每個(gè)人都知道美國存在網(wǎng)絡(luò)安全問題，拜登政府的  100 億美元緊急請求始于承認(rèn)我們處于網(wǎng)絡(luò)危機(jī)之中。問題是美國該怎么做。

　　今天，美國政府對網(wǎng)絡(luò)安全采取了一種支離破碎的方法?？纯淳o急撥款，你會發(fā)現(xiàn)這些資金至少流向了五個(gè)不同的部門和機(jī)構(gòu)：總務(wù)管理局、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、聯(lián)邦首席信息安全官和美國數(shù)字服務(wù)局。古語有云，人人有責(zé)，實(shí)際上就是無人負(fù)責(zé)。

　　拜登和美國國會應(yīng)該從根本上將其不同的工作重組為一個(gè)集中的網(wǎng)絡(luò)安全部。這個(gè)新部門的職責(zé)應(yīng)該是將三大因素——人員、技術(shù)和流程——組織成一個(gè)有凝聚力的結(jié)構(gòu)。在兩黨政府下開始的工作，例如奧巴馬總統(tǒng)在管理和預(yù)算辦公室內(nèi)設(shè)立聯(lián)邦信息安全官，以及在唐納德總統(tǒng)領(lǐng)導(dǎo)下創(chuàng)建國土安全部的一個(gè)業(yè)務(wù)部門CISA，特朗普是朝著正確方向邁出的一步，但現(xiàn)在應(yīng)該在這些努力的基礎(chǔ)上再接再厲，并在一個(gè)有效的機(jī)構(gòu)下共同阻止“像花生醬一樣傳播”網(wǎng)絡(luò)風(fēng)險(xiǎn)的時(shí)候了。

　　這個(gè)網(wǎng)絡(luò)安全部人員將負(fù)責(zé)整個(gè)聯(lián)邦政府的網(wǎng)絡(luò)安全。這不僅僅是一個(gè)網(wǎng)絡(luò)防御角色。在計(jì)算機(jī)系統(tǒng)的生命周期中，至少有三個(gè)不同的時(shí)期需要網(wǎng)絡(luò)安全。首先，該部門將作為資源在整個(gè)政府中創(chuàng)建更現(xiàn)代的 DevSecOps 工作。其次，該部門將充當(dāng)評估者，幫助政府確定新的采購是否適合網(wǎng)絡(luò)用途。第三，該部門將作為事件響應(yīng)和防御行動的中心點(diǎn)。

　　美國政府需要采取“左移”的心態(tài)，盡可能早地將網(wǎng)絡(luò)安全納入發(fā)展之中。這也是納稅人的最佳價(jià)值。研究表明，部署后解決問題的成本可能比早期發(fā)現(xiàn)的成本高出 100 倍。網(wǎng)絡(luò)安全部將為實(shí)施提供安全的開發(fā)框架和資源。

　　該部門還將提供內(nèi)部專業(yè)知識，以確保系統(tǒng)在實(shí)施時(shí)考慮到網(wǎng)絡(luò)安全。美國國防部的部分人員已經(jīng)采用了這種“左移”的思維方式，并正在從中受益。例如，美國空軍在其 Platform One 計(jì)劃中采用了一種對 DevSecOps 更友好的方法。我們需要將這種方法制度化為整個(gè)政府的一種做法。

　　其次，網(wǎng)絡(luò)安全部將在從商業(yè)供應(yīng)商那里采購新系統(tǒng)或?qū)ΜF(xiàn)有系統(tǒng)進(jìn)行現(xiàn)代化改造時(shí)提供評估專業(yè)知識。美國政府每年采購數(shù)十億美元的 IT 軟件，政府需要專家?guī)椭u估該軟件是否足夠安全。

　　拜登政府指出了 IT 現(xiàn)代化危機(jī)。事實(shí)上，在 100 億美元的緊急預(yù)算申請中，約有 90 億美元將用于技術(shù)現(xiàn)代化。雖然技術(shù)上正確的 IT 系統(tǒng)需要現(xiàn)代化，但忽略了更大的背景。最近的美國國會監(jiān)督 記分卡顯示，美國政府目前只做好一件事：遵守商業(yè)許可證。他們落后于風(fēng)險(xiǎn)管理和網(wǎng)絡(luò)安全，因?yàn)樗麄儗⒕W(wǎng)絡(luò)視為許可的小工具。

　　美國政府問責(zé)辦公室（GAO）最近發(fā)現(xiàn)，美國政府仍未在武器合同中實(shí)施網(wǎng)絡(luò)安全要求。因?yàn)闆]有簽約要求，所以沒有完成。網(wǎng)絡(luò)安全部的任務(wù)之一不僅是確保有網(wǎng)絡(luò)安全要求，而且還提供主題專家來評估供應(yīng)商是否滿足標(biāo)準(zhǔn)。

　　最后，網(wǎng)絡(luò)安全部將作為 CISA 的自然延伸，CISA 有望為各級政府和行業(yè)提供網(wǎng)絡(luò)安全。在行業(yè)內(nèi)，這個(gè)角色將被稱為“計(jì)算機(jī)信息安全官”并運(yùn)行一個(gè)政府范圍的安全運(yùn)營中心。

　　該角色將包括明確的網(wǎng)絡(luò)安全防御任務(wù)。然而，網(wǎng)絡(luò)安全部不應(yīng)成為執(zhí)法機(jī)構(gòu)。這意味著該部門將負(fù)責(zé)防御，但仍依賴現(xiàn)有的執(zhí)法機(jī)構(gòu)對國內(nèi)或國外的網(wǎng)絡(luò)威脅行為者采取任何行動。

　　總體而言，這樣一個(gè)中央機(jī)構(gòu)將為美國政府推動網(wǎng)絡(luò)發(fā)展提供急需的權(quán)威來源。正如GAO所說，“盡管美國在2018 年發(fā)布了國家網(wǎng)絡(luò)戰(zhàn)略，但目前尚不清楚哪個(gè)行政部門官員最終不僅負(fù)責(zé)協(xié)調(diào)戰(zhàn)略的實(shí)施，而且一旦活動實(shí)施，還讓聯(lián)邦機(jī)構(gòu)承擔(dān)責(zé)任?！?網(wǎng)絡(luò)安全部最終將為目前遍布整個(gè)美國政府的網(wǎng)絡(luò)安全工作提供一個(gè)家。David Brumley 博士是 ForAllSecure 的首席執(zhí)行官。