全文约 4000 字 6 图表  阅读约 8 分钟

本文主要从 美国联邦 政府 （也包含 美国国防部 ）的角度，看看 零信任 的进展。两份 2020年 的调查报告显示，近一半 的美国 联邦机构 决策者和 大中型企业 管理者，高度认同零信任的价值。而站在2021年的起点， 很容易得到一个结论： 零信任正在 席卷 美国 联邦政府 。

从积极的角度看 ， 美国联邦政府 已经取得了显著的网络安全成果。通过 从 安全 合规 转变为 态势感知 ，其网络安全等级上升了一个台阶 （即FITARA记分卡的网络安全等级，在两年内提高了 一个字母 ）。

从消极的角度看 ， SolarWinds 复杂网络攻击事件仍表明， 美国联邦政府 的网络安全还有极大提升空间。显然，这又为美国联邦政府加速向 零信任 迈进，提供了足够理由。

简言之，对于 美国联邦政府网络安全 而言，如果说， 过去两年 的提升主要来自 态势感知 ，那么可以预计， 未来 两年 的提升将主要来自 零信任 。

如果这个逻辑成立的话，广义态势感知+零信任，或许能组合出比较完美的 安全大脑 。

目  录

1. 回顾：美国 联邦机构的网络安全成果

1） FITARA记分卡 评判 IT 等级

2） FISMA得分 评判网络 安全 等级

2. 当下：零信任正在席卷 美国联邦政府

1） 针对 联邦政府 的零信任调研报告

2）针对 大中企业 的零信任调研报告

3）零信任 供应商

4）因为 别无选择

5）何谓“ 端到端 ”

3. 接下来：美国联邦的零信任计划

1） ATARC 的 零信任工作组 和工作计划

2） 零信任指南 将于2021年落地美国国防部

3）最后，也是最重要的

一、回顾：美国联邦机构的网络安全成果

回顾过去几年，美国联邦政府已经取得了显著的网络安全成果。 这并不是靠嘴巴说的，而是通过 IT量化 和 安全度量 来证实的。

01

FITARA记分卡评判 IT等级

前美国商务部CIO（首席信息官）Simon Szykman说：

• "近年来， 网络安全 无疑得到了改善。"

• "当然，每个人都知道 对手 也在不断发展， 威胁 变得越来越复杂。"

• "由于 CIO已从单纯的 合规性 转变为 态势感知 ，并且 零信任 安全架构已变得“ 实用 ” ，因此 FITARA记分卡的平均 网络 等级，在两年内已提高了超过整整一个字母 。"

我们仔细来看看这里的" FITARA记分卡 "是什么：

• FITARA（ 联邦IT购置改革法案 ） 记分卡 ：被美国 众议院监督和改革委员会 （House Oversight and Reform Committee）用于 衡量美国联邦机构 的 数字 卫生 和 IT 改革法律 的 合规性 。

• 评分范围 ：被称为"首席财务官法案机构"的 24个 联邦 机构 。
  

• 评分等级 ：评分按照字母顺序分为 5级：A/B/C/D/F （注意没有E） 。

• 评分频率 ： 每半年 评估一次。

2020年12月22日， 第11次 半年度评分显示：

• 联邦机构的评分等级 总体 保持稳定 。

• 24个联邦机构 中，有16个保持原有等级，3个提高等级，5个降级。

• 没有一家机构达到A级。

24个机构的评分如下：

图1-24个联邦机构的评分（2020年12月）

需要提醒的是：FITARA记分卡相当于 IT评分 ，并非网络安全评分，但其实又包含了 网络安全评分 。所以，我们要看下FITARA记分卡的 组成结构 ：

图2- FITARA七个关键领域之评分

FITARA的总体等级来自 7个关键领域 （即上图中的七根柱子）：

1. 机构CIO权威增强（增量开发）；

2. 透明度和风险管理（OMB的IT仪表板）；

3. 投资组合审查（PortfolioStat）；

4. 数据中心优化计划（DCOI）；

5. 软件许可（FITARA和MEGABYTE）；

6. 政府技术现代化（MGT法案）；

7. 网络空间（FISMA） 。

第7项虽然写的是 网络空间（Cyber） ，但其实就是 网络空间安全 。我们重点来看看这一项。

02

FISMA得分评判 网络安全 等级

FITARA 记分卡的 7个关键领域 的历史评分如下所示：

图3- FITARA历史评分

我们当然更加关注联邦机构的 网络安全维度的评级 。而 FITARA 评分的第7项—— 网络空间（FISMA） ，正是 网络空间安全评级 。 上图中的 黄色线 （cyber）就代表了网络空间安全。它 从2018年的低于D级，逐步提升到2020年的C级 ，的确是在 两年间提升了一个字母 等 级 。

FISMA 又是什么？它是为美国联邦政府网络安全量身打造的法案。2014年底，国会颁布了《2014年 联邦信息安全现代化法案 （ FISMA 2014 ）》，以 改善 联邦网络安全 并明确政府范围内的责任。该法案促进安全工具的能力，以持续监测和诊断联邦机构的安全，并改进对安全计划的监督。

下面是历年来各联邦机构的FISMA评分 ：

图4-历年来各联邦机构的FISMA评分

结合上图可以看出， FISMA评分 主要依赖于两个评分因素：

• 评分因素1（即图中第2列）：各机构 督察长 （ IG ，Inspectors General）网络安全目标的评估；

• 评分因素2（即图中第3列）： 跨机构优先权 （ CAP ，cross-agency priority）网络安全目标的评估；

• FISMA评分 组合了上述两个因素，两个权重 各占一半 。

• 例如，如果一个机构的平均IG评估是5分之2.4（48%评级为F），同时该机构满足所有10个CAP目标指标（100%评级为A）。则A和F的平均值为C。

图4中比较有趣的问题是：为什么 美国国防部（DoD）一直 没有FISMA评分 ？！笔者推测，这是国防部的特权使然。那么，再回顾上一节的 图1中国防部 FITARA评分 只有C+ ，笔者推断：

• 当然一方面是因为其 FISMA评分 被记为0，拉低了整体 FITARA评分 ；

• 另一方面也客观反映了 国防部IT问题的严重程度 ，所以也 解释了为什么国防部要大张旗鼓地搞 IT现代化 ，甚至推动 DMS （数字现代化战略） 。

关于美国国防部 DMS （数字现代化战略） ，请参阅：

• 《 美国国防部将JIE升格为 DMS （数字现代化战略） 》

• 《 美国国防部网络安全的 下一个转型 》

二、当下：零信任正在席卷美国联邦政府

我们看看2020年以来，零信任对 美国联邦政府 和 大中型企业 的影响力。两份调查报告显示，在2020年， 48% 的美国联邦机构决策者和 49％ 的大中型企业管理者，高度认同零信任的价值。

01

针对 联邦政府 的零信任调研报告

2020年1月 ，FedScoop发布调研报告 《无边界安全： 政府 向以身份为中心的访问的转变》 。改报告对171位经过资格预审的 政府和行业IT决策者 进行了调查。主要 调查结论 是：

• 联邦机构 正在拥抱 采用零信任安全模式。

• 联邦机构在采用零信任方法方面取得的 进展参差不齐 。

• 大约一半（ 48％ ） 的联邦政府IT决策者表示，他们的机构正在逐步采取 以身份为中心 的方法，来保护对机构资源的访问。

• 而 十分之三 的政府答复者表示，他们的机构仍然严重依赖 传统边界防御 工具或策略。

02

针对 大中企业 的零信任调研报告

2020年8月 ，Illumio发布调研报告《瞄准零信任：2020年组织如何看待零信任》。其调查对象是461名来自 大中型企业 的IT和安全人士，其中57%来自拥有1500多名员工的公司。主要 调查结论 是：

• 接近半数 的企业依然处于零信任 调研或试点阶段 。

• 接受调查的参与者中有 49％ （15%极度重要+34%非常重要） 认为零信任对其所在组织安全模型非常重要；

• 只有2%明确表示不重要。

图5-零信任对组织安全模型的重要程度

03

零信任供应商

下面是 2019年8月 Forrester按照其 零信任扩展生态之七大支柱 而罗列的供应商：

图6-零信任扩展生态供应商一览（2019年8月）

这个表是按照 首字母顺序 进行排序的，并不代表推荐顺序。而且由于过去了一年半，列表 显然 应有所增长。

04

因为别无选择

为什么要拥抱零信任？因为别无选择 。

随着越来越多的机构迁移到云中，尤其是在COVID-19疫情期间及以后，联邦机构维持了大规模的远程办公，其网络的边界正在变得模糊。

在这种新环境中，机构无法对传统边界防火墙充满自信，因此 别无选择 ，只能对其网络上的用户和设备 施以“零信任” ，要求他们在跨IT架构移动时，必须验证自己的身份。本质上，这就是零信任背后的思想。

05

何谓“端到端”

我们经常听说：零信任架构是一种 端到端 的企业安全方法，其中 信任 必须被显示授予（而非隐式授予）且得到持续评估。

当说到 端到端 时，从字面意义上来说，是指从 会话的客户端（应用程序或一个端点） 到 会话的服务器端 ，典型地是在云或数据中心中。

但是从一种更抽象、更理论化的方式看， 端到端 还意味着：完整的架构和基础设施，最重要的是可以安全保护 数据 的思维方式。

三、接下来：美国联邦的零信任计划

回顾过去，态势感知为提升美国联邦政府的安全状态，立下汗马功劳。接下来的几年，要轮到零信任出场了。我们来看看美国联邦政府近期的几个计划。

01

ATARC的零信任工作组和工作计划

ATARC 是谁。ATARC （高级技术学术研究中心，Advanced Technology Academic Research Center）出名的原因之一，在于它的 TIC （可信互联网连接） 工作组 建立了 TIC 3.0演示中心 。该演示中心是一个物理测试环境，允许联邦机构试用云和基础设施解决方案，来保护其网络安全。

大名鼎鼎的TIC 。TIC（可信互联网连接）计划自2007年提出以来，就致力于将美国联邦政府 从 不受控制和不受监视 的互联网连接 转变为 受控制 的状态 ，从而减少联邦政府的网络攻击面。其对于整个美国联邦政府的网络安全而言，具有不可动摇的地位。美国国土安全部（DHS）的CISA（网络安全和基础架构安全局）负责实施 TIC现代化 ，并于 2020年4月至8月 发布了TIC 3.0的最新核心指南，以协助联邦机构过渡到现代架构和服务。

ATARC 的零信任工作组和工作进展与计划：

• ATARC目前有 两个零信任工作组 ：联邦机构零信任工作组+供应商零信任工作组。

• 正在开发零信任 用例 ：联邦机构零信任工作组 已经开发了一个 零信任架构 ，并正在使用该架构来定义 零信任用例 。

• 计划零信任工作组 合并 ：一旦确定了零信任用例，ATARC则计划 将这两个零信任工作组进行合并。合并后的零信任工作组，将变得更加强大。

• 工作组合并之后的工作 ：参与合作的超过 15家联邦机构 和 15家供应商 ，将可以开始零信任的 组织、构建、概念验证（POC） 等工作。

ATARC 零信任工作组联合主席的看法。 ATARC联邦机构工作组的联合主席Caron，在 2021年3月 的ATARC活动中表示： 联邦政府正在制定 零信任交付工作 ，并在需求、架构、定义、概念、用例方面设定级别。政府正在将这些信息反馈给 供应商 ，以便供应商能够开始准备零信任的实施。而且，由于ATARC的TIC 3.0工作组被认为是成功的， TIC 3.0工作组的成员也被推荐进入零信任工作组 。"因为我们相信， TIC计划符合零信任的整体架构 。" Caron说。

02

零信任指南将于2021年落地美国国防部

DISA（国防信息系统局）计划在2021年发布 零信任参考指南 。该参考指南将为国防机构和IT部门提供了一个 蓝图 ，使网络过渡到这样一个模型，使每个用户都具有相同的高安全级别。从本质上讲， 网络对用户的信任为零 。

参考指南是DISA、国家安全局（NSA）、美国网络司令部和私营部门之间持续合作的产物 。DISA前局长Nancy Norton第一次提到参考指南，是在2020年12月初的AFCEA技术网络会议。

国防部领导人表示， 在军队中推行零信任将不同于其他网络计划，所以并不会像大多数计划那样的方式推出零信任。这本质上是因为，零信任并不是一个计划 。而是 国防部网络架构的一次 大规模转型 ，随着时间推移，这种变化必然会发生。

可信赖的公私伙伴关系 。 DreamPort实验室 是马里兰创新与安全研究院（MISI，Maryland Innovation and Security Institute）运营的一个私营网络安全实验室， 在联邦机构与私营部门合作制定参考指南方面发挥了关键作用 。DreamPort既帮助政府测试了新技术和软件，又为供应商和政府官员提供了一个流程简化的会面场所，还帮助建立了一个 非涉密 领域的 零信任实验室 。该实验室是通过与美国 国家安全局、网络司令部 和其他以安全为重点的机构合作建立的。实验室是一个不断发展的基础，用于永久性实验、评估、可行性原型证明。DreamPort明白，只有在 非涉密领域 进行接触，才能使安全行业广泛参与；而在 涉密领域 ，DreamPort与 DISA 还有一个单独的测试平台。

03

最后，也是最重要的

在过去的两年 ，由于美国联邦机构 CIO已从单纯的 合规性 转变为 态势感知 ， 促使 FITARA记分卡的 网络安全 等级，提高了超过整整一个字母 。

在未来两三年 ，美国联邦政府的 零信任 安全架构变得越来越可落地，则美国政府和美军的网络安全水平， 显然 会有一个更大程度的提升。也许 FITARA记分卡的 网络安全 等级会 再次上升一个字母。

如果我们愿意相信这一点，请回过头来，看看自己。

（本篇完）

---

文章来源：网络安全观