美國(guó)國(guó)防部(DOD)目前需要從各類商業(yè)組織處采購(gòu)價(jià)值超過2700億美元(約合人民幣17857.26億元)的產(chǎn)品及服務(wù)。數(shù)以千計(jì)的大、中、小企業(yè)為美國(guó)國(guó)防部提供著各類產(chǎn)品及服務(wù),包括訂書釘供應(yīng)、打印機(jī)服務(wù)、草坪修剪乃至復(fù)雜的航空電子工程方案等等。這些企業(yè)必須在2017年12月31日前證明其能夠?yàn)槠髽I(yè)網(wǎng)絡(luò)及系統(tǒng)提供更高級(jí)別的IT安全保障,才能夠繼續(xù)待在這支承包商隊(duì)伍中,否則將面臨失去業(yè)務(wù)的風(fēng)險(xiǎn)。
NIST特刊800-171合規(guī)要求
多年以來,美國(guó)國(guó)防部曾先后經(jīng)歷過多次涉及承包商與第三方服務(wù)供應(yīng)商的網(wǎng)絡(luò)安全事件及數(shù)據(jù)泄露問題。正因?yàn)槿绱耍绹?guó)國(guó)防部方面此次下定決心要求與其開展業(yè)務(wù)的各類組織必須為自家企業(yè)系統(tǒng)實(shí)施IT安全最佳實(shí)踐。
這項(xiàng)初始公告最早制定于2015年,要求各合作方在2017年12月31日之前全面實(shí)現(xiàn)NIST特刊(簡(jiǎn)稱SP)800-171當(dāng)中規(guī)定的IT安全最佳實(shí)踐。NIST特刊800-171中提出的具體規(guī)定與監(jiān)管要求被稱為《國(guó)防聯(lián)邦采購(gòu)條例補(bǔ)充》(簡(jiǎn)稱DFARS)。這些面向美國(guó)國(guó)防部各供應(yīng)商群體的網(wǎng)絡(luò)安全控制強(qiáng)化要求主要集中在DFARS條款252.204-7012當(dāng)中,即保護(hù)涉及國(guó)防信息與網(wǎng)絡(luò)事件的報(bào)告。這項(xiàng)DFARS條款要求與國(guó)防部有業(yè)務(wù)往來的組織機(jī)構(gòu)為其在內(nèi)部信息系統(tǒng)或網(wǎng)絡(luò)中處理、存儲(chǔ)或傳輸?shù)膰?guó)防信息提供“充分的安全保障”。
美國(guó)國(guó)防部各承包商必須在今年12月31日內(nèi)實(shí)現(xiàn)IT安全控制能力-E安全
主要合規(guī)要求
NIST特刊800-171中提出的大部分要求主要面向IT體系的策略、流程與安全配置。這些要求提出應(yīng)確定企業(yè)網(wǎng)絡(luò)安全策略,例如指定密碼內(nèi)容的修改時(shí)間周期,而后配置IT系統(tǒng)以實(shí)現(xiàn)相關(guān)策略。亦有部分要求涉及與安全相關(guān)的軟件(如反病毒軟件)或其它硬件(例如防火墻)。
NIST特刊800-171本身并不提供與滿足上述要求相關(guān)的說明性信息,但參閱者可以查看NIST特刊800-53“美國(guó)聯(lián)邦信息系統(tǒng)與組織的安全性與隱私性控制”部分以獲取其它指導(dǎo)性意見。該安全要求被分為14組或控制門類,總計(jì)涉及109項(xiàng)特定安全要求,具體如下表所示:
美國(guó)國(guó)防部各承包商必須在今年12月31日內(nèi)實(shí)現(xiàn)IT安全控制能力-E安全
大多數(shù)IT與網(wǎng)絡(luò)安全專家認(rèn)定這些只是安全防護(hù)領(lǐng)域的最低要求,且對(duì)于保障系統(tǒng)中信息的機(jī)密性、完整性與可用性至關(guān)重要。
嚴(yán)格遵守NIST特刊800-171要求是各類組織機(jī)構(gòu)進(jìn)行自我認(rèn)證的責(zé)任所在,且其中要求利用“系統(tǒng)安全規(guī)劃”與相關(guān)“行動(dòng)計(jì)劃”來證明安全要求已經(jīng)得到實(shí)施或計(jì)劃進(jìn)行實(shí)施。系統(tǒng)安全規(guī)劃(簡(jiǎn)稱SSP)要求各承包機(jī)構(gòu)構(gòu)建并記錄系統(tǒng)邊界、操作系統(tǒng)環(huán)境、安全要求的實(shí)現(xiàn)方法以及與其它系統(tǒng)間的關(guān)系或連接。行動(dòng)計(jì)劃亦被稱為“行動(dòng)計(jì)劃與里程碑(簡(jiǎn)稱POAM)”,用于記錄缺陷糾正以及系統(tǒng)漏洞減少或消除工作的具體時(shí)間表。在2017年12月31日之后,NIST特刊800-171提出的合規(guī)性條款將要求各承包機(jī)構(gòu)確認(rèn)其系統(tǒng)安全規(guī)劃已經(jīng)滿足相關(guān)要求。其后續(xù)技術(shù)提案中可能需要引用系統(tǒng)安全規(guī)劃中的內(nèi)容。
希望滿足DFARS與NIST特刊800-171要求的承包機(jī)構(gòu)必須認(rèn)真考慮如何遵循時(shí)間安排、財(cái)務(wù)投資以及所涉及的系統(tǒng)復(fù)雜性問題。鑒于截止日期設(shè)定為今年年末,因此滿足合規(guī)要求的時(shí)間變得至關(guān)重要。
借助云服務(wù)以滿足合規(guī)要求
幸運(yùn)的是,過去幾年以來,美國(guó)聯(lián)邦政府已經(jīng)開始實(shí)施聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃(簡(jiǎn)稱FedRAMP)。FedRAMP計(jì)劃所認(rèn)證的各云服務(wù)供應(yīng)商具備符合NIST規(guī)范的強(qiáng)大安全性與合規(guī)性實(shí)踐能力。鑒于這些云服務(wù)選項(xiàng)已經(jīng)通過認(rèn)證,因此各承包商與分包商可尋求合適且具備成本競(jìng)爭(zhēng)力的云服務(wù)解決方案,從而滿足DFARS與NIST特刊800-171提出的合規(guī)要求。
中級(jí)云服務(wù)可用
FedRAMP所認(rèn)證的中級(jí)(相當(dāng)于美國(guó)國(guó)防部認(rèn)證的Impact Level-4)云服務(wù)可供各承包商使用,且允許各承包商選擇繼續(xù)沿用現(xiàn)有控制機(jī)制。
美國(guó)國(guó)防部各承包商必須在今年12月31日內(nèi)實(shí)現(xiàn)IT安全控制能力-E安全
Amazon Web Services(AWS)與微軟Azure擁有最為廣泛的認(rèn)證云托管解決方案。AWS的東部/西部與GovCloud服務(wù)區(qū)能夠提供廣受政府組織與承包商認(rèn)可的IaaS與PaaS服務(wù)。FedRAMP計(jì)劃辦公室與國(guó)防部也已經(jīng)立足FedRAMP中級(jí)標(biāo)準(zhǔn)為AWS東部/西部與AWS GovCloud服務(wù)區(qū)提供運(yùn)作權(quán)(簡(jiǎn)稱ATO)。這意味著各承包機(jī)構(gòu)能夠利用AWS提供的現(xiàn)有認(rèn)證基礎(chǔ)設(shè)施即服務(wù)(簡(jiǎn)稱IaaS)環(huán)境。各承包機(jī)構(gòu)可以考慮選擇AWS東部/西部或AWS GovCloud——若需承擔(dān)ITAR(即國(guó)際武器貿(mào)易條例)責(zé)任,則僅可考慮選擇AWS GovCloud。這將有助于降低合規(guī)性成本,并加速其滿足DFARS要求的速度。
云架構(gòu)與實(shí)現(xiàn)策略
美國(guó)國(guó)防部承包商與分包商必須考慮各類實(shí)現(xiàn)方案與備選方案。舉例來說,多數(shù)承包機(jī)構(gòu)正在考慮為政府及國(guó)防相關(guān)工作創(chuàng)建隔離化專用環(huán)境。這種方法有助于降低成本與技術(shù)采用影響,特別是在美國(guó)國(guó)防部或政府工作僅占其整體業(yè)務(wù)中一小部分份額的情況下。
目前包括存儲(chǔ)、文件共享、虛擬桌面以及可用于交換信息的電子郵件或門戶服務(wù)等在內(nèi)的眾多常見解決方案皆可提供按需服務(wù)形式。另一方面,創(chuàng)建一套具備廣泛兼容能力的解決方案則需要先進(jìn)的信息工程技術(shù)技能作為基礎(chǔ),涵蓋多個(gè)學(xué)科——包括基礎(chǔ)設(shè)施工程、網(wǎng)絡(luò)、安全與合規(guī)架構(gòu)等等。利用現(xiàn)有能力并配合用于彌合差距的外包資源,已經(jīng)成為加速合規(guī)保障流程的一種常見解決方法。
京公網(wǎng)安備 11010502049343號(hào)