白宫要求,各联邦机构制定2025财年预算时应落实国家网络安全战略。
预计零信任架构、设计默认安全、软件安全开发、后量子加密等技术将受热捧。
6月29日消息,美国白宫管理和预算办公室(OMB)和国家网络总监办公室(ONCD)日前联合发布备忘录,概述了联邦部门和机构根据国家网络安全战略编制2025财年网络安全预算时,需落实的五大重点任务。
备忘录表示,预算提案必须与拜登政府今年3月发布的国家网络安全战略一致。两大办公室将审查联邦机构提交的预算提案,“确定潜在差距”和“解决这些差距的潜在方案”。
备忘录称:“OMB将与ONCD协调,判断联邦机构预算提案是否充分考虑网络安全要求,是否与国家网络安全战略和政策保持一致,并向提交机构提供反馈,帮助机构通过常规预算流程进行多年规划。”
聚焦五大重点任务
备忘录五大重点任务与美国国家网络安全战略五大支柱保持一致,包括:保护关键基础设施、破坏和摧毁威胁行为者、塑造市场力量以推动安全和弹性、投资更有弹性的未来、建立国际伙伴关系以追求共同目标。
任务一:保护关键基础设施
第一,打造现代化联邦防御。美国政府必须继续加强信息技术系统,实现系统现代化。联邦机构应投资持久、长期、设计安全的解决方案。
因此,预算提案必须体现以下几点:在零信任部署方面取得进展,弥补与相关规定的差距;实现联邦零信任战略目标,明确机构投资将提升人员配置、流程和技术,向零信任能力成熟度模型靠拢;优先进行技术现代化确保机构系统符合安全标准、保证客户体验;保护国家安全系统;适当利用共享网络安全服务保卫联邦系统。
第二,改善网络安全基线要求。制定网络安全要求、考虑所需资源时,监管机构鼓励与受监管实体磋商。
因此,预算提案必须体现以下几点:利用NIST网络安全框架和符合自愿一致原则的标准;进一步落实基于绩效的监管,确保网络安全基线标准既有普适性又有灵活度;优先考虑网络安全能力和性能,确保监管制度有效落实。
第三,扩大公私合作。为保护关键基础设施,必须建立结构清晰的角色责任体系,通过数据、信息和知识自动交换增加连接性。
因此,预算提案必须体现以下几点:优先建立与关键基础设施业主和运营商合作的能力和机制,识别、理解和减轻各个部门面临的威胁、漏洞和风险;借鉴经验,行业风险管理机构(SRMA)应确定各行业能力需求和差距;每个SRMA考虑增加专职网络安全分析师,负责与关键基础设施合作,主动向业主和运营者提供信息。
任务二:破坏和摧毁威胁行为者
反击网络犯罪,击败勒索软件。勒索软件对国家安全、公共安全和经济繁荣构成威胁。美国政府将持续有针对性地进行干扰活动,使勒索软件无法盈利。
因此,相关部门和机构的预算提案必须体现以下几点:优先安排人员调查勒索软件犯罪,干扰勒索软件基础设施和行为者;优先安排人员打击勒索软件行为者滥用虚拟货币洗钱;参加打击网络犯罪的跨机构工作组。
任务三:塑造市场力量以推动安全和弹性
第一,保障软件安全,利用联邦采购加强问责制度。联邦机构需采取措施确保软件生产商遵守安全软件开发实践要求,比如软件生产商获取自我认证。联邦采购管理委员会考虑变更联邦采购规章,加强和统一各机构的网络安全合同要求。变更前将发布拟议规则,征集政府外利益相关者的意见。
因此,预算提案必须体现以下几点:能力满足安全软件和服务要求(包括合同成本、培训);确定可以帮助实施网络安全要求,并在机构内外广泛试点的新采购方式。
第二,利用联邦拨款和其他激励措施来构建安全性。联邦部门和机构应确保联邦关键基础设施的联邦资助计划在设计、开发、实施和维护中考虑网络安全弹性。
因此,预算提案必须体现以下几点,保护联邦关键基础设施免受网络威胁:支持项目评审、财务合规和评估,解决网络安全威胁,视需要为基础设施投资制定网络安全性能标准;鼓励跨机构合作,为项目在设计和建设阶段提供技术支持。
任务四:投资更有弹性的未来
第一,加强网络人才队伍建设。美国的集体网络安全受到网络人才队伍不足的掣肘。
因此,预算提案必须体现以下几点:为联邦政府培养、吸引、留住网络人才,并采用基于技能的招聘方法,包括技能能力评估、联合招聘和多途径入职;通过技术援助、拨款和跨部门网络人才项目,培养基础网络技术和能力。
第二,为后量子时代做准备。美国政府正努力加强美国在量子信息科学领域的领导地位,并应对量子计算可能对加密数据和系统造成的潜在威胁。
因此,预算提案必须体现以下几点:确保预算申请明确体现相关法规政策要求,采用必要服务和软件,以便准确自动化盘点内部的加密系统,并按要求将最关键、最敏感的网络和系统进行后量子加密。
任务五:打造国际合作伙伴关系以追求共同目标
第一,加强国际合作伙伴的能力和美国的援助能力。美国将合作确定、干预或解决恶意网络活动,缓解对美国网络和关键基础设施的威胁。
拥有海外网络安全任务的联邦机构的预算申请必须体现以下几点:充分发挥政府内部专业能力,协调有效地建设国际网络能力;如有国际操作协调任务,面对重大网络攻击时,加强与外国伙伴和盟友的配合与援助;与私营部门、非政府组织和其他国际合作伙伴合作,建立或加强国际合作伙伴的网络能力,保证他们在数字生态系统中的安全。
第二,确保信息、通信和运营技术产品与服务的全球供应链安全。联邦机构需要建立正式的供应链风险管理(SCRM)计划,获取信息和通信技术及服务。
预算提案必须体现以下几点:明确评估、监测供应链风险并支持机构SCRM计划所需人员;如信息和通信技术交易涉及受外国对手控制或管辖的个体,需按规定,委相关评估项目提供支持,以评估交易对美国和美国民众可能产生的威胁。
加速推动网络安全战略落地
该备忘录发布之际,美国白宫正在准备多项战略,例如预计于今年夏季发布的国家网络安全战略实施计划、国家网络人才战略。ONCD和OMB表示,还将发布一份关于网络安全研究和发展重点的指导备忘录。
备忘录指出,联邦机构需要通过实施联邦零信任策略、改善基准网络安全要求、扩大公私合作来保护使关键基础设施。该备忘录还指出,勒索软件仍然是美国国家安全威胁。为了摧毁威胁行为者,一些机构应重点实施调查并破坏犯罪基础设施,要“优先配置人员打击虚拟货币的滥用”,并参与跨机构工作组。
除此之外,拜登政府要求联邦机构利用购买力影响网络安全市场,采用基于技能的招聘方法加强网络安全人员队伍,遵循美国后量子时代国家安全备忘录,加强国际伙伴关系,并保护信息、通信和运营技术全球供应链。
参考资料:
cyberscoop.com