[防務新聞網2022年11月23日報道] 美國防部周二公布了其零信任戰略和路線圖，強調了國防部計劃如何保護敏感信息免受窺探。

該戰略詳細介紹了實現零信任所需的100多項活動、能力和支柱，這是網絡安全的新范式，該戰略符合一系列國家層面更大的安全規劃，包括最近發布的《國防戰略》。

零信任投資組合管理辦公室主任蘭迪·雷斯尼克表示：“如果將零信熱與家庭安全比較，傳統的安全防御只是鎖上門窗，只有有鑰匙的人才能進入；而零信任則確定了房子里的貴重物品，并為房子里的每一件物品設置了關卡和門鎖。

與傳統的網絡安全模型不同，零信任假設網絡始終處于風險之中或已經受到威脅，需要對用戶、設備和訪問進行持續驗證，即“永不信任，持續驗證”。

美國正準備與中國或俄羅斯這兩個有網絡強國展開潛在的斗爭，而美國正過渡到分裂和固有的不信任。西方當局表示，俄羅斯在最近一次入侵烏克蘭時部署了針對烏克蘭的網絡攻擊，中國利用數字領域攫取知識產權以謀取私利。

根據美政府問責辦公室的評估，自2015年以來，國防部已經歷了12000多起網絡事件，自2017年以來，每年的總數穩步下降。聯邦政府10月初表示，黑客潛入了一個國防工業基地組織，對其網絡進行了持久、長期的訪問，并攜帶敏感數據潛逃。

零信任戰略指出：“網絡威脅和攻擊正在以越來越快的速度發展，需要一種具有適應性、靈活性和敏捷的協調防御反應。傳統的基于身份驗證和授權模型的外圍或‘城堡和護城河’安全方法無法有效阻止當前（和未來）網絡攻擊媒介。”

國防官員此前規定了實施零信任的五年期限。零信任戰略沿襲了2027年實現零信任目標的時間節點，網絡安全領導人表示任重道遠。

代理首席副首席信息官大衛·麥基翁表示：“實現零信任目標是一項長期的事業，而國防部從一開始就認識到了這一點，這將推動實現零信任的步伐。”

7月底，美國防信息系統局在延長了與博茲·艾倫·漢密爾頓的“雷電穹頂”協議。國防信息系統局1月授予博茲·艾倫·漢密爾頓 680萬美元的合同，開發“雷電穹頂”原型。隨后的延期將試點延長至一整年，預計將于2023年初完成。

國防信息系統局當時列舉了從俄羅斯對烏克蘭的襲擊中吸取的教訓，以及進一步加強安全互聯網協議路由器網絡（SIPRNet）這一傳遞秘密的手段的必要性。

據C4ISRNET報道，2021年國防部決定取消聯合區域安全堆棧，轉而采用零信任“雷霆穹頂”方法。（國家工業信息安全發展研究中心 趙曼儀）