戰略提出，要求美國聯邦政府在2024財年前滿足必要的網絡安全標準和目標，以實現零信任安全架構防護體系。

　　美國白宮今天發布了一項戰略文件，要求聯邦政府能在未來兩年內逐步采用“零信任”安全架構，以抵御現有威脅并增強整個聯邦層面的網絡防御能力。

　　這項戰略由白宮管理與預算辦公室（OMB）發布，備忘錄編號為M-22-09。該辦公室的主要職責就是通過監督將總統的規劃愿景在美國各級行政部門內實施落地。

　　此次公告是2021年9月發布首次草案后的正式政府文件，其制定授意來自拜登的第14028號總統行政令。該行政令要求在整個政府范圍內啟動零信任框架遷移，借此幫助美國實現對于網絡攻擊活動的現代化防御能力。

　　管理與預算辦公室代理主任Shalanda D. Young表示，“這份備忘錄提出了聯邦政府零信任架構（ZTA）戰略，要求各級機構在2024財年結束之前達成各項既定網絡安全標準與目標，旨在加強政府面對日益復雜、持續發生的威脅活動時的防御能力?！?/p>

　　“這些威脅活動往往將矛頭指向聯邦政府技術基礎設施，威脅公共安全與隱私、損害美國經濟，同時削弱民眾對于政府的信任。”

　　零信任戰略中的核心要素，包括通過強大的多因素身份驗證機制改進網絡釣魚防御水平、整合各機構身份系統、加密進出流量、將內網環境視為不受信環境，同時加強應用程序安全以更好地保護數據內容。

　　在這項新的聯邦政府零信任戰略中，管理與預算辦公室還提出以下幾項具體展望：

　　聯邦政府雇員應擁有由機構負責管理的賬戶，供他們訪問日常工作中需要接觸的一切信息，同時可靠地保護雇員免受針對性、復雜網絡釣魚攻擊的影響。

　　聯邦政府雇員使用的工作設備將受到持續跟蹤與監控，而且在授予內部資源訪問權限時，也應考慮到設備的具體安全狀況。

　　各代理系統間相互隔離，往來于不同系統及同一系統內部的網絡流量應經過可靠加密。

　　業務應用程序應經過內部與外部測試，保證可通過互聯網安全交付給雇員。

　　聯邦政府各安全團隊及數據團隊應合作規劃數據類別與安全規則，實現對敏感信息的自動檢測，最終阻斷一切未經授權的訪問活動。

　　可以看到，經過安全廠商多年不懈努力與推動后，零信息安全原則終于開始在政府層面落地扎根。

　　在這輪現代安全原則的普及趨勢之下，從2021年2月開始，美國國家安全局向國家安全系統、國防部及國防工業基礎的大型業務與關鍵網絡也開始推薦使用零信任安全實踐方法。

　　Young還表示，“面對日益復雜的網絡威脅，政府正在采取果斷行動以加強聯邦層面的網絡防御能力?！?/p>

　　“這項零信任戰略希望保證聯邦政府能夠以身作則，也標志著我們已經迎來新的安全發展里程碑，將借助新的方法與實踐擊退那些謀劃損害美國利益的網絡入侵者。”