数据是安全新边界！美国政府发布《联邦零信任数据安全指南》

前情回顾·美国政府零信任网络安全跃进

• 无所不包！美军零信任体系工程将武器IT系统纳入范围

• 美国防部拟通过紫队测试确保零信任解决方案的持续稳健

• 美国政府推进收敛互联网攻击面：网络设备管理必须上零信任

• 为实现零信任，美国联邦政府三年采购超34亿元网络安全产品

• 美国政府更新零信任成熟度模型，将零信任转型作为长期目标

安全内参11月6日消息，由美国联邦首席数据官（CDO）委员会和联邦首席信息安全官（CISO）委员会联合牵头，联邦政府IT领导层在10月31日发布《联邦零信任数据安全指南》，旨在强化数据安全实践。

这份文件共42页，重点强调了“保护数据本身，而非保护数据的边界”。官方认为这一理念是“有效实施零信任的基础支柱”之一。

按照美国白宫管理与预算办公室2022年发布的零信任备忘录（M-22-09）要求，各联邦机构应在今年11月7日前向其提交更新后的零信任实施计划。这份文件正是在这一重要时间点前发布。

指南内容概述

该指南汇集了来自30多个联邦机构和部门的数据和安全专家的意见，向系统所有者、管理员、网络安全工程师以及数据管理人员提供了详尽的零信任原则。这些原则旨在为决策提供支持，并与各机构的任务相一致。

指南提供了一张包含五个步骤的零信任安全路线图，概述了实践者可以采取的具体行动，以确保数据安全。随后的章节则着重讨论了数据的识别、定义和分类。

指南还强调了“可能危及美国国家安全和经济利益”的相关数据风险。指南中指出，这些风险使得“实践者必须清楚了解自己的角色与责任，并对信息安全风险的管理负责。”

具体提到的数据风险包括网络安全威胁、存储故障、数据擦除不完全等，此外还涵盖了与数据传输、数据存储和数据弹性相关的风险。在数据使用过程中，指南提及的风险则包括处理错误、数据责任、算法偏见以及数据误解等多个方面。

在指南的结尾，提出了一系列最佳数据实践的建议，其中包括跨职能和协作的沟通，数据团队与安全团队之间的紧密合作，持续学习与教育的必要性，适应性、定期评估以及“全方位的认同”。

联邦官员观点

美国联邦能源监管委员会首席数据官兼联邦首席数据官委员会主席Kirsten Dalboe发表声明表示：“该指南反映了一线实践者在实施零信任及保护组织数据方面的深刻见解。我们正通过建立数据与网络间的协作关系，迎接全政府范围内的挑战，最终确保公众数据的安全。”

美国教育部首席信息安全官兼首席信息安全官委员会联合主席Steven Hernandez补充道：“这是联邦安全团队和数据团队首次以这种方式携手应对如此规模的挑战。”

在10月30日的CyberTalks活动上，代理联邦首席信息安全官Mike Duffy在预览该指南时表示，联邦首席信息安全官委员会与首席数据官委员会之间的合作是“应对AI和推动零信任成熟度至关重要的一步”。

Duffy进一步表示：“这（指南）是零信任成熟度模型中的关键支柱之一，大型组织在这一领域长期面临挑战。现在，作为政府机构，我们通过这一指南找到了应对这些问题的解决办法。早在2022年我们考虑零信任政策时，就预见到这份指南在此时此刻的重要性。对此我们感到非常振奋。”

参考资料：https://fedscoop.com/zero-trust-guide-federal-ciso-cdo-councils/、https://www.cio.gov/assets/files/Zero-Trust-Data-Security-Guide_Oct24-Final.pdf

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。