国防部的凯蒂·阿列达顿(DoD)首席信息安全官员和五角大楼后面的动力 最近发布了 网络安全成熟度模型认证(CMMC)计划,表达了美国法律和政策的剧烈防守,禁止联邦政府及其承包商与中国网络设备制造商华为开展业务。

该禁令的合法性在公司涉嫌与中国政府的密切联系,担心其网络设备可用于政府的邪恶目的 - 是 坚持 本月早些时候的联邦地区法院法官。

作为一个小组成员在旧金山的RSA安全会议上,旧金山的RSA安全会议到了一个大而不总是完全同情的人群,Arrington在华为禁令背后的实际理由中坚持了两个关键点,因为它涉及她履行职责来提高安全在国防部和国防工业基地。

“法律是法律,”她说。 “在我的工作中 - 我为国防部工作 - 我要执行法律。”

她说,华为设备是一种“已知风险”…太多风险。“她继续,“我的工作是买冒险…我担心我的武器系统。“从供应链中切割华为齿轮“是一个有点,因为风险如此之高。”

“我们有我们的数据,我们有研究,”包括分类研究,Arrington说。 “我知道为什么我们做了我们所做的事。”

GDIT出现了
展示了对使命成功产生影响的真实解决方案。 学到更多

捍卫华为在小组上是华为技术的首席安全官员唐纳德·普里,他们认为这是一个不公平的单一公司,因为它在中国的总部,当时其他地方的其他设备制造商都可以自己呈现出一系列漏洞。他认为,需要从全球角度检查供应链,并根据“可以使用其他攻击向量”的前提。

技术供应链安全问题的大尺寸和范围是由Bruce Schneier,伯克曼互联网伯克曼中心讲师的众所周知的加密专家和讲师&哈佛法学院的社会。

“供应链安全是不可能的,”他说,争论安全问题部分源于美国青睐的老年人和较弱的协议,以促进政府的智力。 “当你想到供应链时,”他建议,“别担心公司。”相反,他说,看看他们采用的编码器,并在它到达最终用户之前所有的手都通过。

由于没有商业上可获得的设备可以完全信任,没有“后门”,因为允许间谍和智力聚集,施奈尔说他不知道是“可靠的网络可以建造不值得信任的部分”。他说,“答案,”是DARPA [国防高级研究项目机构]水平的研究问题… We should do that.”

当国防部评估技术和安全时,Arrington说:“我们看看源代码写的地方”,从那以后发生了什么。她说,原子能机构还需要风险缓解测试 - “我们所说的测试” - 她说,我们所需要的是由自己进行的。

舒克断言,所有设备的担忧是“许多有能力的工程师可以放入永远不会被披露的后门。”帕迪认为,如果有许多国家的工程师可以建立在技术的效益中,那么“阻止华为不是问题”。

询问国防部是否会评估华为产品的安全性,Arrington回答说:“这是一个实际点,法律已经完成了。”她还说“你永远无法解决所有的问题”,供应链安全,但政府需要确定最大的问题并将其交易。

“我在好的方面…我今天来到这里说实话并抓住这条线,“她说。她说,科技安全问题,“偷偷摸摸我们”,因为20年前没有适当的安全。 “我们可以做得更好吗?是的。我们会做得更好吗?是的,“她结束了。

阅读更多信息
关于
约翰库兰
约翰库兰
约翰库兰是Meritalk的管理编辑,涵盖了政府和技术的交汇处。
标签