每个人都知道美国存在网络安全问题，拜登政府的  100 亿美元紧急请求始于承认我们处于网络危机之中。问题是美国该怎么做。

　　今天，美国政府对网络安全采取了一种支离破碎的方法。看看紧急拨款，你会发现这些资金至少流向了五个不同的部门和机构：总务管理局、网络安全和基础设施安全局、联邦首席信息安全官和美国数字服务局。古语有云，人人有责，实际上就是无人负责。

　　拜登和美国国会应该从根本上将其不同的工作重组为一个集中的网络安全部。这个新部门的职责应该是将三大因素——人员、技术和流程——组织成一个有凝聚力的结构。在两党政府下开始的工作，例如奥巴马总统在管理和预算办公室内设立联邦信息安全官，以及在唐纳德总统领导下创建国土安全部的一个业务部门CISA，特朗普是朝着正确方向迈出的一步，但现在应该在这些努力的基础上再接再厉，并在一个有效的机构下共同阻止“像花生酱一样传播”网络风险的时候了。

　　这个网络安全部人员将负责整个联邦政府的网络安全。这不仅仅是一个网络防御角色。在计算机系统的生命周期中，至少有三个不同的时期需要网络安全。首先，该部门将作为资源在整个政府中创建更现代的 DevSecOps 工作。其次，该部门将充当评估者，帮助政府确定新的采购是否适合网络用途。第三，该部门将作为事件响应和防御行动的中心点。

　　美国政府需要采取“左移”的心态，尽可能早地将网络安全纳入发展之中。这也是纳税人的最佳价值。研究表明，部署后解决问题的成本可能比早期发现的成本高出 100 倍。网络安全部将为实施提供安全的开发框架和资源。

　　该部门还将提供内部专业知识，以确保系统在实施时考虑到网络安全。美国国防部的部分人员已经采用了这种“左移”的思维方式，并正在从中受益。例如，美国空军在其 Platform One 计划中采用了一种对 DevSecOps 更友好的方法。我们需要将这种方法制度化为整个政府的一种做法。

　　其次，网络安全部将在从商业供应商那里采购新系统或对现有系统进行现代化改造时提供评估专业知识。美国政府每年采购数十亿美元的 IT 软件，政府需要专家帮助评估该软件是否足够安全。

　　拜登政府指出了 IT 现代化危机。事实上，在 100 亿美元的紧急预算申请中，约有 90 亿美元将用于技术现代化。虽然技术上正确的 IT 系统需要现代化，但忽略了更大的背景。最近的美国国会监督 记分卡显示，美国政府目前只做好一件事：遵守商业许可证。他们落后于风险管理和网络安全，因为他们将网络视为许可的小工具。

　　美国政府问责办公室（GAO）最近发现，美国政府仍未在武器合同中实施网络安全要求。因为没有签约要求，所以没有完成。网络安全部的任务之一不仅是确保有网络安全要求，而且还提供主题专家来评估供应商是否满足标准。

　　最后，网络安全部将作为 CISA 的自然延伸，CISA 有望为各级政府和行业提供网络安全。在行业内，这个角色将被称为“计算机信息安全官”并运行一个政府范围的安全运营中心。

　　该角色将包括明确的网络安全防御任务。然而，网络安全部不应成为执法机构。这意味着该部门将负责防御，但仍依赖现有的执法机构对国内或国外的网络威胁行为者采取任何行动。

　　总体而言，这样一个中央机构将为美国政府推动网络发展提供急需的权威来源。正如GAO所说，“尽管美国在2018 年发布了国家网络战略，但目前尚不清楚哪个行政部门官员最终不仅负责协调战略的实施，而且一旦活动实施，还让联邦机构承担责任。” 网络安全部最终将为目前遍布整个美国政府的网络安全工作提供一个家。David Brumley 博士是 ForAllSecure 的首席执行官。