6月27日,美国白宫管理和预算办公室(OMB)和国家网络总监办公室(ONCD)联合发布备忘录,概述了联邦部门和机构根据国家网络安全战略编制2025财年网络安全预算时,需落实的五大重点任务。
备忘录指出,预算提案必须与拜登政府今年3月发布的国家网络安全战略一致。两大办公室将审查联邦机构提交的预算提案,确定”潜在差距”和“解决这些差距的潜在方案”。
备忘录五大重点任务与美国国家网络安全战略五大支柱保持一致,包括:保卫关键基础设施、打击和摧毁威胁行为体、塑造市场力量以推动安全和弹性、以投资打造富有弹性的未来、建立国际伙伴关系以实现共同目标。
01、保卫关键基础设施
第一,打造现代化的联邦防御。美国政府必须继续加强信息技术系统,实现系统现代化。联邦机构应投资持久、长期、设计安全的解决方案。
因此,预算提案必须体现以下几点:在零信任部署方面取得进展,弥补与相关规定的差距;实现联邦零信任战略目标,明确机构投资将提升人员配置、流程和技术,向零信任能力成熟度模型靠拢;优先进行技术现代化确保机构系统符合安全标准、保证客户体验;保护国家安全系统;适当利用共享网络安全服务保卫联邦系统。
第二,改善网络安全基线要求。制定网络安全要求、考虑所需资源时,监管机构鼓励与受监管实体磋商。
因此,预算提案必须体现以下几点:充分利用现有的网络安全框架并符合自愿一致原则的标准;网络安全基线标准适用于关键基础设施领域,但需确保标准既有普适性又有灵活度;优先考虑网络安全能力和性能,确保监管制度有效落实。
第三,扩大公私合作。为保护关键基础设施,必须建立结构清晰的角色责任体系,通过数据、信息和知识自动交换增加连接性。
因此,预算提案必须体现以下几点:优先建立与关键基础设施业主和运营商合作的能力和机制,识别、理解和减轻各个部门面临的威胁、漏洞和风险;借鉴经验,行业风险管理机构(SRMA)应确定各行业能力需求和差距;每个SRMA考虑增加专职网络安全分析师,负责与关键基础设施合作,主动向业主和运营者提供信息。
02、打击和摧毁威胁行为体
打击网络犯罪,挫败勒索软件。勒索软件对国家安全、公共安全和经济繁荣构成威胁。美国政府将持续有针对性地进行干扰活动,使勒索软件无法盈利。
因此,相关部门和机构的预算提案必须体现以下几点:优先安排人员调查勒索软件犯罪,干扰勒索软件基础设施和行为体;优先安排人员打击勒索软件行为者滥用虚拟货币洗钱;参加打击网络犯罪的跨机构工作组。
03、塑造市场力量以推动安全和弹性
第一,保障软件安全,利用联邦采购加强问责制度。联邦机构需采取措施确保软件生产商遵守安全软件开发实践要求,比如软件生产商获取自我认证。联邦采购管理委员会考虑变更联邦采购规章,加强和统一各机构的网络安全合同要求。变更前将发布拟议规则,征集政府外利益相关者的意见。
因此,预算提案必须体现以下几点:能力满足安全软件和服务要求(包括合同成本、培训);确定可以帮助实现网络安全要求,并在机构内外广泛试点的新采购方式。
第二,利用联邦拨款和其他激励措施来构建安全性。联邦部门和机构应确保联邦关键基础设施的联邦资助计划在设计、开发、实施和维护中考虑网络安全弹性。
因此,预算提案必须体现以下几点,保护联邦关键基础设施免受网络威胁:支持项目评审、财务合规和评估,解决网络安全威胁,视需要为基础设施投资制定网络安全性能标准;鼓励跨机构合作,为项目在设计和建设阶段提供技术支持。
04、以投资打造富有弹性的未来
第一,加强网络人才队伍建设。美国的集体网络安全受到网络人才队伍不足的掣肘。
因此,预算提案必须体现以下几点:为联邦政府培养、吸引、留住网络人才,并采用基于技能的招聘方法,包括技能能力评估、联合招聘和多途径入职;通过技术援助、拨款和跨部门网络人才项目,培养基础网络技术和能力。
第二,为后量子时代做准备。美国政府正努力加强美国在量子信息科学领域的领导地位,并应对量子计算可能对加密数据和系统造成的潜在威胁。
因此,预算提案必须体现以下几点:确保预算申请明确体现相关法规政策要求,采用必要服务和软件,以便准确自动化盘点内部的加密系统,并按要求将最关键、最敏感的网络和系统进行后量子加密。
05、建立国际伙伴关系以实现共同目标
第一,加强国际合作伙伴的能力和美国的援助能力。美国将合作确定、干预或解决恶意网络活动,缓解对美国网络和关键基础设施的威胁。
拥有海外网络安全任务的联邦机构的预算申请必须体现以下几点:充分发挥政府内部专业能力,协调有效地建设国际网络能力;如有国际操作协调任务,面对重大网络攻击时,加强与外国伙伴和盟友的配合与援助;与私营部门、非政府组织和其他国际合作伙伴合作,建立或加强国际合作伙伴的网络能力,保证他们在数字生态系统中的安全。
第二,确保信息、通信和运营技术产品与服务的全球供应链安全。联邦机构需要建立正式的供应链风险管理(SCRM)计划,获取信息和通信技术及服务。
预算提案必须体现以下几点:明确评估、监测供应链风险并支持机构SCRM计划所需人员;如信息和通信技术交易涉及受外国对手控制或管辖的个体,需按规定,委相关评估项目提供支持,以评估交易对美国和美国民众可能产生的威胁。
原文来源:赛博研究院