戰(zhàn)略提出，要求美國聯(lián)邦政府在2024財年前滿足必要的網(wǎng)絡安全標準和目標，以實現(xiàn)零信任安全架構(gòu)防護體系。

　　美國白宮今天發(fā)布了一項戰(zhàn)略文件，要求聯(lián)邦政府能在未來兩年內(nèi)逐步采用“零信任”安全架構(gòu)，以抵御現(xiàn)有威脅并增強整個聯(lián)邦層面的網(wǎng)絡防御能力。

　　這項戰(zhàn)略由白宮管理與預算辦公室（OMB）發(fā)布，備忘錄編號為M-22-09。該辦公室的主要職責就是通過監(jiān)督將總統(tǒng)的規(guī)劃愿景在美國各級行政部門內(nèi)實施落地。

　　此次公告是2021年9月發(fā)布首次草案后的正式政府文件，其制定授意來自拜登的第14028號總統(tǒng)行政令。該行政令要求在整個政府范圍內(nèi)啟動零信任框架遷移，借此幫助美國實現(xiàn)對于網(wǎng)絡攻擊活動的現(xiàn)代化防御能力。

　　管理與預算辦公室代理主任Shalanda D. Young表示，“這份備忘錄提出了聯(lián)邦政府零信任架構(gòu)（ZTA）戰(zhàn)略，要求各級機構(gòu)在2024財年結(jié)束之前達成各項既定網(wǎng)絡安全標準與目標，旨在加強政府面對日益復雜、持續(xù)發(fā)生的威脅活動時的防御能力。”

　　“這些威脅活動往往將矛頭指向聯(lián)邦政府技術基礎設施，威脅公共安全與隱私、損害美國經(jīng)濟，同時削弱民眾對于政府的信任。”

　　零信任戰(zhàn)略中的核心要素，包括通過強大的多因素身份驗證機制改進網(wǎng)絡釣魚防御水平、整合各機構(gòu)身份系統(tǒng)、加密進出流量、將內(nèi)網(wǎng)環(huán)境視為不受信環(huán)境，同時加強應用程序安全以更好地保護數(shù)據(jù)內(nèi)容。

　　在這項新的聯(lián)邦政府零信任戰(zhàn)略中，管理與預算辦公室還提出以下幾項具體展望：

　　聯(lián)邦政府雇員應擁有由機構(gòu)負責管理的賬戶，供他們訪問日常工作中需要接觸的一切信息，同時可靠地保護雇員免受針對性、復雜網(wǎng)絡釣魚攻擊的影響。

　　聯(lián)邦政府雇員使用的工作設備將受到持續(xù)跟蹤與監(jiān)控，而且在授予內(nèi)部資源訪問權(quán)限時，也應考慮到設備的具體安全狀況。

　　各代理系統(tǒng)間相互隔離，往來于不同系統(tǒng)及同一系統(tǒng)內(nèi)部的網(wǎng)絡流量應經(jīng)過可靠加密。

　　業(yè)務應用程序應經(jīng)過內(nèi)部與外部測試，保證可通過互聯(lián)網(wǎng)安全交付給雇員。

　　聯(lián)邦政府各安全團隊及數(shù)據(jù)團隊應合作規(guī)劃數(shù)據(jù)類別與安全規(guī)則，實現(xiàn)對敏感信息的自動檢測，最終阻斷一切未經(jīng)授權(quán)的訪問活動。

　　可以看到，經(jīng)過安全廠商多年不懈努力與推動后，零信息安全原則終于開始在政府層面落地扎根。

　　在這輪現(xiàn)代安全原則的普及趨勢之下，從2021年2月開始，美國國家安全局向國家安全系統(tǒng)、國防部及國防工業(yè)基礎的大型業(yè)務與關鍵網(wǎng)絡也開始推薦使用零信任安全實踐方法。

　　Young還表示，“面對日益復雜的網(wǎng)絡威脅，政府正在采取果斷行動以加強聯(lián)邦層面的網(wǎng)絡防御能力。”

　　“這項零信任戰(zhàn)略希望保證聯(lián)邦政府能夠以身作則，也標志著我們已經(jīng)迎來新的安全發(fā)展里程碑，將借助新的方法與實踐擊退那些謀劃損害美國利益的網(wǎng)絡入侵者。”