軍事供應(yīng)鏈繼續(xù)擴(kuò)大，結(jié)果是更多的機(jī)密非機(jī)密信息 （CUI） 傳播得比軍事服務(wù)器更遠(yuǎn)。由于業(yè)務(wù)信息現(xiàn)在通常也存儲(chǔ)在云中，因此快速確保這些數(shù)據(jù)的安全成為一項(xiàng)復(fù)雜的任務(wù)。信息保障必然在這個(gè)生態(tài)系統(tǒng)中向下游流動(dòng)，結(jié)果是它現(xiàn)在觸及所有國(guó)防承包商。那些能夠展示安全和合規(guī)的數(shù)據(jù)流程的人將在這個(gè)日益具有網(wǎng)絡(luò)意識(shí)的生態(tài)系統(tǒng)中獲得真正的業(yè)務(wù)優(yōu)勢(shì)。

在不斷變化且更復(fù)雜的供應(yīng)商生態(tài)系統(tǒng)中，任何參與美國(guó)軍事供應(yīng)鏈的組織都必須制定戰(zhàn)略，以滿足美國(guó)國(guó)防部 （DoD）、特定軍事部門甚至美國(guó)國(guó)務(wù)院的多重要求。

特別是，國(guó)防承包商應(yīng)該關(guān)注三個(gè)關(guān)鍵領(lǐng)域。那些調(diào)整流程以應(yīng)對(duì)這三個(gè)領(lǐng)域的公司可以獲得巨大的機(jī)會(huì)。

安全性和合規(guī)性復(fù)雜性

這些不同的法規(guī)和管理規(guī)則旨在實(shí)現(xiàn)一個(gè)目標(biāo)：聯(lián)邦信息安全管理法案 （FISMA） 的合規(guī)性協(xié)議。作為 2002 年電子政府法案的一個(gè)組成部分，F(xiàn)ISMA 旨在保護(hù)政府信息免受惡意或意外泄露或自然災(zāi)害等威脅。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST） 提供 NIST 風(fēng)險(xiǎn)管理框架作為供應(yīng)商合規(guī)性的指南。該自愿框架包括管理網(wǎng)絡(luò)安全相關(guān)風(fēng)險(xiǎn)的標(biāo)準(zhǔn)、指南和最佳實(shí)踐。每個(gè)聯(lián)邦機(jī)構(gòu)必須對(duì)處理機(jī)密非機(jī)密信息的系統(tǒng)進(jìn)行年度審查。美國(guó)國(guó)防部要求供應(yīng)商遵守國(guó)防聯(lián)邦采購(gòu)條例補(bǔ)充 （DFARS） 最低安全標(biāo)準(zhǔn)。NIST定期發(fā)布合規(guī)性指南，并通過將承包商組織成14個(gè)系列來(lái)幫助承包商理解要求，從訪問控制到維護(hù)，介質(zhì)保護(hù)以及系統(tǒng)和信息完整性。

NIST還概述了公司應(yīng)采取的幾個(gè)自我評(píng)估步驟，以準(zhǔn)備14個(gè)系列中每個(gè)系列的合規(guī)性。雖然NIST假設(shè)國(guó)防承包商擁有不一定需要更換的現(xiàn)有IT基礎(chǔ)設(shè)施，但可以使用各種策略來(lái)實(shí)現(xiàn)合規(guī)性。在非聯(lián)邦系統(tǒng)中，處理CUI的授權(quán)并不缺乏，國(guó)防承包商在如何遵守方面擁有一定程度的自由裁量權(quán)這一事實(shí)可能比解放更令人困惑。

云混淆

應(yīng)用程序安全控制 （ASC） 是一項(xiàng)重大挑戰(zhàn)，即使企業(yè)應(yīng)用程序和基礎(chǔ)數(shù)據(jù)存儲(chǔ)在組織自己內(nèi)部的服務(wù)器上也是如此。這些服務(wù)器機(jī)房必須受到物理保護(hù)，防止入侵，并且必須對(duì)數(shù)據(jù)進(jìn)行加密。應(yīng)用程序還需要包括預(yù)防和檢測(cè)控制，以確保數(shù)據(jù)不會(huì)被不當(dāng)訪問或修改，并且任何安全漏洞都會(huì)被記錄下來(lái)并顯示在審計(jì)跟蹤中。

商用基于云的軟件的趨勢(shì)給保護(hù) CUI 和其他敏感數(shù)據(jù)的組織帶來(lái)了新的負(fù)擔(dān)。短短幾年前，基于云的軟件在國(guó)防部門持懷疑態(tài)度。這不僅是由于總體安全問題，而且特別是由于國(guó)際武器貿(mào)易條例（ITAR）的要求，即數(shù)據(jù)只能提供給美國(guó)人?，F(xiàn)在，云基礎(chǔ)設(shè)施已經(jīng)為這一挑戰(zhàn)提供了變通辦法，最引人注目的是微軟，微軟已經(jīng)使其Azure云平臺(tái)符合ISO標(biāo)準(zhǔn)。

工業(yè)與安全局還發(fā)布了一項(xiàng)規(guī)則，如果云平臺(tái)提供數(shù)據(jù)的“端到端”加密，則免除云數(shù)據(jù)對(duì)ITAR規(guī)定的某些要求。簡(jiǎn)而言之，它要求數(shù)據(jù)在跨越任何外國(guó)邊界之前進(jìn)行加密并保持加密，除非被授權(quán)的美國(guó)人訪問。

出口管制注意事項(xiàng)

ITAR對(duì)術(shù)語(yǔ)“出口”進(jìn)行了廣義解釋，包括在美國(guó)境外服務(wù)器上發(fā)布或存儲(chǔ)或發(fā)布到非美國(guó)的數(shù)據(jù)。人。國(guó)防采辦大學(xué)（DAU）建議，軍事組織不僅必須保護(hù)美國(guó)國(guó)防部CUI和受國(guó)務(wù)院出口管制的信息，還必須根據(jù)每個(gè)國(guó)家的法律保護(hù)來(lái)自其他國(guó)家的CUI。在美國(guó)軍事組織在全球范圍內(nèi)合作開展聯(lián)合攻擊戰(zhàn)斗機(jī)等重大項(xiàng)目以及美國(guó)制造商和國(guó)防承包商可能向世界各地的軍隊(duì)供應(yīng)的環(huán)境中，這種情況增加了數(shù)據(jù)安全挑戰(zhàn)的復(fù)雜性。

這使CUI保護(hù)引起了國(guó)務(wù)院和國(guó)防部的注意。DAU 建議，在出于出口管制目的保護(hù) CUI 時(shí)，僅遵守 ITAR 可能是不夠的，即使對(duì)于軍事組織也是如此。根據(jù)DAU的說(shuō)法，這些實(shí)體必須在兩個(gè)監(jiān)管機(jī)構(gòu)之間走鋼絲。它指出，“有幾項(xiàng)國(guó)防部政策管理國(guó)防部人員向外國(guó)實(shí)體的整體 EC-CUI 轉(zhuǎn)移，它們是重疊的，并且在某些領(lǐng)域不清楚國(guó)防部人員在國(guó)防部合同流程的合同前授予階段應(yīng)采用的程序?qū)?EC-CUI 轉(zhuǎn)移到外國(guó)實(shí)體。

企業(yè)軟件是安全性的基礎(chǔ)

處理具有廣泛業(yè)務(wù)影響的復(fù)雜數(shù)據(jù)安全問題最好使用集中式方法進(jìn)行處理。軍事或國(guó)防承包商組織中的企業(yè)軟件記錄系統(tǒng)可能是理想的工具，因?yàn)樗捎糜趯ｉT處理流經(jīng)組織甚至流向供應(yīng)商和分包商的 CUI。將 CUI 集中在國(guó)防工業(yè)中經(jīng)過專門驗(yàn)證的應(yīng)用中可能是有益的。

可以根據(jù)角色或個(gè)人權(quán)限集中管理數(shù)據(jù)的安全性和隱私性。這可以幫助高管確保并向?qū)徲?jì)員記錄，只有經(jīng)過授權(quán)和培訓(xùn)的 CUI 處理員工才能訪問它。

企業(yè)應(yīng)用程序還可以使組織采用基于標(biāo)準(zhǔn)的合規(guī)性方法。對(duì)于國(guó)防部門，ISO 27034-1 是全球公認(rèn)的應(yīng)用程序安全管理方法。采用該標(biāo)準(zhǔn)可以向監(jiān)管機(jī)構(gòu)和貿(mào)易伙伴發(fā)出信號(hào)，表明組織更有可能對(duì)ASC采取合理的方法。企業(yè)軟件中有一些可驗(yàn)證的技術(shù)元素，因此政府或私人實(shí)體可以證明這些措施已得到充分實(shí)施。此過程不僅包括以人為本的元素（需要跟蹤認(rèn)證和培訓(xùn)），還包括應(yīng)用程序控制安全數(shù)據(jù)結(jié)構(gòu)，包括 XML 架構(gòu)和應(yīng)用程序生命周期參考模型。

實(shí)施合規(guī)實(shí)踐

可以將企業(yè)應(yīng)用程序配置為默認(rèn)拒絕網(wǎng)絡(luò)通信流量，以便通過例外允許網(wǎng)絡(luò)通信流量。但是，對(duì)軟件配置、功能或數(shù)據(jù)模型的內(nèi)部更改應(yīng)根據(jù)ITIL ［信息技術(shù)基礎(chǔ)設(shè)施庫(kù)］流程進(jìn)行處理。這些 ITIL 過程將影響對(duì)軟件實(shí)例的所有更改，但是在確保遵循應(yīng)用程序安全策略并且隨著軟件實(shí)例的發(fā)展而保持保護(hù)不變時(shí)，更改管理的好處將特別可取。

受這些法規(guī)約束的組織希望仔細(xì)審核其當(dāng)前的企業(yè)技術(shù)和流程，并在新技術(shù)獲取過程中將 CUI 安全性放在首位。確保其產(chǎn)品處理 CUI 的企業(yè)軟件供應(yīng)商使用行業(yè)標(biāo)準(zhǔn)框架（尤其是通用漏洞評(píng)分系統(tǒng) （CVSS））處理安全問題也可能是有意義的。CVSS 顯然通過根據(jù)通用標(biāo)準(zhǔn)為每個(gè)威脅分配一個(gè)數(shù)字分?jǐn)?shù)來(lái)幫助組織衡量給定威脅的嚴(yán)重性。它還根據(jù)問題的輕松緩解程度以及它在組織中的普遍程度來(lái)分配分?jǐn)?shù)。

國(guó)防承包商面臨的機(jī)遇

國(guó)防承包商不應(yīng)將新的安全要求視為一個(gè)困難的障礙，而應(yīng)將其視為一個(gè)機(jī)會(huì)?，F(xiàn)在，關(guān)于如何處理 CUI 數(shù)據(jù)，無(wú)論是在本地還是在云中，都有非常明確的指導(dǎo)，但這需要勤奮、努力工作和正確的企業(yè)軟件的支持。有了這三個(gè)因素，承包商可以滿足軍事生態(tài)系統(tǒng)中涉及的不同機(jī)構(gòu)的監(jiān)管要求。正是這種增強(qiáng)的信息安全性將有助于他們?cè)诟?jìng)爭(zhēng)中脫穎而出，并在日益具有網(wǎng)絡(luò)意識(shí)的市場(chǎng)領(lǐng)域確保持續(xù)的業(yè)務(wù)。

審核編輯：郭婷