白宫发布2024财年网络安全预算备忘录

本周三,白宫发布备忘录公布了拜登政府的跨政府部门网络安全投资优先事项,并呼吁联邦民事行政部门(FCEB)在三个网络安全重点领域进行投资,分别是:

  • 提高政府网络的防御能力和弹性
  • 深化关键基础设施防御方面的跨部门合作
  • 加强数字化未来的基础

备忘录称,网络安全研发优先事项的指导可以在即将发布的政府部门重点研发项目2024财年预算备忘录中找到。“这些优先事项应在管理和预算办公室(OMB)公布的2024财年预算指导范围内解决。”

政府部门零信任战略落实到预算

管理和预算办公室(OMB)和美国国家网络总监办公室(ONCD)将审查政府部门对这些网络优先事项的反应,同时确定潜在差距和可能的解决方案来弥补这些差距。此外,这两个部门将协调向其他政府部门提供反馈,说明其网络优先事项是否得到充分解决并与整体网络安全战略和政策保持一致。

拜登在2021年5月的总统行政命令中呼吁美国政府“做出大胆的改变和重大投资,以捍卫支撑美国生活方式的重要机构”,加固IT系统和网络并推动其现代化。FCEB将以身作则,在2024财年预算提交中优先考虑零信任实施和IT现代化。

拜登政府在今年1月份的一份备忘录中指示各政府部门和机构选择最高价值应用作为零信任战略道路的起点。

“这一战略是一个起点,而不是一个完全成熟的零信任架构的综合指南。”备忘录说。该备忘录中规定的联邦零信任战略还要求各机构在2024财年年底之前实现具体的零信任安全目标,预计提交的预算需要优先确保完成这项工作。

“各政府部门已向OMB提交了零信任实施计划,来自OMB、ONCD和网络安全与基础设施安全局(CISA)的跨政府网络安全专家团队正在与各政府部门合作,以完善这些计划并确定可实现目标,”最新的备忘录指出:“联邦零信任战略定义了政府部门的优先目标,在部门内实现一致的网络安全基线,该基线基于最小特权原则、最小化攻击面以及机构安全边界被攻破的假设设计保护措施。”

白宫备忘录补充说:“这是FCEB运营的重大转变,各政府部门需要在预算中体现出对实现新的、更具弹性的安全基础态势的承诺。

关键基础设施安全:深化横向和垂直合作

备忘录指出,美国的关键基础设施越来越多地与网络空间交互并由网络空间定义,因此确保基础设施对网络威胁的防御和弹性需要“公共部门和私营企业之间前所未有的(垂直)合作水平”。此外还需要深化跨部门横向合作以确保关键基础设施机构的安全。

根据备忘录,美国各政府部门将在2024财年建立横向深度合作,优先考虑其部门风险管理机构(SRMA)的职责,并确保通过指定的网络安全中心进行充分的信息共享。

备忘录强调,2024财年预算提交应优先考虑具体提案,以确保SRMA有足够的资源来履行其第9002节的职责。这些提案应使SRMA能够与CISA和其他SRMA更紧密地合作,以改善各政府部门的集体(政府和行业)防御、响应和恢复流程。预算还应该促进政府和行业之间的信息交流,包括通过美国联邦网络中心和信息共享和分析组织以及信息共享和分析中心,以开发可操作的运营情报。这些措施还将提供有意义的威胁缓解建议。

各政府部门提交的材料还必须深入阐述与各部门相关的国家安全风险的详细内容,这些风险正在或可能被包括民族国家在内的对手利用。预算提案还需要更深入地了解威胁参与者的网络策略、技术和程序(TTPs)以及对每个部门构成的风险。最后,这些提案必须促进行业和政府在网络威胁情报、安全指标和防御措施(包括安全、物理或虚拟环境中的事件)方面加强共享和协作。

给数字化未来打下坚实基础

随着美国从数字化经济向数字经济转型,各机构在塑造、指导和推动这一转型方面做出的决策将在未来数十年内产生重大影响。FCEB各部门将优先考虑物理基础设施、人力资本和供应链风险管理。

随着拜登政府通过《基础设施投资和就业法案》(IIJA)对基础设施进行“千载难逢”的投资,FCEB各部门的预算应支持保护该基础设施免受网络攻击的威胁。

备忘录称,IIJA资金没有覆盖与技术支持相关的成本,因此2024财年的投资预算应优先为(关键基础设施安全)技术支持项目审查和评估提供资金,以应对网络安全威胁,并在现有标准不足的情况下为基础设施投资制定网络安全性能标准。此外还必须推动跨部门的协作,以便在整体设计和实施阶段为项目提供充分的安全保障。

对于供应链风险管理(SCRM),被网络指出成立联邦采购安全委员会的目的就是为了管理此类网络安全风险。

“联邦机构必须为自己的采购建立正式的SCRM计划,特别是与信息和通信技术和服务(ICTS)有关的项目,”备忘录指出:“这些规定即将在2023年底到期,有待立法将该规定延长至2026年。2023财年的总统预算对政府部门的SCRM计划进行了关键投资。各部门应在其2024财年提交的文件中延续这些投资。此外,各部门应将额外资源用于培训和适当跟踪供应链投资,以支持改进联邦政府整体SCRM的工作。”

前一篇防御网络钓鱼的九大关键措施
后一篇Windows 11将增加防范勒索软件攻击的“新功能”