大多数为国防部 (DoD) 生产关键部件的 OEM 和分包商都了解网络安全成熟度模型认证 (CMMC) 及其要求。去年秋天,国防部将原来的 CMMC(现在称为 CMMC 1.0)发展为 CMMC 2.0。 CMMC 2.0 的结构经过精简,不再那么严格,更易于实施,尤其适用于供应链下层的商店。 CMMC 2.0 仍然要求公司严格锁定,但也要注意时间线。在五角大楼去年 4 月发布的一份新闻稿中,CMMC 的初始要求将在 2023 年 7 月之前出现在国防部合同中。
CMMC 1.0 主要基于遗留的 NIST SP 800-171 标准构建,并添加了额外的控制。 CMMC 2.0 删除了大部分 NIST SP 800-171 添加内容。例如,过去有五个级别的遵守与公司信息的关键性质有关。现在,只有三个e 级别。
不过,我警告说,这并不容易。
对于仅处理联邦合同信息 (FCI) 的公司,在级别 1(基础级别),有必须遵守和自我证明的 17 项 NIST 控制的清单。高级 2 级将与 NIST SP 800-171 保持一致,适用于任何处理受控非机密信息 (CUI) 的公司,例如 CAD 图纸、3D 模型等,加工国防相关零件,并且需要对 110 进行三年一次的第 3 方审核根据 NIST 标准对关键国家安全信息进行控制,并对选定项目进行年度自我评估。第 3 级称为专家级,专为最高级别的主承包商保留,并基于 NIST-800-172。对于一直关注 NIST 800-171(几十年来一直是事实上的标准)的人来说,是时候严格遵守它了。
与此同时,对于所有公司来说,无论是是否为国防部工作,有五个基本行动每家公司都应该采取的行动,以确保免受网络威胁的基本保护。
1.教育您的团队 - 大多数网络事件都是由人为错误引起的,无论是设置过于简单的密码或点击电子邮件中的恶意链接,还是没有在设备上安装软件开发人员提供的最新安全补丁。
2.实施访问控制——创建仅允许授权用户访问受控和机密数据的机制,例如合同信息、蓝图和 3D CAD 模型。
3.对用户进行身份验证——为每个授权用户建立多因素身份验证步骤,不仅可以验证用户身份,还可以构建更多层和墙来阻止黑客。
4.监控物理空间——护送访客、监督建筑物内的活动并观察硬件设备,以免引入危险的恶意软件。一个场景:一个“间谍”进入一个会议并丢下几个装有 nefar 的 U 盘会议厅周围的代码。有人天真地拿起一个并将其插入联网的笔记本电脑,它在整个系统中执行勒索软件文件。它可能会发生,而且可能已经发生了。
5.更新安全保护——在可用时立即安装最新的安全补丁。令人惊讶的是,许多公司在关键更新方面落后了几个月。
一些 ERP 系统(例如 ProShop)包含所有这些基本的网络安全基础知识以及更多内容,例如确保数据安全符合 NIST 800-171、ITAR、和 CMMC 标准。明智的做法是咨询您当前的供应商,看看他们提供什么。尽管 CMMC 2.0 现在更加简化和易于理解,但它仍然具有挑战性,有合作伙伴的协助将有助于商店在航空航天和国防领域保留业务。
