2019 年 1 月 29 日,现任美国国防部的首席信息官(CIO)Dana Deasy 代表国防部组团到参议院军事委员会网络安全小组委员会的听证会上做了一次关于美国国防部网络空间安全政策和架构的演讲。
国防部首席信息官是国防部长在信息管理、信息技术、网络安全、通信、定位、导航和定时(PNT)、频谱管理、高级领导通信以及核指挥、控制和通信(NC3)事务的首席顾问。与 Dana Deasy 同行的有 DISA/JFHQ-DODIN 的老板 Nancy Norton,负责网络政策的高级军事顾问和国防部长(OSD)的副首席网络顾问(PCA)Dennis Crall。这三位一直都是在信息化和信息安全领域,随行的两位也是国防部长期在网络空间安全领域工作。可以说,这次听证会是国防部在网络空间安全防御领域最高首长代表国防部的最为权威的发言,相当值得看一下。
这几位美军网络空间安全的大佬们从 5 个方面介绍国防部网络空间安全政策和架构:
着重介绍国防部(DoD)首席信息官(CIO)、国防信息系统局(DISA)和首席网络顾问(PCA)的在网络空间安全领域的角色和职责
简要介绍国防部的网络架构
关于国防部使用自动化的详细信息
关于国防部使用身份、凭证和访问管理的详细信息
重申员工对于国防部网络安全任务中取得成功的重要性
0x00 网络安全的角色和责任
简单来说国防部首席信息官(CIO)掌握了技术规范和预算的审核与批准,国防信息系统局(DISA)除了防御作战以外的职责都是直接向国防部首席信息官汇报。而首席网络顾问(PCA)是国防部长的顾问,和国防部长首席信息官(CIO)共同领导每周一次的国防部副部长与所有军事部门和国防部长办公室(OSD)的负责人出席的国防部网络例会。
国防部首席信息官(CIO)
国防部的网络安全职责是共享的
解读:网络安全责任并不是某一各部门的责任,这意味着需要各部门协作来承担各自在网络空间安全领域的责任。
国防部首席信息官的角色和其他联邦政府部门首席信息官类似,但同时具备有一些军方特殊的责任(例如:定位、导航和定时,高级领导通信,核指挥、控制和通信等)。直到 2018年《国防授权法》第 909 条才正式明确国防部首席信息官的职责需要扩大到对国防部 IT 预算的认证,以及网络安全以及 IT 标准的制定和实施。
解读:可以说Dana Deasy 是首任可以制定信息化标准,同时控制美军信息化“钱袋子”的首席信息官。个人认为正是这个授权,让我们在后面才会看到看到 JEDI、ENCORE、等一系列金额巨大、时间跨度极长的单一供应商合同。怎么感觉闻到奇怪的味道 ……