【导读】2020年3月，兰德公司发布《非密与安全：针对国防工业基础中非密网络的保护计划》研究报告，对美国防工业基础中的非密网络安全情况进行了全面评估，指出了存在问题，并提出具体建议。其建议作法值得我参考借鉴。

一、 报告背景

早在本世纪初，美军就开始重视国防工业基础的网络安全问题，2002年美国通过了《政府信息安全改革法》，同年9月又颁布了确保网络空间安全的国家战略——《网络安全战略》。2015年10月国防部发布《采办项目网络安全部署指南》，将网络安全纳入整个采办流程。随着2018年《国家安全战略》和《国防战略》将大国竞争提升为国家战略，美将网络安全提升到前所未有的高度，近两年密集出台各项措施，2018年9月国防部发布《国防部网络战略》，2019年7月，美国防创新委员会（DIB）发布《通往零信任安全之路》白皮书，2019年8月，国防部出台5205.13指示《国防工业基础的网络安全活动》，2020年1月，国防部宣布面向国防承包商实施“网络安全成熟模型认证”（CMMC）1.0版，将承包商的网络安全等级由低至高分为1-5级，认证由第三方商业机构组织，采取三方认证的方式，确保认证的公平性。2020年3月23日，国防部采办与保障副部长和网络安全成熟度模型认证委员会主席共同签署了一份谅解备忘录，明确了相关部门的职责和权限，确保国防工业基础网络安全工作落到实处。

但总体来看，国防部认为，美军网络安全管理主要集中于涉密网络，非密网络成为其他国家的攻击“后门”。目前企业非密信息管理主要依据《联邦采办条例》第252.204-7012条规定和国家标准和技术协会800-171的网络安全控制标准，这是远远不够的，国防部缺乏保护国防工业基础非密网络的全面战略。基于以上认识，兰德公司受国防部委托，对美国防工业基础中的非密网络安全进行了全面评估，并提出了针对性建议。

二、 报告内容

报告认为目前美国防工业基础中的非密网络存在较高风险，建议国防部实施国防工业基础网络保护计划（DCP2），加强对国防工业基础中非密网络的保护，以抵御网络空间严重的安全威胁。

（一） 存在问题

1. 国防工业基础中的小企业非密网络存在较高风险

报告调查发现，受控非密信息（CUI）广泛存在于国防供应链的每一级承包商，而国防部的相关法规只能规范到主包商，作为分包商的众多小企业并没有遵守国防部相关规定。小企业网络安全架构在以下几个关键领域存在缺陷：用户认证、网络防御、漏洞扫描、软件补丁，以及安全信息和事件管理（SIEM）或者是网络攻击响应。报告认为小企业的非密网络在国防工业基础中风险最高。

2.中小企业无法负担网络安全成熟度模型（CMMC）认证成本

国防部计划实施的CMMC认证方案中，需要由五角大楼授权第三方对企业进行评估，成本由企业承担。国防部一开始认为这项成本不过数千美元，而调查发现，实际上需要数十万美元。对于大多数国防中小企业而言，这项成本可能是其无法承担的，特别是如果要保持CMMC最高级别（5级）的情况下。如果不通过成本分担或报销方式来减轻企业负担，高额的成本可能会将相当一部分潜在的中小企业挤兑出国防市场，阻碍国防科技创新发展。

3.当前网络威胁共享计划无法覆盖所有国防企业

美自2014年开始实施“网络威胁信息共享计划”，旨在使美联邦所有承包商能够更有效地共享网络威胁信息。但从实施效果看，并不能覆盖是所有国防工业基础（DIB）中的企业。因为要共享这些信息需要国防部通用访问卡（CAC），而处于供应链下层的很多中小企业由于与政府机构直接联系较少，并不具备这种访问权限，导致他们无法获取重要的网络威胁信息。而且网络威胁信息共享平台本身也存在一些问题，例如信息并不是实时的，而且不包括保密信息等。

4.先进的网络安全工具效果好但成本高

目前网络安全公司已经开发出了先进的网络安全工具集（CSTs），有助于加强国防工业基础的网络安全，但这些新工具的成本很高。一般来讲，企业的网络安全成本作为其信息技术预算的一部分，调查显示，国防企业的平均信息技术预算只占其年度总收入的4.2%，即便是高技术企业，这个比例平均也仅4.7%，这导致很多中小企业无力购买昂贵的网络安全工具。而且安全分析师和网络安全专家的薪酬也很高，平均年薪达到9.8万和13.1万美元。对于一个大约只有20人或80人的企业而言，分别需要雇佣2名和4名网络安全方面的专家才能满足需求，而很多企业成本有限，只雇佣一名网络安全专家。

（二） 改进建议

报告建议国防部实施国防工业基础网络保护计划（DCP2），以使国防工业基础中企业的非密网络免受外国攻击，企业自愿参与，但必须安装国防部免费或补贴提供的网络安全工具集（CSTs）。具体实施建议如下：

1．建立网络安全运营中心集中管理数据

报告建议国防部建立国防工业基础网络安全运行中心（DIB SOC）或国防部授权第三方机构建立商业SOC，以为企业提供动态情报信息、安全预警，以及为遭受攻击的企业提供措施建议。企业需要将经网络安全工具集（CSTs）清理过的数据提交到中心，这些数据包括网络元数据、应用元数据、匿名用户访问数据、安全警报以及匿名系统记录文件数据等，但不包括企业雇员、资产等受控非密信息。此举面向所有的国防工业基础中的大中小企业，网络安全工具集（CSTs）补贴政策尤其可以大大激励那些处于国防工业供应链下层的但又拥有敏感信息的小企业加入，有利于国防部全面监控网络安全状况。

2．将企业的非密网络转移到“国防工业基础云”上

报告建议国防部建立“国防工业基础云”，将企业的非密网络全部转移到国防工业基础云上。报告建议由云服务提供商为每一个参与国防工业基础网络保护计划（DCP2）的企业提供一块独立安全的“飞地”以存储其受控的非密信息（CUI），一方面可以降低企业维护存储这些数据的成本，另一方面可以为企业提供数据保护，防止敏感企业信息、供应链信息、敏感数据泄露给对手。政府还应为企业提供法律保护，如果国防工业基础（DIB）公司提供给政府的信息被非预期使用，降低他们可能承担的责任。“国防工业基础云”的相关成本可以由参与企业分担。

3.增加国防工业基础透明度的同时维持供应链的可信度

国防工业基础网络保护计划（DCP2）面临两个挑战：一是能否确保所有的国防工业基础中的企业参与到计划中。目前很多小企业根本不知道自己属于国防供应链的一部分，这些企业很可能会将重要技术提供给国外的合作伙伴。二是如何维护这些企业的可信度。很多私人企业不愿意将其供应商向其他合作伙伴、竞争对手或者国防部公开，而国防部需要鉴定那些与国防企业合作的其他公司是否可信。因此，国防工业基础网络保护计划（DCP2）需要长期面临的问题是维护国防工业基础透明度的同时维持供应链的可信度。

4.修订《联邦采办条例国防部补充条例》关于受控非密信息的相关条款

为了落实国防工业基础网络保护计划（DCP2）及其相关措施建议，报告建议国防部修订《联邦采办条例国防部补充条例》关于受控非密信息的相关条款，建议明确企业受控非密信息范围、分类以及主包商所涉及分包商的相关信息，将分包商纳入受控非密信息纳入管理范围。这样，国防部可以从两个渠道获取分包商的信息：一是通过主包商间接提供的，二是分包商直接提供给国防部的。

此外，报告强调，国防工业基础网络保护计划（DCP2）并不是要取代网络安全成熟度模型（CMMC）认证，而是作为其有益补充。

三、 几点认识

综合分析报告内容，可以得出以下几点认识：

一是国防工业基础网络安全关乎国防采办整体安全。国防工业基础是国防采办的重要组成部分。最新2020年1月发布的国防部5000.02指示文件要求，网络安全政策适用于当前适应性采办框架中的所有路径，每个采办项目在整个产品寿命期内都要加强网络安全。国防工业基础作为国防采办的提供者，其网络安全直接关系到整个国防采办和武器系统的安全。

二是突出国防部在网络安全管理中的主导地位。报告建议实施国防工业基础网络保护计划，从机构（网络安全运行中心）、服务（“国防工业基础云”）、法规（《联邦采办条例国防部补充条例》）等方面突出国防部在国防工业基础网络安全管理中的主导地位。面对中俄技术快速发展的现实，国防部将采取更为严厉的对抗措施，其表面虽是防御网络攻击，但其实质是加强针对中俄的技术封锁，构建新冷战时代科技壁垒。

三是民用高技术小企业是非密网络安全管理的重点。在美国推进军民一体化工业基础建设，鼓励民用高技术小企业参与国防科技创新发展的时代背景下，民用高技术小企业成为美军非密网络安全管理的难点、痛点和重点，美国在实施国防工业基础网络保护计划等改革措施中，通过立法将各类分包商和小企业纳入受控非密信息管理范畴，并设法降低小企业网络安全成本和经济负担，确保国防科研生产供应链网络安全。