随着军事供应链的扩大 信息安全风险也随之增加

军事供应链继续扩大，结果是更多的机密非机密信息 （CUI） 传播得比军事服务器更远。由于业务信息现在通常也存储在云中，因此快速确保这些数据的安全成为一项复杂的任务。信息保障必然在这个生态系统中向下游流动，结果是它现在触及所有国防承包商。那些能够展示安全和合规的数据流程的人将在这个日益具有网络意识的生态系统中获得真正的业务优势。

在不断变化且更复杂的供应商生态系统中，任何参与美国军事供应链的组织都必须制定战略，以满足美国国防部 （DoD）、特定军事部门甚至美国国务院的多重要求。

特别是，国防承包商应该关注三个关键领域。那些调整流程以应对这三个领域的公司可以获得巨大的机会。

安全性和合规性复杂性

这些不同的法规和管理规则旨在实现一个目标：联邦信息安全管理法案 （FISMA） 的合规性协议。作为 2002 年电子政府法案的一个组成部分，FISMA 旨在保护政府信息免受恶意或意外泄露或自然灾害等威胁。

美国国家标准与技术研究院 （NIST） 提供 NIST 风险管理框架作为供应商合规性的指南。该自愿框架包括管理网络安全相关风险的标准、指南和最佳实践。每个联邦机构必须对处理机密非机密信息的系统进行年度审查。美国国防部要求供应商遵守国防联邦采购条例补充 （DFARS） 最低安全标准。NIST定期发布合规性指南，并通过将承包商组织成14个系列来帮助承包商理解要求，从访问控制到维护，介质保护以及系统和信息完整性。

NIST还概述了公司应采取的几个自我评估步骤，以准备14个系列中每个系列的合规性。虽然NIST假设国防承包商拥有不一定需要更换的现有IT基础设施，但可以使用各种策略来实现合规性。在非联邦系统中，处理CUI的授权并不缺乏，国防承包商在如何遵守方面拥有一定程度的自由裁量权这一事实可能比解放更令人困惑。

云混淆

应用程序安全控制 （ASC） 是一项重大挑战，即使企业应用程序和基础数据存储在组织自己内部的服务器上也是如此。这些服务器机房必须受到物理保护，防止入侵，并且必须对数据进行加密。应用程序还需要包括预防和检测控制，以确保数据不会被不当访问或修改，并且任何安全漏洞都会被记录下来并显示在审计跟踪中。

商用基于云的软件的趋势给保护 CUI 和其他敏感数据的组织带来了新的负担。短短几年前，基于云的软件在国防部门持怀疑态度。这不仅是由于总体安全问题，而且特别是由于国际武器贸易条例（ITAR）的要求，即数据只能提供给美国人。现在，云基础设施已经为这一挑战提供了变通办法，最引人注目的是微软，微软已经使其Azure云平台符合ISO标准。

工业与安全局还发布了一项规则，如果云平台提供数据的“端到端”加密，则免除云数据对ITAR规定的某些要求。简而言之，它要求数据在跨越任何外国边界之前进行加密并保持加密，除非被授权的美国人访问。

出口管制注意事项

ITAR对术语“出口”进行了广义解释，包括在美国境外服务器上发布或存储或发布到非美国的数据。人。国防采办大学（DAU）建议，军事组织不仅必须保护美国国防部CUI和受国务院出口管制的信息，还必须根据每个国家的法律保护来自其他国家的CUI。在美国军事组织在全球范围内合作开展联合攻击战斗机等重大项目以及美国制造商和国防承包商可能向世界各地的军队供应的环境中，这种情况增加了数据安全挑战的复杂性。

这使CUI保护引起了国务院和国防部的注意。DAU 建议，在出于出口管制目的保护 CUI 时，仅遵守 ITAR 可能是不够的，即使对于军事组织也是如此。根据DAU的说法，这些实体必须在两个监管机构之间走钢丝。它指出，“有几项国防部政策管理国防部人员向外国实体的整体 EC-CUI 转移，它们是重叠的，并且在某些领域不清楚国防部人员在国防部合同流程的合同前授予阶段应采用的程序将 EC-CUI 转移到外国实体。

企业软件是安全性的基础

处理具有广泛业务影响的复杂数据安全问题最好使用集中式方法进行处理。军事或国防承包商组织中的企业软件记录系统可能是理想的工具，因为它可用于专门处理流经组织甚至流向供应商和分包商的 CUI。将 CUI 集中在国防工业中经过专门验证的应用中可能是有益的。

可以根据角色或个人权限集中管理数据的安全性和隐私性。这可以帮助高管确保并向审计员记录，只有经过授权和培训的 CUI 处理员工才能访问它。

企业应用程序还可以使组织采用基于标准的合规性方法。对于国防部门，ISO 27034-1 是全球公认的应用程序安全管理方法。采用该标准可以向监管机构和贸易伙伴发出信号，表明组织更有可能对ASC采取合理的方法。企业软件中有一些可验证的技术元素，因此政府或私人实体可以证明这些措施已得到充分实施。此过程不仅包括以人为本的元素（需要跟踪认证和培训），还包括应用程序控制安全数据结构，包括 XML 架构和应用程序生命周期参考模型。

实施合规实践

可以将企业应用程序配置为默认拒绝网络通信流量，以便通过例外允许网络通信流量。但是，对软件配置、功能或数据模型的内部更改应根据ITIL ［信息技术基础设施库］流程进行处理。这些 ITIL 过程将影响对软件实例的所有更改，但是在确保遵循应用程序安全策略并且随着软件实例的发展而保持保护不变时，更改管理的好处将特别可取。

受这些法规约束的组织希望仔细审核其当前的企业技术和流程，并在新技术获取过程中将 CUI 安全性放在首位。确保其产品处理 CUI 的企业软件供应商使用行业标准框架（尤其是通用漏洞评分系统 （CVSS））处理安全问题也可能是有意义的。CVSS 显然通过根据通用标准为每个威胁分配一个数字分数来帮助组织衡量给定威胁的严重性。它还根据问题的轻松缓解程度以及它在组织中的普遍程度来分配分数。

国防承包商面临的机遇

国防承包商不应将新的安全要求视为一个困难的障碍，而应将其视为一个机会。现在，关于如何处理 CUI 数据，无论是在本地还是在云中，都有非常明确的指导，但这需要勤奋、努力工作和正确的企业软件的支持。有了这三个因素，承包商可以满足军事生态系统中涉及的不同机构的监管要求。正是这种增强的信息安全性将有助于他们在竞争中脱颖而出，并在日益具有网络意识的市场领域确保持续的业务。

审核编辑：郭婷