隨著軍事供應(yīng)鏈的擴(kuò)大 信息安全風(fēng)險也隨之增加

軍事供應(yīng)鏈繼續(xù)擴(kuò)大，結(jié)果是更多的機(jī)密非機(jī)密信息 （CUI） 傳播得比軍事服務(wù)器更遠(yuǎn)。由于業(yè)務(wù)信息現(xiàn)在通常也存儲在云中，因此快速確保這些數(shù)據(jù)的安全成為一項(xiàng)復(fù)雜的任務(wù)。信息保障必然在這個生態(tài)系統(tǒng)中向下游流動，結(jié)果是它現(xiàn)在觸及所有國防承包商。那些能夠展示安全和合規(guī)的數(shù)據(jù)流程的人將在這個日益具有網(wǎng)絡(luò)意識的生態(tài)系統(tǒng)中獲得真正的業(yè)務(wù)優(yōu)勢。

在不斷變化且更復(fù)雜的供應(yīng)商生態(tài)系統(tǒng)中，任何參與美國軍事供應(yīng)鏈的組織都必須制定戰(zhàn)略，以滿足美國國防部 （DoD）、特定軍事部門甚至美國國務(wù)院的多重要求。

特別是，國防承包商應(yīng)該關(guān)注三個關(guān)鍵領(lǐng)域。那些調(diào)整流程以應(yīng)對這三個領(lǐng)域的公司可以獲得巨大的機(jī)會。

安全性和合規(guī)性復(fù)雜性

這些不同的法規(guī)和管理規(guī)則旨在實(shí)現(xiàn)一個目標(biāo)：聯(lián)邦信息安全管理法案 （FISMA） 的合規(guī)性協(xié)議。作為 2002 年電子政府法案的一個組成部分，F(xiàn)ISMA 旨在保護(hù)政府信息免受惡意或意外泄露或自然災(zāi)害等威脅。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST） 提供 NIST 風(fēng)險管理框架作為供應(yīng)商合規(guī)性的指南。該自愿框架包括管理網(wǎng)絡(luò)安全相關(guān)風(fēng)險的標(biāo)準(zhǔn)、指南和最佳實(shí)踐。每個聯(lián)邦機(jī)構(gòu)必須對處理機(jī)密非機(jī)密信息的系統(tǒng)進(jìn)行年度審查。美國國防部要求供應(yīng)商遵守國防聯(lián)邦采購條例補(bǔ)充 （DFARS） 最低安全標(biāo)準(zhǔn)。NIST定期發(fā)布合規(guī)性指南，并通過將承包商組織成14個系列來幫助承包商理解要求，從訪問控制到維護(hù)，介質(zhì)保護(hù)以及系統(tǒng)和信息完整性。

NIST還概述了公司應(yīng)采取的幾個自我評估步驟，以準(zhǔn)備14個系列中每個系列的合規(guī)性。雖然NIST假設(shè)國防承包商擁有不一定需要更換的現(xiàn)有IT基礎(chǔ)設(shè)施，但可以使用各種策略來實(shí)現(xiàn)合規(guī)性。在非聯(lián)邦系統(tǒng)中，處理CUI的授權(quán)并不缺乏，國防承包商在如何遵守方面擁有一定程度的自由裁量權(quán)這一事實(shí)可能比解放更令人困惑。

云混淆

應(yīng)用程序安全控制 （ASC） 是一項(xiàng)重大挑戰(zhàn)，即使企業(yè)應(yīng)用程序和基礎(chǔ)數(shù)據(jù)存儲在組織自己內(nèi)部的服務(wù)器上也是如此。這些服務(wù)器機(jī)房必須受到物理保護(hù)，防止入侵，并且必須對數(shù)據(jù)進(jìn)行加密。應(yīng)用程序還需要包括預(yù)防和檢測控制，以確保數(shù)據(jù)不會被不當(dāng)訪問或修改，并且任何安全漏洞都會被記錄下來并顯示在審計跟蹤中。

商用基于云的軟件的趨勢給保護(hù) CUI 和其他敏感數(shù)據(jù)的組織帶來了新的負(fù)擔(dān)。短短幾年前，基于云的軟件在國防部門持懷疑態(tài)度。這不僅是由于總體安全問題，而且特別是由于國際武器貿(mào)易條例（ITAR）的要求，即數(shù)據(jù)只能提供給美國人?，F(xiàn)在，云基礎(chǔ)設(shè)施已經(jīng)為這一挑戰(zhàn)提供了變通辦法，最引人注目的是微軟，微軟已經(jīng)使其Azure云平臺符合ISO標(biāo)準(zhǔn)。

工業(yè)與安全局還發(fā)布了一項(xiàng)規(guī)則，如果云平臺提供數(shù)據(jù)的“端到端”加密，則免除云數(shù)據(jù)對ITAR規(guī)定的某些要求。簡而言之，它要求數(shù)據(jù)在跨越任何外國邊界之前進(jìn)行加密并保持加密，除非被授權(quán)的美國人訪問。

出口管制注意事項(xiàng)

ITAR對術(shù)語“出口”進(jìn)行了廣義解釋，包括在美國境外服務(wù)器上發(fā)布或存儲或發(fā)布到非美國的數(shù)據(jù)。人。國防采辦大學(xué)（DAU）建議，軍事組織不僅必須保護(hù)美國國防部CUI和受國務(wù)院出口管制的信息，還必須根據(jù)每個國家的法律保護(hù)來自其他國家的CUI。在美國軍事組織在全球范圍內(nèi)合作開展聯(lián)合攻擊戰(zhàn)斗機(jī)等重大項(xiàng)目以及美國制造商和國防承包商可能向世界各地的軍隊供應(yīng)的環(huán)境中，這種情況增加了數(shù)據(jù)安全挑戰(zhàn)的復(fù)雜性。

這使CUI保護(hù)引起了國務(wù)院和國防部的注意。DAU 建議，在出于出口管制目的保護(hù) CUI 時，僅遵守 ITAR 可能是不夠的，即使對于軍事組織也是如此。根據(jù)DAU的說法，這些實(shí)體必須在兩個監(jiān)管機(jī)構(gòu)之間走鋼絲。它指出，“有幾項(xiàng)國防部政策管理國防部人員向外國實(shí)體的整體 EC-CUI 轉(zhuǎn)移，它們是重疊的，并且在某些領(lǐng)域不清楚國防部人員在國防部合同流程的合同前授予階段應(yīng)采用的程序?qū)?EC-CUI 轉(zhuǎn)移到外國實(shí)體。

企業(yè)軟件是安全性的基礎(chǔ)

處理具有廣泛業(yè)務(wù)影響的復(fù)雜數(shù)據(jù)安全問題最好使用集中式方法進(jìn)行處理。軍事或國防承包商組織中的企業(yè)軟件記錄系統(tǒng)可能是理想的工具，因?yàn)樗捎糜趯ｉT處理流經(jīng)組織甚至流向供應(yīng)商和分包商的 CUI。將 CUI 集中在國防工業(yè)中經(jīng)過專門驗(yàn)證的應(yīng)用中可能是有益的。

可以根據(jù)角色或個人權(quán)限集中管理數(shù)據(jù)的安全性和隱私性。這可以幫助高管確保并向?qū)徲媶T記錄，只有經(jīng)過授權(quán)和培訓(xùn)的 CUI 處理員工才能訪問它。

企業(yè)應(yīng)用程序還可以使組織采用基于標(biāo)準(zhǔn)的合規(guī)性方法。對于國防部門，ISO 27034-1 是全球公認(rèn)的應(yīng)用程序安全管理方法。采用該標(biāo)準(zhǔn)可以向監(jiān)管機(jī)構(gòu)和貿(mào)易伙伴發(fā)出信號，表明組織更有可能對ASC采取合理的方法。企業(yè)軟件中有一些可驗(yàn)證的技術(shù)元素，因此政府或私人實(shí)體可以證明這些措施已得到充分實(shí)施。此過程不僅包括以人為本的元素（需要跟蹤認(rèn)證和培訓(xùn)），還包括應(yīng)用程序控制安全數(shù)據(jù)結(jié)構(gòu)，包括 XML 架構(gòu)和應(yīng)用程序生命周期參考模型。

實(shí)施合規(guī)實(shí)踐

可以將企業(yè)應(yīng)用程序配置為默認(rèn)拒絕網(wǎng)絡(luò)通信流量，以便通過例外允許網(wǎng)絡(luò)通信流量。但是，對軟件配置、功能或數(shù)據(jù)模型的內(nèi)部更改應(yīng)根據(jù)ITIL ［信息技術(shù)基礎(chǔ)設(shè)施庫］流程進(jìn)行處理。這些 ITIL 過程將影響對軟件實(shí)例的所有更改，但是在確保遵循應(yīng)用程序安全策略并且隨著軟件實(shí)例的發(fā)展而保持保護(hù)不變時，更改管理的好處將特別可取。

受這些法規(guī)約束的組織希望仔細(xì)審核其當(dāng)前的企業(yè)技術(shù)和流程，并在新技術(shù)獲取過程中將 CUI 安全性放在首位。確保其產(chǎn)品處理 CUI 的企業(yè)軟件供應(yīng)商使用行業(yè)標(biāo)準(zhǔn)框架（尤其是通用漏洞評分系統(tǒng) （CVSS））處理安全問題也可能是有意義的。CVSS 顯然通過根據(jù)通用標(biāo)準(zhǔn)為每個威脅分配一個數(shù)字分?jǐn)?shù)來幫助組織衡量給定威脅的嚴(yán)重性。它還根據(jù)問題的輕松緩解程度以及它在組織中的普遍程度來分配分?jǐn)?shù)。

國防承包商面臨的機(jī)遇

國防承包商不應(yīng)將新的安全要求視為一個困難的障礙，而應(yīng)將其視為一個機(jī)會?，F(xiàn)在，關(guān)于如何處理 CUI 數(shù)據(jù)，無論是在本地還是在云中，都有非常明確的指導(dǎo)，但這需要勤奮、努力工作和正確的企業(yè)軟件的支持。有了這三個因素，承包商可以滿足軍事生態(tài)系統(tǒng)中涉及的不同機(jī)構(gòu)的監(jiān)管要求。正是這種增強(qiáng)的信息安全性將有助于他們在競爭中脫穎而出，并在日益具有網(wǎng)絡(luò)意識的市場領(lǐng)域確保持續(xù)的業(yè)務(wù)。

審核編輯：郭婷