前情回顾·美政府承包商安全合规动态

安全内参1月30日消息,美国陆军和海军正在研究,如何将安全环境扩展到规模较小的国防工业合作伙伴。这些合作伙伴可能无力负担取得五角大楼网络安全认证(CMMC)的成本,但仍为各军种提供希望使用的创新服务。

在由外媒DefenseScoop上周四主办的谷歌防务论坛期间,有军方背景的高级网络安全官员在专题讨论中表示,军方正在制定措施,为这些小型承包商提供安全的虚拟桌面,以确保任何涉及敏感国防部数据的交易符合美国国防部的安全要求。

制定这项措施的大背景是,国防部的网络安全成熟度模型认证(CMMC)即将成为正式规定。该规定目前处于征求意见(拟议)状态,五角大楼正在接受公众评论,截止日期为2月26日。

按照CMMC规定,大多数与美国国防部签订受控非机密信息合同的国防工业公司需要满足NIST SP 800-172文件规定的安全要求,并通过自我评估或第三方评估(取决于所共享信息的敏感性),证明他们满足这些要求。

很多小型企业担心,过于繁琐的评估过程可能阻碍他们与美国国防部的商业合作。

美国军方也不愿错失这些小型承包商带来的创新。为此,他们正在努力寻找解决方案,以确保即使一家公司短期内无力提升网络安全水平,仍能保持合作关系。

通过安全虚拟桌面提升小型供应商安全

美国海军部首席信息安全官Tony Plater在专题讨论中说道,“我们正在研究虚拟桌面,探讨如何将虚拟桌面扩展到我们的合作伙伴,以及国防部门的主要承包商和大型公司如何将虚拟桌面扩展到中小型企业,为他们的数据提供额外的保护。”

虽然与美国海军合作的主要承包商,已经根据CMMC要求设立了健全的安全运营中心,但Plater表示,海军已经“了解到中小型公司难以满足这些要求。”因此,海军正在战略上寻找提升这些合作伙伴能力的方法。

他说,“我们必须考虑他们如何才能满足相关要求。”

美国陆军首席网络采购官Matthew Picerno表示,陆军同样在与谷歌等公司合作推动一项计划,旨在“将安全的工作环境扩展到小型企业。” Picerno认为,陆军目前正在“考虑相关挑战,特别是法律问题。如果我们成功扩展环境,小型企业会参与吗?”

Plater和Picerno还强调,抛开CMMC将强制执行的技术要求不论,将这些小型公司视为军方的延伸,支持这些组织内人员的发展、确保威胁情报公开分享,也是至关重要的。

Picerno说,“这不仅仅涉及IT。我认为今天谈论的很多问题都与人有关。因此,我们需要组织培训,了解数据是什么,我们想呈现什么,厘清什么是最重要的,确保我们采取一种整体的、有组织的、循序渐进的方法,而不能认为基本的IT技术就能解决一切。”

Plater表示,美国海军希望对威胁和对手进行自动化评估,为此正在探索将情报推送给国防工业合作伙伴的方法。

他说,“我们必须知道对手眼中我们的安全态势如何。当我们继续学习,力争在内部实现灵活性和保护性时,我们认识到合作伙伴所持有的信息、技术优势和创新是极其重要的。为了实现双赢,我们必须共同努力分享这些信息。”

参考资料:https://defensescoop.com/2024/01/26/cmmc-military-secure-environments/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。