美国防部出台“零信任”计划
据美国《国防》月刊网站12月23日报道,在作出承诺多年后,美国国防部终于制订了网络保护计划。
国防部首席信息官办公室今年11月发布的《国防部零信任战略》阐明了国防部在2027年前实现完全“零信任”的标准和最后期限。网络安全专家说,政府和私营部门应该合作利用资源,以成功实施新战略。
网络安全与基础设施安全局副局长尼廷·纳塔拉詹在10月份的一场活动中说:“对关键基础设施的网络物理威胁确实是我们当前面临的最严重的国家安全挑战之一,形势已变得更加复杂。”
他说,网络攻击者比过去拥有更多资源,对不安全的系统进行大量破坏的代价也更低。
新战略的基本宗旨是,即使把机构安全视为城堡周围的护城河,也无法阻挡坏人进入。
“零信任”文化要求网络内部的每个人假定网络已经遭到破坏,并要求所有用户随时证明自己的身份。
该战略列举了有助于培养“零信任”环境的技术,如持续多因素身份认证、微细分、高级加密、端点安全、解析法和严格审计等。
上述技术可以用来实现这一基本前提,而这一切实际上意味着“用户只会在必要时获取所需要的那部分数据”。
该战略的四大主题是:接受“零信任”文化,实施“零信任”措施,加速推进“零信任”技术以及加速部门融合。战略指出,虽然五角大楼的信息技术部门可能需要采购新产品,但没有哪一种技术能力可以解决所有问题。
该战略写道:“虽然目标规定了应该采取‘哪些’行动,但没有规定‘如何’行动,因为国防部不同部门可能需要采用不同的方式实现目标。”
在技术方面,五角大楼的“零信任”战略要求在减少壁垒的同时更快地推出能力。文件称,简化组织架构和高效数据管理的能力也很重要。
目前正在进行的一项技术研发是“雷霆穹顶”,博思艾伦咨询公司今年早些时候获得了这项价值680万美元的合同。国防部信息系统局发布的一份新闻稿称,这项技术将保护五角大楼的机密信息发送器“安全互联网协议路由器网络”的接入。
该战略指出,用多因素身份认证等技术完全改造每个旧平台是不可能的。不过,军方可以在此期间对老旧系统实施保护措施。
按照该战略关于安全信息系统的要求,还将实现人工智能操作自动化以及确保各级通信安全。
(更多国际新闻,参见《参考消息》数字报,点击此处可订阅)
监制 | 陈鹏
审核 | 孙鹏
编辑 | 许海婷
微信扫码关注该文公众号作者