在接受行業(yè)媒體的采訪時(shí)，咨詢服務(wù)機(jī)構(gòu)Booz Allen公司高級(jí)副總裁、面向公民服務(wù)的云計(jì)算和數(shù)據(jù)工程解決方案負(fù)責(zé)人Dan Tucker為政府部門(mén)首席信息安全官如何進(jìn)行數(shù)字化轉(zhuǎn)型工作和面臨的安全挑戰(zhàn)提出了一些建議。

政府在進(jìn)行數(shù)字化轉(zhuǎn)型時(shí)面臨的最重大的安全挑戰(zhàn)是什么?

Tucker：在安全方面，政府部門(mén)面臨的最普遍挑戰(zhàn)之一是在快速滿足任務(wù)需求與來(lái)自民族國(guó)家和其他惡意行為者的威脅之間取得適當(dāng)?shù)钠胶狻?/p>

政府部門(mén)快速共享數(shù)據(jù)、獲取見(jiàn)解并將其轉(zhuǎn)化為決策的能力不斷提高，但數(shù)據(jù)量和傳輸方式的擴(kuò)大也增加了數(shù)字攻擊面。精明的技術(shù)領(lǐng)導(dǎo)者明白，僅僅通過(guò)技術(shù)解決方案難以應(yīng)對(duì)這一挑戰(zhàn)。

例如，零信任架構(gòu)方法如今被證明是有益的措施并迅速得以推廣，但是沒(méi)有任何軟件或技術(shù)可以購(gòu)買(mǎi)或部署以使其部門(mén)“符合零信任架構(gòu)標(biāo)準(zhǔn)”。

成熟的數(shù)字化轉(zhuǎn)型工作以安全為重點(diǎn)，既需要整合當(dāng)代應(yīng)用程序開(kāi)發(fā)、基礎(chǔ)設(shè)施配置和數(shù)據(jù)管理模式，也需要跨任務(wù)所有者和技術(shù)提供商社區(qū)建立可信賴的協(xié)作文化，這是一項(xiàng)艱巨的工作。

與私營(yíng)部門(mén)相比，政府部門(mén)的首席信息安全官在處理官僚主義方面的水平有所不同。這對(duì)他們的數(shù)字化轉(zhuǎn)型工作有何影響?

Tucker：總的來(lái)說(shuō)，首席信息安全官的章程非常具有挑戰(zhàn)性，但我對(duì)政府部門(mén)如何將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型工作的一部分持樂(lè)觀態(tài)度。確實(shí)，從歷史上看，政府采用現(xiàn)代開(kāi)發(fā)方法和架構(gòu)模式的速度較慢，但在過(guò)去幾年中，我們看到DevSecOps模式的采用加速，云服務(wù)提供商和其他技術(shù)供應(yīng)商提供了更多政府部門(mén)認(rèn)可的服務(wù)，以及政府部門(mén)之間的最佳實(shí)踐共享。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局開(kāi)發(fā)的云安全技術(shù)參考架構(gòu)就是后者的一個(gè)很好的例子。為公共部門(mén)的新興技術(shù)、服務(wù)和應(yīng)用程序獲得運(yùn)營(yíng)授權(quán)或FedRAMP認(rèn)證所需的過(guò)程在其傳統(tǒng)形式上可能看起來(lái)很官僚，但最近我看到了更多的模式，例如“持續(xù)-ATO”管道、可信和強(qiáng)化圖像的重用以及簡(jiǎn)化的FedRAMP流程，為該領(lǐng)域帶來(lái)了更快的速度。這使首席信息安全官和首席信息官能夠更有效地為任務(wù)帶來(lái)技術(shù)支持，進(jìn)而加速政府部門(mén)的任務(wù)轉(zhuǎn)型。

安全的云解決方案如何使政府部門(mén)變得更加敏捷?

Tucker：敏捷性是一種能夠共享可信信息的產(chǎn)品，然后以協(xié)作和良好溝通的方式快速做出優(yōu)先級(jí)決策，并根據(jù)這些數(shù)據(jù)采取行動(dòng)。當(dāng)數(shù)據(jù)安全、可信且易于訪問(wèn)時(shí)，它可以提高政府部門(mén)或企業(yè)團(tuán)隊(duì)的敏捷性。在新冠疫情持續(xù)蔓延的時(shí)期，我們看到了一些鼓舞人心的例子，當(dāng)時(shí)各國(guó)政府以前所未有的速度合作，以滿足民眾的需求。

與疫苗可用性、傳播率和救濟(jì)金狀態(tài)相關(guān)的信息已經(jīng)更新，并以一定速度和用戶體驗(yàn)提供給公民，以前只會(huì)與最具有前瞻性的商業(yè)公司相關(guān)聯(lián)。也就是說(shuō)，再怎么強(qiáng)調(diào)推動(dòng)敏捷性所需的文化成分也不為過(guò)——需要共同的目標(biāo)、互補(bǔ)的角色和責(zé)任、采用共同的行為以及可靠的實(shí)踐和流程。

因此，雖然安全數(shù)據(jù)共享、現(xiàn)代云計(jì)算基礎(chǔ)設(shè)施和現(xiàn)代開(kāi)發(fā)模式很重要，但如果沒(méi)有上述文化和轉(zhuǎn)變，它們將無(wú)法實(shí)現(xiàn)有意義的敏捷性。

政府部門(mén)難以承受破壞運(yùn)營(yíng)的代價(jià)。對(duì)于需要共同規(guī)劃大型數(shù)字化轉(zhuǎn)型計(jì)劃的首席信息安全官和首席信息官，您有什么建議?

Tucker：無(wú)論我們談?wù)摰氖巧逃梅?wù)還是關(guān)鍵任務(wù)能力，在2022年進(jìn)行數(shù)字化轉(zhuǎn)型時(shí)，對(duì)服務(wù)中斷甚至延長(zhǎng)計(jì)劃停機(jī)時(shí)間的容忍度都很低，坦率地說(shuō)，我相信這些期望是公平的。我結(jié)合將近15年的跨行業(yè)云遷移和20多年的敏捷開(kāi)發(fā)的采用經(jīng)驗(yàn)，以及數(shù)據(jù)管理技術(shù)的進(jìn)步，網(wǎng)站或應(yīng)用程序顯示“維護(hù)中”頁(yè)面的日子應(yīng)該已經(jīng)過(guò)去了。

與任何復(fù)雜的企業(yè)變革類(lèi)似，成功的機(jī)會(huì)隨技術(shù)的變化而起伏，而隨著早期涉眾的加入、明確的目標(biāo)、明確的角色和職責(zé)、及時(shí)以數(shù)據(jù)為中心的溝通，以及持續(xù)的反饋和學(xué)習(xí)，成功的機(jī)會(huì)更大。

從技術(shù)的角度來(lái)看，在系統(tǒng)切換或重要的項(xiàng)目達(dá)到里程碑之前，總會(huì)有“全員參與”或“作戰(zhàn)室”階段，但如果之前提到的作戰(zhàn)組件在這一點(diǎn)之前已經(jīng)到位，通常可以更容易地解決問(wèn)題。