美国司法部为更多“创新、安全的IT能力”提供蓝图

美国司法部(DoJ)制定了一项三年战略计划,以加强其网络安全态势以及其他优先事项,以提高其IT技能、系统和流程。

《2022-2024财年信息技术战略计划》中规定的其他总体目标集中在加强服务交付、拥抱创新、扩大劳动力和提高财务透明度。

美国司法部表示,该战略是为了应对外国情报机构、犯罪集团、黑客活动分子和内部威胁所构成的日益复杂的网络威胁。

其他引用的影响包括不断变化的用户期望、不断增长的技术复杂性、优化资源的需求以及大流行引发的对分布式劳动力运营模式的需求。

网络安全战略由四个方面组成,包括通过两个关键举措在整个IT生命周期中主动管理IT供应链风险。

该机构表示,第一项举措涉及“对其供应商以及整个部门使用的软件和硬件进行彻底、全面和持续的了解”——尤其是对于“最关键的供应链”。

这将有助于美国司法部“遵守联邦政府范围内的要求软件材料清单(SBOM)的倡议”,它提供了软件中使用的组件以及其中潜伏的漏洞的可见性。

有了SBOM,该机构就可以通过“利用现有工具(如SPDR[安全态势仪表板])并在需要时创建新工具”来“开发企业范围的视图以监控IT供应链风险”。

与此同时,现有的IT投资和收购审查(ITAR)流程将进行修改,“以确保我们能够在采购过程的早期识别出供应链风险较高的IT采购”。

美国司法部还将通过加强资产库存管理、对互联网流量的监控和管理现代化,以及“更加注重持续评估面向公众的应用程序和系统的可利用漏洞”来加强其“网络安全基础”。

该战略的第三个支柱侧重于采用零信任原则和工具来对抗基于访问的威胁。

这样做“消除了隐式信任的概念,而是需要一种包括应用程序、用户和设备的上下文方法,以允许根据用户的上下文调整访问决策”,DoJ解释说。

除其他事项外,该机构计划将当前的20多个“身份提供商”(IdP)减少为单一提供商,以促进一致的安全标准并减轻管理负担。

最后一个信息安全支柱侧重于增强云安全性,以支持美国司法部越来越多地采用基于云的技术。这将涉及集中和简化云监控,以推动分析,以识别和管理网络安全风险并实施SPDR。

美国司法部表示,其IT愿景已与拜登总统的管理议程和去年签署的面向网络安全的行政命令以及其自己的全面网络审查中规定的优先事项保持一致。

“网络攻击不断挑战美国司法部和其他机构,”美国司法部首席信息官兼副助理司法部长梅琳达·罗杰斯(Melinda Rogers)说。

“因此,我们将继续努力通过提高网络弹性和降低风险来保护该机构的关键数据,同时优化数据利用率以创造可消费的智能产品。”

美国司法部的战略出台之际,美国政府机构FBI和网络安全与基础设施安全局(CISA)已经警告称,“公开的”但通常未修补的漏洞——与以前未知的(零日漏洞)漏洞相反——越来越成为中国的优先目标威胁行为者。

发表评论

评论已关闭。

相关文章