白宫要求，各联邦机构制定2025财年预算时应落实国家网络安全战略。

预计零信任架构、设计默认安全、软件安全开发、后量子加密等技术将受热捧。

6月29日消息，美国白宫管理和预算办公室（OMB）和国家网络总监办公室（ONCD）日前联合发布备忘录，概述了联邦部门和机构根据国家网络安全战略编制2025财年网络安全预算时，需落实的五大重点任务。

备忘录表示，预算提案必须与拜登政府今年3月发布的国家网络安全战略一致。两大办公室将审查联邦机构提交的预算提案，“确定潜在差距”和“解决这些差距的潜在方案”。

备忘录称：“OMB将与ONCD协调，判断联邦机构预算提案是否充分考虑网络安全要求，是否与国家网络安全战略和政策保持一致，并向提交机构提供反馈，帮助机构通过常规预算流程进行多年规划。”

聚焦五大重点任务

备忘录五大重点任务与美国国家网络安全战略五大支柱保持一致，包括：保护关键基础设施、破坏和摧毁威胁行为者、塑造市场力量以推动安全和弹性、投资更有弹性的未来、建立国际伙伴关系以追求共同目标。

任务一：保护关键基础设施

第一，打造现代化联邦防御。美国政府必须继续加强信息技术系统，实现系统现代化。联邦机构应投资持久、长期、设计安全的解决方案。

因此，预算提案必须体现以下几点：在零信任部署方面取得进展，弥补与相关规定的差距；实现联邦零信任战略目标，明确机构投资将提升人员配置、流程和技术，向零信任能力成熟度模型靠拢；优先进行技术现代化确保机构系统符合安全标准、保证客户体验；保护国家安全系统；适当利用共享网络安全服务保卫联邦系统。

第二，改善网络安全基线要求。制定网络安全要求、考虑所需资源时，监管机构鼓励与受监管实体磋商。

因此，预算提案必须体现以下几点：利用NIST网络安全框架和符合自愿一致原则的标准；进一步落实基于绩效的监管，确保网络安全基线标准既有普适性又有灵活度；优先考虑网络安全能力和性能，确保监管制度有效落实。

第三，扩大公私合作。为保护关键基础设施，必须建立结构清晰的角色责任体系，通过数据、信息和知识自动交换增加连接性。

因此，预算提案必须体现以下几点：优先建立与关键基础设施业主和运营商合作的能力和机制，识别、理解和减轻各个部门面临的威胁、漏洞和风险；借鉴经验，行业风险管理机构（SRMA）应确定各行业能力需求和差距；每个SRMA考虑增加专职网络安全分析师，负责与关键基础设施合作，主动向业主和运营者提供信息。

任务二：破坏和摧毁威胁行为者

反击网络犯罪，击败勒索软件。勒索软件对国家安全、公共安全和经济繁荣构成威胁。美国政府将持续有针对性地进行干扰活动，使勒索软件无法盈利。

因此，相关部门和机构的预算提案必须体现以下几点：优先安排人员调查勒索软件犯罪，干扰勒索软件基础设施和行为者；优先安排人员打击勒索软件行为者滥用虚拟货币洗钱；参加打击网络犯罪的跨机构工作组。

任务三：塑造市场力量以推动安全和弹性

第一，保障软件安全，利用联邦采购加强问责制度。联邦机构需采取措施确保软件生产商遵守安全软件开发实践要求，比如软件生产商获取自我认证。联邦采购管理委员会考虑变更联邦采购规章，加强和统一各机构的网络安全合同要求。变更前将发布拟议规则，征集政府外利益相关者的意见。

因此，预算提案必须体现以下几点：能力满足安全软件和服务要求（包括合同成本、培训）；确定可以帮助实施网络安全要求，并在机构内外广泛试点的新采购方式。

第二，利用联邦拨款和其他激励措施来构建安全性。联邦部门和机构应确保联邦关键基础设施的联邦资助计划在设计、开发、实施和维护中考虑网络安全弹性。

因此，预算提案必须体现以下几点，保护联邦关键基础设施免受网络威胁：支持项目评审、财务合规和评估，解决网络安全威胁，视需要为基础设施投资制定网络安全性能标准；鼓励跨机构合作，为项目在设计和建设阶段提供技术支持。

任务四：投资更有弹性的未来 

第一，加强网络人才队伍建设。美国的集体网络安全受到网络人才队伍不足的掣肘。

因此，预算提案必须体现以下几点：为联邦政府培养、吸引、留住网络人才，并采用基于技能的招聘方法，包括技能能力评估、联合招聘和多途径入职；通过技术援助、拨款和跨部门网络人才项目，培养基础网络技术和能力。

第二，为后量子时代做准备。美国政府正努力加强美国在量子信息科学领域的领导地位，并应对量子计算可能对加密数据和系统造成的潜在威胁。

因此，预算提案必须体现以下几点：确保预算申请明确体现相关法规政策要求，采用必要服务和软件，以便准确自动化盘点内部的加密系统，并按要求将最关键、最敏感的网络和系统进行后量子加密。

任务五：打造国际合作伙伴关系以追求共同目标  

第一，加强国际合作伙伴的能力和美国的援助能力。美国将合作确定、干预或解决恶意网络活动，缓解对美国网络和关键基础设施的威胁。

拥有海外网络安全任务的联邦机构的预算申请必须体现以下几点：充分发挥政府内部专业能力，协调有效地建设国际网络能力；如有国际操作协调任务，面对重大网络攻击时，加强与外国伙伴和盟友的配合与援助；与私营部门、非政府组织和其他国际合作伙伴合作，建立或加强国际合作伙伴的网络能力，保证他们在数字生态系统中的安全。

第二，确保信息、通信和运营技术产品与服务的全球供应链安全。联邦机构需要建立正式的供应链风险管理（SCRM）计划，获取信息和通信技术及服务。

预算提案必须体现以下几点：明确评估、监测供应链风险并支持机构SCRM计划所需人员；如信息和通信技术交易涉及受外国对手控制或管辖的个体，需按规定，委相关评估项目提供支持，以评估交易对美国和美国民众可能产生的威胁。

加速推动网络安全战略落地

该备忘录发布之际，美国白宫正在准备多项战略，例如预计于今年夏季发布的国家网络安全战略实施计划、国家网络人才战略。ONCD和OMB表示，还将发布一份关于网络安全研究和发展重点的指导备忘录。

备忘录指出，联邦机构需要通过实施联邦零信任策略、改善基准网络安全要求、扩大公私合作来保护使关键基础设施。该备忘录还指出，勒索软件仍然是美国国家安全威胁。为了摧毁威胁行为者，一些机构应重点实施调查并破坏犯罪基础设施，要“优先配置人员打击虚拟货币的滥用”，并参与跨机构工作组。

除此之外，拜登政府要求联邦机构利用购买力影响网络安全市场，采用基于技能的招聘方法加强网络安全人员队伍，遵循美国后量子时代国家安全备忘录，加强国际伙伴关系，并保护信息、通信和运营技术全球供应链。

参考资料：

cyberscoop.com