美國管理和預(yù)算辦公室

郝志超1，張依夢2 譯

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引 言

美國聯(lián)邦政府的安全現(xiàn)代化需要整個政府的共同努力。2021年5月，美國總統(tǒng)拜登簽署了第14028 號行政命令《關(guān)于改善國家網(wǎng)絡(luò)安全》，該行政命令旨在政府范圍內(nèi)啟動一項確保安全實踐的全面計劃，要求將政府安全架構(gòu)遷移至零信任架構(gòu)，實現(xiàn)基于云的基礎(chǔ)設(shè)施安全優(yōu)勢，以此降低相關(guān)網(wǎng)絡(luò)風(fēng)險。

為了落實該行政命令，美國管理和預(yù)算辦公室（Office of Management and Budget，OMB）于2022年1月26日發(fā)布《聯(lián)邦零信任戰(zhàn)略》以推動聯(lián)邦機構(gòu)采用安全架構(gòu)適應(yīng)零信任原則。隨后發(fā)布M-22-09 號備忘錄《推動美國政府走向零信任網(wǎng)絡(luò)安全原則》，該備忘錄提出了聯(lián)邦零信任架構(gòu)（Zero Trust Architecture，ZTA）戰(zhàn)略，要求各機構(gòu)在2024年前達(dá)到特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)，以加強政府抵御日益復(fù)雜、持續(xù)的網(wǎng)絡(luò)威脅活動的能力。

1 行動措施

該備忘錄要求聯(lián)邦機構(gòu)在2024年前實現(xiàn)基于美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency，CISA）零信任成熟度模型的安全目標(biāo)，零信任模型描述了5個工作支柱（身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和工作任務(wù)，以及數(shù)據(jù)）及3 個主題（可見性和分析、自動化和協(xié)同，以及治理）。此備忘錄提出的戰(zhàn)略目標(biāo)與CISA 的5 個工作支柱保持一致，包括：（1）身份。各機構(gòu)工作人員使用內(nèi)部體系管理的身份來訪問工作中使用的應(yīng)用程序?；诙嘁蛩厣矸菡J(rèn)證的防釣魚措施能有效保護(hù)工作人員免受復(fù)雜的在線攻擊。（2）設(shè)備。聯(lián)邦政府擁有其運營和授權(quán)使用所有設(shè)備的完整清單，并且可以預(yù)防、檢測和響應(yīng)這些設(shè)備上可能發(fā)生的攻擊事件。（3）網(wǎng)絡(luò)。各機構(gòu)對其環(huán)境中的所有域名解析系統(tǒng)（Domain Name System，DNS）請求和超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP）流量進(jìn)行加密，并執(zhí)行計劃將其邊界進(jìn)行分解，使其成為隔離環(huán)境。（4）應(yīng)用程序和工作任務(wù)。各機構(gòu)將所有應(yīng)用程序接入互聯(lián)網(wǎng)，定期對其應(yīng)用程序進(jìn)行嚴(yán)格測試，并歡迎外部提供漏洞評估報告。（5）數(shù)據(jù)。各機構(gòu)應(yīng)清楚如何利用全面數(shù)據(jù)分類來部署保護(hù)。各機構(gòu)正在利用基于云安全服務(wù)的優(yōu)勢來監(jiān)控對有關(guān)敏感數(shù)據(jù)的訪問，并實施全局日志記錄和信息共享。

第14028 號行政命令要求各聯(lián)邦機構(gòu)制定自己的零信任架構(gòu)實施計劃，在本備忘錄發(fā)布60日內(nèi)，各機構(gòu)需要將該備忘錄確定的附加要求增加到制定的零信任架構(gòu)實施計劃中，并向OMB、CISA 提交2022—2024 財年實施計劃和2024 財年估定預(yù)算，供OMB、CISA 審核批準(zhǔn)。同時，各機構(gòu)需在2022—2023年以內(nèi)部籌集或其他籌集的方式（例如周轉(zhuǎn)資金或技術(shù)現(xiàn)代化基金）籌集資金，實現(xiàn)優(yōu)先目標(biāo)。

各機構(gòu)應(yīng)在本備忘錄發(fā)布30日內(nèi)確定零信任戰(zhàn)略實施負(fù)責(zé)人。OMB 將通過負(fù)責(zé)人進(jìn)行政府范圍內(nèi)的協(xié)調(diào)，并參與各機構(gòu)內(nèi)部的規(guī)劃和實施工作。

1.1 身份

（1）聯(lián)邦機構(gòu)必須使用集中式身份管理系統(tǒng)，并將此系統(tǒng)整合至應(yīng)用程序和通用平臺中。

聯(lián)邦政府必須改進(jìn)其身份管理系統(tǒng)和訪問控制。各機構(gòu)通過采用新的基礎(chǔ)設(shè)施和應(yīng)用程序，確保用戶訪問信息的目的、時間的準(zhǔn)確性，以全面了解用戶責(zé)任及權(quán)限，并通過用戶訪問系統(tǒng)時驗證其身份。這些基本要素將有利于機構(gòu)建立基于風(fēng)險的訪問系統(tǒng)，同時在機構(gòu)內(nèi)部實施強有力的認(rèn)證，并將認(rèn)證方式盡量融入至機構(gòu)管理的身份認(rèn)證系統(tǒng)中。

使用集中式身份管理系統(tǒng)提供身份認(rèn)證和訪問管理服務(wù)，可以減少工作人員管理用戶賬戶和憑證的負(fù)擔(dān)，還提高了機構(gòu)對用戶活動的了解，使各機構(gòu)能夠更統(tǒng)一地執(zhí)行限制訪問的安全策略，并在需要時快速檢測出異常行為并對其采取行動。因此，各聯(lián)邦機構(gòu)都應(yīng)該支持設(shè)計良好的集中式身份管理系統(tǒng)，并將其整合到盡可能多的應(yīng)用程序中。

機構(gòu)身份管理系統(tǒng)必須與常見的應(yīng)用程序和通用平臺兼容。同時，各機構(gòu)身份管理系統(tǒng)應(yīng)使用現(xiàn)代化、開放式的標(biāo)準(zhǔn)，以促進(jìn)各機構(gòu)與商用云服務(wù)的整合。為促進(jìn)一致性和可審計性的身份管理，機構(gòu)身份管理系統(tǒng)還應(yīng)該支持通過非圖形用戶界面（如腳本和命令行工具）進(jìn)行人工身份認(rèn)證。

（2）聯(lián)邦機構(gòu)必須使用多因素身份認(rèn)證。

強有力的身份認(rèn)證是零信任架構(gòu)的必要組成部分，而多因素認(rèn)證（Multi-Factor Authentication，MFA）是聯(lián)邦政府關(guān)鍵安全基線的重要組成部分。

各機構(gòu)必須在涉及其工作人員、承包商和合作伙伴通過使用身份驗證訪問系統(tǒng)的應(yīng)用程序中集成和執(zhí)行MFA。

MFA 應(yīng)在應(yīng)用層（例如身份認(rèn)證服務(wù)）進(jìn)行集成，而不是通過網(wǎng)絡(luò)層進(jìn)行身份認(rèn)證（例如虛擬專用網(wǎng)絡(luò)）。在成熟的零信任部署中，用戶只需要對應(yīng)用程序進(jìn)行嚴(yán)格認(rèn)證，而不是對整個基礎(chǔ)網(wǎng)絡(luò)。

各機構(gòu)必須要求用戶使用抗網(wǎng)絡(luò)釣魚攻擊的方法訪問托管賬戶，同時停止通過無法抵御網(wǎng)絡(luò)釣魚攻擊的認(rèn)證方法（例如短信或語音通話注冊電話號碼、提供一次性代碼或接收推送通知）來進(jìn)行日常自助訪問。對于多數(shù)機構(gòu)，聯(lián)邦政府的個人身份驗證（Personal Identity Verification，PIV）將是支持抗網(wǎng)絡(luò)釣魚攻擊MFA 要求的最簡單方式之一，同時也是OMB 發(fā)布M-19-17 號備忘錄要求的聯(lián)邦信息系統(tǒng)的主要認(rèn)證方式。在身份管理系統(tǒng)中，各機構(gòu)應(yīng)盡最大可能對非PIV 認(rèn)證器提供支持，以便集中管理這些認(rèn)證器并與機構(gòu)建立身份認(rèn)證連接。

美國國家標(biāo)準(zhǔn)技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布了SP 800-63B 號備忘錄《數(shù)字身份指南：身份驗證和生命周期管理》。文件指出，在本備忘錄發(fā)布后一年內(nèi)，各聯(lián)邦機構(gòu)必須刪除所有系統(tǒng)中的特殊字符及定期更換密碼的管理要求。

面向公眾服務(wù)的政府系統(tǒng)需要為用戶提供更多的認(rèn)證選項。為此，支持MFA 面向公眾服務(wù)的機構(gòu)系統(tǒng)必須在本備忘錄發(fā)布后的一年內(nèi)為用戶提供使用防網(wǎng)絡(luò)釣魚攻擊身份驗證的選項。滿足公眾的這一要求將意味著為基于Web身份驗證的方法提供支持，例如安全密鑰。各機構(gòu)還可以為以個人身份訪問面向公眾服務(wù)的政府系統(tǒng)的機構(gòu)工作人員和承包商提供使用PIV和訪問卡（Common Access Card，CAC）進(jìn)行身份認(rèn)證驗證的支持。

（3）在授權(quán)用戶正常訪問全局資源時，機構(gòu)認(rèn)證系統(tǒng)必須將至少一個設(shè)備級信號與授權(quán)訪問用戶的身份信息相結(jié)合。

授權(quán)是授予經(jīng)過身份驗證的實體訪問資源的過程，決定用戶是否有權(quán)執(zhí)行操作。目前，聯(lián)邦政府的多數(shù)授權(quán)模式側(cè)重基于角色的訪問控制（Role-Based Access Control，RBAC），依賴于分配給用戶并確定其在組織內(nèi)的靜態(tài)預(yù)定義角色權(quán)限，零信任架構(gòu)應(yīng)包含更細(xì)化和動態(tài)定義的權(quán)限，例如基于屬性的訪問控制（Attribute Based Access Control，ABAC）。

授權(quán)可以在多個級別執(zhí)行。例如，粗粒度授權(quán)（確定擁有應(yīng)用程序初始訪問權(quán)限的用戶）可以由基于ABAC 方法的工具執(zhí)行；細(xì)粒度授權(quán)（確定對特定數(shù)據(jù)訪問權(quán)限）可以在應(yīng)用程序本身中執(zhí)行，以根據(jù)RBAC 授予用戶不同級別的訪問權(quán)限。ABAC 和RBAC 通過對用戶身份、訪問資源屬性以及訪問環(huán)境強制執(zhí)行檢查，從而允許或拒絕對其訪問。

1.2 設(shè)備

（1）聯(lián)邦機構(gòu)必須通過參與CISA 的持續(xù)診斷和緩解（Continuous Diagnostics and Mitigation，CDM）項目創(chuàng)建可靠的資產(chǎn)清單。

任一機構(gòu)內(nèi)的零信任架構(gòu)基礎(chǔ)是對內(nèi)部設(shè)備、用戶和系統(tǒng)的全面了解。CISA 的CDM計劃可提供一套針對機構(gòu)資產(chǎn)的檢測和監(jiān)控服務(wù)能力，旨在幫助各機構(gòu)實現(xiàn)對自身資產(chǎn)的基本認(rèn)知。

第14028 號行政命令指出，參與CDM 計劃的聯(lián)邦政府文職機構(gòu)必須與美國國土安全部（United States Department of Homeland Security，DHS）簽訂協(xié)議，各機構(gòu)必須建立持續(xù)、可靠和完整的資產(chǎn)清單。同時，該計劃在具有豐富、細(xì)化和動態(tài)權(quán)限系統(tǒng)的云環(huán)境中尤其實用。因此，CISA 將致力于發(fā)展更好的支持面向云的聯(lián)邦架構(gòu)的CDM 計劃。

（2）聯(lián)邦機構(gòu)必須廣泛部署端點檢測和響應(yīng)（Endpoint Detection and Response，EDR）工具，建立信息共享能力。

第14028 號行政命令強調(diào)了主動檢測網(wǎng)絡(luò)安全事件的重要性，以及在處理事故響應(yīng)過程中聯(lián)邦政府“追捕”能力的必要性。為支持該行政命令，OMB 發(fā)布了M-22-01 號備忘錄，旨在通過EDR 改進(jìn)對聯(lián)邦政府系統(tǒng)中網(wǎng)絡(luò)安全漏洞和事件的檢測。

為實現(xiàn)EDR 在聯(lián)邦政府范圍內(nèi)的全面使用，各機構(gòu)必須確保其EDR 工具符合CISA 的技術(shù)要求，并在其機構(gòu)中部署運行。為實現(xiàn)聯(lián)邦政府范圍內(nèi)的事件響應(yīng)，各機構(gòu)必須按照M-22-01號備忘錄要求，與CISA 合作確定實施差距，協(xié)調(diào)EDR 工具部署，建立信息共享能力。

總的來說，該方式的目的是在整個聯(lián)邦政府范圍內(nèi)保持不同EDR 工具的多樣性，可支持不同技術(shù)環(huán)境下的機構(gòu)，確保對聯(lián)邦文職機構(gòu)的活動具備基本了解。

1.3 網(wǎng)絡(luò)

（1）聯(lián)邦機構(gòu)必須使用加密DNS 解析請求。

機構(gòu)可以通過指定的DNS 解析器訪問、識別和記錄加密DNS 請求的信息內(nèi)容。各機構(gòu)在零信任遷移計劃中，要求說明確定缺乏加密DNS 的技術(shù)支持情況，以更新操作系統(tǒng)或以其他方式確保在2024年前支持整個機構(gòu)加密DNS。

預(yù)計在2024年前，各機構(gòu)被要求通過CISA運營的基礎(chǔ)設(shè)施處理DNS 請求。為支持安全的機構(gòu)DNS 流量，CISA 的保護(hù)性DNS 產(chǎn)品將支持加密DNS 通信，并將擴展以適應(yīng)云基礎(chǔ)設(shè)施和移動終端的使用。

（2）聯(lián)邦機構(gòu)必須對所有的Web 和應(yīng)用程序接口（Application Program Interface，API）流量強制使用超文本傳輸安全協(xié)議（Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS）。

OMB 發(fā)布的M-15-13 號備忘錄和DHS 發(fā)布的《約束性操作指令18-01》（BOD 18-01）都旨在要求各機構(gòu)在所有互聯(lián)網(wǎng)訪問的網(wǎng)絡(luò)服務(wù)和API 中使用HTTPS。為滿足這一要求，同時滿足零信任戰(zhàn)略對所有HTTP 流量的加密要求，并強化聯(lián)邦政府域名的頂級地位，各機構(gòu)必須與CISA 的DotGov 計劃合作，使機構(gòu)擁有的聯(lián)邦政府域名在網(wǎng)絡(luò)瀏覽器中成為HTTPS專用。

聯(lián)邦政府域名最終將整個域名空間預(yù)裝為HTTPS 專用區(qū)，這一變化將改善各級政府機構(gòu)的安全和零信任態(tài)勢。

（3）CISA 將與聯(lián)邦風(fēng)險和授權(quán)管理計劃（FedRAMP）合作評估政府范圍內(nèi)的加密郵件解決方案。

CISA 將評估現(xiàn)行開放標(biāo)準(zhǔn)作為政府在傳輸加密電子郵件解決方案的可行性，并向OMB提出建議。作為評估的一部分，CISA 應(yīng)該與FedRAMP 合作，召集云服務(wù)提供商和電子郵件生態(tài)系統(tǒng)的其他參與者進(jìn)行協(xié)商。

（4）聯(lián)邦機構(gòu)必須制定零信任架構(gòu)方案，明確環(huán)境隔離方法。

本備忘錄要求各機構(gòu)與CISA 協(xié)商，制定一個零信任架構(gòu)路線圖，并將其納入零信任全面實施和計劃中。該路線圖描述機構(gòu)如何隔離應(yīng)用程序和環(huán)境，闡述機構(gòu)范圍內(nèi)可能的網(wǎng)絡(luò)運營和安全目標(biāo)。此外，機構(gòu)應(yīng)該構(gòu)思如何將云基礎(chǔ)設(shè)施融入零信任架構(gòu)中，使得機構(gòu)安全、魯棒地使用云基礎(chǔ)設(shè)施。

1.4 應(yīng)用程序和工作任務(wù)

（1）聯(lián)邦機構(gòu)必須進(jìn)行專門的應(yīng)用程序安全測試。

為使應(yīng)用程序能夠抵御復(fù)雜的探測和攻擊，各聯(lián)邦機構(gòu)必須分析部署的軟件及其功能。各機構(gòu)已創(chuàng)建安全評估報告（Security Assessment Report，SAR）作為授權(quán)信息系統(tǒng)的部分內(nèi)容，這些SAR 不僅包含由自動化工具收集用于漏洞掃描和定制開發(fā)軟件代碼分析的信息，還包括更耗時、專業(yè)和特定的應(yīng)用程序作為分析方法。

機構(gòu)系統(tǒng)授權(quán)過程必須同時結(jié)合自動分析工具和人工專家分析。為了解機構(gòu)在授權(quán)前對應(yīng)用程序執(zhí)行的深度安全分析，OMB 可以隨時要求機構(gòu)提供應(yīng)用程序的最新安全評估。隨著應(yīng)用程序、依賴項、組件和基礎(chǔ)設(shè)施的發(fā)展，機構(gòu)預(yù)計將向持續(xù)監(jiān)控和持續(xù)授權(quán)發(fā)展，同時采用定期手動安全評估。機構(gòu)必須優(yōu)先考慮并解決在SAR 中發(fā)現(xiàn)的漏洞。

根據(jù)第14028 號行政命令要求，NIST 制定了軟件開發(fā)人員驗證指南，該指南為機構(gòu)戰(zhàn)略、方法和應(yīng)用程序測試提供標(biāo)準(zhǔn)流程。

（2）聯(lián)邦機構(gòu)必須通過專業(yè)安全公司進(jìn)行第三方安全評估。

在本備忘錄發(fā)布一年內(nèi)，CISA 和美國總務(wù)管理局（General Services Administration，GSA）將合作建立一個可快速獲得應(yīng)用程序安全測試能力的采購團隊，使機構(gòu)可以在一個月內(nèi)完成大部分安全工作（緊急情況下幾日即可完成）。

（3）聯(lián)邦機構(gòu)必須為互聯(lián)網(wǎng)系統(tǒng)創(chuàng)建公共漏洞披露計劃。

為確保聯(lián)邦機構(gòu)能夠從公眾接收漏洞信息，OMB 發(fā)布的M-20-32 號備忘錄和CISA 發(fā)布的《約束性操作指令20-01》（BOD 20-01），都要求機構(gòu)發(fā)布安全聯(lián)系方式，明確接受漏洞披露政策（Vulnerability Disclosure Policy，VDP）。

根據(jù)上述要求，各機構(gòu)必須于2022年9月前接受外部的互聯(lián)網(wǎng)系統(tǒng)漏洞報告，并創(chuàng)建報告渠道，使系統(tǒng)所有者能夠直接、實時地獲取漏洞報告。為了提高內(nèi)部安全，避免公開披露未修補漏洞，各機構(gòu)應(yīng)集中精力，以負(fù)責(zé)任的方式驗證和解決外部報告的漏洞。

（4）聯(lián)邦機構(gòu)必須保障由聯(lián)邦信息安全管理法案（Federal Information Security Management Act，F(xiàn)ISMA）定義的FISMA 模式系統(tǒng)的安全、全面運行。

對多數(shù)機構(gòu)來講，在不依賴虛擬專用網(wǎng)絡(luò)（Virtual Private Network VPN）或其他網(wǎng)絡(luò)通道的情況下，使應(yīng)用程序安全訪問互聯(lián)網(wǎng)，是需要付出巨大努力的。為了推動該工作，每個機構(gòu)必須選擇至少一個需要認(rèn)證且目前無法通過互聯(lián)網(wǎng)訪問的FISMA 安全系統(tǒng)，然后在本備忘錄發(fā)布一年內(nèi)，采取必要行動確保FISMA 模式系統(tǒng)安全、全面運行。

對此，各機構(gòu)需建立最低限度的可監(jiān)控基礎(chǔ)設(shè)施、拒絕服務(wù)保護(hù)措施和強制訪問控制策略。在實施過程中，機構(gòu)應(yīng)將面向互聯(lián)網(wǎng)的系統(tǒng)整合至企業(yè)身份管理系統(tǒng)中。機構(gòu)率先在FISMA 低級系統(tǒng)上進(jìn)行控制及流程的轉(zhuǎn)變，可極大地增強該工作的完成信心。

（5）CISA 和GSA 協(xié)作為聯(lián)邦機構(gòu)提供在線應(yīng)用和其他資產(chǎn)的數(shù)據(jù)。

為有效實施零信任架構(gòu)，機構(gòu)必須全面了解其可訪問的互聯(lián)網(wǎng)資產(chǎn)清單，以便應(yīng)用一致性的安全策略，充分定義、適應(yīng)用戶工作流程。但除內(nèi)部記錄外，還要依靠從互聯(lián)網(wǎng)對其基礎(chǔ)設(shè)施進(jìn)行外部掃描。

為全面了解聯(lián)邦域名的使用情況，在本備忘錄發(fā)布后的60 天內(nèi)，各機構(gòu)必須向CISA和GSA 提供其互聯(lián)網(wǎng)可訪問信息系統(tǒng)使用的任何非聯(lián)邦政府域名。CISA 也將與GSA 合作，為非聯(lián)邦政府域名和相關(guān)數(shù)據(jù)的編目定義一個簡化且雙方認(rèn)可的流程，以最大限度地減少人工工作。

（6）聯(lián)邦機構(gòu)在部署服務(wù)尤其是部署云基礎(chǔ)設(shè)施時要使用不可篡改的工作負(fù)載。

成熟的云基礎(chǔ)設(shè)施通常為完全自動化的部署策略提供優(yōu)化技術(shù)接口，同時能夠支持部署和中止實踐，從根本上提高了安全性能。自動化、不可篡改的部署通過允許顯著改進(jìn)的最小權(quán)限架構(gòu)支持機構(gòu)的零信任目標(biāo)。當(dāng)應(yīng)用程序部署不再需要手動訪問和干預(yù)時，對服務(wù)器和其他資源的個人訪問會受到極大限制，更容易集中管理和審核。

各機構(gòu)在部署服務(wù)時應(yīng)盡量使用不可篡改的工作負(fù)載，特別是云基礎(chǔ)設(shè)施。在現(xiàn)代軟件開發(fā)全生命周期實踐中，以持續(xù)集成/連續(xù)部署和基礎(chǔ)設(shè)施作為代碼，有助于創(chuàng)建基于不可篡改工作負(fù)載的可靠、可預(yù)測和可伸縮的應(yīng)用程序。

各機構(gòu)應(yīng)使用CISA 發(fā)布的《云安全技術(shù)參考架構(gòu)》作為指導(dǎo)，將第三方服務(wù)從內(nèi)部托管遷移到云基礎(chǔ)設(shè)施供應(yīng)商。

1.5 數(shù)據(jù)

（1）成立提供零信任數(shù)據(jù)安全指南的聯(lián)合工作組。

在本備忘錄發(fā)布后的90 天內(nèi)，美國聯(lián)邦首席數(shù)據(jù)官（Chief Data Office，CDO）委員會和美國聯(lián)邦首席信息安全官（Chief Information Security Office，CISO）委員會將共同成立零信任數(shù)據(jù)安全聯(lián)合工作組，為各機構(gòu)制定一份數(shù)據(jù)安全指南，解決安全背景下的聯(lián)邦信息分類計劃中的數(shù)據(jù)分類問題，還將支持開發(fā)現(xiàn)有聯(lián)邦信息分類中未涉及的特定數(shù)據(jù)類別。

該工作組將指定某一機構(gòu)或內(nèi)部成員牽頭，構(gòu)建一個可協(xié)助各機構(gòu)處理重點領(lǐng)域的團隊。工作組將與機構(gòu)間統(tǒng)計政策理事會密切合作，并與其他聯(lián)邦委員會、利益相關(guān)者共同編寫安全指南。由于支持全局范圍內(nèi)數(shù)據(jù)分類的技術(shù)市場處于成熟階段，工作組還將確定并支持各機構(gòu)的新方法試點工作。

（2）聯(lián)邦機構(gòu)必須實現(xiàn)初步自動化數(shù)據(jù)分類和安全響應(yīng)，解決敏感文檔的標(biāo)記和訪問管理。

機構(gòu)應(yīng)根據(jù)實際需要完整地抓取整個系統(tǒng)和云基礎(chǔ)設(shè)施中的來自自動化安全監(jiān)控和執(zhí)行中的安全事件，這種能力通常為安全編排、自動化和響應(yīng)（Security Orchestration, Automation, and Response，SOAR）。此功能將需要豐富的數(shù)據(jù)（包括受保護(hù)的數(shù)據(jù)類型以及訪問數(shù)據(jù)的人員）通知系統(tǒng)進(jìn)行編排和權(quán)限管理。機構(gòu)應(yīng)盡量采用基于機器學(xué)習(xí)的方法對收集的數(shù)據(jù)進(jìn)行分類，并在整個機構(gòu)中盡可能實時地部署提供對異常行為的早期預(yù)警或監(jiān)測的流程。

在本備忘錄發(fā)布后的120 天內(nèi)，COD 必須與主要相關(guān)方合作，為機構(gòu)內(nèi)部敏感電子文件制定一套初步分類方法，用于自動監(jiān)測并限制文件共享。分類方法預(yù)計由人工手動制定，無需完整但要求覆蓋廣，以便發(fā)揮作用，同時要求具體，以便更可靠、更準(zhǔn)確。例如，對采購敏感文件使用標(biāo)準(zhǔn)模版的機構(gòu)可能會嘗試檢測其使用時間。

（3）聯(lián)邦機構(gòu)必須對商業(yè)云基礎(chǔ)設(shè)施中所有加密數(shù)據(jù)訪問進(jìn)行審計。

第14028 號行政命令要求各機構(gòu)使用加密技術(shù)保護(hù)靜態(tài)數(shù)據(jù)。靜態(tài)加密可以保護(hù)靜態(tài)復(fù)制的數(shù)據(jù)，但不能阻止脆弱的系統(tǒng)組件訪問解密的數(shù)據(jù)。云基礎(chǔ)設(shè)施提供商可以通過云管理的加解密操作及相關(guān)日志活動幫助檢測。通過云基礎(chǔ)設(shè)施，機構(gòu)可以管理密鑰、訪問解密操作，從而實施安全約束、構(gòu)建零信任架構(gòu)。當(dāng)機構(gòu)對云靜態(tài)數(shù)據(jù)進(jìn)行加密時，機構(gòu)必須使用密鑰管理工具創(chuàng)建審計日志，記錄數(shù)據(jù)訪問嘗試。

成熟度較高階段，機構(gòu)應(yīng)將審計日志與其他事件數(shù)據(jù)源相結(jié)合，以采用更復(fù)雜的安全監(jiān)控方法。例如，機構(gòu)可以將數(shù)據(jù)訪問的時間與用戶發(fā)起事件的時間進(jìn)行比較，以確定是否為正常應(yīng)用程序活動引起的數(shù)據(jù)庫訪問。

（4）聯(lián)邦機構(gòu)必須與CISA 協(xié)作實現(xiàn)綜合日志及信息共享。

第14028 號行政命令呼吁采取行動提高政府調(diào)查和恢復(fù)事件及漏洞的能力。同時根據(jù)CISA的建議，OMB 發(fā)布M-21-31 號備忘錄《提高聯(lián)邦政府對網(wǎng)絡(luò)安全事件的調(diào)查和補救能力》，旨在建立云托管和代理運營環(huán)境以保留和管理日志，確保每個機構(gòu)最高安全運營中心（Security Operations Center，SOC）的集中訪問和可見性，以加強機構(gòu)間的信息共享，加快事件響應(yīng)和調(diào)查工作。

為幫助各機構(gòu)確定其工作的優(yōu)先次序，該備忘錄建立了一個分層成熟度模型，旨在幫助機構(gòu)在實施日志分類、改進(jìn)SOC 操作和集中訪問等各種要求實施間取得平衡。同時按照要求，各機構(gòu)必須于2022年8月27日前達(dá)到第一個事件日志成熟度級別（E1-1），并率先完成完整性措施，限制對日志的訪問并允許對其加密驗證，以及記錄在整個環(huán)境中發(fā)出的DNS 請求。

2 結(jié) 語

作為OMB 于2021年9月發(fā)布的《零信任戰(zhàn)略草案》的正式版本，本備忘錄增加了身份、網(wǎng)絡(luò)等工作支柱的部分內(nèi)容，并特意增加了任務(wù)矩陣（Task Matrix），高度濃縮了聯(lián)邦政府對零信任的5 個支柱的具體要求，做出了明確的時間進(jìn)度安排，具有強力的推動作用。

新戰(zhàn)略是美國政府為保護(hù)聯(lián)邦網(wǎng)絡(luò)開展的最重要工作之一，也是在SolarWinds 網(wǎng)絡(luò)攻擊、Microsoft Exchange 黑客攻擊及Log4j 安全漏洞危機等安全事件下的重要應(yīng)對措施，標(biāo)志著美國政府保護(hù)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和數(shù)據(jù)的重大范式轉(zhuǎn)變。

（此報告翻譯方式為編譯，原文鏈接：https://zerotrust.cyber.gov/federal-zero-truststrategy/）