美国防工业网络安全成熟度认证审查工作的调整研究

2021年5月28日，美《国防》杂志刊文《算法战：国防工业界希望调整网络安全成熟度模型认证审查》。文章阐述了美成立新行政部门进行网络安全成熟度模型认证工作，同时，美国防部对网络安全成熟度模型认证审查工作提出了调整建议。

一、美成立新行政部门进行网络安全成熟度模型认证工作

网络安全成熟度模型认证是五角大楼最受瞩目的计划之一，认证要求在美国防工业基地工作的30多万家公司满足一定级别的网络安全需求，以抵御对手威胁，并继续与美国防部合作。

五角大楼最近建立了一个新的行政机构，隶属于负责采办与维持的国防部副部长办公室，对网络安全成熟度模型认证计划进行“内部评估”。2021年4月，负责采办与维持的国防部副部长办公室首席信息安全官凯蒂·阿灵顿指出，该“内部评估”将作为标准采办类别，对主要国防采办项目开展审查工作，审查将跨越各个部门高效准确地执行。

美多部门对网络安全成熟度模型认证进行研究。战略与国际问题研究中心国防工业倡议组主任安德鲁·亨特指出，随着五角大楼建立新的行政机构，现在是五角大楼仔细研究网络安全成熟度模型认证计划的好时机。2021年4月，Apptega公司（专注于网络安全和法规遵从性的软件解决方案）与Secure-Strux公司（为法规遵从性、漏洞管理、网络安全策略、工程解决方案提供服务）合作，发布了《2021年网络安全成熟度模型认证准备研究》报告。报告指出，网络安全成熟度模型认证在保护国防工业基地内敏感信息需求上达成了广泛的共识，81%的国防行业参与者表示网络安全成熟度模型认证是保护敏感信息所需的重要举措，但网络安全成熟度模型认证在要求承包商达到100%的合规性以获得认证方面可能过于严格，近三分之一的人表示，当前的认证需求不切实际，成本高得令人望而却步，尤其是对于规模较小的承包商，许多人担心这会扼杀国防工业基地的创新。

二、美国防部对网络安全成熟度模型认证审查工作提出调整建议

网络安全成熟度模型认证的统包网络安全与隐私解决方案创始人米奇·塔南鲍姆和雷·哈钦思，与网络安全成熟度模型认证机构委员会创始成员克里思·金在最近的《网络安全成熟度模型认证：成功需要的范式转变》白皮书中指出，当前的网络安全成熟度模型认证计划正步入失败轨道，几乎没有证据表明目前的做法将会成功，美国的对手正在挖空美国家安全基础的知识产权。

网络安全成熟度模型认证机构委员会指出，需要在两个方面对“内部评估”工作进行调整：

① 专门的网络安全机构领导。网络安全成熟度模型认证主管部门应该从负责采办与维持的国防部副部长办公室独立出去，成为类似于国家标准与技术研究所或国防信息系统局的网络安全组织。

②资金支持。当前五角大楼没有提供国防工业基地实现网络安全成熟度模型认证所需的资源或资金。网络安全成熟度模型认证工作需要投资，用于购买主持各种报告并开展业务的基础设施。

美国防部完成网络安全成熟度模型认证需要新的负责采办与维持的国防部副部长上任。当前，五角大楼正在分阶段推出网络安全成熟度模型认证，并有望在今年发布15份包含需求的合同，现已经发布了7份合同，美国国防部正在等待新的负责采办与维持的国防部副部长上任，然后发布其余合同。2021年4月，白宫宣布打算提名现任国防创新部主任迈克尔·布朗领导负责采办与维持的国防部副部长办公室，得到美国国防工业协会战略与政策高级副主席韦思·哈尔曼的赞同，哈尔曼表示布朗将为网络安全成熟度模型认证计划带来丰富的知识和经验。

来源 | 美国《国防》杂志

图片 | 互联网

作者 | 谭田天

编辑 | 施法

注：原文来源网络，文中观点不代表本公众号立场，相关建议仅供参考。

声明：本文来自国防科技要闻，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。