軍事供應(yīng)鏈繼續(xù)擴(kuò)大，結(jié)果是更多的機(jī)密非機(jī)密信息 （CUI） 傳播得比軍事服務(wù)器更遠(yuǎn)。由于業(yè)務(wù)信息現(xiàn)在通常也存儲在云中，因此快速確保這些數(shù)據(jù)的安全成為一項復(fù)雜的任務(wù)。信息保障必然在這個生態(tài)系統(tǒng)中向下游流動，結(jié)果是它現(xiàn)在觸及所有國防承包商。那些能夠展示安全和合規(guī)的數(shù)據(jù)流程的人將在這個日益具有網(wǎng)絡(luò)意識的生態(tài)系統(tǒng)中獲得真正的業(yè)務(wù)優(yōu)勢。

在不斷變化且更復(fù)雜的供應(yīng)商生態(tài)系統(tǒng)中，任何參與美國軍事供應(yīng)鏈的組織都必須制定戰(zhàn)略，以滿足美國國防部 （DoD）、特定軍事部門甚至美國國務(wù)院的多重要求。

特別是，國防承包商應(yīng)該關(guān)注三個關(guān)鍵領(lǐng)域。那些調(diào)整流程以應(yīng)對這三個領(lǐng)域的公司可以獲得巨大的機(jī)會。

安全性和合規(guī)性復(fù)雜性

這些不同的法規(guī)和管理規(guī)則旨在實現(xiàn)一個目標(biāo)：聯(lián)邦信息安全管理法案 （FISMA） 的合規(guī)性協(xié)議。作為 2002 年電子政府法案的一個組成部分，F(xiàn)ISMA 旨在保護(hù)政府信息免受惡意或意外泄露或自然災(zāi)害等威脅。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST） 提供 NIST 風(fēng)險管理框架作為供應(yīng)商合規(guī)性的指南。該自愿框架包括管理網(wǎng)絡(luò)安全相關(guān)風(fēng)險的標(biāo)準(zhǔn)、指南和最佳實踐。每個聯(lián)邦機(jī)構(gòu)必須對處理機(jī)密非機(jī)密信息的系統(tǒng)進(jìn)行年度審查。美國國防部要求供應(yīng)商遵守國防聯(lián)邦采購條例補(bǔ)充 （DFARS） 最低安全標(biāo)準(zhǔn)。NIST定期發(fā)布合規(guī)性指南，并通過將承包商組織成14個系列來幫助承包商理解要求，從訪問控制到維護(hù)，介質(zhì)保護(hù)以及系統(tǒng)和信息完整性。

NIST還概述了公司應(yīng)采取的幾個自我評估步驟，以準(zhǔn)備14個系列中每個系列的合規(guī)性。雖然NIST假設(shè)國防承包商擁有不一定需要更換的現(xiàn)有IT基礎(chǔ)設(shè)施，但可以使用各種策略來實現(xiàn)合規(guī)性。在非聯(lián)邦系統(tǒng)中，處理CUI的授權(quán)并不缺乏，國防承包商在如何遵守方面擁有一定程度的自由裁量權(quán)這一事實可能比解放更令人困惑。

云混淆

應(yīng)用程序安全控制 （ASC） 是一項重大挑戰(zhàn)，即使企業(yè)應(yīng)用程序和基礎(chǔ)數(shù)據(jù)存儲在組織自己內(nèi)部的服務(wù)器上也是如此。這些服務(wù)器機(jī)房必須受到物理保護(hù)，防止入侵，并且必須對數(shù)據(jù)進(jìn)行加密。應(yīng)用程序還需要包括預(yù)防和檢測控制，以確保數(shù)據(jù)不會被不當(dāng)訪問或修改，并且任何安全漏洞都會被記錄下來并顯示在審計跟蹤中。

商用基于云的軟件的趨勢給保護(hù) CUI 和其他敏感數(shù)據(jù)的組織帶來了新的負(fù)擔(dān)。短短幾年前，基于云的軟件在國防部門持懷疑態(tài)度。這不僅是由于總體安全問題，而且特別是由于國際武器貿(mào)易條例（ITAR）的要求，即數(shù)據(jù)只能提供給美國人?，F(xiàn)在，云基礎(chǔ)設(shè)施已經(jīng)為這一挑戰(zhàn)提供了變通辦法，最引人注目的是微軟，微軟已經(jīng)使其Azure云平臺符合ISO標(biāo)準(zhǔn)。

工業(yè)與安全局還發(fā)布了一項規(guī)則，如果云平臺提供數(shù)據(jù)的“端到端”加密，則免除云數(shù)據(jù)對ITAR規(guī)定的某些要求。簡而言之，它要求數(shù)據(jù)在跨越任何外國邊界之前進(jìn)行加密并保持加密，除非被授權(quán)的美國人訪問。

出口管制注意事項

ITAR對術(shù)語“出口”進(jìn)行了廣義解釋，包括在美國境外服務(wù)器上發(fā)布或存儲或發(fā)布到非美國的數(shù)據(jù)。人。國防采辦大學(xué)（DAU）建議，軍事組織不僅必須保護(hù)美國國防部CUI和受國務(wù)院出口管制的信息，還必須根據(jù)每個國家的法律保護(hù)來自其他國家的CUI。在美國軍事組織在全球范圍內(nèi)合作開展聯(lián)合攻擊戰(zhàn)斗機(jī)等重大項目以及美國制造商和國防承包商可能向世界各地的軍隊供應(yīng)的環(huán)境中，這種情況增加了數(shù)據(jù)安全挑戰(zhàn)的復(fù)雜性。

這使CUI保護(hù)引起了國務(wù)院和國防部的注意。DAU 建議，在出于出口管制目的保護(hù) CUI 時，僅遵守 ITAR 可能是不夠的，即使對于軍事組織也是如此。根據(jù)DAU的說法，這些實體必須在兩個監(jiān)管機(jī)構(gòu)之間走鋼絲。它指出，“有幾項國防部政策管理國防部人員向外國實體的整體 EC-CUI 轉(zhuǎn)移，它們是重疊的，并且在某些領(lǐng)域不清楚國防部人員在國防部合同流程的合同前授予階段應(yīng)采用的程序?qū)?EC-CUI 轉(zhuǎn)移到外國實體。

企業(yè)軟件是安全性的基礎(chǔ)

處理具有廣泛業(yè)務(wù)影響的復(fù)雜數(shù)據(jù)安全問題最好使用集中式方法進(jìn)行處理。軍事或國防承包商組織中的企業(yè)軟件記錄系統(tǒng)可能是理想的工具，因為它可用于專門處理流經(jīng)組織甚至流向供應(yīng)商和分包商的 CUI。將 CUI 集中在國防工業(yè)中經(jīng)過專門驗證的應(yīng)用中可能是有益的。

可以根據(jù)角色或個人權(quán)限集中管理數(shù)據(jù)的安全性和隱私性。這可以幫助高管確保并向?qū)徲媶T記錄，只有經(jīng)過授權(quán)和培訓(xùn)的 CUI 處理員工才能訪問它。

企業(yè)應(yīng)用程序還可以使組織采用基于標(biāo)準(zhǔn)的合規(guī)性方法。對于國防部門，ISO 27034-1 是全球公認(rèn)的應(yīng)用程序安全管理方法。采用該標(biāo)準(zhǔn)可以向監(jiān)管機(jī)構(gòu)和貿(mào)易伙伴發(fā)出信號，表明組織更有可能對ASC采取合理的方法。企業(yè)軟件中有一些可驗證的技術(shù)元素，因此政府或私人實體可以證明這些措施已得到充分實施。此過程不僅包括以人為本的元素（需要跟蹤認(rèn)證和培訓(xùn)），還包括應(yīng)用程序控制安全數(shù)據(jù)結(jié)構(gòu)，包括 XML 架構(gòu)和應(yīng)用程序生命周期參考模型。

實施合規(guī)實踐

可以將企業(yè)應(yīng)用程序配置為默認(rèn)拒絕網(wǎng)絡(luò)通信流量，以便通過例外允許網(wǎng)絡(luò)通信流量。但是，對軟件配置、功能或數(shù)據(jù)模型的內(nèi)部更改應(yīng)根據(jù)ITIL ［信息技術(shù)基礎(chǔ)設(shè)施庫］流程進(jìn)行處理。這些 ITIL 過程將影響對軟件實例的所有更改，但是在確保遵循應(yīng)用程序安全策略并且隨著軟件實例的發(fā)展而保持保護(hù)不變時，更改管理的好處將特別可取。

受這些法規(guī)約束的組織希望仔細(xì)審核其當(dāng)前的企業(yè)技術(shù)和流程，并在新技術(shù)獲取過程中將 CUI 安全性放在首位。確保其產(chǎn)品處理 CUI 的企業(yè)軟件供應(yīng)商使用行業(yè)標(biāo)準(zhǔn)框架（尤其是通用漏洞評分系統(tǒng) （CVSS））處理安全問題也可能是有意義的。CVSS 顯然通過根據(jù)通用標(biāo)準(zhǔn)為每個威脅分配一個數(shù)字分?jǐn)?shù)來幫助組織衡量給定威脅的嚴(yán)重性。它還根據(jù)問題的輕松緩解程度以及它在組織中的普遍程度來分配分?jǐn)?shù)。

國防承包商面臨的機(jī)遇

國防承包商不應(yīng)將新的安全要求視為一個困難的障礙，而應(yīng)將其視為一個機(jī)會?，F(xiàn)在，關(guān)于如何處理 CUI 數(shù)據(jù)，無論是在本地還是在云中，都有非常明確的指導(dǎo)，但這需要勤奮、努力工作和正確的企業(yè)軟件的支持。有了這三個因素，承包商可以滿足軍事生態(tài)系統(tǒng)中涉及的不同機(jī)構(gòu)的監(jiān)管要求。正是這種增強(qiáng)的信息安全性將有助于他們在競爭中脫穎而出，并在日益具有網(wǎng)絡(luò)意識的市場領(lǐng)域確保持續(xù)的業(yè)務(wù)。

審核編輯：郭婷