itle="微信图片_20210710094639.jpg" alt="微信图片_20210710094639.jpg"/>

　　五角大楼代理首席信息官 John Sherman 于 2021 年 4 月 15 日参加了 Billington Cybersecurity 的虚拟小组。（Chad J. McNeeley/美国国防部）（国防部长办公室）

　　华盛顿消息：五角大楼的高级 IT 官员周二表示，他希望齐心协力保护武器系统和关键基础设施免受网络安全威胁，并补充说，这项工作需要部门内部加强协调。

　　美国国防部代理首席信息官约翰谢尔曼在国会作证时说：“我真的很想把我们的重点放在武器系统和关键基础设施上，认识到我们的对手正在瞄准它们。这些是一些风险领域……因为其中一些计划是在 90 年代开始的，当时网络安全处于不同的位置，[所以现在]我们有更好的方法来解决这个问题。”

　　谢尔曼在美国众议院军事委员会网络、创新技术和信息系统小组委员会作证之前，过去六个月发生了一系列备受瞩目的黑客攻击，其中包括影响主要石油管道和 SolarWinds 的 IT 系统的勒索软件攻击影响了许多政府系统的漏洞。在他的证词中，他称管道攻击是“警钟”。

　　他告诉立法者，网络安全是他的“首要任务”，但首席信息官办公室必须“做得更好”，与美国网络司令部和国防部负责采购和维持的国防部副部长合作，后者是主要的武器买家。他说，这种协调将涉及对武器系统和工业控制系统的网络安全的关注， 并补充说该部门内部存在必须解决的“接缝” 。工业控制系统是集成的软件和硬件系统，用于控制基础设施网络，例如发电厂或管道。

　　“这就是领域的类型……我认为我们在那里承担了一些风险，但我想更好地与我们部门的同事合作，”谢尔曼说，他在接任之前曾担任首席副首席信息官代理职责。

　　该部门最近的 2022 财年预算请求要求国会拨款 56 亿美元用于网络安全，比去年的请求增加了 2 亿美元。根据谢尔曼的书面证词，这笔钱将用于“关键”网络安全功能，例如身份、凭证和访问管理；端点安全；海军的“遵守连接”框架；和用户活动监控。这些功能将有助于该部门推动零信任网络安全模型，在该模型中，用户必须不断验证其身份。

　　在过去的 18 个月中，美国国防部在零信任方面的工作加速了，部分原因是COVID-19 大流行和远程办公，但也因为它承认其当前的网络安全系统容易受到高级黑客的攻击。今年早些时候，国防信息系统局发布了一个零信任参考架构，以概述该部门对零信任网络的愿景。此外，CIO 办公室正在进行一系列零信任试点。

　　但该部门仍然需要资金来投资新的网络安全工具，以使用零信任来保护其网络，谢尔曼说。他的书面证词称，该部门需要在软件定义环境、持续多因素身份验证、微分段、人工智能和机器学习以及用户行为监控方面进行“新投资”。

　　“让我夜不能寐的是我们在全国看到的那种网络威胁——不仅针对政府，而且针对私营部门，”谢尔曼说。“这是我如此致力于在国防部实施零信任实施的主要原因。我希望国防部成为这个领域的领导者。”

　　云计算

　　Sherman 还强调了首席信息官（ CIO） 产品组合中几个正在进行的 IT 现代化计划。在开幕词中，他告诉立法者，该部门计划“今年夏天晚些时候”发布软件现代化战略，重点是使用 DevSecOps 流程快速交付弹性软件。

　　在其 22 财年预算申请中，美国国防部为 IT 和网络活动申请了 506 亿美元，高于 21 财年的 477 亿美元，比 21 财年颁布的金额高出 4%。美国国防部还要求为云计算需求提供 14.8 亿美元，谢尔曼告诉立法者，随着云技术在该部门变得越来越普遍，未来几年立法者将“需要两位数的增长”。

　　立法者并没有就联合企业防御基础设施云的未来向他施压，这是微软在 2019 年 10 月赢得的价值数十亿美元的云合同。该交易已卷入一场官司。谢尔曼重申了美国国防部副部长凯瑟琳希克斯本月早些时候的评论，即 JEDI 云的未来将在下个月决定。

　　谢尔曼在书面证词中表示，由于 JEDI 的延迟，“优化国防部的云采购仍然具有挑战性”。他补充说，军事部门的集中式云合同以及 DISA 的 milCloud 2.0 正在帮助“填补空白，同时为国防部云采用提供更精简和更具成本效益的方法”。

　　“我们正在继续评估我们接下来的步骤……接下来会发生什么或者我们应该对企业云做什么，[一个]紧迫的和未满足的需求，”谢尔曼说。

　　关于安德鲁·埃弗斯登

　　Andrew Eversden 涵盖了 C4ISRNET 的所有防御技术。他之前曾为《联邦时报》和《第五域》报道过联邦 IT 和网络安全，并在德克萨斯论坛报担任国会报道研究员。他还是杜兰戈先驱报的华盛顿实习生。安德鲁毕业于美国大学。