权威国防科技信息门户
国防科技大数据智能情报平台
DSTIS征订中
DPS国防术语智能定位系统
国外国防科技文献资料快报
公告:
DSTIS国防军工信息资源内网服务系统2019年征订开始  
联邦风险和授权管理计划或可满足美国国防部承包商在安全上的部分要求
2019-11-19


[GCN网站20191118日报道]  美国防部采办助理国防部长的网络工作特别助理凯蒂·阿灵顿表示,随着美国国防部在为承包商制定统一网络安全标准的道路上不断前进,为了顺利渡过这个进程,其正考虑在联邦风险和授权管理计划上至少能够给予部分的互惠互助。



1114日,FCW举行了CDM峰会,凯蒂•阿灵顿在会上表示,美国国防部将考虑让网络安全成熟度模型认证计划与联邦风险和授权管理计划进行互助互惠。她指出:“由于这项投资你已经达成了,我就觉得这两者之间可以进行诸多的互惠互助。”



凯蒂•阿灵顿表示,认证就是一件“要么有,要么就没有”的事情。如果一家企业本应该遵循美国国家标准与技术研究院制定的171项要求,但却只达到了其80%的要求,那么这家公司就无法通过网络安全成熟度模型认证。不过,联邦风险和授权管理计划具备互惠性,如果这有可能的话,承包商们也就不会在之前的投资上输得一塌糊涂。这种新的方式能让承包商们给自身更为安全的服务开出一个更高的价钱。她认为:“在我将网络安全成熟度模型认证视为一种技术要求的情况下,我就能够理解在实施这个计划时,就会产生一笔假设性开支。”



凯蒂•阿灵顿还表示,只要是想和美国国防部做交易的企业,不论他们目前与前者签订了什么合同、与前者的关系亲密与否,最终都得进行网络安全成熟度模型认证。



美国国防工业基础由30万家公司组成,其中的绝大多数只需进行网络安全成熟度模型认证中的 1级认证。凯蒂•阿灵顿指出:“不管怎样,你都得每天要进行基本的安全控制。”



现存的合同无法轻易就变更。因此,美国国防部打算从2020年的采购中挑选出来一批项目,以此为起点,在实施网络安全成熟度模型认证计划的过程中与有关的投标商进行密切的合作。凯蒂•阿灵顿认为:“所以,要是你在这条供应链中占据一席之地,那么五年内你就得获得认证,这决定了你的合同所要达成的具体时间。”



不过,虽然网络安全成熟度模型认证必然会成为网络安全领域的权威标准,凯蒂•阿灵顿还是坚决认为有关公司不要对外透露自己的认证状态。



凯蒂•阿灵顿表示:“不要在自己公司的网站上发布网络安全成熟度模型认证的级别认证情况。这样的信息不仅是专有知识产权,同样还存在着潜在的安全风险。如果黑客们知道你在这个认证中处于2级水平,那么他们就会知道‘你只做了哪些类型的安全控制’。如此以来,这些黑客就能够相应地调整自己的攻击方式。”



2020年夏季,网络安全成熟度模型认证计划的有关要求将成为美国国防部的多则信息请求的一部分。而在2020年秋季的某一天,这些要求也会纳入征询方案中。(国家工业信息安全发展研究中心 朱航琪)



相关新闻

DSTIS 国防科技工业信息服务系统
中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
DSTI简介 | 大事记 | 网站动态 | 产品介绍 | 广告服务 | 客户服务 | 联系方式 | 共建单位 | 合作媒体  
国防科技信息网 dsti.net © 2006 - 2020 版权所有 京ICP备10013389号