军事的第一线■美国互联网协会：国防部网络安全认证计划（CMMC）或产生反作用 ?E安全4月2日讯

?E安全4月2日讯，近日据外媒报道，上周美国BSA互联网协会在致五角大楼高级官员的一封信中表示，国防部的网络安全成熟度模型认证计划（CMMC)可能会与预期效果相反，并可能会带来安全风险，他们要求国防部对计划中的一些问题进行澄清。
该协会在信函中代表了100多家公司，其中包括美国软件联盟，网络安全联盟，信息技术行业委员会， CompTIA和数字创新联盟。
据悉，该互联网协会在致国防部采购和维持事务部国防部长艾伦·洛德的信中表示， “我们担心，目前实施的CMMC计划在关键领域缺乏足够的清晰度和可预测性经验，可能会造成不必要的制度混乱和额外开销，如果不对该问题加以解决，这些问题可能导致网络安全性降低” 。

文章图片
美国部分公司在信中表达了他们的担忧，由于国防部表示将开始实施CMMC计划，因此私营部门需要关注国防部是如何解决在认证过程中存在的严重问题和不确定性因素的。其中，两家公司写道：“考虑到DIB的风险，我们意识到在计划实施之前解决这些问题是存在困难的，以目前的实施速度，除非在关键领域继续致力于改善CMMC ，否则该计划可能会限制行业科技竞争并减少政府使用新技术的机会” 。
BSA互联网协会最后还表示， CMMC中的某些控件其实比较适用于传统模型，但不一定适用于现代大规模的基础架构，严格遵守这些控制措施实际上可能会为高安全性和高可用性的控制措施带来新的风险。国防部应该考虑并结合IT行业的反馈意见，这将有助于确保DoD优化实施结构的合理性,我们随时准备着协助国防部优化CMMC的有效性。

文章图片
目前，五角大楼官员正在全面启动CMMC计划，以确保对国防工业基地的承包商能够实施适当的网络安全控制。与此同时，国防承包商也在证明自身对CMMC计划条例的遵守，例如美国国家标准技术研究院出版的800-171特别刊物中就提及了计划的相关条例， CMMC将要求独立第三方审核员在供应商与DOD开展业务之前验证该公司的合规性。
【军事的第一线■美国互联网协会：国防部网络安全认证计划（CMMC）或产生反作用】国防部官员也表示， CMMC计划将作为252.204.7012规则内容添加到《国防联邦采购条例》补编中，并将于春季开放供公众征询。他们还表示，对于CMMC计划国防部正在缓慢地推进，并强调CMMC要到2026年才能全面实施。