[FEDSCOOP网2022年7月7日报道] 据管理和业务司首席信息安全干事介绍，白宫管理和预算办公室正在开发一个系统，在允许用户访问网络或应用程序之前，为用户生成信任分数。

丹·钱德勒在周四的ATARC网络研讨会上说，这个想法是利用白宫管理和预算办公室掌握的所有在线信息，在用户的信任分数不够高时实时提醒用户，而不是简单地拒绝用户的访问请求。

2021年5月发布的《网络安全行政命令》加速了机构实施零信任安全架构的努力，但管理和预算办公室构想的系统的资金和专业知识仍然匮乏。

钱德勒说：“准备研发的零信任实时计分系统可能太强大了，这是一个白宫管理和预算办公室正在开始发展的想法。”

上个月，联邦首席信息官克莱尔·马托拉纳接受FedScoop采访时表示，管理和预算办公室希望实施新的信任措施，以改善安全性和用户体验。

机构使用谷歌认证器（Google Authenticator）、亚马逊Web服务（Amazon Web Services）和微软Azure（Microsoft Azure）提供的其他工具对用户进行认证，但对用户的信任程度会因时事而异。钱德勒说，如果在其中一项服务中发现零日漏洞，那么对它的信任度可能会有所下降。

如果实现，管理和预算办公室所需的系统会将会话的信任分数与功能的信任需求进行比较。钱德勒说，如果用户的分数太低，无法授予访问权限，甚至可能会提供一系列提高分数的选项，比如重新认证或输入个人身份验证卡。

商务部也对评估用户和设备的信任感兴趣，但网络证据尚未融入并告知其零信任架构。

商务部副首席信息官劳伦斯·安德森表示：“管理和预算办公室还没有达到目标，因为投资还不到位，但在某种程度上，管理和预算办公室需要一些先进的工具来达到想要达到的零信任的高级水平。”

与此同时，总务管理局正在研究另一种认证解决方案。

管理和预算办公室多年来一直在运行MAX.gov系统，该系统使用PIV卡进行身份验证。机构将MAX.gov用于其预算系统和其他用例。

钱德勒说，“MAX.gov正在向GSA过渡，因此，到明年年底，GSA应该已经提出了一种基于Azure Active Directory的替代解决方案。”（国家工业信息安全发展研究中心 李舟阳）