美國白宮發布“2024年網絡安全預算備忘錄”
當地時間7月22日,美國白宮發布了一份備忘錄,概述了拜登政府的跨政府部門網絡安全投資優先事項,并指出聯邦機構在制定2024財年預算時應重點關注這些優先事項。
據悉,網絡安全投資重點分為三個領域:提高政府網絡的防御能力和彈性;深化關鍵基礎設施防御方面的跨部門合作;加強數字化未來的基礎。
對于第一個優先領域:聯邦民事行政部門機構應在其2024財年預算提交中優先考慮信息技術現代化和零信任實施。
對于第二個優先領域:為促進跨部門合作,下一個財政年度的預算提交應確保部門風險管理機構有足夠的資源履行《2021財年國防授權法案》第9002節規定的職責。
對于第三個優先領域:各機構應優先考慮人力資本、有形基礎設施和供應鏈風險管理。
以下為備忘錄全文翻譯:
本備忘錄概述了政府制定2024財年預算提交給管理和預算辦公室(the Office of Management and Budget ,以下簡稱“OMB”)的跨部門網絡投資優先事項。有關網絡安全研發優先事項的指導意見,請參閱即將發布的2024財年預算備忘錄。聯邦民事行政部門(Federal Civilian Executive Branch,以下簡稱“FCEB”)將在三個網絡投資優先領域進行投資:提高政府網絡的防御能力和彈性;深化關鍵基礎設施防御方面的跨部門合作;加強數字化未來的基礎。這些優先事項應在OMB公布的2024財年預算指導范圍內解決。
OMB和國家網絡總監辦公室(the Office of the National Cyber Director,以下簡稱“ONCD”)將聯合審查各政府部門對這些優先事項的反應,確定潛在差距以及這些差距的潛在解決方案。
OMB將與ONCD協調,就優先事項是否得到充分處理以及是否符合總體網絡安全戰略和政策(通過正常預算流程幫助部門的多年規劃),向各政府部門提供反饋。
網絡投資重點
提高政府網絡的防御能力和彈性
在關于“改善國家網絡安全”的第14028號行政命令中,拜登總統呼吁美國政府“做出大膽的改變和重大投資,以捍衛支撐美國生活方式的重要部門”,以身作則加強自身信息技術(IT)系統和網絡并推動其現代化。FCEB將以身作則,在2024財年預算提交中優先考慮零信任實施和IT現代化。
零信任實施
聯邦零信任戰略(OMB備忘錄M-22-09)要求各政府部門在2024財年末實現具體的零信任安全目標,預算提交預計將優先確保完成這項工作。各政府部門已向OMB提交了零信任實施計劃,來自OMB、ONCD和網絡安全與基礎設施安全局(CISA)的跨政府網絡安全專家團隊正在與各政府部門合作,以完善這些計劃并確定可實現的目標。聯邦零信任戰略定義了政府部門的優先目標,在各部門內實現一致的網絡安全基線,該基線基于最小特權原則、最小化攻擊面以及部門安全邊界被攻破的假設設計保護措施。這是FCEB運營的重大轉變,各政府部門需要在預算中體現出對實現這一轉變并實現新的、更具彈性的安全基礎態勢的承諾。
通過設計實現聯邦網絡安全的IT現代化
報廢系統和技術債務不僅限制了政府的效率,而且限制了美國實施現代安全實踐的能力。部門應優先考慮在設計階段以及整個系統生命周期中集成安全性的技術現代化。總統管理議程( President’s Management Agenda,以下簡稱“PMA”)是聯邦機構為所有美國人民提供成果的路線圖。PMA呼吁建立卓越、公平和安全的聯邦服務和客戶體驗,并呼吁各部門繼續加強聯邦IT和網絡安全,作為任務交付的關鍵推動力。2024財年的投資將通過優先考慮以下事項來加強部門為該國所有人提供服務的能力:
利用零信任架構加速采用和使用安全的云基礎設施和服務;
開發和部署聯邦共享的產品、服務和標準,以增強安全的客戶體驗,尤其是在高影響力的服務提供商中;
使用共享安全技術,包括積極參與國土安全部的持續診斷和緩解計劃,以確保實施最新技術并為部門需求提供資金;
通過整個聯邦企業的凝聚力、協調性和在可行的情況下合并運營,在安全和IT運營團隊之間共享意識;
敏捷開發實踐,以及將美國國家標準與技術研究院 (NIST) 安全軟件開發框架和相關的軟件供應鏈安全指南整合到代理軟件采購和開發實踐中。
各部門還應確保預算中要求的資金不會與當前的部門或技術現代化基金項目重復。
深化關鍵基礎設施防御方面的跨部門合作
美國的關鍵基礎設施越來越多地與網絡空間交互并由網絡空間定義,因此確保基礎設施對網絡威脅的防御和彈性需要“公共部門和私營企業之間前所未有的(垂直)合作水平”。此外還需要深化跨部門橫向合作以確保關鍵基礎設施部門的安全。各政府部門將在2024財年建立橫向深度合作,優先考慮其部門風險管理機構(SRMA)的職責,并確保通過指定的網絡安全中心進行充分的信息共享。
部門風險管理機構 (SRMA)
部門應優先建立與關鍵基礎設施所有者和運營商合作的機制,以識別、理解和減輕威脅,各個部門的脆弱性和風險。2024財年預算提交應優先考慮具體提案,以確保SRMA有足夠的資源來履行2021年《國防授權法》第9002條規定的職責。提交的材料應:
使SRMA能夠與CISA和其他SRMA更緊密地合作,以改善各自部門內的集體(政府和行業)防御、響應和恢復能力;
促進政府和行業之間的信息交流,包括通過美國聯邦網絡中心、信息共享和分析組織以及信息共享和分析中心,以開發可操作的運營情報并提供有意義的威脅緩解建議;
深入闡述與各部門相關的國家安全風險的詳細內容,這些風險正在或可能被包括民族國家在內的對手利用;
更深入地了解威脅參與者的網絡戰術、技術和程序(TTPs)以及對每個部門構成的風險;
促進行業和政府在物理或虛擬安全環境中就網絡威脅情報、安全指標和防御措施加強共享和協作。
加強數字化未來的基礎
隨著美國從數字互補經濟向數字化經濟轉型,各部門就如何塑造、指導和確保這種轉型做出的決策將在未來幾十年內產生重大影響。FCEB各部門將優先考慮物理基礎設施、人力資本和供應鏈風險管理。
確保基礎設施投資
由于美國政府通過《基礎設施投資和就業法案》(Infrastructure Investment and Jobs Act,以下簡稱“IIJA”),對基礎設施進行了“千載難逢”的投資,FCEB各部門的預算應支持保護該基礎設施免受網絡攻擊的威脅。如果IIJA資金不包括與提供技術支持相關的成本,則2024財年的投資預算應優先為以下項目提供資金:
支持項目審查和評估以應對網絡安全威脅;
在現有標準不足的情況下為基礎設施投資制定網絡安全性能標準;
推動跨部門的協作,以便在整體設計和實施階段為項目提供技術支持。
人力資本
各部門應繼續投資于有能力的IT和網絡勞動力。這包括為美國政府和更廣泛的勞動力市場開發盡可能廣泛的IT和網絡人才庫。這些努力包括促進更廣泛的數字能力的工具。為了滿足超出基線意識的要求,各部門應支持行政領導力培訓和額外培訓計劃,為網絡與法律、行政管理、采購、人力資本、記錄管理和其他交叉領域的人員提供資源。2024財年的投資將優先考慮:
確保人力資本員工和首席信息官有足夠的資源來雇用和培訓IT和網絡專業人員,并有權留住IT和網絡員工,這與正在進行的PMA和NSM-3工作相一致,并進一步符合2024財年春季預算指南;
在其法定權限范圍內酌情探索基于技能的替代招聘和薪酬激勵做法,以確保技術人才能夠獲得工作機會;
確保以技術為中心的員工全面了解現代、安全的系統架構方法以及平臺和應用程序開發。
技術生態系統
供應鏈風險管理(Supply chain risk management ,以下簡稱“SCRM”)是管理網絡安全風險的關鍵能力。為了幫助解決這一風險,成立了聯邦采購安全委員會,這是為了就如何從行政部門信息系統中刪除某些涵蓋的物品提出建議或將這些物品的某些來源排除在行政部門采購行動之外。聯邦機構必須為自己的采購建立正式的SCRM計劃,特別是與信息和通信技術和服務(information and communications technology and services,以下簡稱“ICTS”)有關的項目。這些規定目前于2023年底到期,有待立法將該規定延長至2026年。2023財年總統預算對政府部門的SCRM計劃進行了關鍵投資。各部門應在其2024財年提交的文件中延續這些投資。此外,各部門應將額外資源用于培訓和適當跟蹤供應鏈投資,以支持改進聯邦政府整體SCRM的工作。
最后,除了建立聯邦政府自身的采購能力以應對ICTS供應鏈風險外,聯邦政府還在解決國家級ICTS供應鏈風險方面發揮作用。在2024財年提交的預算中,各部門應強調支持國家努力減輕對美國經濟安全和國家安全的過度或不可接受風險水平的投資。這可能包括對與E.O.13873“確保信息和通信技術及服務供應鏈安全”相關的活動的投資。
