兰德报告《针对非密国防工业基础网络的保护计划》概述

近期，兰德发布《非密与安全：针对非密国防工业基础网络的保护计划》研究报告，提出了一种路线，即实施国防工业基础网络保护计划（DCP2），目的是推动国防部加强非密国防工业基础（DIB）网络的保护，用来抵御网络空间严重的安全威胁。

报告指出：

美国的国防工业基础（DIB）每天都在受到攻击，国外行动者从国防工业基础（DIB）窃取大量的敏感数据、商业秘密和知识产权，导致国防工业基础（DIB）遭到侵害，并损害美国的军事能力，影响未来的军事作战。

2018年，美国海军部长曾指出，“对美国网络的攻击并不新鲜，窃取关键信息的行为变得更加严重和复杂。”美国国防部（DoD）虽然已采取措施，但主要是集中在保密网络上，而非密网络已经成为“后门”，国防部缺乏保护国防工业基础（DIB）非密网络的全面战略。

定义国防工业基础（DIB）

国防工业基础（DIB）由一系列私营和公有公司（包括小公司、大公司）构成，提供国防工业能力。国防工业能力是“设计、开发、制造、维修和保障国防部产品及其必要子系统和组件所需的技能和知识、流程、设施和设备”。2018年国防部在回应《加强制造业和国防工业供应链》总统行政命令（EO）13806时，向特朗普提交的报告中进一步说明了国防工业基础（DIB）由两个组成部分：（1）国内制造业和国防工业基础（2）全球制造业和国防工业基础。

• DIB小型公司年收入在1亿美元以下；

• DIB中型公司年收入在1亿到5亿美元之间；

• DIB大型公司年收入在5亿美元以上。

国防部现有非密信息保护方法

为了回应《受控非密信息条例》（EO 13556），国防部建立了两个保护受控非密信息（CUI）的流程。首先，国防部实施了保护国防部内部网络上受控非密信息（CUI）的程序。其次，国防部为国防承包商设计了一套规则和程序，以保护其非密网络上的一部分受控非密信息（CUI）。

网络安全工具

商业公司使用各种网络安全工具集（CSTs）来保护其网络。较大的公司通常使用更多的功能更强的网络安全工具集（CSTs），而较小的公司更有可能使用更少的功能更弱的工具。

研究发现：

1.小型国防工业基础公司的非密网络存在较高风险。其网络安全架构可能在以下几个关键领域存在缺陷：用户认证、网络防御、漏洞扫描、软件补丁、以及安全信息和事件管理（SIEM）或者是网络攻击响应。国防工业基础（DIB）的小型公司也可能缺乏为应对新威胁而开发的其他重要网络安全工具集（CSTs），因为任何小型公司都负担不起这些费用。

2.国防部现有路线是小型和一些中型公司负担不起的。国防部现有的保护受控非密信息（CUI）的政策和程序路线对国防工业基础（DIB）的主要成员来说是负担不起的。国防工业基础（DIB）的小型公司可能无法遵守国防部发布的安全控制指南，因此会导致小型公司难以参与竞标国防部合同。

3.国防部CMMC认证是小型和一些中型公司负担不起的。国防部最近增加了一个基于合规性的网络成熟度模型和一个强制性认证程序——网络安全成熟度模型认证（CMMC）政策。大多数国防工业基础（DIB）的小型公司可能无法承担网络安全成熟度模型认证（CMMC）强制性的网络防御要求，许多国防工业基础（DIB）的中型公司可能面临同样的挑战，特别是保持CMMC最高合规级别。

4.当前自愿的国防部网络威胁共享服务无法覆盖众多国防工业基础公司。网络威胁信息共享的自愿计划也存在挑战，不是所有国防工业基础（DIB）公司都能够实施的，因为需要国防部通用访问卡（CAC），不是所有国防工业基础（DIB）公司或员工都拥有这种卡。一些国防工业基础（DIB）公司可能由于缺乏与情报界的非官方联系，导致他们无法私下里获取重要的网络威胁信息。

5.先进的网络安全工具可以增强国防工业基础的网络防御，但成本高昂。网络安全公司已经开发出了先进的网络安全工具集（CSTs），有助于加强国防工业基础（DIB）的网络安全，但这些新工具的成本很高。

研究建议

建议国防部创建一个国防工业基础网络保护计划（DCP2）：

1.改善国防工业基础（DIB）的监控和实时健康状况；

2.改善那些无法负担所需的网络安全工具集（CSTs）和专业人员的公司的网络安全；

3.提供数据保护，防止从国防工业基础（DIB）公司到国防部的敏感企业信息、 国防工业基础（DIB）敏感供应链信息、国防工业基础（DIB）敏感数据泄露给对手；

4.为国防工业基础（DIB）公司提供法律保护，如果国防工业基础（DIB）公司提供给政府的信息被非预期使用，降低他们可能承担的责任。

该计划还包括向有资格的小型公司提供一种手段，使它们能够免费或以优惠价格获得非密网络安全工具，从而确保所有国防工业基础（DIB）公司都能获得可负担的保护。尽管高级持续威胁和复杂的网络攻击不会停止。但是通过这个项目可以帮助建造更坚固的城墙，发展更协调的应对措施，来巩固美国军事力量的基础。

声明：本文来自占知智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。