itle="微信圖片_20210710094639.jpg" alt="微信圖片_20210710094639.jpg"/>

　　五角大樓代理首席信息官 John Sherman 于 2021 年 4 月 15 日參加了 Billington Cybersecurity 的虛擬小組。（Chad J. McNeeley/美國國防部）（國防部長辦公室）

　　華盛頓消息：五角大樓的高級 IT 官員周二表示，他希望齊心協力保護武器系統和關鍵基礎設施免受網絡安全威脅，并補充說，這項工作需要部門內部加強協調。

　　美國國防部代理首席信息官約翰謝爾曼在國會作證時說：“我真的很想把我們的重點放在武器系統和關鍵基礎設施上，認識到我們的對手正在瞄準它們。這些是一些風險領域……因為其中一些計劃是在 90 年代開始的，當時網絡安全處于不同的位置，[所以現在]我們有更好的方法來解決這個問題。”

　　謝爾曼在美國眾議院軍事委員會網絡、創新技術和信息系統小組委員會作證之前，過去六個月發生了一系列備受矚目的黑客攻擊，其中包括影響主要石油管道和 SolarWinds 的 IT 系統的勒索軟件攻擊影響了許多政府系統的漏洞。在他的證詞中，他稱管道攻擊是“警鐘”。

　　他告訴立法者，網絡安全是他的“首要任務”，但首席信息官辦公室必須“做得更好”，與美國網絡司令部和國防部負責采購和維持的國防部副部長合作，后者是主要的武器買家。他說，這種協調將涉及對武器系統和工業控制系統的網絡安全的關注， 并補充說該部門內部存在必須解決的“接縫” 。工業控制系統是集成的軟件和硬件系統，用于控制基礎設施網絡，例如發電廠或管道。

　　“這就是領域的類型……我認為我們在那里承擔了一些風險，但我想更好地與我們部門的同事合作，”謝爾曼說，他在接任之前曾擔任首席副首席信息官代理職責。

　　該部門最近的 2022 財年預算請求要求國會撥款 56 億美元用于網絡安全，比去年的請求增加了 2 億美元。根據謝爾曼的書面證詞，這筆錢將用于“關鍵”網絡安全功能，例如身份、憑證和訪問管理；端點安全；海軍的“遵守連接”框架；和用戶活動監控。這些功能將有助于該部門推動零信任網絡安全模型，在該模型中，用戶必須不斷驗證其身份。

　　在過去的 18 個月中，美國國防部在零信任方面的工作加速了，部分原因是COVID-19 大流行和遠程辦公，但也因為它承認其當前的網絡安全系統容易受到高級黑客的攻擊。今年早些時候，國防信息系統局發布了一個零信任參考架構，以概述該部門對零信任網絡的愿景。此外，CIO 辦公室正在進行一系列零信任試點。

　　但該部門仍然需要資金來投資新的網絡安全工具，以使用零信任來保護其網絡，謝爾曼說。他的書面證詞稱，該部門需要在軟件定義環境、持續多因素身份驗證、微分段、人工智能和機器學習以及用戶行為監控方面進行“新投資”。

　　“讓我夜不能寐的是我們在全國看到的那種網絡威脅——不僅針對政府，而且針對私營部門，”謝爾曼說。“這是我如此致力于在國防部實施零信任實施的主要原因。我希望國防部成為這個領域的領導者。”

　　云計算

　　Sherman 還強調了首席信息官（ CIO） 產品組合中幾個正在進行的 IT 現代化計劃。在開幕詞中，他告訴立法者，該部門計劃“今年夏天晚些時候”發布軟件現代化戰略，重點是使用 DevSecOps 流程快速交付彈性軟件。

　　在其 22 財年預算申請中，美國國防部為 IT 和網絡活動申請了 506 億美元，高于 21 財年的 477 億美元，比 21 財年頒布的金額高出 4%。美國國防部還要求為云計算需求提供 14.8 億美元，謝爾曼告訴立法者，隨著云技術在該部門變得越來越普遍，未來幾年立法者將“需要兩位數的增長”。

　　立法者并沒有就聯合企業防御基礎設施云的未來向他施壓，這是微軟在 2019 年 10 月贏得的價值數十億美元的云合同。該交易已卷入一場官司。謝爾曼重申了美國國防部副部長凱瑟琳希克斯本月早些時候的評論，即 JEDI 云的未來將在下個月決定。

　　謝爾曼在書面證詞中表示，由于 JEDI 的延遲，“優化國防部的云采購仍然具有挑戰性”。他補充說，軍事部門的集中式云合同以及 DISA 的 milCloud 2.0 正在幫助“填補空白，同時為國防部云采用提供更精簡和更具成本效益的方法”。

　　“我們正在繼續評估我們接下來的步驟……接下來會發生什么或者我們應該對企業云做什么，[一個]緊迫的和未滿足的需求，”謝爾曼說。

　　關于安德魯·埃弗斯登

　　Andrew Eversden 涵蓋了 C4ISRNET 的所有防御技術。他之前曾為《聯邦時報》和《第五域》報道過聯邦 IT 和網絡安全，并在德克薩斯論壇報擔任國會報道研究員。他還是杜蘭戈先驅報的華盛頓實習生。安德魯畢業于美國大學。