美国政府强化零信任的深义：实现多层级网络安全

美国企业和基础设施频频遭遇重大网络攻击，凸显网络安全对政府的高度重要性。

拜登政府意图强化其网络防御，正为各联邦机构实现“零信任”网络安全策略，并要求美国国家安全局(NSA)和美国网络司令部“严密关注”网络威胁。这些变化反映出，在美国企业和基础设施遭到一些引人注目的攻击后，网络安全对政府的重要性日趋凸显。

9月14日，美国NSA局长和网络司令部司令保罗·中曾根上将向美联社透露称，美国政府专家团队正加紧“打击”针对公共和私营部门的网络攻击。中曾根表示：“就在六个月前，我们可能还会说，‘勒索软件就是个犯罪行为’，但如果影响到国家了，就像我们所看到的那样，那这个问题就上升为国家安全问题了。只要是国家安全问题，那我们肯定要严厉打击的。”

 为什么美国要强化其网络防御？

Colonial Pipeline和肉类加工企业JBS所遭受的这些网络攻击引发美国政府重新审视网络安全的重要性。重新聚焦网络安全后，拜登政府发布零信任网络安全计划蓝图，要求所有联邦机构实现零信任网络安全。

英国智库国际战略问题研究所(IISS)研究员Franz-Stefan Gady表示，这两项公告都表明对在线安全的高度关注，且可能归属由美国国防部辖下美国网络司令部实施的总体网络安全战略(该战略称为“持续交手”)。他说：“中曾根将军关于加强网络入侵打击力度的评论符合美国网络司令部的‘持续交手’战略，其中可能包括针对网络空间中恶意黑客网络的先发制人行动。”

持续交手是一种双管齐下的策略，旨在通过降低恶意黑客实施攻击的能力来尽量降低攻击风险，同时减少渗透到其系统的机会。

适用《首席财务官法案》(CFO Act)的非军事联邦机构中，国土安全部的网络安全预算最高。

图：按机构划分的民用联邦网络安全支出预测（单位：百万美元）

图中数字囊括了美国行政管理和预算局对适用《首席财务官法案》的所有24个联邦部门和机构做出的预测(国防部除外)。

零信任能发挥效用吗？

零信任方法要求维持严格的控制，默认不信任任何东西，无论其源自组织内部还是外部。Gady称：“拜登政府引入零信任方法，是要实现层级化的网络防御。”

英国安全公司Darktrace的威胁追踪主管Max Heinemeyer认为，此类策略在当前安全环境中是“绝对必要”的。他解释道：“尽管不是抵御网络攻击的万全之策，零信任仍然是实现当今任何组织所需网络弹性的重要一步。不同于预先假定信任供应商、内部网络、研究部门、VIP等，零信任方法质疑一切事物，只授予所必需的最小权限，且安全团队以自身已遭入侵为工作原则。”

英国皇家国际事务研究所(查塔姆研究所，Chatham House)副研究员Emily Taylor表示，美国政府最近几周不仅提出了多层级安全方法，还表达出了在网络攻击响应方面与私营产业合作的意愿。她补充道，令人印象深刻的人才招募也加强了美国政府内部的安全专业知识。“他们将一些经验丰富的专家补充到了高层网络职位上，现在他们拥有了大量专家。