每個人都知道美國存在網絡安全問題，拜登政府的  100 億美元緊急請求始于承認我們處于網絡危機之中。問題是美國該怎么做。

　　今天，美國政府對網絡安全采取了一種支離破碎的方法?？纯淳o急撥款，你會發(fā)現(xiàn)這些資金至少流向了五個不同的部門和機構：總務管理局、網絡安全和基礎設施安全局、聯(lián)邦首席信息安全官和美國數(shù)字服務局。古語有云，人人有責，實際上就是無人負責。

　　拜登和美國國會應該從根本上將其不同的工作重組為一個集中的網絡安全部。這個新部門的職責應該是將三大因素——人員、技術和流程——組織成一個有凝聚力的結構。在兩黨政府下開始的工作，例如奧巴馬總統(tǒng)在管理和預算辦公室內設立聯(lián)邦信息安全官，以及在唐納德總統(tǒng)領導下創(chuàng)建國土安全部的一個業(yè)務部門CISA，特朗普是朝著正確方向邁出的一步，但現(xiàn)在應該在這些努力的基礎上再接再厲，并在一個有效的機構下共同阻止“像花生醬一樣傳播”網絡風險的時候了。

　　這個網絡安全部人員將負責整個聯(lián)邦政府的網絡安全。這不僅僅是一個網絡防御角色。在計算機系統(tǒng)的生命周期中，至少有三個不同的時期需要網絡安全。首先，該部門將作為資源在整個政府中創(chuàng)建更現(xiàn)代的 DevSecOps 工作。其次，該部門將充當評估者，幫助政府確定新的采購是否適合網絡用途。第三，該部門將作為事件響應和防御行動的中心點。

　　美國政府需要采取“左移”的心態(tài)，盡可能早地將網絡安全納入發(fā)展之中。這也是納稅人的最佳價值。研究表明，部署后解決問題的成本可能比早期發(fā)現(xiàn)的成本高出 100 倍。網絡安全部將為實施提供安全的開發(fā)框架和資源。

　　該部門還將提供內部專業(yè)知識，以確保系統(tǒng)在實施時考慮到網絡安全。美國國防部的部分人員已經采用了這種“左移”的思維方式，并正在從中受益。例如，美國空軍在其 Platform One 計劃中采用了一種對 DevSecOps 更友好的方法。我們需要將這種方法制度化為整個政府的一種做法。

　　其次，網絡安全部將在從商業(yè)供應商那里采購新系統(tǒng)或對現(xiàn)有系統(tǒng)進行現(xiàn)代化改造時提供評估專業(yè)知識。美國政府每年采購數(shù)十億美元的 IT 軟件，政府需要專家?guī)椭u估該軟件是否足夠安全。

　　拜登政府指出了 IT 現(xiàn)代化危機。事實上，在 100 億美元的緊急預算申請中，約有 90 億美元將用于技術現(xiàn)代化。雖然技術上正確的 IT 系統(tǒng)需要現(xiàn)代化，但忽略了更大的背景。最近的美國國會監(jiān)督 記分卡顯示，美國政府目前只做好一件事：遵守商業(yè)許可證。他們落后于風險管理和網絡安全，因為他們將網絡視為許可的小工具。

　　美國政府問責辦公室（GAO）最近發(fā)現(xiàn)，美國政府仍未在武器合同中實施網絡安全要求。因為沒有簽約要求，所以沒有完成。網絡安全部的任務之一不僅是確保有網絡安全要求，而且還提供主題專家來評估供應商是否滿足標準。

　　最后，網絡安全部將作為 CISA 的自然延伸，CISA 有望為各級政府和行業(yè)提供網絡安全。在行業(yè)內，這個角色將被稱為“計算機信息安全官”并運行一個政府范圍的安全運營中心。

　　該角色將包括明確的網絡安全防御任務。然而，網絡安全部不應成為執(zhí)法機構。這意味著該部門將負責防御，但仍依賴現(xiàn)有的執(zhí)法機構對國內或國外的網絡威脅行為者采取任何行動。

　　總體而言，這樣一個中央機構將為美國政府推動網絡發(fā)展提供急需的權威來源。正如GAO所說，“盡管美國在2018 年發(fā)布了國家網絡戰(zhàn)略，但目前尚不清楚哪個行政部門官員最終不僅負責協(xié)調戰(zhàn)略的實施，而且一旦活動實施，還讓聯(lián)邦機構承擔責任?！?網絡安全部最終將為目前遍布整個美國政府的網絡安全工作提供一個家。David Brumley 博士是 ForAllSecure 的首席執(zhí)行官。