美国防部发布零信任战略及实施路线图

美国防部11月22日发布《国防部零信任战略》及《国防部零信任能力执行路线图》，概述国防部计划如何在2027财年前在国防部范围全面实施零信任网络安全框架。

美国防部零信任战略指出，面对当前快速发展的网络威胁和攻击，基于传统身份验证和授权模型的传统边界防护方法已不能有效地阻止当前和未来的网络攻击媒介，需要采取更具适应性、灵活性和敏捷性的协调一致响应方法。美国防部首席信息官约翰·谢尔曼在战略中指出，该战略的目的是通过从外围防御模式转变为“从不信任，始终验证”的心态来应对攻击性网络威胁的“快速增长”。

战略概述了四项综合战略目标：一是零信任文化采纳，即培养零信任心态和文化，并通过零信任安全框架和思维方式指导美军零信任生态系统中信息技术的设计、开发、集成和部署；二是保护和捍卫国防部信息系统，即开展网络安全实践，在新旧系统中整合并实施零信任，以实现国防部信息系统的整体弹性；三是技术加速，即以等于或超过行业进步的速度部署基于零信任的技术，以保持领先于不断变化的威胁环境；四是零信任启动，即同步国防部及其组成机构的流程、政策和资金，从而实现无缝协调的零信任执行。

战略围绕七个支柱设定了45项独立能力，包括：用户；设备；网络和环境；应用程序和工作负载；数据；洞察和分析；自动化和编排。该战略还将美国防部在上述支柱上的预期进展分为“目标”和“高级”零信任级别，要求到2027财年将实现“目标”级别目标，要求特定的机构未来几年达到“高级”级别目标。该战略为美国防部机构设立了相关时间表，包括：2023年对3个遗留系统进行零信任试点；在2023财年第四季度前记录所有网络流量；到2023年底开始将零信任部署到生产系统中；2023年9月23日前向国防部首席信息官办公室提交零信任执行计划。该战略为美国防部定义了三个行动方案，以最终实现其设想的零信任目标：建立零信任“基线”；依靠商业供应商开发符合零信任的云环境；利用政府拥有的私有云。