9月7日，美国政府发布了多份零信任网络安全的指南，包括美国管理和预算办公室（OMB）的《推动美国政府实现零信任网络安全原则》草案，网络安全基础设施安全局（CISA）的《云安全技术参考架构》和《零信任成熟度模型》草案。这些草案遵循了2021年5月美国政府发布的加强网络安全的行政命令，旨在推动各机构采用零信任网络安全架构^[1]。

当用户访问不同的网络地址时，零信任模型不仅会验证用户的身份，还会确认他们是否有权限访问这些应用程序和数据，成熟的零信任模型会定期执行检查。各机构被授权制定相应计划，实施零信任网络战略，以满足行政需求。

在新草案的指导下，OMB要求机构将可交付的成果纳入这些计划中，预计在2024年9月底之前，将5个“特定的零信任安全目标”纳入实施的计划中，包括：

（1）身份。机构工作人员使用企业的身份标识来访问他们在工作中使用的应用程序，防网络钓鱼的多因子认证（MFA）可保护他们访问时免受复杂的在线攻击。

（2）设备。联邦政府拥有其运营和授权供政府使用的每台设备的完整清单，可以及时检测出这些设备上出现的问题，并做出响应。

（3）网络。代理机构在环境中加密所有的域名系统请求和超文本传输协议（HTTP）流量，并根据应用程序对网络进行分段。联邦政府可以对传输中的电子邮件进行加密。

（4）应用程序。机构默认所有应用程序均连接到互联网，定期对其进行严格测试，并接受外部漏洞报告。

（5）数据。机构在深入保护数据分类方面有一条清晰、共享的路径，正在利用云安全服务来监测敏感数据，并已实施企业管理日志记录和信息共享。

CISA公布了“零信任成熟度模型”（ZTMM），该模型于6月开始研发，与OMB备忘录中的5个目标保持一致，提供了有关完善零信任架构的工具和程序。ZTMM代表了跨越身份、设备、网络、应用程序、数据5个不同支柱的实施梯度，其中每个支柱包括有关透明度和分析、自动化和编排、治理的信息，是CISA帮助政府向零信任过渡的工具之一。此外，CISA还与美国数字服务局（USDS）和联邦风险授权管理项目（FedRAMP）合作，共同编写了云安全技术参考架构，指导机构的工作向安全云迁移。

这些文件组成了各机构在2024财年结束前部署新型网络安全架构的路线图，并推动联邦政府向零信任网络安全迈进。     （黄茹 唐川）