据美国“防务新闻”网站报道,美国国防部零信任网络战略正在接受公共审查,相关文件将于近期公布。该战略将对五角大楼实现零信任的百余项行动进行阐述,涵盖应用程序、自动化和分析学。五角大楼试图通过构建各部门范围内零信任网络安全架构,确保国防部相关企业重要数据的安全。
五角大楼首席信息官约翰・谢尔曼近期表示,美国已不再是唯一拥有最先进网络与通信技术的国家,若不对本国网络进行防护,其他同样精通网络技术的国家可通过多种技术手段访问美国机密网站,窃取相关数据,威胁美国国家安全和社会稳定。因此,提高数据安全等级已成为美国当前十分重要的任务。
零信任是网络安全的一种新范式,假设网络始终处于危险之中,因此,需要对用户和设备进行持续验证。这种做法被称为“从不信任,总是核实”。此次零信任战略的提出是对拜登政府2021年颁布的《关于改善国家网络安全行政令》的进一步落实,旨在由传统的基于边界的网络防御转向持续验证,将政府安全架构迁移至零信任架构,加强抵御网络威胁的能力。
总体来说,五角大楼零信任战略行动措施包括:各机构工作人员使用特定身份访问应用程序,各机构对其网络环境中所有域名解析系统请求和超文本传输协议进行加密,联邦政府拥有运营和授权使用所有设备的完整清单,所有应用程序接入互联网并定期接受严格测试,利用云安全服务监控敏感数据的访问。
随着信息技术的迅猛发展,网络已成为现代军事斗争的重要战场。近年来,以美国为首的西方国家纷纷加大网络技术在军事领域的研究和投入。2009年,美军成立网络司令部,成为全球首个公开将战争机构引入互联网的国家。近年来,美国不断扩大网络部队规模,组织多场网络战演习。美军计划2024年前实现基于美国网络安全和基础设施安全局零信任成熟度模型的安全目标。
据介绍,此次零信任网络战略的出台,是美军加固其网络安全的重要举措。这一战略以新技术为核心,试图利用零信任这一新兴安全保障技术,达到提高网络安全水平的目的,体现出美军对网络安全的高度重视。有分析人士指出,作为世界头号军事强国,美国对网络安全的要求会越来越高。此次零信任网络战略也不可能是终点,有必要对美军网络战略的后续发展进行跟踪研究。(郭秉鑫 任家琛 左宜之)