简要概述
海军部首席信息官简·拉斯本(Jane Rathbun)表示,两个“网络准备”试点项目正在展示如何转变风险管理框架(RMF),以提升网络安全和灵活性。
海军部迅速应对VPN漏洞
在今年一月,当Ivanti虚拟私人网络(VPN)漏洞曝光时,海军部迅速采取了行动。短短一周内,海军部将其虚拟桌面接口(VDI)的用户人数从25,000人扩大到110,000人,成功将用户从风险VPN产品中迁移出去。
“这对我们来说是一种迫使的转变,但实际上这一直是我们计划的一部分,”拉斯本在AFCEA West会议上接受联邦新闻网络采访时表示。“我们一直在考虑扩展的样子,以及这样做是否会对基础设施造成压力。我要说的是,我们没有错过任何时机。对于团队能够迅速反应,我感到非常自豪。”
保护用户和数据安全
海军部在应对Ivanti的Connect Secure和Ivanti Policy Secure VPN产品时,面临着紧迫的时间表。由于这些产品存在漏洞,攻击者可以绕过身份验证要求,访问受限资源。网络安全和基础设施安全局(CISA)于1月19日发布紧急指令,要求所有民用机构迁离这些产品并/或减轻漏洞。
“这次网络安全威胁为我们提供了加速扩展VDI软件的绝佳机会,”拉斯本补充道。“用户可以通过个人设备访问海军应用程序和数据,这减少了对政府提供设备的需求。”
向零信任架构转型
拉斯本指出,VDI是海军部向零信任架构转型的一部分。她表示,使用VDI可以更好地集中保护设备、用户和数据,这与零信任的原则相符。
海军部的零信任转型是摆脱风险管理框架(RMF),转向“网络准备”方法的基础。海军部长卡洛斯·德尔·托罗(Carlos Del Toro)在2022年8月宣布了“网络准备”计划,强调预防性网络防御的原则。
“通过‘网络准备’,我们正在从清单思维和合规思维向建立在平台层级的流程演变,”拉斯本解释道。“我们希望确保,在设计、操作和维护的每个阶段,都将网络安全能力内置于整个生态系统中。”
“网络准备”试点项目的进展
拉斯本表示,海军部正在与海军航空系统司令部(NAVAIR)和综合战斗系统项目执行办公室(PEO IWS)测试“网络准备”概念。
“NAVAIR正在从整体上考虑这个问题。我们需要看到您所产生的遥测数据,以便评估威胁并给出风险评分,”她补充道。“我们正在建立一套标准,以确保您在系统中接受的风险水平是可控的。”
PEO-IWS正在考虑三个不同生命周期阶段的项目,其中一个是新启动的项目,一个是现代化技术,第三个则是进行新的操作授权(ATO)的三年周期。
“最终,我们将与PEO-IWS一起,针对作战武器系统进行评估,确保它们在整个过程中获得‘网络准备’的认证,”拉斯本总结道。
结论
海军部在网络安全领域的持续创新与应对措施,展示了其在现代化和安全性方面的坚定承诺。通过“网络准备”计划,海军部不仅提升了其网络安全能力,还为用户提供了更大的灵活性,确保能够在全球任何地方保持生产力。
版权 © 2024 联邦新闻网络。保留所有权利。
