《美研究提升国防工业基础中非密网络的安全性.docx》由会员分享,可在线阅读,更多相关《美研究提升国防工业基础中非密网络的安全性.docx(16页珍藏版)》请在第一文库网上搜索。
1、美喉提升国防工业基础神密解的安全性导语2020年3月,兰德公司发布非密与安全:针对国防工业基础中非密网络的保护计划研究报告,对美国防工业基础中的非密网络安全情况进行了全面评估,指出了存在问题,并提出具体建议。其建议作法值得我参考借鉴。目录导语1目录11 .报告背景22 .报告内容32.1. 存在问题32.1.1. 国防工业基础中的小企业非密网络存在较高风险32.1.2. 中小企业无法负担网络安全成熟度模型(CMMC)认证成本32.1.3. 当前网络威胁共享计划无法覆盖所有国防企业32.2. 先进的网络安全工具效果好但成本高42.3. 改进建议42.3.1. 建立网络安全运营中心集中管理数据42
2、.3.2. 将企业的非密网络转移到“国防工业基础云”上42.3.3. .增加国防工业基础透明度的同时维持供应链的可信度52.3.4. 修订联邦采办条例国防部补充条例关于受控非密信息的相关条款53 .解读美国防部网络安全能力成熟度认证新标准53.1. 2020年美国国防部发布了网络安全成熟度模型认证532CMMC 级别63.3. CMMC域和能力83.4. CMMC流程成熟度103.5. 网御星云安全咨询能力104 .美军推行CMMC计划的背景及进程114.1. 出台背景114.2. 推进过程115 .美军CMMC标准的主要内容125.1. 1.0版模型概述125.2. 1.0版的新功能136
3、.美军CMMC标准的特点146.1. 覆盖范围广146.2. 标准统一146.3. 强制执行146.4. 第三方认证157 .几点认识158 .结语161 .报告背景早在本世纪初,美军就开始重视国防工业基础的网络安全问题,2002年美国通过了政府信息安全改革法,同年9月又颁布了确保网络空间安全的国家战略一一网络安全战略。2015年10月国防部发布采办项目网络安全部署指南,将网络安全纳入整个采办流程。随着2018年国家安全战略和国防战略将大国竞争提升为国家战略,美将网络安全提升到前所未有的高度,近两年密集出台各项措施,2018年9月国防部发布国防部网络战略,2019年7月,美国防创新委员会(DI
4、B)发布通往零信任安全之路白皮书,2019年8月,国防部出台5205.13指示国防工业基础的网络安全活动,2020年1月,国防部宣布面向国防承包商实施“网络安全成熟模型认证”(CMMC)1.0版,将承包商的网络安全等级由低至高分为1-5级,认证由第三方商业机构组织,采取三方认证的方式,确保认证的公平性。2020年3月23日,国防部采办与保障副部长和网络安全成熟度模型认证委员会主席共同签署了一份谅解备忘录,明确了相关部门的职责和权限,确保国防工业基础网络安全工作落到实处。但总体来看,国防部认为,美军网络安全管理主要集中于涉密网络,非密网络成为其他国家的攻击“后门”。目前企业非密信息管理主要依据联
5、邦采办条例第252.204-7012条规定和国家标准和技术协会800-171的网络安全控制标准,这是远远不够的,国防部缺乏保护国防工业基础非密网络的全面战略。基于以上认识,兰德公司受国防部委托,对美国防工业基础中的非密网络安全进行了全面评估,并提出了针对性建议。2 .报告内容报告认为目前美国防工业基础中的非密网络存在较高风险,建议国防部实施国防工业基础网络保护计划(DCP2),加强对国防工业基础中非密网络的保护,以抵御网络空间严重的安全威胁。2.1. 存在问题2.1.1. 国防工业基础中的小企业非密网络存在较高风险报告调查发现,受控非密信息(CUI)广泛存在于国防供应链的每一级承包商,而国防部
6、的相关法规只能规范到主包商,作为分包商的众多小企业并没有遵守国防部相关规定。小企业网络安全架构在以下几个关键领域存在缺陷:用户认证、网络防御、漏洞扫描、软件补丁,以及安全信息和事件管理(SIEM)或者是网络攻击响应。报告认为小企业的非密网络在国防工业基础中风险最高。2.1.2. 中小企业无法负担网络安全成熟度模型(CMMC)认证成本国防部计划实施的CMMC认证方案中,需要由五角大楼授权第三方对企业进行评估,成本由企业承担。国防部一开始认为这项成本不过数千美元,而调查发现,实际上需要数十万美元。对于大多数国防中小企业而言,这项成本可能是其无法承担的,特别是如果要保持CMMC最高级别(5级)的情况
7、下。如果不通过成本分担或报销方式来减轻企业负担,高额的成本可能会将相当一部分潜在的中小企业挤兑出国防市场,阻碍国防科技创新发展。2.1.3. 当前网络威胁共享计划无法覆盖所有国防企业美自2014年开始实施“网络威胁信息共享计划”,旨在使美联邦所有承包商能够更有效地共享网络威胁信息。但从实施效果看,并不能覆盖是所有国防工业基础(DIB)中的企业。因为要共享这些信息需要国防部通用访问卡(CAC),而处于供应链下层的很多中小企业由于与政府机构直接联系较少,并不具备这种访问权限,导致他们无法获取重要的网络威胁信息。而且网络威胁信息共享平台本身也存在一些问题,例如信息并不是实时的,而且不包括保密信息等。
8、2.2. 先进的网络安全工具效果好但成本高目前网络安全公司已经开发出了先进的网络安全工具集(CSTs),有助于加强国防工业基础的网络安全,但这些新工具的成本很高。一般来讲,企业的网络安全成本作为其信息技术预算的一部分,调查显示,国防企业的平均信息技术预算只占其年度总收入的4.2%,即便是高技术企业,这个比例平均也仅4.7%,这导致很多中小企业无力购买昂贵的网络安全工具。而且安全分析师和网络安全专家的薪酬也很高,平均年薪达到9.8万和13.1万美元。对于一个大约只有20人或80人的企业而言,分别需要雇佣2名和4名网络安全方面的专家才能满足需求,而很多企业成本有限,只雇佣一名网络安全专家。2.3.
9、 改进建议报告建议国防部实施国防工业基础网络保护计划(DCP2),以使国防工业基础中企业的非密网络免受外国攻击,企业自愿参与,但必须安装国防部免费或补贴提供的网络安全工具集(CSTs)。具体实施建议如下:2.3.1. 建立网络安全运营中心集中管理数据报告建议国防部建立国防工业基础网络安全运行中心(DIB SOC)或国防部授权第三方机构建立商业SOC,以为企业提供动态情报信息、安全预警,以及为遭受攻击的企业提供措施建议。企业需要将经网络安全工具集(CSTs)清理过的数据提交到中心,这些数据包括网络元数据、应用元数据、匿名用户访问数据、安全警报以及匿名系统记录文件数据等,但不包括企业雇员、资产等受
10、控非密信息、。此举面向所有的国防工业基础中的大中小企业,网络安全工具集(CSTs)补贴政策尤其可以大大激励那些处于国防工业供应链下层的但乂拥有敏感信息的小企业加入,有利于国防部全面监控网络安全状况。2.32将企业的非密网络转移到“国防工业基础云”上报告建议国防部建立“国防工业基础云”,将企业的非密网络全部转移到国防工业基础云上。报告建议由云服务提供商为每一个参与国防工业基础网络保护计划(DCP2)的企业提供一块独立安全的“飞地”以存储其受控的非密信息(CUI),一方面可以降低企业维护存储这些数据的成本,另一方面可以为企业提供数据保护,防止敏感企业信息、供应链信息、敏感数据泄露给对手。政府还应为
11、企业提供法律保护,如果国防工业基础(DIB)公司提供给政府的信息被非预期使用,降低他们可能承担的责任。“国防工业基础云”的相关成本可以由参与企业分担。2.3.3.增加国防工业基础透明度的同时维持供应链的可信度国防工业基础网络保护计划(DCP2)面临两个挑战:一是能否确保所有的国防工业基础中的企业参与到计划中。目前很多小企业根本不知道自己属于国防供应链的一部分,这些企业很可能会将重要技术提供给国外的合作伙伴。二是如何维护这些企业的可信度。很多私人企业不愿意将其供应商向其他合作伙伴、竞争对手或者国防部公开,而国防部需要鉴定那些与国防企业合作的其他公司是否可信。因此,国防工业基础网络保护计划(DCP
12、2)需要长期面临的问题是维护国防工业基础透明度的同时维持供应链的可信度。2.34修订联邦采办条例国防部补充条例关于受控非密信息的相关条款为了落实国防工业基础网络保护计划(DCP2)及其相关措施建议,报告建议国防部修订联邦采办条例国防部补充条例关于受控非密信息的相关条款,建议明确企业受控非密信息范围、分类以及主包商所涉及分包商的相关信息,将分包商纳入受控非密信息纳入管理范围。这样,国防部可以从两个渠道获取分包商的信息:一是通过主包商间接提供的,二是分包商直接提供给国防部的。此外,报告强调,国防工业基础网络保护计划(DCP2)并不是要取代网络安全成熟度模型(CMMC)认证,而是作为其有益补充。3
13、.解读美国防部网络安全能力成熟度认证新标准3.1. 2020年美国国防部发布了网络安全成熟度模型认证2020年1月30日,美国国防部发布了网络安全成熟度模型认证(Cybersecurity Maturity Model Certification, CMMC)标准正式版 1.0,该标准适用于美国30多万家国防工业部门,以及国防部的供应链公司,要求其达到相应级别的安全能力并通过第三方认证,以确保国防敏感信息安全。成熟度模型提供了一个表征系统能力和发展的特征、属性、指标集合,同时也是一个基准,组织可以据此评估其流程、实践和方法的当前能力水平,并设定改进的目标和优先级。在网络安全领域,涉及的安全能力
14、成熟度模型较多,除了适用于美国国防工业部门及供应链公司的CMMC模型外,还包括来自英国牛津大学的全球网络空间安全能力中心(GCSCC)创建的能力成熟度模型(GCSCC CMM)、系统安全工程能力成熟度模型(SSE.CMM)、OWASP发布的软件保证成熟度模型(SAMM)、国内标准GB/T 37988-2019数据安全成熟度模型(DSMM)、构建安全成熟度模型(BSIMM)、信息安全管理成熟度模型(ISM3)等,各模型侧重于不同细分领域,对于本领域能力成熟度评价和建设起到重要的指导作用。CMMC模型框架在最高级别的分类是“域”(Domain),每个域细分为一组“能力”(Capabilities)
15、,这些能力确保在每个域内都达到相应的网络安全目标。通过“实践(Practices)和“流程”(Processes)对应的五个成熟度级别,证明其对能力的符合程度。其中,实践是衡量一个组织达到指定能力要求所需的技术活动,而流程是衡量一个组织流程的成熟度。模型框架如下图所示。3.2. CMMC 级别CMMC模型具有五个级别,每个级别都有一组流程和实践。PROCESSESPRACTICESleve 5 -OptimizingAdvanced / Progressiveteve 4.I. ReviewedProactiveLevel 3ManagedGood Cyber Hygienem 2 DocumentedIntermediate Cyber Hygiene2e 1PerformedBasic Cyber Hygiene(一)级别1流程,可执行的(Performed):以临
免费区 
