軍事供應鏈繼續(xù)擴大，結(jié)果是更多的機密非機密信息 （CUI） 傳播得比軍事服務器更遠。由于業(yè)務信息現(xiàn)在通常也存儲在云中，因此快速確保這些數(shù)據(jù)的安全成為一項復雜的任務。信息保障必然在這個生態(tài)系統(tǒng)中向下游流動，結(jié)果是它現(xiàn)在觸及所有國防承包商。那些能夠展示安全和合規(guī)的數(shù)據(jù)流程的人將在這個日益具有網(wǎng)絡意識的生態(tài)系統(tǒng)中獲得真正的業(yè)務優(yōu)勢。

在不斷變化且更復雜的供應商生態(tài)系統(tǒng)中，任何參與美國軍事供應鏈的組織都必須制定戰(zhàn)略，以滿足美國國防部 （DoD）、特定軍事部門甚至美國國務院的多重要求。

特別是，國防承包商應該關注三個關鍵領域。那些調(diào)整流程以應對這三個領域的公司可以獲得巨大的機會。

安全性和合規(guī)性復雜性

這些不同的法規(guī)和管理規(guī)則旨在實現(xiàn)一個目標：聯(lián)邦信息安全管理法案 （FISMA） 的合規(guī)性協(xié)議。作為 2002 年電子政府法案的一個組成部分，F(xiàn)ISMA 旨在保護政府信息免受惡意或意外泄露或自然災害等威脅。

美國國家標準與技術研究院 （NIST） 提供 NIST 風險管理框架作為供應商合規(guī)性的指南。該自愿框架包括管理網(wǎng)絡安全相關風險的標準、指南和最佳實踐。每個聯(lián)邦機構必須對處理機密非機密信息的系統(tǒng)進行年度審查。美國國防部要求供應商遵守國防聯(lián)邦采購條例補充 （DFARS） 最低安全標準。NIST定期發(fā)布合規(guī)性指南，并通過將承包商組織成14個系列來幫助承包商理解要求，從訪問控制到維護，介質(zhì)保護以及系統(tǒng)和信息完整性。

NIST還概述了公司應采取的幾個自我評估步驟，以準備14個系列中每個系列的合規(guī)性。雖然NIST假設國防承包商擁有不一定需要更換的現(xiàn)有IT基礎設施，但可以使用各種策略來實現(xiàn)合規(guī)性。在非聯(lián)邦系統(tǒng)中，處理CUI的授權并不缺乏，國防承包商在如何遵守方面擁有一定程度的自由裁量權這一事實可能比解放更令人困惑。

云混淆

應用程序安全控制 （ASC） 是一項重大挑戰(zhàn)，即使企業(yè)應用程序和基礎數(shù)據(jù)存儲在組織自己內(nèi)部的服務器上也是如此。這些服務器機房必須受到物理保護，防止入侵，并且必須對數(shù)據(jù)進行加密。應用程序還需要包括預防和檢測控制，以確保數(shù)據(jù)不會被不當訪問或修改，并且任何安全漏洞都會被記錄下來并顯示在審計跟蹤中。

商用基于云的軟件的趨勢給保護 CUI 和其他敏感數(shù)據(jù)的組織帶來了新的負擔。短短幾年前，基于云的軟件在國防部門持懷疑態(tài)度。這不僅是由于總體安全問題，而且特別是由于國際武器貿(mào)易條例（ITAR）的要求，即數(shù)據(jù)只能提供給美國人?，F(xiàn)在，云基礎設施已經(jīng)為這一挑戰(zhàn)提供了變通辦法，最引人注目的是微軟，微軟已經(jīng)使其Azure云平臺符合ISO標準。

工業(yè)與安全局還發(fā)布了一項規(guī)則，如果云平臺提供數(shù)據(jù)的“端到端”加密，則免除云數(shù)據(jù)對ITAR規(guī)定的某些要求。簡而言之，它要求數(shù)據(jù)在跨越任何外國邊界之前進行加密并保持加密，除非被授權的美國人訪問。

出口管制注意事項

ITAR對術語“出口”進行了廣義解釋，包括在美國境外服務器上發(fā)布或存儲或發(fā)布到非美國的數(shù)據(jù)。人。國防采辦大學（DAU）建議，軍事組織不僅必須保護美國國防部CUI和受國務院出口管制的信息，還必須根據(jù)每個國家的法律保護來自其他國家的CUI。在美國軍事組織在全球范圍內(nèi)合作開展聯(lián)合攻擊戰(zhàn)斗機等重大項目以及美國制造商和國防承包商可能向世界各地的軍隊供應的環(huán)境中，這種情況增加了數(shù)據(jù)安全挑戰(zhàn)的復雜性。

這使CUI保護引起了國務院和國防部的注意。DAU 建議，在出于出口管制目的保護 CUI 時，僅遵守 ITAR 可能是不夠的，即使對于軍事組織也是如此。根據(jù)DAU的說法，這些實體必須在兩個監(jiān)管機構之間走鋼絲。它指出，“有幾項國防部政策管理國防部人員向外國實體的整體 EC-CUI 轉(zhuǎn)移，它們是重疊的，并且在某些領域不清楚國防部人員在國防部合同流程的合同前授予階段應采用的程序?qū)?EC-CUI 轉(zhuǎn)移到外國實體。

企業(yè)軟件是安全性的基礎

處理具有廣泛業(yè)務影響的復雜數(shù)據(jù)安全問題最好使用集中式方法進行處理。軍事或國防承包商組織中的企業(yè)軟件記錄系統(tǒng)可能是理想的工具，因為它可用于專門處理流經(jīng)組織甚至流向供應商和分包商的 CUI。將 CUI 集中在國防工業(yè)中經(jīng)過專門驗證的應用中可能是有益的。

可以根據(jù)角色或個人權限集中管理數(shù)據(jù)的安全性和隱私性。這可以幫助高管確保并向?qū)徲媶T記錄，只有經(jīng)過授權和培訓的 CUI 處理員工才能訪問它。

企業(yè)應用程序還可以使組織采用基于標準的合規(guī)性方法。對于國防部門，ISO 27034-1 是全球公認的應用程序安全管理方法。采用該標準可以向監(jiān)管機構和貿(mào)易伙伴發(fā)出信號，表明組織更有可能對ASC采取合理的方法。企業(yè)軟件中有一些可驗證的技術元素，因此政府或私人實體可以證明這些措施已得到充分實施。此過程不僅包括以人為本的元素（需要跟蹤認證和培訓），還包括應用程序控制安全數(shù)據(jù)結(jié)構，包括 XML 架構和應用程序生命周期參考模型。

實施合規(guī)實踐

可以將企業(yè)應用程序配置為默認拒絕網(wǎng)絡通信流量，以便通過例外允許網(wǎng)絡通信流量。但是，對軟件配置、功能或數(shù)據(jù)模型的內(nèi)部更改應根據(jù)ITIL ［信息技術基礎設施庫］流程進行處理。這些 ITIL 過程將影響對軟件實例的所有更改，但是在確保遵循應用程序安全策略并且隨著軟件實例的發(fā)展而保持保護不變時，更改管理的好處將特別可取。

受這些法規(guī)約束的組織希望仔細審核其當前的企業(yè)技術和流程，并在新技術獲取過程中將 CUI 安全性放在首位。確保其產(chǎn)品處理 CUI 的企業(yè)軟件供應商使用行業(yè)標準框架（尤其是通用漏洞評分系統(tǒng) （CVSS））處理安全問題也可能是有意義的。CVSS 顯然通過根據(jù)通用標準為每個威脅分配一個數(shù)字分數(shù)來幫助組織衡量給定威脅的嚴重性。它還根據(jù)問題的輕松緩解程度以及它在組織中的普遍程度來分配分數(shù)。

國防承包商面臨的機遇

國防承包商不應將新的安全要求視為一個困難的障礙，而應將其視為一個機會?，F(xiàn)在，關于如何處理 CUI 數(shù)據(jù)，無論是在本地還是在云中，都有非常明確的指導，但這需要勤奮、努力工作和正確的企業(yè)軟件的支持。有了這三個因素，承包商可以滿足軍事生態(tài)系統(tǒng)中涉及的不同機構的監(jiān)管要求。正是這種增強的信息安全性將有助于他們在競爭中脫穎而出，并在日益具有網(wǎng)絡意識的市場領域確保持續(xù)的業(yè)務。

審核編輯：郭婷