隨著新一代網絡安全成熟度模型認證（CMMC）授權的15份合同的截止日期臨近，美國五角大樓方面明確表示，這僅是個開始，未來他們計劃對至少1500家承包商及分包商進行網絡安全成熟度認證。

美國防部負責采購與維護的副部長辦公室CISO Katie Arrington表示，“我們充分信任（承包商），同時也需要認證。這是國防部一個全新的開始。正如我們多年來一直所強調的那樣，網絡安全是一切采購決策的基礎。我們將說到做到。”相關規則將于今年12月1日起對新的合同正式生效。考慮到美國商業及軍事網絡遭到敵對方攻擊、秘密被其竊取等嚴重后果，她強調“我們之所以這樣做，是因為這對我們的商業乃至國家安全至關重要。”

Arrington還提到，她和她的團隊將繼續推進，“CMMC將持續發展，我們絕不會止步。我們將在數天之內完成過渡，直到臨時規則發揮效力。”

在此次INSA會議發言當中，她還提到接下來國防部將強制推行新的網絡安全合同規則，以確保整個員工隊伍建立能力基準，同時嚴格遵守美國家標準技術研究所（NIST）與國防部相關標準。

Arrington強調，“臨時規則一經制定，我們就在密切籌備作為首批試點項目的15份合同。”這15份合同將通過網絡安全過渡對承包商提供的方案進行驗證。預計未來至少將有1500家承包商及分包商參與首批項目，而且將全部接受相應的網絡安全認證。

首批15份合同涵蓋國防部下轄多個機構，包括美國運輸司令部以及網絡司令部等，同時涉及導彈防御局等所謂“第四等級”機構。各份合同的數額與復雜程度有所不同，認證工作計劃在2021財年內實行 。

根據先前的建議，只要一家企業能夠符合部分110 NIST標準條款，并宣稱將致力于遵守其余條款，即可參與競標。換言之，企業在競爭國防部合同時，并不必充分證明自身的合規性。

Arrinton指出，“CMMC則設定了明確的通過/未通過標準。經過審計之后，相關企業要么為L1級，要么不符合要求。”其目標是為所有能夠在客觀上滿足安全能力要求的企業擁有公平的競爭起點。這樣，五角大樓也可以自動將安全成本納入合同，不必擔心可能在選擇當中引入與合規性要求相沖突的供應商。

對于合規性標準較高的重大合同，CMMC規則還要求合同內容明確指定各分包商是否需要達到相同的合規性水平，或者會根據不同分包商所觸及信息的實際敏感度為其指定更確切的具體合規性要求。

這套建立在認證基礎之上的全新網絡安全機制，意味著五角大樓終于可以擺脫種種多年以來難以解決的漏洞修復難題，甚至徹底消除此類威脅到整個供應鏈的簡單錯誤與安全缺陷。

Arrington提到，“很多人沒有變更默認密碼、沒有采用雙因素驗證、沒有適當做出文檔標記。這一切都會給我們的供應鏈造成危害。”而任何仍存在這些問題的供應商，未來都很難再從五角大樓這邊拿到項目。

來源：安全內參