[美国下一届政府网2021年11月1日报道] 根据最近的研究，国会应该采用记分卡来衡量机构实施最佳网络安全实践的进展情况，以此作为改善政府网络安全总体态势的一种方式。

该白皮书由MITRE的研究人员撰写，白皮书为联邦政府提出了八项建议，以改善其网络安全状况和基础设施安全情况，防止恶意软件和勒索软件攻击。而且，研究人员还注意到，联邦政府网络安全实践的最后一次重大立法更新是2014年《联邦信息安全现代化法案》的通过。

“需要更新联邦网络安全法律，使其与当前网络安全最佳实践保持一致，减少审计和报告方面的支出，并澄清许多相关联邦参与者的角色和责任，”该报写道。

八项建议的其中一条建议是使用《联邦信息技术收购改革法案》作为国会网络安全监督和报告的指南。2014年通过的FITRA为政府机构如何购买计算技术提供了一个框架。

研究人员表示，FITARA评估指标为联邦机构在信息技术现代化方面的努力提供了透明度，应该在旨在评估网络安全实践的国会监督听证会上效仿。

“FITARA风格的网络安全记分卡可以成为国会监督听证会的主题，行政部门和机构领导人可以在听证会上展示他们的进展，以及需要改进的地方和国会额外支持的领域，”该报写道。“该报告的模式还可用于简化目前为国会、美国政府问责办公室（GAO）和IG社区制作的广泛报告机构。”

该报告还呼吁对网络安全和基础设施安全局的防御系统进行具体的现代化。研究人员写道，网络安全与基础设施安全局（CISA）目前的网络防御系统设计的时代，大多数机构系统都是在有限的未加密外部流量下进行内部运行的。

随着更多基于云计算的出现和实施，需要更多的零信任安全软件来?；っ舾惺?。白皮书的作者建议支持这一倡议的其中一种方式是增加国会对网络安全与基础设施安全局（CISA）国防网络的资金投入。

“国会的行动有助于确保联邦政府能够应对当前和新出现的威胁，并根据当前的最佳实践进行管理，”白皮书总结道?！氨疚闹械陌讼罱ㄒ槲崽峁┝搜∠?，支持改善联邦机构网络安全的努力，同时提高监督过程的效率和效力?！?span lang="EN-US" style="font-size:12.0pt;font-family:"Times New Roman",serif; mso-fareast-font-family:宋体;mso-font-kerning:18.0pt">

其余七项建议包括赋予联邦网络安全领导更大的监督权限，使遗留信息技术系统现代化，创建新的网络风险框架，支持联邦机构的零信任基础设施，更新和供应链风险管理，并要求网络安全措施成为拜登政府跨部门的优先事项。

该白皮书上周与联邦首席信息安全官克里斯·德鲁沙一起提交给了国会委员会的几个委员。（国家工业信息安全发展研究中心 张昇）