为打造出能防御、可扩展、有弹性、可审计的国防信息环境,美国国防部于2022年11月22日发布了《国防部零信任战略》。该战略阐述了美国防部推动零信任工作的战略背景,提出了在未来5年内达到“目标级零信任”水平的愿景,明确了保障和保护国防部信息系统等4大零信任战略目标以及更为详细的子目标,并围绕“零信任资产组合管理办公室”等主管机构介绍了本战略的具体实施方法。美国防部希望通过实施本战略建立零信任框架,进而在未来抵挡住日益复杂的网络威胁。
内容目录:
1 执行纲要
1.1 未来五年
1.2 当前现状
2 战略背景
3 愿景
3.1 国防部零信任战略愿景
3.2 战略成果
4 国防部零信任方法
4.1 战略假设
4.2 战略原则
4.3 国防部零信任支柱
5 战略目标及其子目标
5.1 推行零信任文化
5.2 保障和保护国防部信息系统
5.3 技术加速
5.4 零信任赋能
6 实施方法
6.1 高层级能力路线图
6.2 衡量方法与指标
6.3 管理
7 结语
当前,美国国防部正在向零信任架构和框架转变,而本战略则为国防部指明了如何适应、支持和加快这种转变,从而保护联合信息环境(Joint
Information Environment,JIE) 中 的 国 防部 信 息 体 系(Department of Defense
InformationEnterprise,DoD IE),尤其该信息体系中的国防部信息网络(DoD Information
Network,DoDIN)。
本战略旨在明确必要的零信任参数和预期等级,以便国防部将各类系统和网络
[ 如非密互联网协 议 路 由 器 网 络(Non-classified Internet Protocol Router
Network,NIPRNet)和涉密互联网协议路由器网络(Secret Internet Protocol Router
Network,SIPRNet)]
都纳入零信任的范畴。要实现这一点,国防部及其各下属部门就得拥抱最新技术,同时还要适应并应对已知和未知的恶意行为。除此之外,在国防部零信任生态体系中,所有利益攸关方也需要立即开始实施本战略。零信任是一套不断发展的网络安全范式,其特点在于将防御重点从静态的网络周界转移到了用户、资产和资源上,其核心要素是不会仅凭资产或用户的物理或网络位置(即不论是在局域网内还是在互联网上)或资产所有权(即不论是机构资产还是个人资产)就信任资产或用户。这种理念变化显著地改变了过去的认证与安全机制,而对包括国防工业基础(Defense
Industrial Base,DIB)在内的国防部零信任生态体系而言,更是需要在 2023 至 2027
财年期间以及更长远的未来拥抱这种变革。
本战略还特别指出,由国防部首席信息官(Department
of Defense Chief Information Officer,DoD CIO) 牵 头 的 零 信 任 资 产 组 合 管 理 办
公室(Zero Trust Portfolio Management Office,ZT PfMO)将负责加快推进涉及以下对象的零信任工作:(1)国防部各下属部门的信息网络基础设施;(2)国防部层面的 IT 服务和解决方案;(3)国家安全系统(National Security Systems,NSS);(4)工业控制系统;(5)有线通信和无线通信(包括移动通信)所需的嵌入式技术和平台。
为了影响美国的作战人员和阻挠美国国防部的任务,对手的攻击手段正变得越发复杂。而为了保护美国的信息系统免受这些威胁,国防部将在联合部队以及整个国防生态体系中推行基于风险的零信任框架。如今零信任原则已被整合到识别、保护、检测、响应和恢复这5种网络安全功能之中,而要想使网络安全项目在总体上取得成功,就少不了这5大功能要素。借助零信任架构,国防部将最大限度地挫败那些瘫痪、削弱、破坏、欺骗或摧毁其信息系统的企图,并使各级人员相信他们所访问的数据、所部署的资产、所使用的应用程序和所提供的服务都是安全且有弹性的。已知和未知的对手正在持续而广泛地攻击美国国防部的信息体系,这些对手既包括中国这一最重要的战略竞争对手,也包括受各国政府支持的其他黑客组织以及独立黑客。这些对手经常攻破国防部的周界防御体系,然后在国防部的信息系统内肆意妄为。国防部再也不能放任这种局面持续下去了。国防部内外都曾因数据泄露而暴露出一些弱点,这些弱点表明国防部需要一种更加稳固的网络安全框架,以便做出基于风险的明智决策。零信任安全框架抛弃了周界、可信网络、设备、账户和流程这些传统思路,转而采用“基于多属性的可信度”思路,从而在“最低特许访问权限”概念的基础上制定认证与授权策略。而要建立零信任框架,就得设计一种能够增强安全性、用户体验和任务总体表现的高效架构。为提升网络弹性,零信任框架采用了连续多重认证、微分段、高级加密、端点安全、分析工具和稳健审计等能力来强化数据、应用程序、资产和服务(Data,
Applications, Assets, and
Services,DAAS)。为建立该框架,国防部正在将其员工队伍打造得更加灵活、机动且具备云能力,而这支队伍将与国防部的所有相关方(包括联邦机构、非联邦机构和任务合作方等)展开密切协作,共同完成各类任务。毫无疑问,零信任框架将减少攻击面,降低风险,促成全面风险管理(比如管理政策、规划、预算编制、执行和网络安全等诸多方面的风险),并提高合作环境下的数据共享效率。此外,当设备、网络、账户或凭据遭到入侵时,零信任框架也能确保用户迅速管控和修复对手造成的任何破坏。本战略阐述了国防部的零信任愿景,并指明了实现这一愿景的途径。本战略提出了若干战略设想和原则,以指引用户建立零信任框架,并实现以下4大战略目标:(1)推行零信任文化;(2)保障和保护国防部信息系统;(3)技术加速;(4)零信任赋能。本战略还提到了国防部的 7大零信任支柱,而本战略的“零信任能力路线图”(即一套基于能力的执行计划)以及“国防部零信任与网络安全参考架构”便是立足于这些支柱。最后,本战略从较高层面对资源调配、采办、衡量、指标和管理等方面做出了指导。为了在国防部信息体系内加速建立零信任框架,国防部必须继续探索如何精简和执行那些需要优先投入资源的事项,以满足本战略设想的种种要求。为此,国防部首席信息官于
2022年1月组建了“零信任资产组合管理办公室”,由该办公室负责协调整个国防部范围内的零信任工作情况,简化和理顺现有策略,以及协调资源分配的优先顺序,从而加快国防部信息网络体系内的零信任建设。图1 展示了本战略为国防部提出的愿景、战略目标和子目标。
作战任务离不开安全且能互操作的信息系统,因此对国防部的零信任框架而言,其预期成果和行动必须能在国防部的所有层级上支持和加强“对作战任务至关重要的优先事项”,与国防部发布的《国防战略》保持一致,并能为所有多域(包括网络域、太空域、空域、陆域和海域等)军事行动及配套的业务资产提供支持。如今,多国联合作战逐渐成为一种主流的作战模式,这使美国DoD
IE与盟友网络之间的互操作变得至关重要。在此背景下,零信任可以确保DAAS的安全,从而帮助美军在战术环境下获取通信频谱范围内的制信息权,所以各方在制订执行计划时,必须考虑到零信任对战术环境造成的潜在影响。
图1 美国国防部零信任战略纵览
对于国防部及其下属部门或与它们相近的对手而言,不论是因内外违规事件和威胁而导致任务受到影响或暴露出弱点,还是地缘政治格局发生变化,抑或爆发全球新冠肺炎疫情等重大事件,都会增加网络安全风险,这就需要更具弹性、可扩展且横跨多个学科的网络安全防御能力。除此之外,国防部也加大了远程办公、人工智能和云基技术等全新技术的使用力度,同时淘汰了各种过时技术,使得网络安全的发展趋势变得更加复杂。从威胁的角度来看,这些技术的进步拓宽了国防部和各类NSS泄露敏感数据的途径,使攻击者有机会对国防部的信息环境造成严重破坏。再加上国防部不断扩大其伙伴关系,这些因素可能使攻击者仅靠有限的技术资源就能影响到美国的国家安全。网络威胁和网络攻击的演化速度越来越快,这就需要一种自适应、灵活、机敏且相辅相成的防御响应能力。任务的规划者和执行者以及系统的拥有者正越来越清晰地认识到一个现实:基于常规认证与授权模型的传统周界防御(或者说“城堡和护城河”安全模式)已无法有效阻止当前和未来的网络攻击。在他们看来,零信任建设意味着解决技术现代化问题、完善安全流程和改善行动成效,从而为任务带来积极影响。美国联邦政府之所以转向零信任架构,就是为了解决上述网络安全挑战。为此,本战略契合并响应了国防部的若干高层级指导文件:2021年5月12日出台的《关于改善国家网络安全的行政命令》(EO
14028号命令);2021年12月27日出台的《2022财年国防授权法案》;2022年1月 26
日出台的《联邦零信任架构战略》;2022年1月19日出台的《关于改进国家安全、国防部和情报界系统的 8 号国家安全备忘录》。除这些文件外,NSS的国家主管机关(即国家安全局)也发布了许多备忘录,以供指示所有 NSS即刻向零信任迁移。本战略为改进国防部的《网络安全参考架构》和《零信任参考架构(2.0版)》及其各下属部门的战略和零信任执行计划奠定了基础。
图2 美国国家战略与国防部战略体系
美国国防部将全面推行零信任网络安全框架,以保护国防部的信息体系。国防部希望打造可扩展、有弹性、可审计且能防御攻击的信息环境,而该环境的核心任务在于保护国防部的DAAS。本战略确立了《未来数年防御计划》的5年规划期(即2023至2027财年)内以及更长远时期的零信任目标,而为了能更快地将一整套零信任能力投入使用,国防部还在考虑多种行动方案(Courses
of Action,CoA),以便将企业和政府的云基机构服务也纳入零信任架构之中。日后在实施本战略时,国防部及其下属部门也将不断更新和落实这些CoA以及能缩短或加快进度计划的其他举措。对美国国防部而言,其信息体系(特别是DoDIN的各种网络安全能力)必须有能力防止攻击者削弱国防部,即具有“在所有行动环境下检测、吓阻、拦截和抵御恶意网络行动,并从中恢复过来”的能力。为此国防部提出了“目标级零信任”概念。“目标级零信任”是指“保护国防部DAAS的安全,从而管控当前已知威胁所带来的风险”所必需的最基本的零信任能力和活动。虽然国防部的零信任框架会随着时间推移而逐渐完善,但既然国防部及其下属部门也必须尽快达到“目标级零信任”水平,那么当前的工作重点就是立即加快对零信任核心能力与技术的投资。在达到“目标级零信任”水平后,ZT
PfMO将继续监测国防部及其下属部门的合规情况,并在切实减轻现有风险的情况下,引导国防部向“高级零信任”水平迈进。此外,为了继续发展新一代安全架构,并化解国防部将来面临的安全威胁,ZT
PfMO还可能修订“目标级零信任”的定义。总而言之,只要循序渐进地获取所有预期的零信任能力,就有望实现本战略提出的零信任愿景。对国防部、国防部下属部门、合作伙伴以及最重要的作战人员来说,落实本战略都大有益处。此类益处包括以下 7 点:(1)任何经过授权和认证的用户和设备均可从任何地方安全地获取所需数据。(2)为信息系统提供保护,从而使国防部的员工队伍变得更加灵活和机动,同时得到云服务的支持。(3)通过进一步细分国防部信息体系,各方可以采取若干保护措施来降低攻击面风险水平。(4)可根据风险状况制定必要的网络安全协议和策略,以降低云、人工智能以及指挥、控制、通信、计算机及情报(Command, Control,Communications, Computers and Intelligence,C4I)系统面临的威胁。(5)当设备、网络、用户或凭证遭到攻击时,可有效地管控、缓解和修复损害。(6)提供统筹兼顾且资源充足的零信任能力,以满足高端网络安全行动的需要。(7)通过零信任措施加强 DoD IE 的弹性,使该体系既能将损害降至最低水平,又能在遭受攻击后迅速恢复过来。
美国国防部的零信任框架立足于其提出的7大零信任支柱,并描述了国防部将如何实现零信任。换而言之,即在整个学说、组织、训练、物资、领导力与教育、人事、设施和政策(Doctrine,
Organization, Training, materiel, Leadership and Education, Personnel,
Facilities, and
Policy,DOTmLPF-P)方面,国防部当前和未来要如何为与零信任有关的工作、投资和倡议打下基础并做出指示(如调整国防部及其下属部门的零信任执行计划)。此外,该零信任框架也描绘了如何对
NIPRNet 和 SIPRNet(DoDIN 的两个重要部分)的网络安全体系进行现代化改造的官方蓝图。需要强调的是,国防部是根据以下核心假设来制定零信任实施方案的。(1)始终面临复杂的安全威胁。为了主动战胜所有攻击者(包括网络犯罪分子、由国家支持的破坏分子和心怀恶意的内部人员)和克服险恶的环境,国防部及其下属部门必须加快推进零信任工作,并尽快将国防部环境迁移到零信任框架之下。需要注意的是,在国防部消除现有弱点的同时,也会出现新的威胁,因此国防部需要不断调整相关措施,并最大限度地发挥零信任的战略和战术价值。(2)除技术外也涉及文化。国防部不能仅靠技术来保护其信息体系。除技术外,国防部还需要改变其信息体系用户——包括上至国防部领导层、下至任务执行人员的所有人——的心态和文化。(3)现代化的一大前提是反思。要想落实零信任,就得重新思考如何设计一种更简单、更高效的方法,该方法应既能依靠现有基础设施来保障安全,又能改善作战人员的表现、提高互操作性和弹性以及保障行动的顺利开展。(4)与外国和企业界的合作日益增多。DIB和外国盟友是多国联合作战和联合作战理念(Joint
Warfighting
Concept,JWC)的重要参与方,这使访问任务信息系统的能力以及与任务合作方之间的互操作能力变得越发重要。为保障此类访问和互操作的安全,国防部必须根据用户属性和行动需求来有效地共享、访问和保护各类信息和数据,并遵照最低特许权限策略来提供信息和数据。(5)在整个国防部范围内推动零信任。必须在国防部及其下属部门的所有层级同时推动和协调零信任工作,以免形成在零信任架构之外的任务、组织、管理或技术孤岛。此外,必须制定统一的策略来推动零信任工作,而该策略应考虑到国防部层面和任务层面的各种功能和相关决策。(6)能根据风险实时响应。鉴于威胁和漏洞变得越发复杂,零信任将促使国防部更快地从基于合规性的安全方法转向基于风险的安全方法。而要想使联合全域指挥与控制(Joint
All Domain Command and
Control,JADC2)等构想达到预期的性能和互操作性,就必须以基于风险的安全方法来推动零信任工作。(7)老旧的 IT 仍在带来挑战。并非所有老旧的基础设施和系统都需要立即和/或彻底接受零信任改造,除非有充分的理由淘汰这些系统或对其进行相应的现代化改造,否则就必须制定并采取适当的安全控制措施,以便应对新出现的网络攻击面和网络威胁。(8)得到领导层和操作员的认可。要想在国防部内成功实施零信任战略,至关重要的一点就是要在整个零信任生态体系(该体系涵盖了技术方面、DOTmLPF-P 方面和职能方面的领导层和信息系统操作员)中做出明确指示并加以落实。本战略提出了一系列包含范围和参数在内的指导原则,以指导国防部及其下属部门的领导层制定和修订战略、政策、设计和执行文件,从而在实施本战略及配套路线图时做出最好的决策。不以工作或地点决定权限。不论用户或非个人实体(Non-Person
Entities,NPE)是何种身份、拥有何种权力或从何处接入网络,都应在满足具体任务需求(包括了解、配合和执行任务的需求)的前提下,按照最低特许权限和保护信息安全的原则动态调整用户或NPE的权限。(1)假定已发生违规事件。应细分访问权限,减少攻击面,实时监测风险水平是否超出了国防部的风险承受等级和风险上限,从而将违规事件造成的潜在危害限制在一定范围内。(2)整合DOTmLPF-P。在设计、开发、部署和使用零信任功能时,必须考虑到国防部各下属部门的零信任工作对DOTmLPF-P的影响。(1)简化和自动化。应制定适当的管理控制措施,从而使当前零散的数据管理、IT 现代化以及网络安全策略和方案不断向现代化水平迈进。(2)永不信任,始终认证。应默认所有的用户、设备和应用程序都不可信任且未经认证,并应按照动态安全策略,对用户、设备和应用程序进行认证和明确授予所需的最低特许权限。(1)授予最低特许权限。应只授予对象或实体完成其任务所需的权限。(2)审查和分析各类行为。应根据风险状况持续监测、收集、存储和分析 DoD IE 中的所有事件,并近实时地生成用户和设备行为的风险状况。(3)在架构上保持一致。零信任的设计和架构必须符合 ZTRA 的设计宗旨及《第21号国家安全委员会系统策略》,同时也应考虑到美国国家标准与技术研究院的零信任宗旨。(4)降低复杂性。各类技术与安全计划应与各项零信任目标和任务保持一致,从而简化安全和风险方面的管理规范和标准。为确保以标准化模式开展零信任工作,国防部必须在7大“国防部零信任支柱”及其促因划定的组织结构内开发、部署和使用其信息体系内的零信任能力。如图3所示,各“支柱”指明了国防部零信任安全模型和零信任架构的基础领域,而促因则是指事关文化、管理和DOTmLPF-P要素(如零信任培训等)的非技术性跨领域能力和活动。在建立零信任安全模型时,本战略的制定者重新思考了该如何安全地访问资源,并认为应遵照动态策略(包括用户、端点身份、应用程序/服务和所申请资产的状态)来确定访问方式。此外,为了有效保护模型中最为核心的数据“支柱”,国防部还应把各“支柱”的能力都整合起来。
本战略确立了4项高层次的战略目标及其各自的子目标,而这些战略目标和子目标表明了美国国防部将以何种方式实现零信任愿景。这些目标立足于上述种种战略假设、优先事项和原则,涵盖了成功推行零信任所必需的文化、技术和环境要求,且彼此间相辅相成。表1展示了各战略目标名下的“针对性、可测量、可实现、有关联、有时限”(Specific,
Measurable,Achievable, Relevant, and
Time-bound,SMART)的子目标,以指导各层级人员开展必要的工作。表1 实现零信任战略目标和子目标的收益
在整个国防部零信任生态体系的范围内,按照零信任安全框架和心态来指导IT的设计、开发、整合和部署。国防部的所有人员都知晓、理解和致力于推动零信任思维和文化,接受相应的培训,以及支持在各自环境(包括跨领域的 DOTmLPF-P促因)中整合各种零信任技术。将零信任融入国防部的网络安全做法,以强化国防部信息系统的弹性。国防部各下属部门将国防部的零信任框架应用于所有新旧信息系统,以获取《国防部零信任能力路线图》规定的能力,并遵守《2022
年国防战略》中关于网络弹性的重点要求。国防部各下属部门最晚应在 2023 年 9 月23日前,通过ZT PfMO向DoD
CIO和联合部队—国防信息网络(Joint Force Headquarters-Defense Information
Networks,JFHQ-DoDIN)提供各自的执行计划,而这些计划应说明如何在包含所有基础设施和系统的网络中推行零信任。此外,国防部各下属部门必须在2028财年前,使所有的国防部零信任能力及相关促因都达到预期的目标等级。这样一来,国防部的联合开发、运作测试以及现有的互操作能力都将得到加强,从而提高国防部、任务伙伴和作战人员的能力,进而保护从国家到作战人员的指挥与控制通信安全。以不亚于企业界的速度部署零信任技术,从而在不断变化的威胁环境中始终占据先机。迅速且有效地保护国防部信息体系和DoDIN,使用最新最好的技术来扩展和放大创新,并快速放弃不够成功的创新举措。此外,国防部及其下属部门的架构也要与国防部信息体系范围内的零信任工作(包括开发测试以及确保各类标准和资产的互操作性)相契合。将国防部的零信任工作与国防部本身及其下属部门的流程相结合,从而在统筹兼顾的情况下无缝开展零信任工作。要想巩固国防部信息体系范围内的零信任框架,就必须具备相应的流程、政策和资金,这意味着必须按照零信任的原则和方法来重新设计或调整国防部及其下属部门的流程和资源,而新的流程和资源既应具有可持续性,也不应与相关的国防部技术、信息安全、预算工作和倡议产生冲突。本目标明确了零信任建设的“尾”和“齿”(即前端人员和后端人员),并要求整个零信任生态体系都要关注后端人员并为此开展工作,而不能将后端的零信任工作“留到日后处理”。各战略目标的子目标如图
4 所示。
美国国防部将以技术手段和其他手段来考察人员、流程、资源、治理和风险管理等方面的状况,然后视情况持续且统一地协调整个国防部及各下属部门的战略指导、资源调配和工作安排(尤其是从零信任角度填补
DOTmLPF-P方面的所有缺口),从而以预想的速度快速实现零信任战略目标及其子目标。在调配资源时,国防部应侧重于填补已发现的缺口,并设法使国防部的零信任框架符合美国的战略指导、能够保护国家利益以及减少来自敌方的攻击。而要想让零信任架构产生良好的安全效益,国防部及其下属部门就必须根据相关执行计划的落实情况以及联邦政府的指导意见,不断优化零信任工作。为此,国防部需定期重新评估其零信任战略的实效性,并在必要时进行调整。作为国防部网络理事会(Department
of DefenseCyber Council,DoD CC)的代表,ZT PfMO将通过国防部下属的各主管部门统筹零信任战略的推进工作。ZT
PfMO将与国防部各下属部门密切合作,共同规划、制定和调整这些部门的执行计划,以实现各项战略目标及其子目标。在整个国防部信息体系的范围内,不同部门或领域的零信任建设情况各不相同,有的工作已经完成,有的正在进行,有的则还在规划。在此情况下,为了达到本战略的预期成果,以及找出本战略带来的机遇和面临的阻碍,国防部各下属部门的零信任执行计划必须与本战略保持一致。一些老旧的基础设施和系统可能无须立即进行零信任改造,甚至因安装的地点和方式较为特殊而不宜遵守零信任要求。考虑到这一点,为了尽可能保障国防部网络的安全,国防部各下属部门以及各系统的主管部门必须每年向ZT
PfMO提交一次零信任豁免申请,而DoD CIO将根据一套预设标准来决定是否批准这些申请。各系统的主管部门将负责推动辖下系统转向零信任架构,为此,这些部门必须了解推迟零信任工作所造成的风险。此外,除非已采取了一整套合理的措施来消除新出现的攻击向量和威胁,或通过合理措施完成了相应的现代化改造,否则各部门就必须制定并执行适当的安全控制措施
[ 如优化国防部落实风险管理框架(Risk Management Framework,RMF)的具体方式 ],以便应对这些攻击向量和威胁。除上述要求外,国防部各下属部门也必须坚决采用符合ZTRA和DoD CIO指导的部门级解决方案。具体来说,为充分保障和保护国防部信息系统,国防部及其下属部门必须获取全部零信任能力,具体如图5所示。国防部及其下属部门必须尽快达到国防部确立的“目标级零信任”水平。“目标级零信任”水平由ZT PfMO确立,其包含了“管控当前已知威胁对国防部DAAS构成的风险”所必需的最基本的零信任能力和活动,而国防部辖下的所有部门都必须达到这一水平。达到“目标级零信任”水平后,ZT
PfMO还将持续监测各部门的合规情况,并在切实减轻现有风险的情况下,指导各部门向“高级零信任”水平迈进。而所谓“高级零信任能力”,则包括了“灵活应对网络安全风险和威胁,并提供最高级保护”所必需的一整套零信任能力和活动。本战略仅要求少数系统和DAAS在规定时间内达到“高级零信任”水平,不过国防部始终会努力实现其他更高级的零信任能力。必须强调的是,达到“高级零信任”水平并不意味着零信任建设大功告成。恰恰相反,随着攻击方法的不断演化,国防部也需要不断调整和完善其防护能力。
需要指出的是,为了继续发展下一代安全架构,或为了抵御已适应国防部零信任安全态势的新威胁,ZT PfMO也可能会修订本战略所述的“目标级零信任”的定义。为了在国防部信息体系的范围内按计划部署零信任架构,本战略对相关的资源调配和采办工作做出了指导,以确保按国防部的进度计划全面签约、接收和部署及开展各项零信任能力和活动。本战略还提出了评估零信任工作及其效果的措施,并从管理角度阐明了推进零信任工作的职责和决策权。以下第6.1节的高层级能力路线图介绍了国防部的零信任能力路线图,而该路线图则为国防部的 CoA提供了指导。此外,为了加快零信任落地,国防部还在考虑制其他几项配套的CoA,以便充分利用企业和政府的各类云基服务。未来,在实施本战略的过程中,国防部及其下属部门将反复规划、制定、评估和部署各类提速方案,以加快零信任建设的进展。国防部的零信任能力路线图展示了当前国防部关于“如何获取相关能力并开展相关活动,从而先后达到‘目标级零信任’水平和‘高级零信任’水平”的设想。该路线图给出了各种零信任要素之间的依赖关系,这些关系则会影响到相关工作的路线和顺序。此外,该路线图也给出了在各财年取得相应成果的大致时间表。如图
6
所示,从宏观角度展示了一种“棕地”法,并指明了在2023到2027财年期间,各支柱涵盖的能力应分别于何时达到“目标级零信任”水平。需要说明的是,国防部的各下属部门将自行决定发展零信任能力的具体方式(比如采用何种技术或方案等),并制订相关的行动计划。
图6 按支柱和财年划分的国防部零信任能力
ZT PfMO 是一个以客户为中心的多职能团队,负责协调和优先安排国防部范围内与零信任有关的资源和采办决策。为了使国防部各下属部门在零信任建设上保持一致,并与国防部的其他利益攸关方展开合作,ZT PfMO 将做出必要的战略指导,并确保合理地管理相关资源。国防部及其下属部门应同时采取
DoD CIO的“ 能 力 规 划 指 导”(Capability
ProgrammingGuidance,CPG)和“规划、安排、预算和执行”流程等多种方式,来为所有受零信任影响的部门调配资源。由此一来,各部门就能确定到底需要哪些现成资源和新资源,才能获取特定的零信任能力,并使各支柱达到图
6 所示的水平,然后便可优先安排这些资源。在整个国防部的层面上,DoD CIO 将依据每年的 CPG,通过 ZT PfMO
指导零信任资源调配事宜的轻重缓急,以确保整个国防部信息体系范围内的所有工作都与本战略及配套路线图保持一致。DoD
CIO也会在每个财年的“计划目标备忘录”(Program Objective
Memorandum,POM)周期内,与国防部各下属部门共同解决任何部门层面的资源短缺问题。此外,DoD
CIO还会按照国防部的常规资源调配流程,同各部门一起向国会拨款方提交新的资金申请。为打造弹性良好的联合部队和国防生态体系,国防部已确立了“以改革加快部队发展和技术采办”等优先事项,因此国防部及其下属部门应按照这些优先事项来制定各自的零信任采办战略。此外,凡是由国防部或指定行政机构购买和采办且面向整个国防部的应用程序、资产和服务,都将由DoD
CIO来协调相应的识别与确认工作。国防部的各下属部门则负责从总体上监管各自任务所需的技术开发、采办和产品支持工作,并确保各自的战略与国防部的相关战略保持一致。国防部及其下属部门应通过市场研究的方式获取以下必要信息:市场上是否有需要采办的产品或服务;当前市场是如何提供国防部所需的能力的;现有的合同工具能否更快地满足相关需求。此外,在确认和论证应采办哪些零信任能力和解决方案时,DIB、各种研发实验室、红队活动以及运作评测(Operational
Test & Evaluation,OT & E)活动都将发挥至关重要的作用。国防部的各下属部门将根据各自的零信任执行计划开展更多的市场研究和需求细化工作,以确定是否需要修改现行的采办战略或制定新的采办战略。这些采办战略最终应阐明是否需要建立新的合同采办机制。本战略并不强制要求使用特定的技术或方案,只是阐述了需要哪些零信任能力才能达到“目标级零信任”和“高级零信任”水平。对国防部辖下的各部门而言,只要获取达到“目标级零信任”和“高级零信任”水平所需的零信任能力,并向其授权官员或
ZT PfMO
证明已获取这些能力,便可自由选择本部门的解决方案和方案架构。总而言之,各部门都必须购买并部署符合其目标水平的产品和解决方案。国防部则应参照宏观层面的网络安全策略来规划逻辑架构,然后将该架构应用于所有环境。为保持警醒并对本战略负责,ZT
PfMO 将制定一种量化方法,用于衡量和通报“国防部在实现 4 大战略目标方面取得的进展”。这些战略目标均包含了若干项可用于衡量工作进展的
SMART
子目标,不过要想衡量某些战略目标和子目标的进展,国防部及其下属部门可能还得制定更多衡量指标,比如按照《零信任能力实施路线图》来衡量相关能力的建设情况等。除用于衡量目标进展的指标外,有关部门也将制定其他必要的指标,以便衡量达成各项目标后产生的影响和收益。国防部需要采用具体、定性和定量的指标来衡量其战略目标的进展,进而衡量整个国防部范围内的零信任落实情况,确保各部门遵守管理标准及其他标准,统筹经费和规划,以及向高层领导提供DoD
IE的定期安全评估结果。衡量的方法和指标同时还是确定零信任工作状况和成效的关键所在。要想了解零信任工作的影响和需求,就离不开衡量的方法和指标。具体来说,国防部将使用各种衡量方法与指标来验证其系统和网络以及各部门 DAAS 的安全性,并根据衡量结果来决定如何吸纳各种零信任技术和理念。情况上报也属于零信任衡量方法与指标的一部分,这意味着国防部各下属部门应提供规定的数据,以用于分析本战略的效果和进展。此外,ZT
PfMO 将向 DoD CC 提供一份综合记分卡,以便后者衡量本战略所述计划的进展,并查明还需减轻哪些风险才能从总体上推进零信任战略目标。美国国防部的零信任工作由DoD
CIO委员会负责管理和督导,同时JFHQ-DODIN也会督导相关工作。零信任的技术与战略问题由DoD CC负 责 主 管,DoD CIO和 代
表 国 防 部 副 部 长的首席网络顾问则会配合DoD CC领导相关事务。ZT PfMO主任将按照DoD
CC的指示,统筹安排零信任战略的实施事宜。这些事宜包括提供战略指导、协调相关工作,以及在整个国防部范围内通过资源调配来加速零信任落地等。除此之外,ZT
PfMO主任也将向相应的国防部主管部门或DoD CIO委员会提交其他非技术性决策。为了管理整个国防部范围内的零信任工作,ZT
PfMO将制定、发布和跟进与零信任有关的管理决策(包括职责和责任)、政策和流程。总体来说,ZT
PfMO的职责是协调各项零信任工作,在涉及零信任工作的所有事务上为DoD CC提供支持,以及指导各方接受 DoD CIO 的管理并遵守其指令。
为实现本战略所述的各项目标,联合部队和整个国防生态体系都需要就相关工作进行协调,而国防部的所有人也都有责任确保零信任架构取得成功。虽然零信任的核心要义是保护数据,但要想成功建立零信任框架,就得让整个国防部都理解并接受零信任文化。为实现国防部零信任战略愿景,国防部上下必须齐心协力追求上述战略目标。虽然任务艰巨,但国防部已取得了不小的进展:十多年来,国防部通过采取持续监测和多重认证等措施,有效加强了自身的网络安全。未来,国防部必须充分吸收零信任的技术、方案和收益,并在所有的计划和行动中都考虑到这些因素。当今世界对“网络安全”的定义并非一成不变,但即使其定义发生变化,甚至是国防部调整和完善了相关战略,网络安全的理念和文化也不会发生多大变化。因此要想使本战略取得成功,关键因素在于持续提供适当的资金和资源来支持开放的交流和协调。总而言之,本战略的成败与否,将决定国防部及其人员能否抵挡住日趋复杂的网络安全威胁。
