美国白宫发布“2024年网络安全预算备忘录”
当地时间7月22日,美国白宫发布了一份备忘录,概述了拜登政府的跨政府部门网络安全投资优先事项,并指出联邦机构在制定2024财年预算时应重点关注这些优先事项。
据悉,网络安全投资重点分为三个领域:提高政府网络的防御能力和弹性;深化关键基础设施防御方面的跨部门合作;加强数字化未来的基础。
对于第一个优先领域:联邦民事行政部门机构应在其2024财年预算提交中优先考虑信息技术现代化和零信任实施。
对于第二个优先领域:为促进跨部门合作,下一个财政年度的预算提交应确保部门风险管理机构有足够的资源履行《2021财年国防授权法案》第9002节规定的职责。
对于第三个优先领域:各机构应优先考虑人力资本、有形基础设施和供应链风险管理。
以下为备忘录全文翻译:
本备忘录概述了政府制定2024财年预算提交给管理和预算办公室(the Office of Management and Budget ,以下简称“OMB”)的跨部门网络投资优先事项。有关网络安全研发优先事项的指导意见,请参阅即将发布的2024财年预算备忘录。联邦民事行政部门(Federal Civilian Executive Branch,以下简称“FCEB”)将在三个网络投资优先领域进行投资:提高政府网络的防御能力和弹性;深化关键基础设施防御方面的跨部门合作;加强数字化未来的基础。这些优先事项应在OMB公布的2024财年预算指导范围内解决。
OMB和国家网络总监办公室(the Office of the National Cyber Director,以下简称“ONCD”)将联合审查各政府部门对这些优先事项的反应,确定潜在差距以及这些差距的潜在解决方案。
OMB将与ONCD协调,就优先事项是否得到充分处理以及是否符合总体网络安全战略和政策(通过正常预算流程帮助部门的多年规划),向各政府部门提供反馈。
网络投资重点
提高政府网络的防御能力和弹性
在关于“改善国家网络安全”的第14028号行政命令中,拜登总统呼吁美国政府“做出大胆的改变和重大投资,以捍卫支撑美国生活方式的重要部门”,以身作则加强自身信息技术(IT)系统和网络并推动其现代化。FCEB将以身作则,在2024财年预算提交中优先考虑零信任实施和IT现代化。
零信任实施
联邦零信任战略(OMB备忘录M-22-09)要求各政府部门在2024财年末实现具体的零信任安全目标,预算提交预计将优先确保完成这项工作。各政府部门已向OMB提交了零信任实施计划,来自OMB、ONCD和网络安全与基础设施安全局(CISA)的跨政府网络安全专家团队正在与各政府部门合作,以完善这些计划并确定可实现的目标。联邦零信任战略定义了政府部门的优先目标,在各部门内实现一致的网络安全基线,该基线基于最小特权原则、最小化攻击面以及部门安全边界被攻破的假设设计保护措施。这是FCEB运营的重大转变,各政府部门需要在预算中体现出对实现这一转变并实现新的、更具弹性的安全基础态势的承诺。
通过设计实现联邦网络安全的IT现代化
报废系统和技术债务不仅限制了政府的效率,而且限制了美国实施现代安全实践的能力。部门应优先考虑在设计阶段以及整个系统生命周期中集成安全性的技术现代化。总统管理议程( President’s Management Agenda,以下简称“PMA”)是联邦机构为所有美国人民提供成果的路线图。PMA呼吁建立卓越、公平和安全的联邦服务和客户体验,并呼吁各部门继续加强联邦IT和网络安全,作为任务交付的关键推动力。2024财年的投资将通过优先考虑以下事项来加强部门为该国所有人提供服务的能力:
利用零信任架构加速采用和使用安全的云基础设施和服务;
开发和部署联邦共享的产品、服务和标准,以增强安全的客户体验,尤其是在高影响力的服务提供商中;
使用共享安全技术,包括积极参与国土安全部的持续诊断和缓解计划,以确保实施最新技术并为部门需求提供资金;
通过整个联邦企业的凝聚力、协调性和在可行的情况下合并运营,在安全和IT运营团队之间共享意识;
敏捷开发实践,以及将美国国家标准与技术研究院 (NIST) 安全软件开发框架和相关的软件供应链安全指南整合到代理软件采购和开发实践中。
各部门还应确保预算中要求的资金不会与当前的部门或技术现代化基金项目重复。
深化关键基础设施防御方面的跨部门合作
美国的关键基础设施越来越多地与网络空间交互并由网络空间定义,因此确保基础设施对网络威胁的防御和弹性需要“公共部门和私营企业之间前所未有的(垂直)合作水平”。此外还需要深化跨部门横向合作以确保关键基础设施部门的安全。各政府部门将在2024财年建立横向深度合作,优先考虑其部门风险管理机构(SRMA)的职责,并确保通过指定的网络安全中心进行充分的信息共享。
部门风险管理机构 (SRMA)
部门应优先建立与关键基础设施所有者和运营商合作的机制,以识别、理解和减轻威胁,各个部门的脆弱性和风险。2024财年预算提交应优先考虑具体提案,以确保SRMA有足够的资源来履行2021年《国防授权法》第9002条规定的职责。提交的材料应:
使SRMA能够与CISA和其他SRMA更紧密地合作,以改善各自部门内的集体(政府和行业)防御、响应和恢复能力;
促进政府和行业之间的信息交流,包括通过美国联邦网络中心、信息共享和分析组织以及信息共享和分析中心,以开发可操作的运营情报并提供有意义的威胁缓解建议;
深入阐述与各部门相关的国家安全风险的详细内容,这些风险正在或可能被包括民族国家在内的对手利用;
更深入地了解威胁参与者的网络战术、技术和程序(TTPs)以及对每个部门构成的风险;
促进行业和政府在物理或虚拟安全环境中就网络威胁情报、安全指标和防御措施加强共享和协作。
加强数字化未来的基础
随着美国从数字互补经济向数字化经济转型,各部门就如何塑造、指导和确保这种转型做出的决策将在未来几十年内产生重大影响。FCEB各部门将优先考虑物理基础设施、人力资本和供应链风险管理。
确保基础设施投资
由于美国政府通过《基础设施投资和就业法案》(Infrastructure Investment and Jobs Act,以下简称“IIJA”),对基础设施进行了“千载难逢”的投资,FCEB各部门的预算应支持保护该基础设施免受网络攻击的威胁。如果IIJA资金不包括与提供技术支持相关的成本,则2024财年的投资预算应优先为以下项目提供资金:
支持项目审查和评估以应对网络安全威胁;
在现有标准不足的情况下为基础设施投资制定网络安全性能标准;
推动跨部门的协作,以便在整体设计和实施阶段为项目提供技术支持。
人力资本
各部门应继续投资于有能力的IT和网络劳动力。这包括为美国政府和更广泛的劳动力市场开发尽可能广泛的IT和网络人才库。这些努力包括促进更广泛的数字能力的工具。为了满足超出基线意识的要求,各部门应支持行政领导力培训和额外培训计划,为网络与法律、行政管理、采购、人力资本、记录管理和其他交叉领域的人员提供资源。2024财年的投资将优先考虑:
确保人力资本员工和首席信息官有足够的资源来雇用和培训IT和网络专业人员,并有权留住IT和网络员工,这与正在进行的PMA和NSM-3工作相一致,并进一步符合2024财年春季预算指南;
在其法定权限范围内酌情探索基于技能的替代招聘和薪酬激励做法,以确保技术人才能够获得工作机会;
确保以技术为中心的员工全面了解现代、安全的系统架构方法以及平台和应用程序开发。
技术生态系统
供应链风险管理(Supply chain risk management ,以下简称“SCRM”)是管理网络安全风险的关键能力。为了帮助解决这一风险,成立了联邦采购安全委员会,这是为了就如何从行政部门信息系统中删除某些涵盖的物品提出建议或将这些物品的某些来源排除在行政部门采购行动之外。联邦机构必须为自己的采购建立正式的SCRM计划,特别是与信息和通信技术和服务(information and communications technology and services,以下简称“ICTS”)有关的项目。这些规定目前于2023年底到期,有待立法将该规定延长至2026年。2023财年总统预算对政府部门的SCRM计划进行了关键投资。各部门应在其2024财年提交的文件中延续这些投资。此外,各部门应将额外资源用于培训和适当跟踪供应链投资,以支持改进联邦政府整体SCRM的工作。
最后,除了建立联邦政府自身的采购能力以应对ICTS供应链风险外,联邦政府还在解决国家级ICTS供应链风险方面发挥作用。在2024财年提交的预算中,各部门应强调支持国家努力减轻对美国经济安全和国家安全的过度或不可接受风险水平的投资。这可能包括对与E.O.13873“确保信息和通信技术及服务供应链安全”相关的活动的投资。
