6月29日消息,美国白宫管理和预算办公室(OMB)和国家网络总监办公室(ONCD)日前联合发布备忘录,概述了联邦部门和机构根据国家网络安全战略编制2025财年网络安全预算时,需落实的五大重点任务。
备忘录表示,预算提案必须与拜登政府今年3月发布的国家网络安全战略一致。两大办公室将审查联邦机构提交的预算提案,“确定潜在差距”和“解决这些差距的潜在方案”。
备忘录称:“OMB将与ONCD协调,判断联邦机构预算提案是否充分考虑网络安全要求,是否与国家网络安全战略和政策保持一致,并向提交机构提供反馈,帮助机构通过常规预算流程进行多年规划。”
聚焦五大重点任务
备忘录五大重点任务与美国国家网络安全战略五大支柱保持一致,包括:保护关键基础设施、破坏和摧毁威胁行为者、塑造市场力量以推动安全和弹性、投资更有弹性的未来、建立国际伙伴关系以追求共同目标。第一,打造现代化联邦防御。美国政府必须继续加强信息技术系统,实现系统现代化。联邦机构应投资持久、长期、设计安全的解决方案。因此,预算提案必须体现以下几点:在零信任部署方面取得进展,弥补与相关规定的差距;实现联邦零信任战略目标,明确机构投资将提升人员配置、流程和技术,向零信任能力成熟度模型靠拢;优先进行技术现代化确保机构系统符合安全标准、保证客户体验;保护国家安全系统;适当利用共享网络安全服务保卫联邦系统。第二,改善网络安全基线要求。制定网络安全要求、考虑所需资源时,监管机构鼓励与受监管实体磋商。因此,预算提案必须体现以下几点:利用NIST网络安全框架和符合自愿一致原则的标准;进一步落实基于绩效的监管,确保网络安全基线标准既有普适性又有灵活度;优先考虑网络安全能力和性能,确保监管制度有效落实。第三,扩大公私合作。为保护关键基础设施,必须建立结构清晰的角色责任体系,通过数据、信息和知识自动交换增加连接性。因此,预算提案必须体现以下几点:优先建立与关键基础设施业主和运营商合作的能力和机制,识别、理解和减轻各个部门面临的威胁、漏洞和风险;借鉴经验,行业风险管理机构(SRMA)应确定各行业能力需求和差距;每个SRMA考虑增加专职网络安全分析师,负责与关键基础设施合作,主动向业主和运营者提供信息。反击网络犯罪,击败勒索软件。勒索软件对国家安全、公共安全和经济繁荣构成威胁。美国政府将持续有针对性地进行干扰活动,使勒索软件无法盈利。因此,相关部门和机构的预算提案必须体现以下几点:优先安排人员调查勒索软件犯罪,干扰勒索软件基础设施和行为者;优先安排人员打击勒索软件行为者滥用虚拟货币洗钱;参加打击网络犯罪的跨机构工作组。第一,保障软件安全,利用联邦采购加强问责制度。联邦机构需采取措施确保软件生产商遵守安全软件开发实践要求,比如软件生产商获取自我认证。联邦采购管理委员会考虑变更联邦采购规章,加强和统一各机构的网络安全合同要求。变更前将发布拟议规则,征集政府外利益相关者的意见。因此,预算提案必须体现以下几点:能力满足安全软件和服务要求(包括合同成本、培训);确定可以帮助实施网络安全要求,并在机构内外广泛试点的新采购方式。第二,利用联邦拨款和其他激励措施来构建安全性。联邦部门和机构应确保联邦关键基础设施的联邦资助计划在设计、开发、实施和维护中考虑网络安全弹性。因此,预算提案必须体现以下几点,保护联邦关键基础设施免受网络威胁:支持项目评审、财务合规和评估,解决网络安全威胁,视需要为基础设施投资制定网络安全性能标准;鼓励跨机构合作,为项目在设计和建设阶段提供技术支持。第一,加强网络人才队伍建设。美国的集体网络安全受到网络人才队伍不足的掣肘。因此,预算提案必须体现以下几点:为联邦政府培养、吸引、留住网络人才,并采用基于技能的招聘方法,包括技能能力评估、联合招聘和多途径入职;通过技术援助、拨款和跨部门网络人才项目,培养基础网络技术和能力。第二,为后量子时代做准备。美国政府正努力加强美国在量子信息科学领域的领导地位,并应对量子计算可能对加密数据和系统造成的潜在威胁。因此,预算提案必须体现以下几点:确保预算申请明确体现相关法规政策要求,采用必要服务和软件,以便准确自动化盘点内部的加密系统,并按要求将最关键、最敏感的网络和系统进行后量子加密。第一,加强国际合作伙伴的能力和美国的援助能力。美国将合作确定、干预或解决恶意网络活动,缓解对美国网络和关键基础设施的威胁。拥有海外网络安全任务的联邦机构的预算申请必须体现以下几点:充分发挥政府内部专业能力,协调有效地建设国际网络能力;如有国际操作协调任务,面对重大网络攻击时,加强与外国伙伴和盟友的配合与援助;与私营部门、非政府组织和其他国际合作伙伴合作,建立或加强国际合作伙伴的网络能力,保证他们在数字生态系统中的安全。第二,确保信息、通信和运营技术产品与服务的全球供应链安全。联邦机构需要建立正式的供应链风险管理(SCRM)计划,获取信息和通信技术及服务。预算提案必须体现以下几点:明确评估、监测供应链风险并支持机构SCRM计划所需人员;如信息和通信技术交易涉及受外国对手控制或管辖的个体,需按规定,委相关评估项目提供支持,以评估交易对美国和美国民众可能产生的威胁。该备忘录发布之际,美国白宫正在准备多项战略,例如预计于今年夏季发布的国家网络安全战略实施计划、国家网络人才战略。ONCD和OMB表示,还将发布一份关于网络安全研究和发展重点的指导备忘录。备忘录指出,联邦机构需要通过实施联邦零信任策略、改善基准网络安全要求、扩大公私合作来保护使关键基础设施。该备忘录还指出,勒索软件仍然是美国国家安全威胁。为了摧毁威胁行为者,一些机构应重点实施调查并破坏犯罪基础设施,要“优先配置人员打击虚拟货币的滥用”,并参与跨机构工作组。除此之外,拜登政府要求联邦机构利用购买力影响网络安全市场,采用基于技能的招聘方法加强网络安全人员队伍,遵循美国后量子时代国家安全备忘录,加强国际伙伴关系,并保护信息、通信和运营技术全球供应链。美国总统拜登发布2024财年预算提案,计划为网络安全和基础设施安全局(CISA)增加预算,同时提高联邦调查局(FBI)的网络调查能力。新的预算案还呼吁加强联邦政府的IT现代化工作,围绕性别相关网络犯罪推进网络安全工作,帮助乌克兰在数字战线上增强自我保卫能力。“本预算案将继续投资网络安全计划,强调网络安全对于美国经济的基本运作、美国关键基础设施的正常运营、美国民主及民主制度的力量、美国数据和通信隐私及美国国家安全至关重要。”白宫在预算案的随附概述中表示,“日前签署的美国国家网络安全战略已经详细介绍一种全面方法,旨在更好地保护网络空间,确保美国处于最有利的地位,把握住数字未来所蕴含的一切收益和潜力。”控制众议院的共和党已经对预算案内容表达了明确反对,这份预算规划恐怕不太可能直接通过。不过,预算法案中的网络安全条款一般会得到两党共同支持,因此相较于众议院领导层更为反感的债务上限和社会问题,网络安全条款得到保留和通过的可能性应该更高。白宫表示,在新一年中将CISA的预算再增加1.45亿美元,总额达到31亿美元,以确保网络空间更具弹性和灵活性。这一前所未有的预算额度,也意味着CISA这个成立于2018年11月的年轻机构,掌握的资金首超30亿美元大关。CISA的预算包括:9800万美元用于实施2021年《关键基础设施网络事件报告法》;4.25亿美元用于提高CISA内部的网络安全与分析能力,这也是其新的网络分析数据系统中的组成部分。国土安全部表示,该系统“是一个强大且可扩展的分析环境,能够为CISA的网络操作人员提供高级分析功能。”2、能源部获得2.45亿美元,用于加强清洁能源安全和能源供应链安全拜登政府提供2.45亿美元预算,用于加强清洁能源技术和能源供应链安全。预算还将增加对各州、地方、部落及领地政府的应急计划与准备援助,包括应对气候变化所造成的相关事件。3、财政部新增1.15亿美元,用于改善“企业安全”根据拟议预算,财政部将分得2.15亿美元,用于保护和捍卫敏感机构的系统和信息,其中包括被指定为高价值资产的各类系统和信息。这一数字比2023年的预算水平增加了1.15亿美元,增幅达51%。此外,预算还上调了集中资金,用以加强财政部的整体网络安全工作,并继续实施零信任架构以保护财政部系统免受未来攻击影响。4、司法部获得额外6300万美元,用于追查网络威胁新的预算旨在扩大对司法部网络威胁调查能力的投资,其中6300万美元将用于扩充人员规模、增强响应能力并加强情报收集和分析能力。政府在预算案中指出,“这些投资符合国家网络安全战略,战略中强调应采取全国性方法来应对持续存在的网络威胁。”为了支持IT现代化改造,预算中还包含2亿美元的技术现代化基金(TMF),设立依据源自2017年的《政府技术现代化法案》。预算案称,“技术现代化基金占据着有利位置,能够寻求跨机构运用技术方案的机会,并投资于IT现代化、网络安全和面向用户的服务,借此显著推动联邦政府提供卓越、公平和安全的服务/客户体验的能力。”预算案要求,投入超3.95亿美元用于推进全球网络和数字发展计划,包括国务院网络空间和数字政策局、美国国际开发署(USAID)的数字战略、全球基础设施和投资伙伴关系(PGII)数字连接工作,以及非洲数字化转型等区域性举措。预算案还提到,政府计划增加国防部对印太地区的安全合作投资,将重点建设包括领域意识、后勤、网络安全以及指挥与控制等多个方面的能力。投资解决涉及性别的网络犯罪活动:在总额达10亿美元的终止性别暴力预算提案中,将有1400万美元用于资助更新之后的《反暴力侵害妇女法》(VAWA,最初颁布于1994年)以解决技术滥用问题,应对指向个人的网络犯罪。预算案还要求向乌克兰提供7.53亿美元,用以继续对抗俄罗斯的恶意影响,并满足关于安全、能源、网络安全、虚假信息、宏观经济稳定和公民社会恢复的新需求。美国总统拜登发布2023财年预算提案,再次强调了对网络安全的高度关注。2023财年拟议预算为非国防联邦机构提供了109亿美元的网络安全支出,较上一年的98亿美元大幅增长11%。政府预计,网络安全与基础设施安全局(CISA)将在2023财年新增276名全职雇员。根据白宫发布的附录,该局在2022年的全职人力工时(FTE)为2464,2021年则为2400。网络安全与基础设施安全局及其上级部门正在积极宣传,他们为了帮助招聘而新上线的网络人才管理系统。尽管人员规模不断扩大,但这似乎仍然跟不上该局的职能扩展速度。最近,一项新的网络事件报告法案责成该局承担起复杂的规则制定任务。在网络与基础设施安全局将要拿到的25亿美元预算中(较上年增长近5亿美元,注:CISA也有物理安全职能),有5.45亿美元用于“采购、建设与改进”,其余大部分资金主要用于“运营和支持”。这样的划分方式与前几年基本一致。
但2023年,该局的研发资金将进一步下降至400万美元,不仅低于2022年的500万美元研发开销预估,更远不及2021年的1300万美元实际支出。在针对此次预算案的后续声明中,国土安全部长Alejandro Mayorkas对资金的预期用途做出了进一步阐述。他表示,将有800万美元用于支持网络安全咨询委员会和网络安全审查委员会的运营。之前SolarWinds事件发生后,白宫发布第14028号总统行政令,要求建立相关委员会。Mayorkas说,在这800万美元预算中,还有一部分将用于“建立咨询委员会项目管理办公室,帮助网络安全与基础设施安全局增强其咨询委员会的管理能力。”
他还表示,有4.25亿美元将用于持续诊断与缓解计划(CDM),1.75亿美元用于“通过风险管理及与关键基础设施社区的合作,努力保障并提高私有关键基础设施的弹性。”
4、新增的预算该怎么花?
除了增加各机构的网络安全预算之外,本份预算提案还着重强调了管理与预算办公室(OMB)为实施第14028号行政令而发布的4份备忘录,分别为:M-22-09、M-21-30、M21-31、M-22-01。
这些备忘录详细介绍了用于实施零信任概念、通过增强安全措施保护关键软件、实施日志记录与事件响应程序、部署端点检测与响应技术的执行细则。
这份预算提案还强调,为技术现代化基金提供额外的3亿美元资金,用以支持相关项目。
5、内部网络安全响应协调
这份预算提案还用不少篇幅,介绍了与国家网络总监办公室的协调。
在去年秋季的一场听证会上,俄亥俄州共和党参议员Rob Portman向国家网络总监Chris Inglis与联邦首席信息安全官Chris De Rusha发问,质疑他们在机构网络安全预算方面存在明显的职能重叠。
为此,白宫给出了分析性的结论:“以总统预算提案为基础,国家网络总监办公室将努力改善国内协调工作,以应对针对政府及关键基础设施不断升级的网络攻击。”
6、供应链风险管理需着重落实
预算提案还建议联邦采购安全委员会(FASC)发挥核心作用。该委员会主席、联邦首席信息安全官Chris De Rusha表示,采购安全委员会的设立,并不是为了应对2020年底的SolarWinds大规模供应链攻击事件。
预算文件显示,“各机构必须评估其[信息和通信技术]供应链风险。采购安全委员会将根据排除令提供建议,通过一系列关键步骤,帮助各级机构保护信息和通信技术免受新兴威胁的影响,同时为采购领域建立[供应链风险管理]标准的现实需求提供支持。”
管理与预算办公室的发言人称,“政府对于供应链风险管理(SCRM)及联邦采购安全委员会的政策态度没有变化。”