美国防部发布零信任战略

业界 作者:全球技术地图 2022-11-26 19:30:54


11月22日,美国国防部正式公布《零信任战略》。该战略指出,当前和未来的网络威胁和攻击推动了对超越传统边界防御方法的零信任方法的需求,国防部打算在2027财年之前实施战略和相关路线图中概述的独特的零信任能力和活动。报告概述了四个高层次的综合战略目标,这些目标定义了该部门为实现其零信任愿景将采取的行动。



1 前 言

美国的对手潜伏在我们的网络中,他们不但窃取数据,还利用国防部用户的疏忽开展其它恶意活动。随着此类威胁的急遽增长,美国国国防部(DoD)亟需调整并大幅改进其威慑战略和网络安全态势。如今国防部的信息体系已覆盖了众多地区,设有许多面向外部合作方的接口,并向数以百万计的授权用户提供服务,而其中许多用户都需要从国防部的传统边界之外访问国防部网络(比如居家远程办公)。在此背景下,即使为国防部网络建立起强大且日益复杂的周界防御体系,也无法提供足够的安全保障和网络弹性。为克服这些挑战,国防部上下必须尽快落实本战略所述的零信任原则,继而在此基础上建立更加强大的网络安全框架。

面对这一迫切需求,不管是在技术部门、网络安全部门还是人力资源部门工作,我们的同事、官兵乃至国防部的每一位成员都必须将零信任铭记于心,以“永不信任,始终验证”的心态来保障设备、应用程序、资产和服务的安全,并只允许用户在必要时访问确实需要的数据。不论何时何地,一旦出现安全威胁,我们所有人就必须迅速采取正确行动,从而在与敌人的斗争中贡献自己的力量。

零信任不仅仅是IT解决方案,还可能包含了某些买不到的产品。在落实零信任的过程中,国防部的所有部门都需要根据各自的体系架构、系统、预算和执行计划,分别启用和整合那些遵循零信任理念的功能、技术、解决方案和流程。除此之外,更加重要的一点或许是将零信任要求纳入其人员配置、培训和专业发展流程之中。

作为国防部发布的第一份零信任战略,本战略将为推进零信任理念落地提供必要的指导。本战略涵盖了差距分析、需求开发、实施和决策制定等内容,并阐述了最终如何通过采购和部署/开展必要的零信任能力和活动,来使网络安全水平得到有价值的改善。需要强调的是,本文仅是一项战略而非具体架构,有关方面应按照本文内容来指导和设计实际的零信任架构。

2022年1月,国防部设立了受国防部首席信息官(DoD CIO)管辖的“国防部零信任资产组合管理办公室”(ZT PfMO),由其负责协调本战略所述的各项国防部工作和加快零信任理念的落地。零信任工作的出发点和成熟度因部门而异,因此各部门的零信任架构和执行计划必须与本战略保持一致,这样才能在遵循ZT PfMO进度计划的前提下,实现国防部在零信任方面的总体目标。

整个国防部上下都必须在保持灵活的同时,步调一致地开展和适应零信任工作。如果我们不在这件事上齐心协力,对手就会在我们之中找到容易下手的薄弱环节,从而削弱整个国防部的网络安全水准。我们需要确保一点:当对手试图攻破我们的零信任防御体系时,他们会发现再也无法在我们的网络中来去自如,更无法妨碍我们向作战人员提供最大限度的支持。

2 执行纲要

“小修小补无法提供我们所需的安全水平,相反,为了保护那些支撑着美国生活方式的要害机构,联邦政府需要进行大胆的变革并投入大笔资金。”
——2021年5月12日《关于改善国家网络安全的行政命令》

(一)未来5年

为了影响我们的作战人员和阻挠国防部的任务,对手的攻击手段正变得越发复杂,而为保护我们的信息系统免受这些威胁,国防部将在联合部队以及整个国防生态体系中践行基于风险的零信任框架。如今零信任原则已被整合到“识别、保护、检测、响应和恢复”这五种网络安全功能之中,而任何网络安全项目要想统筹兼顾并取得成功,就少不了这五大要素。依靠零信任架构,国防部将最大程度地挫败那些停用、削弱、破坏、欺骗或摧毁我们信息系统的企图;同时在零信任架构的支持下,各级操作人员也会相信“所访问的数据、所部署的资产、所使用的应用程序和所提供的服务都是安全且有弹性的”。

(二)当前现状

已知和未知对手正在持续而广泛地攻击国防部的信息体系,这些对手既包括中国这一最重要的战略竞争对手,也包括受各国政府支持的其它黑客组织乃至独立黑客。这些对手经常攻破国防部的周界防御体系,然后在我们的信息系统内随意活动。国防部再也不能放任这种局面持续下去了。
国防部内外都曾因数据泄露而暴露出一些弱点,这些弱点表明国防部需要一种更加稳固的网络安全框架,以帮助国防部作出基于风险的的明智决策。零信任安全理念架构抛弃了周界、可信网络、设备、帐户或流程这些传统思路,转而采用“基于多属性的可信度”思路,从而可在“最低访问权限”概念的基础上制定认证与授权策略。而要践行零信任框架,就得设计一种能够增强安全性、用户体验和任务总体表现的高效架构。
为提升网络弹性,零信任理念采用了连续多重认证、微隔离、高级加密、端点安全、分析和稳健审计等能力来强化数据、应用程序、资产和服务。为落实这一理念,国防部正在将其员工队伍打造得更加灵活、机动且具备云能力,而这支队伍将与包括联邦机构、非联邦机构和任务合作方在内的所有国防部相关方密切协作,共同完成各类任务。毫无疑问,零信任框架将减少攻击表面,降低风险,有助于实现全面风险管理(比如管理政策、规划、预算编制、执行和网络安全等方方面面的风险),并改善合作环境下的数据共享效率。此外当设备、网络、帐户或凭据遭到入侵时,零信任框架也能确保用户迅速管控和修复对手造成的任何破坏。
本战略阐述了国防部的零信任愿景,并指明了实现这一愿景的路径。本战略还提出了若干战略假设和原则,以供指引用户践行零信任理念和实现以下四大战略目的:1)推行零信任文化;2)保障和保护国防部信息系统;3)技术加速;4)零信任赋能。本战略还提到了国防部的七大零信任支柱,本战略中的“零信任能力路线图”(即一套基于能力的执行计划)和“国防部零信任与网络安全参考架构”便是立足于这些支柱。最后本战略从较高的层面对资源配置、采办、衡量、指标和治理等事宜作出了指导,附录部分则给出了战略和执行层面的里程碑事件以及参考文献和定义。
为了在国防部信息体系中加速落实零信任理念,国防部必须继续考察该如何精简和执行那些需要优先投入资源的事项,以满足本战略所设想的种种要求。为此,国防部首席信息官(DoD CIO)于2022年1月设立了“国防部零信任资产组合管理办公室”(ZT PfMO),由该办公室负责协调整个国防部范围内的零信任执行情况,简化和理顺现有策略,以及协调资源分配的优先顺序,从而加速国防部信息网络(DODIN)体系的零信任建设。
以下图1简要展示了本战略为国防部提出的愿景、目的和目标。
图1 国防部零信任战略纵览

3 引 言

本零信任策略定义了一种自适应方法,阐述国防部如何必须支持和加速向零信任体系和架构的转变,从而保护国防部联合信息环境(JIE)特别是国防部信息网络(DODIN)中的信息企业(IE)。该战略旨在建立为实现跨系统和网络之间,如非密IP路由器网络(NIPRNet)和涉密IP路由器网络(SIPRNet)所采用的零信任(零信任)措施所需的参数和目标级别。这种方法强调了国防部及其组成机构需要在适应和应对已知和未知的恶意行为者的同时,拥抱不断发展的技术。它涉及到国防部零信任生态系统的所有利益相关者,并允许立即开始实施战略。
零信任指的是“一套不断发展的网络安全模式,它将防御从静态的、基于网络的边界转移到用户、资产和资源上。”零信任的核心假设是不会仅仅根据资产或用户的物理或网络位置(即局域网与互联网)或对资产的所有权(企业或个人拥有的资产)来给予资产或用户隐含的信任。这一理念的转变是当前遗留的身份验证和安全机制的一个重大变化,也是一个重大的文化变革。整个国防部零信任生态系统的利益相关者包括国防工业基地(DIB),从2023财年开始到2027财年以及未来一段时间都将需要拥抱和执行这一重大变化。
该战略还突出了国防部首席信息官牵头的工作,通过零信任投资组合管理办公室(PfMO)来推进零信任,与国防部IE有关工作包括:信息网络基础设施构件;国防部企业IT服务及解决方案;国家安全系统;工业控制系统;有线、无线、移动通信和平台的嵌入式计算。

4 战略背景

作战任务需要安全、互操作的信息系统。国防部零信任框架的预期成果和行动必须支持和加强国防部所有级别的战斗人员关键作战任务的优先事项,并与国防部的国防战略保持一致。这些成果和行动必须应用于所有军事多域作战(网络、空间、空中、地面和海上)和支持商用资产。随着联盟作战的日益普遍,美国国防部IE与盟军网络的互操作性也变得十分关键。零信任通过确保数据、应用程序、资产和服务(DAAS)的安全性来实现战术环境中通信频谱中的制信息权。实施计划必须考虑到零信任在战术环境中的潜在影响。
来自国防部及其分支机构内部和外部、近邻对手、地缘政治变化和破坏性事件(如全球COVID流行病)的打击和威胁会对作战任务产生影响并暴露弱点,因而增加了网络安全风险,并需要更大的弹性、可扩展性和多维度的网络安全防御。
国防部向更远程的工作迁移,这是一种前所未有的技术更新,同时放弃了过时的技术,而采用人工智能工作和基于云的技术又使这些趋势复杂化。技术的进步扩大了从国防部和国家安全系统(NSS)提取敏感数据的手段,并允许恶意行为者对国防部的信息环境造成严重损害。这些因素再加上伙伴关系的扩展,为恶意行为者创造了机会,他们可利用有限的技术资源影响国家安全。
网络威胁和攻击正在以越来越快的速度发展,需要一种可自适应、灵活和可捷变的协调一致的防御响应。传统的基于传统认证和授权模型的“城堡和护城河”安全方法不能有效地阻止当前和未来的网络攻击。任务和系统所有者以及操作者在这一观点上有越来越多的共识。同时他们认为,实施零信任的过程是一个通过解决技术现代化、完善安全程序和提高业务绩效来积极影响作战任务的机会。
基于对上述网络安全挑战必要性的认识,美国联邦政府正在转向零信任体系架构。美国国防部零信任战略与国防部的实施级指南相一致并对后者进行响应。例如,关于改善国家网络安全的行政命令(EO14028)(2021年5月12日)、2022年财年《国防授权法》(2021年12月27日)、联邦零信任体系架构战略(2022年1月26日)、国家安全备忘录8、改进国家安全、国防部和情报界系统(2022年1月19日)的网络安全以及NSS国家管理人发出的许多备忘录,指示所有NSS向零信任迁移和并马上行动。国防部零信任战略是下图2所描述的系列战略的一部分。
图2 与国家和国防部战略保持一致
国防部零信任战略也为改进国防部网络安全参考体系架构(CS RA) 、国防部零信任参考体系架构版本2.0(零信任RA v2.0),以及部门级战略和零信任实施计划提供了基础。

5 愿 景

(一)DOD零信任战略愿景
国防部将全面实施零信任网络安全框架,它可为国防部的信息安全提供保障。国防部构想了一个可扩展的、弹性的、可审计的和可防御的环境,其核心是为国防部的DAAS提供安全保护。
这一战略明确了2023-2027财年及以后的未来年度防御计划(FYDP)所要实现的零信任目标和任务。为加速零信任能力的应用,国防部还考虑执行几种行动路线(COAS),以便将商用以及政府所有的基于云的企业服务纳入进来。这些推进措施,包括精简的或加速执行的时间表,将反复被明确、改进,并作为未来战略执行的一部分进行部署。
美国国防部IE,特别是DODIN的网络安全能力,必须能够防止恶意行为者的攻击,防止他们影响美国国防部检测、阻止、拒绝、保护以及从恶意网络行动中恢复的能力。
目标级零信任是保护国防部DAAS安全、管控已知威胁带来的风险所必需采取的行动和零信任能力的最小值。虽然国防部零信任框架将随着时间的推移而成熟和适应,但目前的战略背景要求将重点放在加快对零信任核心能力和技术的投资上。国防部及其相关部门必须尽快达到目标级零信任。
随着目标级零信任的实现,零信任 PfMO将监督执行情况,同时在国防部减轻当前风险的情况下,引导向更先进的零信任发展。基于需要继续向新一代安全体系架构发展,同时为解决恶意攻击者给国防部带来的新型威胁,零信任 PfMO还可能修改此策略对目标级零信任的定义。采用分阶段的方法来实现零信任目标能力将使实现DoD零信任战略的愿景成为可能。
(二)战略成果
实现“国防部零信任战略”对国防部及其相关部门、合作伙伴尤其是作战人员执行任务来说意义重大。包括:
  • 用户可以从任何地方、任何经过授权和认证的用户和设备那里安全地访问所需数据。
  • 保护信息系统,让国防部拥有一支更灵活、更机动、和有云支持的员工队伍。
  • 通过保护行动减少攻击表面,保护行动由DODIE实现。
  • 对云、人工智能和命令、控制、通信、计算机和情报工作(C4I)的威胁可通过基于风险的网络安全协议和策略进行补救。
  • 当设备、网络、用户或凭证受到破坏时,有效地止损、缓解和补救。
  • 具备高级网络安全行动所需的一致性的、可调节的和可有效配置资源的ZT能力。
  • 弹性的DoD IE,可以从攻击中迅速恢复,并通过启用ZT将损害降到最低。

6 国防部零信任方法

采用和加速国防部零信任框架的方法包括一系列指导战略执行的重要假设和原则。该框架概述了国防部NIPRNet和SIPRNet信息网络整体网络安全现代化的官方蓝图。该框架基于七个国防部零信任支柱,描述了该部门将如何通过提供基础和指导来实现零信任,以帮助协调当前和未来与零信任相关的工作、投资和计划,涵盖理论、组织、培训、材料、领导力和教育、人事、设施和政策(DOTmLPF-P) 的所有要素。该战略认识到,采用零信任不仅需要整个部门,而且需要改变其组成部分的DOTmLPF-P,以便在其执行计划中加以解决。
(一)战略设想
以下核心假设推动了整个部门成功实施零信任的规划:
  • 复杂的安全威胁依然存在。国防部和相关部门必须加速零信任实施,并尽快将国防部环境迁移到零信任框架,以主动保持领先于所有威胁参与者和敌对环境,包括网络犯罪分子、国家支持的破坏者和恶意内部人员。随着国防部缓解当前的弱点,新的威胁总是会不断发展,需要修正路线和必须的持续零信任“站守”,以在战略和战术意义上最大限度保持零信任纪律。

  • 文化,不仅仅是科技。国防部如何保护和保障美国国防部信息设备,不能仅靠技术解决;它需要改变思维方式和文化,从国防部的领导到任务操作员,跨越所有的国防部信息设备用户。

  • 对现代化需要重新思考。实施零信任需要重新思考如何利用现有基础设施,以更简单、更高效的方式通过设计实现安全性,同时提高作战人员性能,提高互操作性,并实现畅通无阻的行动和恢复能力。

  • 加强全球和工业合作伙伴的合作。访问任务信息系统和任务合作伙伴互操作能力变得越来越重要,因为国防工业基础和外国合作伙伴对联盟战争和联合作战概念(JWC)具有重要意义。必须根据用户属性、操作需要和最小特权策略有效地共享、访问和保护信息和数据。

  • 企业和任务所有者并行实施。零信任必须在部门的各个级别、企业范围内同时实施,并在国防部及其相关机构之间进行协调,以排除任务、组织、治理和技术孤岛。零信任必须由统一的整体策略驱动,该策略考虑了企业级和任务所有者级利益组合中的不同功能和相关决策。

  • 基于风险的实时响应。随着威胁和漏洞复杂性的增加,零信任加速了从基于合规性的安全方法到基于风险的安全方法的转变。这种加速对于满足 JADC2 等计划的未来性能和互操作性期望至关重要。

  • 遗留的IT仍然是一个挑战。并不是每一个遗留的基础设施和系统都需要或有理由立即和/或完全地改造零信任。然而,必须设计和实施适当的安全控制,以应对新的网络攻击媒介和新出现的威胁,直到这些系统得到充分的合理化,以便相应地消除这些系统或使之现代化。

  • 领导和系统操作员的支持。从技术、DOTmLPF-P 和职能领导者到信息系统操作员,零信任生态系统的明确指导和采用,对整体零信任战略的成功至关重要。

(二)战略原则
一系列指导原则为国防部和相关机构领导者在决定如何最好地实施战略和按照路线图实施零信任时提供了护栏或参数。这些原则将指导制定和修订战略、政策、设计和执行文件。
  • 使命导向

混合工作和位置不可知论。所有用户和非个人实体(NPE)必须在任何网络上访问、协作、工作和执行任务,在这些网络中,他们都需要并有权以最少的权限、基于动态凭证、遵循最小特权和保护信息的原则从任何位置进行访问。 
  • 组织

推定违约。通过在国防部的风险承受能力级别和阈值内分割访问、减少攻击面和实时监控风险,限制“爆炸半径”,即违规行为造成的潜在损害的范围和范围。
合并 DOTmLPF-P。零信任功能的设计、开发、部署和操作必须考虑国防部相关机构如何跨 DOTmLPF-P 元素执行零信任的更改和/或添加。
  • 治理

简化和自动化。建立适当的治理控制,不断实现现有零散的数据管理、IT 现代化以及网络安全策略和解决方案方法的现代化。
永远不要信任,总是明确地验证。将每个用户、设备和应用程序视为不可信和未经身份验证的。使用动态安全策略对最小权限进行身份验证和显式授权。
  • 技术

最小特权。主体/实体只应获得完成其任务所需的特权。
仔细检查和分析行为。IE中的所有事件都必须根据风险概况持续监控、收集、存储和分析,并针对用户和设备行为尽可能实时地生成。
架构对齐。零信任设计和体系结构必须符合国防部零信任参考体系结构(ZT RA)设计原则和国家安全委员会系统策略21(CNSSP 21),并考虑美国国家标准与技术研究院 (NIST) 的零信任原则。
降低复杂性。使技术和安全计划与ZT目标和任务目标相一致,以简化管理安全和风险的法规和标准。
(三)零信任支柱
整个国防部信息企业(IE)的零信任能力必须在由七个零信任支柱及附加因素构成的组织架构内进行开发、部署和运行,以确保标准化执行。如图3所示,这些支柱为国防部零信任安全模型和零信任体系架构奠定基础,而附加因素则是跨领域、非技术的能力和活动,涉及文化、治理和DOTmLPF-P的其他要素(如零信任培训等)。此零信任安全模型重新思考了安全访问资源的实施,并由动态策略决定,包括用户和终端身份、应用程序/服务以及请求资产的可观察状态。该模型的核心是支柱内所有能力必须以整合方式工作,以有效地保障数据支柱的安全。
图3 国防部零信任支柱

7 战略目标及目的

四个高级别战略目标及其对应目的决定了国防部将如何实现零信任愿景。这些目标具有协同作用,并解决了成功采用和实施零信任所需的文化、技术和环境要求。它们与战略设想、优先实现及原则保持一致,并以此为依据提供信息。下表1中的每个目标都有相应的SMART(具体的、可测量的、可实现的、相关的和有时间限制的)原则,指导所有级别的操作者进行任务执行。
表1 实现零信任目标及目的的好处

目标1:零信任文化采纳。
零信任安全架构和思维方式指导整个国防部零信任生态系统的信息技术设计、开发、整合和部署。所有国防部人员都意识到、理解、承诺并接受培训,以接受零信任思维和文化,并支持将包括DOTmLPF-P在内的零信任技术集成至国防信息环境中。
目标2:国防部信息系统的安全和防御。
国防部网络安全实践采纳并实施零信任,以实现国防部信息系统的弹性。
各部门将国防部零信任架构应用于所有新旧信息系统,实现国防部零信任能力路线图界定的能力成果,并与2022年国防战略的网络弹性重点保持一致。国防部零信任PfMO最晚于2023年9月23日向国防部首席信息官和联合部队—国防信息网络(JFHQ-DODIN)提供部门级执行计划,说明如何在包括所有基础设施和系统的网络中应用零信任。此外,国防部门必须在2027年前实现国防部零信任能力和附加因素的预期目标结果。总之,这些成果将共同加强联合开发、作战试验和现有的互操作能力,从而提高国防部、任务伙伴和作战人员的作战能力,实现从国家层面到作战人员的安全指挥和控制通信。
目标3:技术加速。
基于零信任的技术部署速度等于或超过行业发展速度,以保持在不断变化的威胁环境中的领先地位。国防部信息企业和国防信息网络得到快速有效的保护和防御(即目标2),并包括了允许创新扩展、放大和失败的最佳和最新技术。国防部信息企业及各机构与零信任工作保持一致,包括开发测试、确保可互操作的标准和资产。
目标4:零信任授权。
国防部零信任执行集成了部门与机构间的流程结合,从而实现了零信任的无缝、协调执行。流程、政策和资金是必要条件,以确保零信任框架在整个国防部信息企业中得到巩固。这意味着部门与机构级的流程和资源必须重新设计或同步零信任原则和方法。这种资源配置可持续,并内置于相邻、互补和协调的国防部技术、信息安全和预算工作及计划中。这一目标是零信任实施的前置条件,需要整个零信任生态系统的关注和努力。有关实现每个目标所需的说明,请参见下图4。

图4 国防部零信任战略目标

8 执行方法

国防部将通过持续、适应性和集中协调战略指导、资源优先顺序以及协调企业范围和特定部门的工作,以加快预期的速度实现ZT目标。实现这些目标需要多管齐下的方法,将技术解决方案用于解决人员、流程、资源、治理和风险管理等问题。具体而言,国防部及其各部门将计划并解决ZT-DOTmLPF-P解决方案缺口的所有要素。资源将进行协调,以缩小已确定的差距,并在整个部门建立符合国家战略指导、保护国家利益并减少恶意行为者的ZT框架。通过ZT实现具有影响力的安全效益的途径是通过一个迭代过程,随着国防部及其各部门执行其行动计划和联邦指导意见的演变,该过程必须随着战略背景的演变而不断完善。国防部将定期重新评估其战略的有效性,并根据需要进行调整。

ZT PfMOZT的主任代表国防部网络委员会,通过国防部主要职责办公室,与各部门协调,协调总体战略执行。PfMO将与各部门密切合作,定义、制定和调整执行计划,以实现图4中列出的各项目标。

由于举措有些是已经完成的,有些处于正在进行和计划中,ZT的起点和成熟度水平在整个国防部IE中有所不同。为此,各部门必须将其执行计划与该战略保持一致,以实现成果并确定实施机会及实施障碍。

根据安装地点和安装方式的不同,传统基础设施和系统可能不需要或不需要立即进行ZT改造,可能不符合强制采用ZT的要求。组件和系统所有者必须每年向ZT PfMO提交任何豁免请求,以获得国防部CIO的批准,该豁免基于一套预定义的标准,旨在确保国防部网络的最大安全性。

系统所有者负责执行和执行迁移至ZT,并且必须了解与延迟实施相关的风险。必须设计和实施适当的安全控制,包括为应对新的攻击媒介和新出现的威胁,对国防部执行风险管理框架(RMF)的可能改进,直到这些系统完全合理化,从而实现相应的现代化。

此外,各部门必须确定其采用符合ZT RA和DoD CIO指南的企业解决方案的意图。为了实现安全和防御的国防部IE(目标2),国防部和各部门必须实现图5所示的所有ZT能力。

图5 DOD零信任能力

国防部及其部门必须尽快达到国防部“ZT目标水平”。ZT目标级别包括确保和保护国防部DAAS以管理当前已知威胁风险所需的最低ZT能力成果和活动集。这是国防部ZT PfMO规定的级别,国防部所有人员必须最低限度地达到该级别。

在达到目标水平后,ZT PfMO将监测持续的合规性,并在当前风险得到缓解的情况下,指导向先进ZT过渡。高级能力包括一整套已确定的ZT能力成果和活动,这些成果和活动能够对网络安全风险和威胁作出适应性反应,并提供最高级别的保护。尽管在本战略的时间框架内实现这一先进水平将特别需要有限数量的系统和DAAS,但国防部将继续寻求采用附录B和C中概述的先进能力。达到“高级”状态(高级ZT)并不意味着ZT成熟的结束;相反,随着恶意行为者方法的进步和成熟,将需要继续完善攻击表面的保护。

基于继续向下一代安全架构发展的需要,以及在恶意行为者适应国防部改进的安全态势时应对新威胁的需要,ZT PfMO还可能修改该战略对目标级别ZT的定义。

资源和采购将确保ZT能力和活动在国防部要求的时间表内充分签约、接收和部署,以满足国防部国防部企业的ZT部署时间表。战略措施将提供一种评估ZT的方法。治理概念将描述实施的角色和决策权。

(一)衡量方法与指标
为了对该战略保持谨慎和负责的态度,零信任投资组合管理办公室(ZT PfMO)将制定和部署一种基于衡量指标的方法,以衡量和上报国防部在实现该战略四项战略目标方面的进展情况。
针对每个战略目标都包含SMART目标,可用于衡量战略目标实施进度。对于特定的目标,需要更多的衡量指标,例如根据零信任能力实现路线图对能力实现进行衡量。除了衡量国防部零信任战略目标外,将制定指标,以衡量实现每个战略目标所产生的影响和效益。
采用具体、定性和定量的指标来衡量国防部在实现战略目标方面的进展是必要的,以衡量整个国防部采用零信任的进展情况,确保遵守其他标准,协调资金和规划,并向高级领导层提供国防部信息安全的定期评估结果。
衡量方法和衡量指标对于确定零信任实施的情况和有效性也至关重要,而且必须能够确定其影响和需求。衡量方法和衡量指标将用于验证系统和网络的安全性以及特定组件级国防自动化寻址系统(DAAS)。未来关于零信任技术和概念整合的决策将由零信任衡量方法提供依据。
评估报告各组成部分应提供数据,以支持该战略的有效性和进度分析。报告的要求也是零信任衡量指标的一部分。零信任投资组合管理办公室(ZT PfMO)将向国防部网络理事会提供一个综合记分卡,以衡量该战略计划的进展,并确定需要缓解的其他风险,以推进零信任的总体战略目标。
(二)管理
零信任由国防部(DoD)首席信息官委员会管理,由国防部首席信息官和美国联合部队总部-国防部信息网络(简称JFHQ-DoDIN,美国网络司令部下辖的防御性作战部门)监督。
国防部网络委员会(CC)是零信任技术和战略指导的主要权威机构,由国防部首席信息官和首席网络顾问代表国防部副部长共同主持。
零信任投资组合管理办公室(ZT PfMO)主任根据国防部网络委员会的指导行事,负责统筹零信任战略的整体执行。这包括提供战略指导,指导各项工作的协调一致,以及优先安排资源,以加速整个国防部采用零信任。ZT PfMO主任将向国防部管理论坛或国防部首席信息官委员会提交其他非技术性决策。
为了支持零信任管理,ZT PfMO为国防部制定、发布和跟踪与零信任相关的管理决策(包括角色和责任)、政策和流程。ZT PfMO负责协调零信任工作,并支持国防部网络委员会处理与零信任实施相关的所有事项。ZT PfMO指南将与所有适用的国防部首席信息官管理和指令保持一致。

9 总 结

执行和实现国防部零信任战略的战略目标需要联合部队和整个防御生态系统的共同努力。国防部每个人都有责任确保零信任的成功。虽然保护数据是零信任的核心,但成功实施我们的零信任框架需要整个部门理解和接受零信任文化。
为了实现国防部零信任战略愿景,国防部必须像一个企业一样实现上述战略目标。虽然这是一项艰巨的任务,但国防部已经取得了重大进展。十多年来,国防部通过持续监测、多因素认证等举措推进了网络安全。零信任技术和解决方案及其带来的好处必须成为国防部的一部分,并在每一个计划和操作中加以考虑。
当今世界的网络安全是一个不断变化的目标,尽管它可能会发生变化,即使国防部调整和完善战略,但理念和文化仍将与其保持不变。在适当的资金和资源支持下,持续和开放的沟通与协调是战略成功的关键。国防部是否有能力保护其免受日益复杂的网络安全威胁,成败在此一举。


免责声明:本文转自信息安全与通信保密杂志社,原作者三十所信息中心。文章内容系原作者个人观点,本公众号编译/转载仅为分享、传达不同观点,如有任何异议,欢迎联系我们!



推荐阅读

技经观察丨美国新版《北极地区国家战略》报告编译

技经观察丨美国主要政府机构就《国家生物防御战略和实施计划》采取行动

技经观察丨未来大流行病的预防和准备

技经观察丨合成生物学政策规划及产业应用

技经观察丨美空军发布《气候行动计划》,在变化环境中保持空中优势


转自丨信息安全与通信保密杂志社

作者丨三十所信息中心

编辑丨郑实


研究所简介


国际技术经济研究所(IITE)成立于1985年11月,是隶属于国务院发展研究中心的非营利性研究机构,主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题,跟踪和分析世界科技、经济发展态势,为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号,致力于向公众传递前沿技术资讯和科技创新洞见。


地址:北京市海淀区小南庄20号楼A座

电话:010-82635522

微信:iite_er





延伸阅读

关注公众号:拾黑(shiheibook)了解更多

赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接