美國白宮本周三發布一項新的網絡安全戰略,旨在減少針對政府基礎設施的網絡攻擊風險。該戰略概述了政府將政府機構轉向“零信任”(zero trust)架構的願景:在這種網絡安全模式下,用戶和設備只被授予訪問手頭任務所需的網絡資源的權限,並根據情境需求進行認證。
這份關鍵文件是管理和預算辦公室(OMB)通過一份備忘錄發布的,發給所有行政部門和機構的負責人。根據該備忘錄,向“零信任”架構轉變將需要實施更強大的企業身份和訪問控制,包括更廣泛地使用多因素認證,特別是基於硬件的認證令牌,如訪問卡,而不是推送通知或短信。各機構還被要求對每一個為官方業務授權和操作的設備進行全面清點,並根據網絡安全和基礎設施安全局(CISA)制定的規範進行監控。
在一份聲明中,OMB 代理主任 Shalanda Young 表示:“面對日益複雜的網絡威脅,政府正在採取果斷行動,加強聯邦政府的網絡防禦。這一‘零信任’戰略是為了確保聯邦政府以身作則,它標誌着我們在努力擊退那些會對美國造成傷害的攻擊方面的另一個關鍵里程碑”。
CISA 主任 Jen Easterly 表示:“隨着我們的對手繼續追求創新的方式來破壞我們的基礎設施,我們必須繼續從根本上改變我們對聯邦網絡安全的態度。‘零信任’是這一努力的關鍵因素,以使我們的防禦系統現代化和加強。CISA 將繼續向各機構提供技術支持和業務專長,因為我們努力實現共同的成熟環境”。