2019年以来,为适应政府信息环境建设、网络安全规管以及数据管理利用等方面的需求,美国政府对其IT政策进行了重新制定,反映出特朗普政府的IT政策向更智能、更合理、更高效的战略方向转型发展。本文着重对美国政府云服务、数据中心管理、身份认证、共享服务、数据战略和可信互联网连接等六个领域的政策变化趋势进行了分析,以供读者参考。
1、云服务政策方面,由“云优先”向“云智能”转变
特朗普政府2019年最重要的单份IT政策文件是云智能政策,该政策以奥巴马政府于2010年发布的云优先(Cloud First)政策为基础,其重要性仅次于IT现代化政策。
“云优先”政策是在云技术相对较初期的时候制定的,使各美国联邦政府机构可以广泛采用基于云的解决方案。但由于没有执行计划或策略,各联邦政府机构云服务的速度很慢。
“云智能”是一种新型战略,旨在使各机构采用简化转换程序、包含现代功能的云解决方案,为各机构提供所需工具,方便各机构根据其职能需求作出信息技术决策,并充分利用商业解决方案提供最佳服务。“云智能”战略提供了一种综合、跨学科的方法,试图将安全性、采办和劳动力三个领域结合起来,形成一个统一战略。
“云智能”希望通过提供更严格的云服务定义来推动政府的云政策向前发展。政策阐明了政府在使用私有云与公共云之间的立场,即机构基础设施与私营公司的关系。该政策明确表示云服务“没有唯一答案”,这继续为政府少拥有系统、更多采用即服务提供了背书。
“云智能”重点内容包括:
一是安全,包括可信互联网连接(TIC)、持续的数据保护及意识、联邦风险与授权管理项目(FedRAMP)等;
二是采办,包括类别管理、服务水平协议、合同安全要求等;
三是劳动力,包括确定当前和未来工作职责的技能差距、保留并重新培训现有的联邦雇员、征募人才以弥补技能缺口等。
2、数据中心管理政策方面,由“减少数据中心”向“优化数据中心”转变
2010年,白宫管理和预算办公室启动了联邦政府部门的数据中心整合工作,计划在2018年实现其目标。虽然取得了一些成果,但美国联邦调查局的数据中心的削减工作总体上是失败的。
美国政府问责办公室2019年4发布的一份调查报告表明,美国联邦政府还没有完全整合其数据中心的路径,未能完全实现优化运营,并且只能采用有限的方式利用混合运算。该报告中指出,虽然一些设施整合和优化取得成功,但美国政府部门的数据中心数量却仍然过多。
与云智能政策并驾齐驱,白宫管理和预算办公室2019年发布了其数据中心优化计划的最终版本,以代替奥巴马政府开始的联邦数据中心整合计划。新政策附带了一套新机构衡量指标,并禁止在未事先与管理和预算办公室核对的情况下开设新的政府机构自有数据中心。
美国众议员格里·康诺利和马克·梅多斯对管理和预算办公室由注重关闭数据中心向优化数据中心转变提出异议。康诺利表示,“法律内容一直是要确定我们拥有多少个数据中心,然后将它们削减一半,然后再削减一半”,而该政策“削弱了法律内容”。
联邦首席信息官苏泽特·肯特则表示,随着数据中心数量的增长,它开始包含不应迁移到云环境的设备,例如打印机、气象站、核磁共振仪和“实际上未归类为数据中心的物品”。肯特表示,经过与政府机构的交流,发现有理由继续运营数据中心,例如超级计算机站点、恢复能力的需求以及政府机构的特殊需求等。
3、身份、凭证和访问管理政策方面,由“单纯外围管理”向“基础身份管理”转变
政府基础设施政策推动的第三大支柱是身份、凭证和访问管理(ICAM)政策的重新设计,该政策确定了政府机构应如何管理网络使用人员以及上述人员(或其他形式的实体)应采取何种访问方式。该政策更新改变了政府对用户访问网络的方式的想法,这将在可信互联网连接政策更新中重现,促使政府机构更加灵活地管理网络接入点。
该政策指示政府机构开放关于“谁”或“什么”需要凭证的思维,并指出“尽管加强外围很重要,但政府必须转变简单地管理外围内外访问的方式,应以身份为基础来管理试图访问联邦资源所带来的风险。”
该政策对“身份管理”的内涵进行了界定,表示“身份是指某一主体的特定表示,例如个人、设备、非人实体(NPE)或者自动化技术,其至少涉及一种联邦主体或者联邦资源,例如联邦信息、联邦信息系统、联邦设施或安全区域等”。这个定义涵盖了政府机构业务涉及的各个方面,管理的对象不限于政府机构人员,还包括设备、系统、技术和设施,实现了对业务领域的全面覆盖,体现出这是一个全范围综合管理体系。
“身份管理”内涵还延伸到政府机构为民众提供服务的过程中,将信任机制纳入到管理范畴。该政策表示,身份概念有两种情形,一种是联邦机构身份,即员工、承包商以及机构用户;另一种是公共身份,是联邦机构为了实现自身使命及业务目标而与其交互,但又不对其直接进行管理的主体,也就是在向美国民众提供服务过程中的管理对象,目标是建立民众对政府机构服务的信用机制。
4、共享服务政策方面,由“依赖大型机构”向“职能机构引领”转变
特朗普政府2019年最大的政策转变之一是发布了《联邦政府核心任务支撑能力》,一项在整个政府范围内提供共享服务的新制度。新的共享服务政策建立了质量服务管理办公室(QSMO),以引领网络安全、工资支出、拨款管理和会计等职能领域,其中一些已经通过共享服务提供商进行管理。QSMO的重大变化将是,在为政府机构提供选择的同时,以更加集中的方式管理上述服务。
当前,部分共享服务是由一些大型机构独立管理的,其他机构可以选择利用这些机构。在QSMO新体制下,单一机构将引领各自职能领域,为感兴趣的机构提供服务,同时还管理一个广阔的市场,其中包括经过预先审查的商业产品以及一套适用于整个政府的标准。根据这项政策,国土安全部将负责辅助美国政府其他机构开展网络安全工作——包括提供能力、编写外包合同和建立网络安全体系等。国土安全部网络安全与基础设施安全局(CISA)将帮助美国政府和私营企业保护其资产,而非是充当网络安全的项目实施者。
5、数据战略政策方面,由“数据搜集汇聚”向“数据管理利用”转变
白宫将改善数据管理作为总统管理议程的关键支柱之一,新出台的联邦数据战略包括具体行动项目,供各机构立即开始改善其信息生态系统。
白宫管理和预算办公室与利益相关者进行了广泛的磋商,其中包括机构数据负责人、一线员工、业界和学术界,最终制定了联邦数据战略,其中包括未来10年指导政府机构的10条原则和40种做法,以及2020年应完成20项行动项目。
6月,美国政府发布了最终的原则和实践清单,以指导机构应如何将数据用作战略资产。该版本包括一项第一年行动计划草案,为政府机构和政府范围内的团队提供了2020年8月前要实现的16种具体的可交付成果。
管理和预算办公室12月发布了第一年行动计划的最终版本。第一年行动计划草案的目标是通过一系列基本行动开始实施联邦数据战略,包括:指定实体开发和共享政府范围内的资源和/或工具;特定的联邦社区将改进特定数据资产组合的管理和使用,包括地理空间数据和财务管理数据;联邦机构将开始跨部门工作,以确定如何通过更好地利用联邦政府的全部数据资产组合来更好地支持其任务并为利益相关者服务。
草案包括以下三类行动:
一是共享行动由单一机构或已有协会领导,以所有机构为受益人,并拥有可用的跨机构资源。它们为实施联邦数据战略提供政府范围的思想领导、指南、工具或服务;
二是社区行动是由一组机构围绕一个共同主题执行的,通过一个已建立的跨机构协会或其他现有的协调机制,并有可用的跨机构资源。它们将使用联邦数据战略实践和实施指南更快、更一致地实现其目标。
三是特定机构行动由单个机构执行,旨在利用现有机构资源建立能力。
6、可信互联网连接政策方面,由“信任严格定义”向“因应环境需求”转变
白宫管理和预算办公室9月发布了可信互联网连接(TIC)政策3.0的最终版本,概述了政府机构如何确保员工及其设备安全地连接到联邦网络。此次更新是在TIC 2.0发布7年后进行的,态势环境已经发生很大变化。
新政策承认,大多数员工并不总是通过办公室计算机连接到政府机构网络。现代工作流程包括在世界各地使用多种设备连接到网络,包括台式机、笔记本电脑、智能手机等。随着政府机构更多采用云计算环境,政府网络本身也变得更加虚拟。为了应对上述变化,TIC 3.0围绕用例构建,展示各种连接以及确保其安全的各种方法。
用例可分为四大类:传统、云、政府机构分支和远程用户。TIC政策用例的编纂工作由国土安全部和联邦首席信息安全官委员会负责。TIC 3.0主要更新内容包括:抛弃先前严格定义的信任方法,明确信任方法将因计算环境而异;把联邦网络划分为多个“信任区域”,旨在将严格的物理网络边界转换为网络环境中的信任区域的边界,从保护单一网络边界转变为保护分布式架构;取消了旧的TIC手动合规性验证流程和网络安全度量标准,而采用自动化指标采集的方式,以更好地描绘机构网络安全状况。TIC 3.0的五个网络安全目标包括:即管理流量、保护流量机密性、保护流量完整性、确保服务弹性和确保对威胁的有效应对。(赵慧杰)
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
