戰(zhàn)略提出，要求美國聯(lián)邦政府在2024財年前滿足必要的網絡安全標準和目標，以實現(xiàn)零信任安全架構防護體系。

　　美國白宮今天發(fā)布了一項戰(zhàn)略文件，要求聯(lián)邦政府能在未來兩年內逐步采用“零信任”安全架構，以抵御現(xiàn)有威脅并增強整個聯(lián)邦層面的網絡防御能力。

　　這項戰(zhàn)略由白宮管理與預算辦公室（OMB）發(fā)布，備忘錄編號為M-22-09。該辦公室的主要職責就是通過監(jiān)督將總統(tǒng)的規(guī)劃愿景在美國各級行政部門內實施落地。

　　此次公告是2021年9月發(fā)布首次草案后的正式政府文件，其制定授意來自拜登的第14028號總統(tǒng)行政令。該行政令要求在整個政府范圍內啟動零信任框架遷移，借此幫助美國實現(xiàn)對于網絡攻擊活動的現(xiàn)代化防御能力。

　　管理與預算辦公室代理主任Shalanda D. Young表示，“這份備忘錄提出了聯(lián)邦政府零信任架構（ZTA）戰(zhàn)略，要求各級機構在2024財年結束之前達成各項既定網絡安全標準與目標，旨在加強政府面對日益復雜、持續(xù)發(fā)生的威脅活動時的防御能力?！?/p>

　　“這些威脅活動往往將矛頭指向聯(lián)邦政府技術基礎設施，威脅公共安全與隱私、損害美國經濟，同時削弱民眾對于政府的信任。”

　　零信任戰(zhàn)略中的核心要素，包括通過強大的多因素身份驗證機制改進網絡釣魚防御水平、整合各機構身份系統(tǒng)、加密進出流量、將內網環(huán)境視為不受信環(huán)境，同時加強應用程序安全以更好地保護數據內容。

　　在這項新的聯(lián)邦政府零信任戰(zhàn)略中，管理與預算辦公室還提出以下幾項具體展望：

　　聯(lián)邦政府雇員應擁有由機構負責管理的賬戶，供他們訪問日常工作中需要接觸的一切信息，同時可靠地保護雇員免受針對性、復雜網絡釣魚攻擊的影響。

　　聯(lián)邦政府雇員使用的工作設備將受到持續(xù)跟蹤與監(jiān)控，而且在授予內部資源訪問權限時，也應考慮到設備的具體安全狀況。

　　各代理系統(tǒng)間相互隔離，往來于不同系統(tǒng)及同一系統(tǒng)內部的網絡流量應經過可靠加密。

　　業(yè)務應用程序應經過內部與外部測試，保證可通過互聯(lián)網安全交付給雇員。

　　聯(lián)邦政府各安全團隊及數據團隊應合作規(guī)劃數據類別與安全規(guī)則，實現(xiàn)對敏感信息的自動檢測，最終阻斷一切未經授權的訪問活動。

　　可以看到，經過安全廠商多年不懈努力與推動后，零信息安全原則終于開始在政府層面落地扎根。

　　在這輪現(xiàn)代安全原則的普及趨勢之下，從2021年2月開始，美國國家安全局向國家安全系統(tǒng)、國防部及國防工業(yè)基礎的大型業(yè)務與關鍵網絡也開始推薦使用零信任安全實踐方法。

　　Young還表示，“面對日益復雜的網絡威脅，政府正在采取果斷行動以加強聯(lián)邦層面的網絡防御能力?！?/p>

　　“這項零信任戰(zhàn)略希望保證聯(lián)邦政府能夠以身作則，也標志著我們已經迎來新的安全發(fā)展里程碑，將借助新的方法與實踐擊退那些謀劃損害美國利益的網絡入侵者?！?/p>