权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2019年征订开始  
美国国防供应链中的薄弱环节
2019-04-04


[据联邦计算机周刊网站2019331日报道]  美国行业专家上周对国会表示,对联邦网络安全承包标准的认识不足,以及承包商对其供应链缺乏了解,是导致黑客瞄准并窃取美国经济和国家安全机-密的核心问题。



根据美国国防工业协会(NDIA)对中小型国防承包商进行的一项调查,只有不到60%的受访者表示阅读过《国防联邦采购规则附录》(Defense Federal Acquisition Regulation
Supplement, DFARS)
,其中规定了承包商信息系统的最低安全标准;而近一半的受访者表示,DFARS的内容难以理解。约45%的受访者没有阅读过国家标准与技术研究院有关保护受控非机-密信息的指南。



研究发现,许多中小型承包商往往“对网络安全风险和防范意识参差不齐”,更有可能将这些要求视为又一个为赢得政府业务而需跨越的监管障碍。还有一种观点认为DFARS法规的执行情况参差不齐,人们抱怨说衡量合规性的指标不够好,不足以奖励那些贯彻DFARS条规的公司。



2019326日,Lucrum集团首席执行官兼NDIA报告的合著者Christopher Peters在参议院军事委员会(Senate Army Services
Committee)
上对议员们表示,尽管大型国防承包商通常都有“强有力的”安全措施,但其分包的中小型公司却没有,这使它们成为“首要目标”。当涉及到在工厂或车间运行机械的工业控制系统和软件时,尤其如此。



Peters告诉委员会:“制造商必须相信他们在网络安全的投资能达到国防部的要求,大型制造商还需要一种方法来快速、经济有效地评估供应链中每个制造商的网络安全就绪情况。这就需要建立有意义的衡量标准,无论是客户、政府还是独立的第三方都可以随时进行认证。”



五大国防承包商——波音(Boeing)、通用动力(General Dynamics)、洛克希德·马丁(Lockheed Martin)、诺斯罗普·格鲁曼(Northrop Grumman)和雷声(Raytheon)公司经常将其部分工作分包给较小的公司,而小公司又进一步与其他实体分包。这一承包链条存在一些薄弱环节。在某种程度上,主承包商并不知道其第三、第四或第五级分包商是谁,这是国家情报总监办公室在审查供应链安全威胁时遇到的一个挑战。



国防承包商Progeny Systems首席技术官Michael MacKay告诉委员会,缺乏分包商可见性的原因有很多,包括主承包商不愿对外公布其供应链业务战略细节,以及承包领域往往是流动和不透明的。



MacKay说:“如果我把一份文件交给某人来实施,那就必须问他们将如何管理这份文件,以及他们将把它交给谁。”“他们可以骗我,……,可以答应下来,但随后就把文件交给一个出价较低的人,而不告诉我。”



长期以来,政策制定者一直担心敌对国家可能以承包商为目标,窃取美国的机-密。西弗吉尼亚州民主党参议员Joe Manchin称,供应链缺乏能见度“令人难以置信”,并表示,国会需要重新制定合同标准,以确保分包商严格遵守安全要求。



Manchin说:“必须有人承担责任。我们想知道为什么被侵入了这么多次,为什么别人窃取了这么多东西。都是因为,没有制衡机制。在我看来,我们更多的是在保护一种商业模式,而不是国家安全。”(工业和信息化部电子第一研究所 宋文文)



相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
DSTI简介 | 大事记 | 网站动态 | 产品介绍 | 广告服务 | 客户服务 | 联系方式 | 共建单位 | 合作媒体  
国防科技信息网 dsti.net © 2006 - 2019 版权所有 京ICP备10013389号