Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:15677 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
从12月1号开始,美国国防部将全面提升网络安全水平
本文来自公众号:安全客   2020.11.21 10:01:02



根据国外媒体的最新报道,美国国防部将就网络安全方面展开新一轮的大动作。据了解,美国国防部所采用的最新网络安全成熟度模型认证所授权的前十五个合同的截至日期即将到来,而五角大楼也明确表示,他们可能需要认证超过1500个网络安全承包商和分包商,这绝对是一项网络安全领域的大动作。

美国国防部负责采购和管理的首席信息安全官凯蒂·阿林顿(Katie Arrington)表示:“虽然很多网络安全承包商和分包商我们是信任的,但是信任归信任,按照规定进行网络安全成熟度模型认证也是必须的。这对于美国国防部在网络安全领域来说,是一个全新的开始。如我们多年来一直在说的那样,网络安全是并购的基础,是时候要兑现这个“承诺”了,我们要把资金用到刀刃上,这一次我们是认真的。我们这项计划将在2020年12月01日开始生效,主要针对的是新的工作合同。主要的目的是为了防止那些针对美国境内存在安全漏洞的薄弱基础设施的攻击者,他们会不遗余力地攻击美国境内存在安全漏洞的薄弱基础设施,并尝试窃取机密数据。我们这么挫,是为了更好地保护这些基础设置,这对于我们的商业领域和国家安全方面都至关重要。”

凯蒂·阿林顿(Katie Arrington)还说到,她们的团队目前正在着手努力推进这一项新举措的实施。网络安全成熟度模型认证仍将继续推行,美国国防部以及五角大楼的步伐从未停止,他们的工作也从未松懈。他们将在未来几天内迅速推进该计划的实施,直到临时规则的正式生效。

关于新推则的推行,INSA此前也曾报道过相关的内容。最重要的是即将实施新的合同规则,这些规则所要求的网络安全条例旨在保证员工的能力基线和遵守NIST和DoD标准。

凯蒂·阿林顿(Katie Arrington)表示:“一旦临时条例最终通过决议,那么我们就准备公布我们将在2021年计划启动的试点项目名称,总共是15个项目,也就是到时候我们将对外先提供至少15份网络安全承包商和分包商合同。这前15份合同将意味着,网络安全承包商和分包商之间将发生新的、可核查核验的网络安全态势转变。到时候,预计大约会有1500个网络安全承包商和分包商将围绕着这第一批试点项目展开工作,而且每一个网络安全承包商和分包商都需要通过网络安全成熟度模型认证才能够开始加入工作。”

这些合同将分散至各个部门和领域,比如说Transcom和Cyber Command之类的司令部,以及所谓的第四产业,比如说导弹防御局等等。所有的合同规模和复杂程度都各不相同,而且网络安全成熟度模型认证将在2021财年进行。

根据之前的规定条例,只要一家公司声称他们正在努力实现与其他标准的合规性,那么对于这一家公司来说,只需要达到110项NIST基准标准就足够了,这也就意味着这家公司可以在不需要证明网络安全合规性的情况下去参与合同的竞标。

按照网络安全成熟度模型认证的规定,当一家公司参与评估审计时,只有通过和不通过这两个结果,也就是这家公司要么是Level 1,要么啥也不是。凯蒂·阿林顿(Katie Arrington)说到:“这是一个需要时间去消化的过程,我们的目的是为了让所有声称自己符合网络安全成熟度模型认证规定的公司都能平等地参与到合同竞标的过程中。通过这种方式,五角大楼可以自动地在合同中进行安全性定价,这也就意味着,五角大楼将无法去选择那些价格更便宜但又不符合安全合规性要求的方案了。”

对于规定中定义的高水平规范性合同,网络安全成熟度模型认证规则意味着合同将概述分包商是否需要满足相同的合规性水平,或者是否可以委托他们承担较低的合规性工作,因为如果承担的是较低的合规性工作,也就意味着他们不会处理任何的敏感信息。

建立在核查基础上的网络安全机制将意味着,五角大楼将可以选择停止与那些多年未修复漏洞的公司合作了,而这些公司所部署的基础设施将会威胁到整个供应链的安全。

凯蒂·阿林顿(Katie Arrington)表示:“有的公司员工很多年没有修改过自己的密码,而且相关的服务也没有部署双因素身份验证机制,也没有对相关的文档和日志进行正规的管理和标注。种种的这些行为都将威胁到我们整个供应链的安全。而这一项合规性举措的推行,也就意味着任何继续以这种方式行事的公司未来都不太可能获得五角大楼的合同。”

译文声明

译文仅供参考,具体内容表达以及含义原文为准。


- End -
精彩推荐

送无线耳机 | 赛博世界里钻研冲浪,耳机一定要在旁

强网杯2020决赛RealWord题ADoBe(ADB)

2020年xnuca oooooooldjs题解

如何在Ubuntu v20.04上获取root权限



戳“阅读原文”查看更多内容