国防部供应商接到网络安全预警

整个秋天，国防部供应链中的供应商都收到了最大客户的备忘录，要求他们演示为获得网络安全认证或失去新合同而采取的措施。对于许多小型制造商而言，这是一个增强其网络防御能力的警钟。即使是那些在国防部供应链之外运作的人，也可以从这一推动的背后以及如何主动进行中受益。

其中一份备忘录说：“如果您不能遵守新的强制性要求，GE航空将无法继续与您的公司开展业务。”

这不是GE的电话，也不是雷神公司的电话，也不是最近几个月发出类似信息的其他主要制造商。国防部发布了一项从2020年11月30日开始生效的临时规则，规定顶级国防制造商必须要求其所有供应商记录评估行动，以符合NIST 800-171(新的网络安全成熟度模型认证(CMMC)框架的基线)的要求。CMMC将于2020年至2025年间分阶段实施，它代表了任何行业中最强大的网络安全协议之一。

很久很久很长的路要走

尽管此任务授权可能看起来很突然，但事实并非如此。在中国网络间谍窃取美国军事设计之后，国防部首先要求在2017年12月31日之前遵守NIST 800-171。但是，该规则没有任何规定。希望制造商能够自我评估其系统并使其合规。许多人看到了墙上的文字，并更新了系统。没有任何真正的激励或强制措施，其他人则没有。今年秋天发布的备忘录是迈向违规后果的第一步。

尽管制造商刚收到的备忘录的语言相当强烈，但在此阶段要求他们做的事情很少：完成评估。具体来说，他们需要完成DoD评估方法，并通过供应商绩效风险系统(SPRS)提交结果(不超过三年)。此提交的部分内容将包括计划和预计日期，以完全遵守NIST 800-171。至此，根据国防部供应协议，才有资格获得新的或续签的合同奖励。但是，未来几个月可能会发布其他临时规则，需要更多里程碑。

上水平

CMMC建立在NIST 800-171的基础上，并增加了其他政策和最佳做法，并拥有五级认证。到2025年，将要求成熟度达到3级成为DoD供应链的一部分。ML 3包含130条使用CMMC语言的标准或“实践”，因此获得认证似乎令人生畏。但是，许多实践都是大多数制造商已经采取的常识性步骤。通常，要检查一个项目可能只需要量化或详细说明已实施的度量标准，以确保没有任何差距。

例如，多因素身份验证或MFA是大多数互联网用户都熟悉的CMMC惯例。这是一种创建登录安全性的方法，该方法比单独的密码要强。用户将收到需要输入密码的短信(或通过应用接收密码)以及密码才能登录。MFA还可以包括一个物理物品，例如钥匙扣，该物品必须位于机器附近才能使密码生效。公认。

对于认真对待网络安全的组织(例如，处理军用飞机或潜艇计划和规格的组织)，必须使每台设备上的每个用户都需要MFA才能有效。CMMC评估人员不仅要寻找MFA，还需要实现其彻底性和有效性。

网络安全意识培训是必须以特定方式执行的CMMC做法的另一个示例。所有员工都必须进行培训，并且培训需要定期进行。但是，这可能很简短-每月按员工自己的时间表完成10或12分钟，不仅可以选中该框，还可以帮助您的团队发现危险信号并阻止黑客进入。

物理安全与网络安全以及CMMC的一部分交织在一起。由于您设施内的未授权人员可以更轻松地访问敏感数据，因此CMMC的做法是，识别标志和进入建筑物的安全入口和出口。当您的员工不在现场时，他们必须使用VPN(虚拟专用网络)访问公司系统。移动设备需要锁定，并且必须有一种方法可以在丢失时远程擦除它们。补丁。您必须修补系统。没有更多的过时的Windows。

一些制造商拥有所有或许多这些实践以及其他CMMC要求，因此2025年的截止日期为获得3级CMMC认证提供了充足的时间。那些尚未开始这一过程的制造商正在爬坡。每个制造商在CMMC合规流程中将面临的一个障碍是要求独立的第三方审核员(C3PAO)“证明”供应商达到的成熟度水平。像财务审计师一样，C3PAO将评估现有的做法，并提供剩余的空白或有效期为3年的确认证书。

非国防部制造商的网络安全路线图

如果您在某些时候不做某些事情被美国军方使用，那么您就可以摆脱CMMC认证。但是，黑客仍然希望您的数据能够出售或保留以勒索。超过三分之一的针对制造商的网络攻击造成了超过100万美元的损失。即使您的最大客户不要求它，CMMC也会提供一流的剧本来防止网络犯罪。

除了医疗保健和金融服务，大多数行业都没有像CMMC这样的行业来指导他们创建深度防御的网络安全方法。国防部供应链以外的制造商可以从他们如何按照CMMC标准进行堆叠中真正受益。尽管他们可能不需要获得特定级别的CMMC认证，但达到第5级所需的171种实践为防御提供了171个潜在层次，旨在确保您公司的数据安全和生产线正常运行。