美陆军为小型企业提供安全协作“飞地”，打造供应商安全新典范

前情回顾·美政府承包商安全合规动态

• 安全必须服务于业务！美军探索小型承包商数据合规新方法

• 美国防部新规草案：军工行业每年增加超280亿元网络安全支出

• 放弃美军标准！美国土安全部制定新的供应商网络安全规则

• 优先选用具备网络安全的供应商！美国白宫拟调整联邦采购流程

安全内参10月17日消息，在2024年美国陆军协会年会暨博览会上，美国陆军副部长Gabe Camarillo 15日宣布，陆军将创建一个安全的在线“飞地”，以帮助小型企业处理敏感信息。对于那些难以满足五角大楼网络安全要求、应对高端外国威胁的小企业来说，这不啻于一根救命稻草。

NCODE全称为“下一代商业运作防护飞地”（Next-gen Commercial Operations in Defended Enclaves）。Camarillo表示，根据该计划，陆军将于2025年至2027年启动一个为期两年、耗资2600万美元（约合人民币1.85亿元）的试点项目。他在一场座无虚席的会议中透露，将在“数日内”公布，小型企业如何申请加入NCODE试点的更多详细信息。

Camarillo说：“这本质上提供了一个小型企业可以参与的安全环境，在这个环境中，他们可以合作、共享信息，最重要的是，能够完成自己的工作……这些工作在其他环境中可能会成为潜在的威胁向量。其好处在于，它符合CMMC的要求，因此通过在该环境中操作，各个部门的安全需求都能得到满足。”

更为重要的是，副部长指出，由于该飞地将由美国陆军的网络安全专家运营，但实际上并不属于陆军的网络体系，因此企业可以在其中运行他们的常规软件，而无需经过在国防部计算机系统上安装新程序时所需的繁琐的“操作授权”（ATO）流程。

NCODE飞地的提出背景是，至少在过去的十年间，美国国防部一直对敌对国家从其众多承包商的网络中窃取敏感甚至机密数据感到担忧，其中最著名的案例就是F-35隐形战斗机的详细信息被泄露。然而，五角大楼用来审查供应商数字防御能力的官方流程缓慢且费用高昂。

承包商的内部网络必须获得经过最近修订和加强的CMMC认证，而政府如果希望采购商业软件，在将其安装在国防部网络上之前，必须获得正式的ATO。对于小型企业而言，CMMC和ATO流程尤其繁重。然而，小型企业更有可能提出对手们最渴望窃取的创新，特别是软件方面的创新。

Camarillo表示：“我们确实需要依靠工业基础的创新支持，而这些创新的核心来源正集中在我们的小型企业中。但与此同时，我们也经常听到，小型企业非常难以应对部门的各种要求。”

他指出，美国陆军估计其合作的12000家小型企业中，“大约一半”面临“中度或高度风险”的网络安全威胁，而要抵御如此复杂的对手，通常需要小型企业难以负担的人才和技术支持。

Camarillo补充道：“整个国防部正在努力通过各种途径……为小型企业提供支持，帮助它们满足网络安全的要求，而无需承担所有的固定成本。我们曾概念性地称其为‘网络安全即服务’，而实际上这就是一个试点项目，目的是为小型企业创造一个操作环境，让它们无需自行承担基础设施的费用。”

他总结道：“NCODE并不与陆军的网络相连。实际上，它是……一个专为小型企业在为陆军提供服务时使用的网络飞地，并为其提供安全保护。”

参考资料：https://breakingdefense.com/2024/10/army-to-defend-small-businesses-against-hackers-in-secure-cloud-enclave-pilot-ncode/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。