新闻快讯
< >

美国国防部各承包商必须在今年12月31日内实现IT安全控制能力

E安全12月8日讯 美国国防部(DOD)目前需要从各类商业组织处采购价值超过2700亿美元(约合人民币17857.26亿元)的产品及服务。数以千计的大、中、小企业为美国国防部提供着各类产品及服务,包括订书钉供应、打印机服务、草坪修剪乃至复杂的航空电子工程方案等等。这些企业必须在2017年12月31日前证明其能够为企业网络及系统提供更高级别的IT安全保障,才能够继续待在这支承包商队伍中,否则将面临失去业务的风险。

NIST特刊800-171合规要求

多年以来,美国国防部曾先后经历过多次涉及承包商与第三方服务供应商的网络安全事件及数据泄露问题。正因为如此,美国国防部方面此次下定决心要求与其开展业务的各类组织必须为自家企业系统实施IT安全最佳实践。

这项初始公告最早制定于2015年,要求各合作方在2017年12月31日之前全面实现NIST特刊(简称SP)800-171当中规定的IT安全最佳实践。NIST特刊800-171中提出的具体规定与监管要求被称为《国防联邦采购条例补充》(简称DFARS)。这些面向美国国防部各供应商群体的网络安全控制强化要求主要集中在DFARS条款252.204-7012当中,即保护涉及国防信息与网络事件的报告。这项DFARS条款要求与国防部有业务往来的组织机构为其在内部信息系统或网络中处理、存储或传输的国防信息提供“充分的安全保障”。

美国国防部各承包商必须在今年12月31日内实现IT安全控制能力-E安全

主要合规要求

NIST特刊800-171中提出的大部分要求主要面向IT体系的策略、流程与安全配置。这些要求提出应确定企业网络安全策略,例如指定密码内容的修改时间周期,而后配置IT系统以实现相关策略。亦有部分要求涉及与安全相关的软件(如反病毒软件)或其它硬件(例如防火墙)。

NIST特刊800-171本身并不提供与满足上述要求相关的说明性信息,但参阅者可以查看NIST特刊800-53“美国联邦信息系统与组织的安全性与隐私性控制”部分以获取其它指导性意见。该安全要求被分为14组或控制门类,总计涉及109项特定安全要求,具体如下表所示:

美国国防部各承包商必须在今年12月31日内实现IT安全控制能力-E安全

大多数IT与网络安全专家认定这些只是安全防护领域的最低要求,且对于保障系统中信息的机密性、完整性与可用性至关重要。

严格遵守NIST特刊800-171要求是各类组织机构进行自我认证的责任所在,且其中要求利用“系统安全规划”与相关“行动计划”来证明安全要求已经得到实施或计划进行实施。系统安全规划(简称SSP)要求各承包机构构建并记录系统边界、操作系统环境、安全要求的实现方法以及与其它系统间的关系或连接。行动计划亦被称为“行动计划与里程碑(简称POAM)”,用于记录缺陷纠正以及系统漏洞减少或消除工作的具体时间表。在2017年12月31日之后,NIST特刊800-171提出的合规性条款将要求各承包机构确认其系统安全规划已经满足相关要求。其后续技术提案中可能需要引用系统安全规划中的内容。

希望满足DFARS与NIST特刊800-171要求的承包机构必须认真考虑如何遵循时间安排、财务投资以及所涉及的系统复杂性问题。鉴于截止日期设定为今年年末,因此满足合规要求的时间变得至关重要。

借助云服务以满足合规要求

幸运的是,过去几年以来,美国联邦政府已经开始实施联邦风险与授权管理计划(简称FedRAMP)。FedRAMP计划所认证的各云服务供应商具备符合NIST规范的强大安全性与合规性实践能力。鉴于这些云服务选项已经通过认证,因此各承包商与分包商可寻求合适且具备成本竞争力的云服务解决方案,从而满足DFARS与NIST特刊800-171提出的合规要求。

中级云服务可用

FedRAMP所认证的中级(相当于美国国防部认证的Impact Level-4)云服务可供各承包商使用,且允许各承包商选择继续沿用现有控制机制。

美国国防部各承包商必须在今年12月31日内实现IT安全控制能力-E安全

Amazon Web Services(AWS)与微软Azure拥有最为广泛的认证云托管解决方案。AWS的东部/西部与GovCloud服务区能够提供广受政府组织与承包商认可的IaaS与PaaS服务。FedRAMP计划办公室与国防部也已经立足FedRAMP中级标准为AWS东部/西部与AWS GovCloud服务区提供运作权(简称ATO)。这意味着各承包机构能够利用AWS提供的现有认证基础设施即服务(简称IaaS)环境。各承包机构可以考虑选择AWS东部/西部或AWS GovCloud——若需承担ITAR(即国际武器贸易条例)责任,则仅可考虑选择AWS GovCloud。这将有助于降低合规性成本,并加速其满足DFARS要求的速度。

云架构与实现策略

美国国防部承包商与分包商必须考虑各类实现方案与备选方案。举例来说,多数承包机构正在考虑为政府及国防相关工作创建隔离化专用环境。这种方法有助于降低成本与技术采用影响,特别是在美国国防部或政府工作仅占其整体业务中一小部分份额的情况下。

目前包括存储、文件共享、虚拟桌面以及可用于交换信息的电子邮件或门户服务等在内的众多常见解决方案皆可提供按需服务形式。另一方面,创建一套具备广泛兼容能力的解决方案则需要先进的信息工程技术技能作为基础,涵盖多个学科——包括基础设施工程、网络、安全与合规架构等等。利用现有能力并配合用于弥合差距的外包资源,已经成为加速合规保障流程的一种常见解决方法。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。