[防务新闻网2022年11月23日报道] 美国防部周二公布了其零信任战略和路线图，强调了国防部计划如何保护敏感信息免受窥探。

该战略详细介绍了实现零信任所需的100多项活动、能力和支柱，这是网络安全的新范式，该战略符合一系列国家层面更大的安全规划，包括最近发布的《国防战略》。

零信任投资组合管理办公室主任兰迪·雷斯尼克表示：“如果将零信热与家庭安全比较，传统的安全防御只是锁上门窗，只有有钥匙的人才能进入；而零信任则确定了房子里的贵重物品，并为房子里的每一件物品设置了关卡和门锁。

与传统的网络安全模型不同，零信任假设网络始终处于风险之中或已经受到威胁，需要对用户、设备和访问进行持续验证，即“永不信任，持续验证”。

美国正准备与中国或俄罗斯这两个有网络强国展开潜在的斗争，而美国正过渡到分裂和固有的不信任。西方当局表示，俄罗斯在最近一次入侵乌克兰时部署了针对乌克兰的网络攻击，中国利用数字领域攫取知识产权以谋取私利。

根据美政府问责办公室的评估，自2015年以来，国防部已经历了12000多起网络事件，自2017年以来，每年的总数稳步下降。联邦政府10月初表示，黑客潜入了一个国防工业基地组织，对其网络进行了持久、长期的访问，并携带敏感数据潜逃。

零信任战略指出：“网络威胁和攻击正在以越来越快的速度发展，需要一种具有适应性、灵活性和敏捷的协调防御反应。传统的基于身份验证和授权模型的外围或‘城堡和护城河’安全方法无法有效阻止当前（和未来）网络攻击媒介。”

国防官员此前规定了实施零信任的五年期限。零信任战略沿袭了2027年实现零信任目标的时间节点，网络安全领导人表示任重道远。

代理首席副首席信息官大卫·麦基翁表示：“实现零信任目标是一项长期的事业，而国防部从一开始就认识到了这一点，这将推动实现零信任的步伐。”

7月底，美国防信息系统局在延长了与博兹·艾伦·汉密尔顿的“雷电穹顶”协议。国防信息系统局1月授予博兹·艾伦·汉密尔顿 680万美元的合同，开发“雷电穹顶”原型。随后的延期将试点延长至一整年，预计将于2023年初完成。

国防信息系统局当时列举了从俄罗斯对乌克兰的袭击中吸取的教训，以及进一步加强安全互联网协议路由器网络（SIPRNet）这一传递秘密的手段的必要性。

据C4ISRNET报道，2021年国防部决定取消联合区域安全堆栈，转而采用零信任“雷霆穹顶”方法。（国家工业信息安全发展研究中心 赵曼仪）