美國(guó)當(dāng)?shù)貢r(shí)間1月26日，白宮發(fā)布了最終零信任戰(zhàn)略，要求在2024年財(cái)年前“實(shí)現(xiàn)具體的零信任安全目標(biāo)”，這將是業(yè)內(nèi)首個(gè)國(guó)家級(jí)零信任架構(gòu)。

這項(xiàng)戰(zhàn)略由白宮管理與預(yù)算辦公室(OMB)發(fā)布，備忘錄編號(hào)為M-22-09。此次公告是2021年9月發(fā)布首次草案后的正式政府文件，其制定授意來自拜登的第14028號(hào)總統(tǒng)行政令。該戰(zhàn)略是落實(shí)該行政命令的關(guān)鍵一步，其重點(diǎn)是在整個(gè)政府范圍內(nèi)啟動(dòng)零信任框架遷移，大幅降低針對(duì)聯(lián)邦政府?dāng)?shù)字基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

該戰(zhàn)略共計(jì)30頁，計(jì)劃列出了聯(lián)邦機(jī)構(gòu)在未來兩年內(nèi)需要采取的數(shù)十項(xiàng)措施，包括更嚴(yán)格地網(wǎng)絡(luò)分割、多因素認(rèn)證和廣泛地加密，以確保系統(tǒng)安全，并限制安全事故的風(fēng)險(xiǎn)。

該戰(zhàn)略對(duì)設(shè)聯(lián)邦政府提出了以下幾點(diǎn)展望：

• 聯(lián)邦政府人員擁有企業(yè)管理的賬戶，供其訪問工作所需的資料，同時(shí)還能保護(hù)其免于針對(duì)性、復(fù)雜性的網(wǎng)絡(luò)釣魚攻擊。
• 聯(lián)邦政府人員使用的工作設(shè)備被被持續(xù)跟蹤和監(jiān)控，而且在授予內(nèi)部資源訪問權(quán)限時(shí)，也應(yīng)考慮到設(shè)備的具體安全狀況。
• 各代理系統(tǒng)之間相互隔離，往來于不同系統(tǒng)及同一系統(tǒng)內(nèi)部的網(wǎng)絡(luò)流量應(yīng)經(jīng)過可靠加密。
• 企業(yè)應(yīng)用程序需經(jīng)過內(nèi)部和外部進(jìn)行測(cè)試，確?？赏ㄟ^互聯(lián)網(wǎng)安全地交付給雇員。
• 聯(lián)邦安全團(tuán)隊(duì)和數(shù)據(jù)團(tuán)隊(duì)共同合作規(guī)劃數(shù)據(jù)類別和安全規(guī)則，以實(shí)現(xiàn)自動(dòng)檢測(cè)并最終阻止對(duì)未經(jīng)授權(quán)訪問敏感信息。

戰(zhàn)略中提到，政府機(jī)構(gòu)必須在2024財(cái)年結(jié)束前滿足特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)。各部門有60天或120天的時(shí)間來任命領(lǐng)導(dǎo)，領(lǐng)導(dǎo)將執(zhí)行這些措施，并根據(jù)敏感性對(duì)某些信息進(jìn)行分類。

據(jù)了解，此次修訂部分受啟發(fā)于 SolarWinds攻擊事件，該活動(dòng)潛入美國(guó)司法部、國(guó)土安全部和其他部門的非機(jī)密網(wǎng)絡(luò)，且?guī)讉€(gè)月都未被發(fā)現(xiàn)。OMB表示，新版本納入網(wǎng)絡(luò)安全專業(yè)人士、非營(yíng)利組織和私營(yíng)企業(yè)要求的更改。最終確定的戰(zhàn)略包括強(qiáng)調(diào)體系訪問控制，包括多因素身份驗(yàn)證以及加密所有DNS和HTTP 流量。

白宮表示，復(fù)雜的網(wǎng)絡(luò)攻擊威脅日益增長(zhǎng)，強(qiáng)調(diào)聯(lián)邦政府不能再依靠傳統(tǒng)的外圍防御來保護(hù)關(guān)鍵系統(tǒng)和數(shù)據(jù)。

網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)局長(zhǎng)珍·伊斯特利表示，零信任是政府現(xiàn)代化和加強(qiáng)防御的一個(gè)關(guān)鍵因素。

伊斯特利表示，“隨著我們對(duì)手的攻擊和破壞方式不斷創(chuàng)新，我們必須繼續(xù)從根本上改變我們對(duì)待聯(lián)邦網(wǎng)絡(luò)安全的方式。”