隨著新一代網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC）授權(quán)的15份合同的截止日期臨近，美國五角大樓方面明確表示，這僅是個(gè)開始，未來他們計(jì)劃對至少1500家承包商及分包商進(jìn)行網(wǎng)絡(luò)安全成熟度認(rèn)證。

　　美國防部負(fù)責(zé)采購與維護(hù)的副部長辦公室CISO Katie Arrington談即將實(shí)施的網(wǎng)絡(luò)安全成熟度模型認(rèn)證。

　　美國防部負(fù)責(zé)采購與維護(hù)的副部長辦公室CISO Katie Arrington表示，“我們充分信任（承包商），同時(shí)也需要認(rèn)證。這是國防部一個(gè)全新的開始。正如我們多年來一直所強(qiáng)調(diào)的那樣，網(wǎng)絡(luò)安全是一切采購決策的基礎(chǔ)。我們將說到做到?！毕嚓P(guān)規(guī)則將于今年12月1日起對新的合同正式生效。考慮到美國商業(yè)及軍事網(wǎng)絡(luò)遭到敵對方攻擊、秘密被其竊取等嚴(yán)重后果，她強(qiáng)調(diào)“我們之所以這樣做，是因?yàn)檫@對我們的商業(yè)乃至國家安全至關(guān)重要?！?/p>

　　Arrington還提到，她和她的團(tuán)隊(duì)將繼續(xù)推進(jìn)，“CMMC將持續(xù)發(fā)展，我們絕不會止步。我們將在數(shù)天之內(nèi)完成過渡，直到臨時(shí)規(guī)則發(fā)揮效力?！?/p>

　　在此次INSA會議發(fā)言當(dāng)中，她還提到接下來國防部將強(qiáng)制推行新的網(wǎng)絡(luò)安全合同規(guī)則，以確保整個(gè)員工隊(duì)伍建立能力基準(zhǔn)，同時(shí)嚴(yán)格遵守美國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）與國防部相關(guān)標(biāo)準(zhǔn)。

　　Arrington強(qiáng)調(diào)，“臨時(shí)規(guī)則一經(jīng)制定，我們就在密切籌備作為首批試點(diǎn)項(xiàng)目的15份合同?！边@15份合同將通過網(wǎng)絡(luò)安全過渡對承包商提供的方案進(jìn)行驗(yàn)證。預(yù)計(jì)未來至少將有1500家承包商及分包商參與首批項(xiàng)目，而且將全部接受相應(yīng)的網(wǎng)絡(luò)安全認(rèn)證。

　　首批15份合同涵蓋國防部下轄多個(gè)機(jī)構(gòu)，包括美國運(yùn)輸司令部以及網(wǎng)絡(luò)司令部等，同時(shí)涉及導(dǎo)彈防御局等所謂“第四等級”機(jī)構(gòu)。各份合同的數(shù)額與復(fù)雜程度有所不同，認(rèn)證工作計(jì)劃在2021財(cái)年內(nèi)實(shí)行 。

　　根據(jù)先前的建議，只要一家企業(yè)能夠符合部分110 NIST標(biāo)準(zhǔn)條款，并宣稱將致力于遵守其余條款，即可參與競標(biāo)。換言之，企業(yè)在競爭國防部合同時(shí)，并不必充分證明自身的合規(guī)性。

　　Arrinton指出，“CMMC則設(shè)定了明確的通過/未通過標(biāo)準(zhǔn)。經(jīng)過審計(jì)之后，相關(guān)企業(yè)要么為L1級，要么不符合要求。”其目標(biāo)是為所有能夠在客觀上滿足安全能力要求的企業(yè)擁有公平的競爭起點(diǎn)。這樣，五角大樓也可以自動將安全成本納入合同，不必?fù)?dān)心可能在選擇當(dāng)中引入與合規(guī)性要求相沖突的供應(yīng)商。

　　對于合規(guī)性標(biāo)準(zhǔn)較高的重大合同，CMMC規(guī)則還要求合同內(nèi)容明確指定各分包商是否需要達(dá)到相同的合規(guī)性水平，或者會根據(jù)不同分包商所觸及信息的實(shí)際敏感度為其指定更確切的具體合規(guī)性要求。

　　這套建立在認(rèn)證基礎(chǔ)之上的全新網(wǎng)絡(luò)安全機(jī)制，意味著五角大樓終于可以擺脫種種多年以來難以解決的漏洞修復(fù)難題，甚至徹底消除此類威脅到整個(gè)供應(yīng)鏈的簡單錯誤與安全缺陷。

　　Arrington提到，“很多人沒有變更默認(rèn)密碼、沒有采用雙因素驗(yàn)證、沒有適當(dāng)做出文檔標(biāo)記。這一切都會給我們的供應(yīng)鏈造成危害。”而任何仍存在這些問題的供應(yīng)商，未來都很難再從五角大樓這邊拿到項(xiàng)目。