【導讀】2020年3月，蘭德公司發(fā)布《非密與安全：針對國防工業(yè)基礎中非密網(wǎng)絡的保護計劃》研究報告，對美國防工業(yè)基礎中的非密網(wǎng)絡安全情況進行了全面評估，指出了存在問題，并提出具體建議。其建議作法值得我參考借鑒。

一、 報告背景

早在本世紀初，美軍就開始重視國防工業(yè)基礎的網(wǎng)絡安全問題，2002年美國通過了《政府信息安全改革法》，同年9月又頒布了確保網(wǎng)絡空間安全的國家戰(zhàn)略——《網(wǎng)絡安全戰(zhàn)略》。2015年10月國防部發(fā)布《采辦項目網(wǎng)絡安全部署指南》，將網(wǎng)絡安全納入整個采辦流程。隨著2018年《國家安全戰(zhàn)略》和《國防戰(zhàn)略》將大國競爭提升為國家戰(zhàn)略，美將網(wǎng)絡安全提升到前所未有的高度，近兩年密集出臺各項措施，2018年9月國防部發(fā)布《國防部網(wǎng)絡戰(zhàn)略》，2019年7月，美國防創(chuàng)新委員會（DIB）發(fā)布《通往零信任安全之路》白皮書，2019年8月，國防部出臺5205.13指示《國防工業(yè)基礎的網(wǎng)絡安全活動》，2020年1月，國防部宣布面向國防承包商實施“網(wǎng)絡安全成熟模型認證”（CMMC）1.0版，將承包商的網(wǎng)絡安全等級由低至高分為1-5級，認證由第三方商業(yè)機構組織，采取三方認證的方式，確保認證的公平性。2020年3月23日，國防部采辦與保障副部長和網(wǎng)絡安全成熟度模型認證委員會主席共同簽署了一份諒解備忘錄，明確了相關部門的職責和權限，確保國防工業(yè)基礎網(wǎng)絡安全工作落到實處。

但總體來看，國防部認為，美軍網(wǎng)絡安全管理主要集中于涉密網(wǎng)絡，非密網(wǎng)絡成為其他國家的攻擊“后門”。目前企業(yè)非密信息管理主要依據(jù)《聯(lián)邦采辦條例》第252.204-7012條規(guī)定和國家標準和技術協(xié)會800-171的網(wǎng)絡安全控制標準，這是遠遠不夠的，國防部缺乏保護國防工業(yè)基礎非密網(wǎng)絡的全面戰(zhàn)略。基于以上認識，蘭德公司受國防部委托，對美國防工業(yè)基礎中的非密網(wǎng)絡安全進行了全面評估，并提出了針對性建議。

二、 報告內(nèi)容

報告認為目前美國防工業(yè)基礎中的非密網(wǎng)絡存在較高風險，建議國防部實施國防工業(yè)基礎網(wǎng)絡保護計劃（DCP2），加強對國防工業(yè)基礎中非密網(wǎng)絡的保護，以抵御網(wǎng)絡空間嚴重的安全威脅。

（一） 存在問題

1. 國防工業(yè)基礎中的小企業(yè)非密網(wǎng)絡存在較高風險

報告調(diào)查發(fā)現(xiàn)，受控非密信息（CUI）廣泛存在于國防供應鏈的每一級承包商，而國防部的相關法規(guī)只能規(guī)范到主包商，作為分包商的眾多小企業(yè)并沒有遵守國防部相關規(guī)定。小企業(yè)網(wǎng)絡安全架構在以下幾個關鍵領域存在缺陷：用戶認證、網(wǎng)絡防御、漏洞掃描、軟件補丁，以及安全信息和事件管理（SIEM）或者是網(wǎng)絡攻擊響應。報告認為小企業(yè)的非密網(wǎng)絡在國防工業(yè)基礎中風險最高。

2.中小企業(yè)無法負擔網(wǎng)絡安全成熟度模型（CMMC）認證成本

國防部計劃實施的CMMC認證方案中，需要由五角大樓授權第三方對企業(yè)進行評估，成本由企業(yè)承擔。國防部一開始認為這項成本不過數(shù)千美元，而調(diào)查發(fā)現(xiàn)，實際上需要數(shù)十萬美元。對于大多數(shù)國防中小企業(yè)而言，這項成本可能是其無法承擔的，特別是如果要保持CMMC最高級別（5級）的情況下。如果不通過成本分擔或報銷方式來減輕企業(yè)負擔，高額的成本可能會將相當一部分潛在的中小企業(yè)擠兌出國防市場，阻礙國防科技創(chuàng)新發(fā)展。

3.當前網(wǎng)絡威脅共享計劃無法覆蓋所有國防企業(yè)

美自2014年開始實施“網(wǎng)絡威脅信息共享計劃”，旨在使美聯(lián)邦所有承包商能夠更有效地共享網(wǎng)絡威脅信息。但從實施效果看，并不能覆蓋是所有國防工業(yè)基礎（DIB）中的企業(yè)。因為要共享這些信息需要國防部通用訪問卡（CAC），而處于供應鏈下層的很多中小企業(yè)由于與政府機構直接聯(lián)系較少，并不具備這種訪問權限，導致他們無法獲取重要的網(wǎng)絡威脅信息。而且網(wǎng)絡威脅信息共享平臺本身也存在一些問題，例如信息并不是實時的，而且不包括保密信息等。

4.先進的網(wǎng)絡安全工具效果好但成本高

目前網(wǎng)絡安全公司已經(jīng)開發(fā)出了先進的網(wǎng)絡安全工具集（CSTs），有助于加強國防工業(yè)基礎的網(wǎng)絡安全，但這些新工具的成本很高。一般來講，企業(yè)的網(wǎng)絡安全成本作為其信息技術預算的一部分，調(diào)查顯示，國防企業(yè)的平均信息技術預算只占其年度總收入的4.2%，即便是高技術企業(yè)，這個比例平均也僅4.7%，這導致很多中小企業(yè)無力購買昂貴的網(wǎng)絡安全工具。而且安全分析師和網(wǎng)絡安全專家的薪酬也很高，平均年薪達到9.8萬和13.1萬美元。對于一個大約只有20人或80人的企業(yè)而言，分別需要雇傭2名和4名網(wǎng)絡安全方面的專家才能滿足需求，而很多企業(yè)成本有限，只雇傭一名網(wǎng)絡安全專家。

（二） 改進建議

報告建議國防部實施國防工業(yè)基礎網(wǎng)絡保護計劃（DCP2），以使國防工業(yè)基礎中企業(yè)的非密網(wǎng)絡免受外國攻擊，企業(yè)自愿參與，但必須安裝國防部免費或補貼提供的網(wǎng)絡安全工具集（CSTs）。具體實施建議如下：

1．建立網(wǎng)絡安全運營中心集中管理數(shù)據(jù)

報告建議國防部建立國防工業(yè)基礎網(wǎng)絡安全運行中心（DIB SOC）或國防部授權第三方機構建立商業(yè)SOC，以為企業(yè)提供動態(tài)情報信息、安全預警，以及為遭受攻擊的企業(yè)提供措施建議。企業(yè)需要將經(jīng)網(wǎng)絡安全工具集（CSTs）清理過的數(shù)據(jù)提交到中心，這些數(shù)據(jù)包括網(wǎng)絡元數(shù)據(jù)、應用元數(shù)據(jù)、匿名用戶訪問數(shù)據(jù)、安全警報以及匿名系統(tǒng)記錄文件數(shù)據(jù)等，但不包括企業(yè)雇員、資產(chǎn)等受控非密信息。此舉面向所有的國防工業(yè)基礎中的大中小企業(yè)，網(wǎng)絡安全工具集（CSTs）補貼政策尤其可以大大激勵那些處于國防工業(yè)供應鏈下層的但又擁有敏感信息的小企業(yè)加入，有利于國防部全面監(jiān)控網(wǎng)絡安全狀況。

2．將企業(yè)的非密網(wǎng)絡轉移到“國防工業(yè)基礎云”上

報告建議國防部建立“國防工業(yè)基礎云”，將企業(yè)的非密網(wǎng)絡全部轉移到國防工業(yè)基礎云上。報告建議由云服務提供商為每一個參與國防工業(yè)基礎網(wǎng)絡保護計劃（DCP2）的企業(yè)提供一塊獨立安全的“飛地”以存儲其受控的非密信息（CUI），一方面可以降低企業(yè)維護存儲這些數(shù)據(jù)的成本，另一方面可以為企業(yè)提供數(shù)據(jù)保護，防止敏感企業(yè)信息、供應鏈信息、敏感數(shù)據(jù)泄露給對手。政府還應為企業(yè)提供法律保護，如果國防工業(yè)基礎（DIB）公司提供給政府的信息被非預期使用，降低他們可能承擔的責任。“國防工業(yè)基礎云”的相關成本可以由參與企業(yè)分擔。

3.增加國防工業(yè)基礎透明度的同時維持供應鏈的可信度

國防工業(yè)基礎網(wǎng)絡保護計劃（DCP2）面臨兩個挑戰(zhàn)：一是能否確保所有的國防工業(yè)基礎中的企業(yè)參與到計劃中。目前很多小企業(yè)根本不知道自己屬于國防供應鏈的一部分，這些企業(yè)很可能會將重要技術提供給國外的合作伙伴。二是如何維護這些企業(yè)的可信度。很多私人企業(yè)不愿意將其供應商向其他合作伙伴、競爭對手或者國防部公開，而國防部需要鑒定那些與國防企業(yè)合作的其他公司是否可信。因此，國防工業(yè)基礎網(wǎng)絡保護計劃（DCP2）需要長期面臨的問題是維護國防工業(yè)基礎透明度的同時維持供應鏈的可信度。

4.修訂《聯(lián)邦采辦條例國防部補充條例》關于受控非密信息的相關條款

為了落實國防工業(yè)基礎網(wǎng)絡保護計劃（DCP2）及其相關措施建議，報告建議國防部修訂《聯(lián)邦采辦條例國防部補充條例》關于受控非密信息的相關條款，建議明確企業(yè)受控非密信息范圍、分類以及主包商所涉及分包商的相關信息，將分包商納入受控非密信息納入管理范圍。這樣，國防部可以從兩個渠道獲取分包商的信息：一是通過主包商間接提供的，二是分包商直接提供給國防部的。

此外，報告強調(diào)，國防工業(yè)基礎網(wǎng)絡保護計劃（DCP2）并不是要取代網(wǎng)絡安全成熟度模型（CMMC）認證，而是作為其有益補充。

三、 幾點認識

綜合分析報告內(nèi)容，可以得出以下幾點認識：

一是國防工業(yè)基礎網(wǎng)絡安全關乎國防采辦整體安全。國防工業(yè)基礎是國防采辦的重要組成部分。最新2020年1月發(fā)布的國防部5000.02指示文件要求，網(wǎng)絡安全政策適用于當前適應性采辦框架中的所有路徑，每個采辦項目在整個產(chǎn)品壽命期內(nèi)都要加強網(wǎng)絡安全。國防工業(yè)基礎作為國防采辦的提供者，其網(wǎng)絡安全直接關系到整個國防采辦和武器系統(tǒng)的安全。

二是突出國防部在網(wǎng)絡安全管理中的主導地位。報告建議實施國防工業(yè)基礎網(wǎng)絡保護計劃，從機構（網(wǎng)絡安全運行中心）、服務（“國防工業(yè)基礎云”）、法規(guī)（《聯(lián)邦采辦條例國防部補充條例》）等方面突出國防部在國防工業(yè)基礎網(wǎng)絡安全管理中的主導地位。面對中俄技術快速發(fā)展的現(xiàn)實，國防部將采取更為嚴厲的對抗措施，其表面雖是防御網(wǎng)絡攻擊，但其實質(zhì)是加強針對中俄的技術封鎖，構建新冷戰(zhàn)時代科技壁壘。

三是民用高技術小企業(yè)是非密網(wǎng)絡安全管理的重點。在美國推進軍民一體化工業(yè)基礎建設，鼓勵民用高技術小企業(yè)參與國防科技創(chuàng)新發(fā)展的時代背景下，民用高技術小企業(yè)成為美軍非密網(wǎng)絡安全管理的難點、痛點和重點，美國在實施國防工業(yè)基礎網(wǎng)絡保護計劃等改革措施中，通過立法將各類分包商和小企業(yè)納入受控非密信息管理范疇，并設法降低小企業(yè)網(wǎng)絡安全成本和經(jīng)濟負擔，確保國防科研生產(chǎn)供應鏈網(wǎng)絡安全。