每個(gè)人都知道美國(guó)存在網(wǎng)絡(luò)安全問(wèn)題，拜登政府的  100 億美元緊急請(qǐng)求始于承認(rèn)我們處于網(wǎng)絡(luò)危機(jī)之中。問(wèn)題是美國(guó)該怎么做。

　　今天，美國(guó)政府對(duì)網(wǎng)絡(luò)安全采取了一種支離破碎的方法。看看緊急撥款，你會(huì)發(fā)現(xiàn)這些資金至少流向了五個(gè)不同的部門(mén)和機(jī)構(gòu)：總務(wù)管理局、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、聯(lián)邦首席信息安全官和美國(guó)數(shù)字服務(wù)局。古語(yǔ)有云，人人有責(zé)，實(shí)際上就是無(wú)人負(fù)責(zé)。

　　拜登和美國(guó)國(guó)會(huì)應(yīng)該從根本上將其不同的工作重組為一個(gè)集中的網(wǎng)絡(luò)安全部。這個(gè)新部門(mén)的職責(zé)應(yīng)該是將三大因素——人員、技術(shù)和流程——組織成一個(gè)有凝聚力的結(jié)構(gòu)。在兩黨政府下開(kāi)始的工作，例如奧巴馬總統(tǒng)在管理和預(yù)算辦公室內(nèi)設(shè)立聯(lián)邦信息安全官，以及在唐納德總統(tǒng)領(lǐng)導(dǎo)下創(chuàng)建國(guó)土安全部的一個(gè)業(yè)務(wù)部門(mén)CISA，特朗普是朝著正確方向邁出的一步，但現(xiàn)在應(yīng)該在這些努力的基礎(chǔ)上再接再厲，并在一個(gè)有效的機(jī)構(gòu)下共同阻止“像花生醬一樣傳播”網(wǎng)絡(luò)風(fēng)險(xiǎn)的時(shí)候了。

　　這個(gè)網(wǎng)絡(luò)安全部人員將負(fù)責(zé)整個(gè)聯(lián)邦政府的網(wǎng)絡(luò)安全。這不僅僅是一個(gè)網(wǎng)絡(luò)防御角色。在計(jì)算機(jī)系統(tǒng)的生命周期中，至少有三個(gè)不同的時(shí)期需要網(wǎng)絡(luò)安全。首先，該部門(mén)將作為資源在整個(gè)政府中創(chuàng)建更現(xiàn)代的 DevSecOps 工作。其次，該部門(mén)將充當(dāng)評(píng)估者，幫助政府確定新的采購(gòu)是否適合網(wǎng)絡(luò)用途。第三，該部門(mén)將作為事件響應(yīng)和防御行動(dòng)的中心點(diǎn)。

　　美國(guó)政府需要采取“左移”的心態(tài)，盡可能早地將網(wǎng)絡(luò)安全納入發(fā)展之中。這也是納稅人的最佳價(jià)值。研究表明，部署后解決問(wèn)題的成本可能比早期發(fā)現(xiàn)的成本高出 100 倍。網(wǎng)絡(luò)安全部將為實(shí)施提供安全的開(kāi)發(fā)框架和資源。

　　該部門(mén)還將提供內(nèi)部專(zhuān)業(yè)知識(shí)，以確保系統(tǒng)在實(shí)施時(shí)考慮到網(wǎng)絡(luò)安全。美國(guó)國(guó)防部的部分人員已經(jīng)采用了這種“左移”的思維方式，并正在從中受益。例如，美國(guó)空軍在其 Platform One 計(jì)劃中采用了一種對(duì) DevSecOps 更友好的方法。我們需要將這種方法制度化為整個(gè)政府的一種做法。

　　其次，網(wǎng)絡(luò)安全部將在從商業(yè)供應(yīng)商那里采購(gòu)新系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)進(jìn)行現(xiàn)代化改造時(shí)提供評(píng)估專(zhuān)業(yè)知識(shí)。美國(guó)政府每年采購(gòu)數(shù)十億美元的 IT 軟件，政府需要專(zhuān)家?guī)椭u(píng)估該軟件是否足夠安全。

　　拜登政府指出了 IT 現(xiàn)代化危機(jī)。事實(shí)上，在 100 億美元的緊急預(yù)算申請(qǐng)中，約有 90 億美元將用于技術(shù)現(xiàn)代化。雖然技術(shù)上正確的 IT 系統(tǒng)需要現(xiàn)代化，但忽略了更大的背景。最近的美國(guó)國(guó)會(huì)監(jiān)督 記分卡顯示，美國(guó)政府目前只做好一件事：遵守商業(yè)許可證。他們落后于風(fēng)險(xiǎn)管理和網(wǎng)絡(luò)安全，因?yàn)樗麄儗⒕W(wǎng)絡(luò)視為許可的小工具。

　　美國(guó)政府問(wèn)責(zé)辦公室（GAO）最近發(fā)現(xiàn)，美國(guó)政府仍未在武器合同中實(shí)施網(wǎng)絡(luò)安全要求。因?yàn)闆](méi)有簽約要求，所以沒(méi)有完成。網(wǎng)絡(luò)安全部的任務(wù)之一不僅是確保有網(wǎng)絡(luò)安全要求，而且還提供主題專(zhuān)家來(lái)評(píng)估供應(yīng)商是否滿足標(biāo)準(zhǔn)。

　　最后，網(wǎng)絡(luò)安全部將作為 CISA 的自然延伸，CISA 有望為各級(jí)政府和行業(yè)提供網(wǎng)絡(luò)安全。在行業(yè)內(nèi)，這個(gè)角色將被稱(chēng)為“計(jì)算機(jī)信息安全官”并運(yùn)行一個(gè)政府范圍的安全運(yùn)營(yíng)中心。

　　該角色將包括明確的網(wǎng)絡(luò)安全防御任務(wù)。然而，網(wǎng)絡(luò)安全部不應(yīng)成為執(zhí)法機(jī)構(gòu)。這意味著該部門(mén)將負(fù)責(zé)防御，但仍依賴(lài)現(xiàn)有的執(zhí)法機(jī)構(gòu)對(duì)國(guó)內(nèi)或國(guó)外的網(wǎng)絡(luò)威脅行為者采取任何行動(dòng)。

　　總體而言，這樣一個(gè)中央機(jī)構(gòu)將為美國(guó)政府推動(dòng)網(wǎng)絡(luò)發(fā)展提供急需的權(quán)威來(lái)源。正如GAO所說(shuō)，“盡管美國(guó)在2018 年發(fā)布了國(guó)家網(wǎng)絡(luò)戰(zhàn)略，但目前尚不清楚哪個(gè)行政部門(mén)官員最終不僅負(fù)責(zé)協(xié)調(diào)戰(zhàn)略的實(shí)施，而且一旦活動(dòng)實(shí)施，還讓聯(lián)邦機(jī)構(gòu)承擔(dān)責(zé)任?！?網(wǎng)絡(luò)安全部最終將為目前遍布整個(gè)美國(guó)政府的網(wǎng)絡(luò)安全工作提供一個(gè)家。David Brumley 博士是 ForAllSecure 的首席執(zhí)行官。