美专家呼吁拜登政府成立网络安全部

远望智库技术预警中心 书香慧言 编译

近日，美知名网络安全专家、ForAllSecure公司联合创始人兼首席执行官大卫·布伦利（David Brumley）博士在“防务1号”网站上撰文，针对当前美国面临的网络威胁日益加剧，而网络安全管理工作却存在权力分散等问题，呼吁拜登政府成立网络安全部。主要观点如下：

布伦利指出，美国政府目前采取的是一种支离破碎的方式来管理网络安全。从拜登政府的紧急拨款申请中就会发现，这些资金至少流向了四个不同的部门和机构，它们分别是联邦总务署、网络安全与基础设施安全局、联邦首席信息安全官以及美国数字服务局。古语有云：“人人有责=无人负责”。为此，拜登政府及国会应该从根本上将这些不同的职能分工重新整合到一个权力集中的部门——网络安全部。这个新成立的部门应被授权将人员、技术和流程三大要素整合到一个有凝聚力的组织中。目前两党政府已经开展的一些工作，如奥巴马政府在管理和预算办公室下设立联邦信息安全官，以及特朗普执政时在国土安全部下设立了一个业务部门——网络安全与基础设施安全局，这些都是向正确方向迈出的一步，但现在需要以此为基础再接再厉，将这些机构整合在一起，放弃那种“权力分散”的网络管理方式。

首先，新成立的网络安全部人员将负责整个联邦政府的网络安全。这不仅仅是一个网络防御职能，因为在计算机系统的生命周期里，网络安全部将至少发挥三个方面的职能：一是该部门将在整个政府内创建更现代化的DevSecOps工作模式。二是该部门将充当评估者，帮助政府确定新的采购是否适合网络用途。三是该部门将作为事故响应和防御行动的中心。为此，联邦政府需要采取一种“左移”思维，即尽可能早地将安全纳入网络开发过程中。这也符合纳税人的要求，因为研究表明，网络部署后解决问题的成本可能比早期发现的成本要高出100倍。而成立网络安全部门将供安全的开发框架与资源。同时，该部门还将提供内部专业知识，以确保系统构建过程中考虑到网络安全问题。国防部的部分人员已经采用了这种“左移”的思维方式，并正在从中受益。例如，空军在“平台1号”项目中采用了一种对DevSecOps更友好的方法。现在需要将这种做法制度化，使其成为整个政府的通用做法。

其次，网络部门将在从商业供应商那里采购新系统或对现有系统进行现代化改造时提供专业的评估知识。政府每年采购数十亿美元的IT软件，而且政府还需要专家帮助评估该软件是否足够安全。拜登政府曾提及IT现代化危机。事实上，在100亿美元的紧急预算申请中，约有90亿美元将用于技术现代化改造。虽然技术上可行的IT系统需要现代化改造，但此举忽略了更大的问题。国会近期发布的监督记分卡表明，政府目前只做好了一件事情，即遵守商业许可证，但在风险管理和网络安全方面却是滞后的，因为政府部门认为，与许可证相比，网络无足轻重。政府问责办公室近期发现，政府在签署武器合同时中并未履行网络安全要求，因为没有这方面的签约要求。网络安全部的任务之一不仅要确保有网络安全要求，而且还提供特定领域的专家来评估供应商是否达标。

最后，网络部门将作为网络与基础设施安全局的自然延伸，为各级政府并在适当时候为行业提供网络安全。针对行业，网络安全部可设立“计算机信息安全官”，并运营一个政府范围的安全运营中心。该职能将包括明确的网络安全防御任务。然而，网络安全部门不应成为执法部门，其主要负责防御，对国内或国外的网络威胁行为体采取行动仍由现有执法部门负责。

布伦利最后指出，成立这样一个中央机构将为政府推动网络发展提供急需的权威。正如政府问责局所说的，“尽管 2018 年发布了《国家网络战略》，但目前尚不清楚哪个行政部门的官员最终负责协调该战略的实施，以及哪些联邦机构负责该战略的实施。”而网络安全部最终将统筹目前散布在政府各部门的网络安全工作。

声明：本文来自战略前沿技术，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。