,而很多企業(yè)成本有限,只雇傭一名網(wǎng)絡安全專家。

         

        (二) 改進建議

        報告建議國防部實施國防工業(yè)基礎網(wǎng)絡保護計劃(DCP2),以使國防工業(yè)基礎中企業(yè)的非密網(wǎng)絡免受外國攻擊,企業(yè)自愿參與,但必須安裝國防部免費或補貼提供的網(wǎng)絡安全工具集(CSTs)。具體實施建議如下:

        1.建立網(wǎng)絡安全運營中心集中管理數(shù)據(jù)

        報告建議國防部建立國防工業(yè)基礎網(wǎng)絡安全運行中心(DIB SOC)或國防部授權第三方機構建立商業(yè)SOC,以為企業(yè)提供動態(tài)情報信息、安全預警,以及為遭受攻擊的企業(yè)提供措施建議。企業(yè)需要將經(jīng)網(wǎng)絡安全工具集(CSTs)清理過的數(shù)據(jù)提交到中心,這些數(shù)據(jù)包括網(wǎng)絡元數(shù)據(jù)、應用元數(shù)據(jù)、匿名用戶訪問數(shù)據(jù)、安全警報以及匿名系統(tǒng)記錄文件數(shù)據(jù)等,但不包括企業(yè)雇員、資產(chǎn)等受控非密信息。此舉面向所有的國防工業(yè)基礎中的大中小企業(yè),網(wǎng)絡安全工具集(CSTs)補貼政策尤其可以大大激勵那些處于國防工業(yè)供應鏈下層的但又擁有敏感信息的小企業(yè)加入,有利于國防部全面監(jiān)控網(wǎng)絡安全狀況。

        2.將企業(yè)的非密網(wǎng)絡轉移到“國防工業(yè)基礎云”上

        報告建議國防部建立“國防工業(yè)基礎云”,將企業(yè)的非密網(wǎng)絡全部轉移到國防工業(yè)基礎云上。報告建議由云服務提供商為每一個參與國防工業(yè)基礎網(wǎng)絡保護計劃(DCP2)的企業(yè)提供一塊獨立安全的“飛地”以存儲其受控的非密信息(CUI),一方面可以降低企業(yè)維護存儲這些數(shù)據(jù)的成本,另一方面可以為企業(yè)提供數(shù)據(jù)保護,防止敏感企業(yè)信息、供應鏈信息、敏感數(shù)據(jù)泄露給對手。政府還應為企業(yè)提供法律保護,如果國防工業(yè)基礎(DIB)公司提供給政府的信息被非預期使用,降低他們可能承擔的責任。“國防工業(yè)基礎云”的相關成本可以由參與企業(yè)分擔。

        3.增加國防工業(yè)基礎透明度的同時維持供應鏈的可信度

        國防工業(yè)基礎網(wǎng)絡保護計劃(DCP2)面臨兩個挑戰(zhàn):一是能否確保所有的國防工業(yè)基礎中的企業(yè)參與到計劃中。目前很多小企業(yè)根本不知道自己屬于國防供應鏈的一部分,這些企業(yè)很可能會將重要技術提供給國外的合作伙伴。二是如何維護這些企業(yè)的可信度。很多私人企業(yè)不愿意將其供應商向其他合作伙伴、競爭對手或者國防部公開,而國防部需要鑒定那些與國防企業(yè)合作的其他公司是否可信。因此,國防工業(yè)基礎網(wǎng)絡保護計劃(DCP2)需要長期面臨的問題是維護國防工業(yè)基礎透明度的同時維持供應鏈的可信度。

        4.修訂《聯(lián)邦采辦條例國防部補充條例》關于受控非密信息的相關條款

        為了落實國防工業(yè)基礎網(wǎng)絡保護計劃(DCP2)及其相關措施建議,報告建議國防部修訂《聯(lián)邦采辦條例國防部補充條例》關于受控非密信息的相關條款,建議明確企業(yè)受控非密信息范圍、分類以及主包商所涉及分包商的相關信息,將分包商納入受控非密信息納入管理范圍。這樣,國防部可以從兩個渠道獲取分包商的信息:一是通過主包商間接提供的,二是分包商直接提供給國防部的。

        此外,報告強調(diào),國防工業(yè)基礎網(wǎng)絡保護計劃(DCP2)并不是要取代網(wǎng)絡安全成熟度模型(CMMC)認證,而是作為其有益補充。

         

        三、 幾點認識

        綜合分析報告內(nèi)容,可以得出以下幾點認識:

        一是國防工業(yè)基礎網(wǎng)絡安全關乎國防采辦整體安全。國防工業(yè)基礎是國防采辦的重要組成部分。最新2020年1月發(fā)布的國防部5000.02指示文件要求,網(wǎng)絡安全政策適用于當前適應性采辦框架中的所有路徑,每個采辦項目在整個產(chǎn)品壽命期內(nèi)都要加強網(wǎng)絡安全。國防工業(yè)基礎作為國防采辦的提供者,其網(wǎng)絡安全直接關系到整個國防采辦和武器系統(tǒng)的安全。

        二是突出國防部在網(wǎng)絡安全管理中的主導地位。報告建議實施國防工業(yè)基礎網(wǎng)絡保護計劃,從機構(網(wǎng)絡安全運行中心)、服務(“國防工業(yè)基礎云”)、法規(guī)(《聯(lián)邦采辦條例國防部補充條例》)等方面突出國防部在國防工業(yè)基礎網(wǎng)絡安全管理中的主導地位。面對中俄技術快速發(fā)展的現(xiàn)實,國防部將采取更為嚴厲的對抗措施,其表面雖是防御網(wǎng)絡攻擊,但其實質(zhì)是加強針對中俄的技術封鎖,構建新冷戰(zhàn)時代科技壁壘。

        三是民用高技術小企業(yè)是非密網(wǎng)絡安全管理的重點。在美國推進軍民一體化工業(yè)基礎建設,鼓勵民用高技術小企業(yè)參與國防科技創(chuàng)新發(fā)展的時代背景下,民用高技術小企業(yè)成為美軍非密網(wǎng)絡安全管理的難點、痛點和重點,美國在實施國防工業(yè)基礎網(wǎng)絡保護計劃等改革措施中,通過立法將各類分包商和小企業(yè)納入受控非密信息管理范疇,并設法降低小企業(yè)網(wǎng)絡安全成本和經(jīng)濟負擔,確保國防科研生產(chǎn)供應鏈網(wǎng)絡安全。


        99re8这里有精品热视频免费| 四虎永久在线精品免费一区二区| 99久久婷婷国产综合精品电影| 午夜在线欧美曰韩精品影视| 国产免费私拍一区二区三区| 久久久综合香蕉尹人综合网| 91精品国产一级毛片国语版| 午夜久久久久久亚洲国产精品| 天地资源在线观看高清| 乱人伦人成品精国产在线|