摘自:《網(wǎng)絡安全技術和產(chǎn)業(yè)動態(tài)》2022年第12期,總第30期。

2022年9月,美國網(wǎng)絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)發(fā)布了《2023-2025年戰(zhàn)略計劃》(以下簡稱“《計劃》”)。該計劃以2019年發(fā)布的《CISA戰(zhàn)略意圖》為基礎,以《美國國土安全部2020-2024財年安全戰(zhàn)略計劃》為依據(jù),重點規(guī)劃了該機構在未來三年的工作目標。

《計劃》描述了CISA的使命、愿景、核心價值觀和原則等,詳細闡述了其在2023-2025年期間的四大工作目標、子目標和評估方法。

0機構介紹

CISA隸屬于美國國土安全部(United States Department of Homeland Security, DHS),是依據(jù)2018年《網(wǎng)絡安全和基礎設施安全局法案》,由國家保護與計劃局(National Protection and Programs Directorate, NPPD)重組而來,并就此提高了美國網(wǎng)絡安全事務的管理級別。

CISA下設網(wǎng)絡安全部、基礎設施安全部、國家風險管理中心等部門。主要負責聯(lián)邦政府相關機構的網(wǎng)絡防御,對關鍵基礎設施進行網(wǎng)絡威脅監(jiān)測、分析、信息共享和應急響應,提供綜合性的危害風險分析,并提供培訓、技術援助和評估。

圖1 美國網(wǎng)絡安全和基礎設施安全局組織架構圖

0戰(zhàn)略計劃概述

《計劃》就CISA未來三年的工作,從網(wǎng)絡空間安全、基礎設施安全、業(yè)務協(xié)作和機構建設等方面提出了4大工作目標,以及19個子目標。

(一)目標1:牽頭開展網(wǎng)絡空間防御

CISA作為美國國家級網(wǎng)絡防御機構,將牽頭提高美國網(wǎng)絡空間的防御能力,確保美國關鍵基礎設施、聯(lián)邦和地方政府、私營企業(yè)等獲取最佳的網(wǎng)絡安全工具、事件響應支持和風險管理能力。

該目標包括4個子目標:增強聯(lián)邦系統(tǒng)抵御網(wǎng)絡攻擊和事件的能力;提高CISA對美國關鍵基礎設施和關鍵網(wǎng)絡的安全主動檢測能力;推動關鍵網(wǎng)絡漏洞的披露和修復;通過網(wǎng)絡空間生態(tài)系統(tǒng)建設實現(xiàn)“默認安全”。

(二)目標2:降低風險和提高彈性

CISA將協(xié)調(diào)全美資源保護和防范關鍵基礎設施風險,將根據(jù)國家關鍵職能識別和分析風險,明確實體、資產(chǎn)、系統(tǒng)、技術和商品中的風險集中之處,幫助其降低風險和建立安全能力。

該目標包括6個子目標:改善對基礎設施、系統(tǒng)和網(wǎng)絡的風險可見性;提升CISA風險分析能力和方法;增強CISA對安全和風險的緩解指導和影響力;加強利益相關方在基礎設施、網(wǎng)絡安全和彈性方面的能力;提高CISA應對威脅和事件的能力;支撐選舉基礎設施的風險管理活動。

三)目標3:加強全國業(yè)務協(xié)作和信息共享

CISA將加強全美網(wǎng)絡安全業(yè)務協(xié)作和信息共享。根據(jù)《全國基礎設施保護計劃》,與關鍵基礎設施相關方開展合作,提供安全產(chǎn)品、服務和信息,還將基于利益相關方的反饋不斷完善自身的產(chǎn)品。

該目標包括5個子目標:優(yōu)化利益相關方合作活動的協(xié)作規(guī)劃與實施;將區(qū)域辦公室完全納入CISA的運營協(xié)調(diào)之中;簡化利益相關方訪問和使用CISA項目、產(chǎn)品和服務的流程;加強與CISA合作伙伴的信息共享;增進利益相關方意見的整合,為CISA產(chǎn)品開發(fā)和任務交付提供信息。

四)目標4:深化機構整合

CISA將簡化現(xiàn)有業(yè)務,通過提高治理和管理水平、優(yōu)化組織,采用敏捷的新技術,以賦能改善客戶服務,并注重構建團隊合作、創(chuàng)新包容、主人翁意識等機構文化。

該目標包括4個子目標:加強和整合CISA的治理、管理和優(yōu)先項;優(yōu)化CISA業(yè)務流程,推動部門間相互支持;培養(yǎng)和壯大CISA優(yōu)秀員工隊伍;宣揚CISA卓越文化。

0《計劃》和CISA重點工作分析

《計劃》與2019年發(fā)布的《CISA戰(zhàn)略意圖》一脈相承,在近幾年CISA工作的基礎上,進一步明確了重點工作方向,并提出的新要求。

(一)《計劃》突顯美國對風險監(jiān)測和漏洞預警的重視

《計劃》進一步明確了CISA將持續(xù)加強聯(lián)邦機構和各級政府的風險監(jiān)測和漏洞預警工作。一是CISA將持續(xù)創(chuàng)新威脅情報獲取能力,二是CISA將增強對聯(lián)邦和各級政府網(wǎng)絡威脅的主動監(jiān)測能力。

(二)《計劃》表明美國對關鍵基礎設施安全保護的決心

《計劃》中三大目標和近一半的子目標涉及關鍵基礎設施安全,涵蓋了關鍵基礎設施風險的發(fā)現(xiàn)、分析、緩解與管理,以及多方協(xié)作和選舉基礎設施的重點保障等,突顯了關鍵基礎設施安全在CISA工作中的重要地位。

(三)《計劃》首次系統(tǒng)明確了CISA業(yè)務協(xié)調(diào)的工作內(nèi)容

《計劃》首次明確了CISA業(yè)務協(xié)作的目標和內(nèi)容,其他三個目標也與協(xié)作密切相關。CISA將加強與外部伙伴的多向溝通,如:事件報告,威脅、漏洞、情報等信息的共享,并加快共享速度、提高信息準確性和協(xié)作有效性,以加強CISA及其利益相關方的態(tài)勢感知能力。

(四)《計劃》體現(xiàn)了美國國內(nèi)政治氛圍

當前正處于俄烏沖突的敏感時刻,《計劃》兩次提到俄烏危機對美國的潛在風險,描述了其應對俄烏危急的工作成果,迎合了美國國內(nèi)對俄威脅的關切。CISA聯(lián)合DOD、FBI和NSA多次發(fā)布中國、俄羅斯、伊朗等國相關的網(wǎng)絡威脅報告,充分體現(xiàn)了美國國內(nèi)政治氛圍,其實際上已成為美渲染中國網(wǎng)絡威脅的技術支撐單位。

0思考與建議

針對《計劃》提出的工作目標和CISA的重點工作分析,提出以下建議:

(一)加強漏洞統(tǒng)籌管理

我國于2021年9月起實施的《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》,明確了監(jiān)管單位職責和網(wǎng)絡運營者的義務,強調(diào)了漏洞信息實時共享、聯(lián)合評估和處置等工作。但是,關鍵漏洞管理流程、漏洞共享平臺協(xié)作、漏洞質(zhì)量保證等方面還存在一些實際問題。需進一步統(tǒng)籌、整合漏洞共享平臺,建立完善國家網(wǎng)絡安全漏洞收集、分析、驗證、共享管理機制。

(二)開展關鍵信息基礎設施體系化防御

我國于2021年9月起實施的《關鍵信息基礎設施安全保護條例》,明確了關鍵信息基礎設施的認定、運營者責任義務、保障和促進措施。但是,我國關鍵信息基礎設施仍需提升各機構之間的任務協(xié)同和工作協(xié)作能力,構建關鍵信息基礎設施一體化保護體系,強化安全威脅、漏洞、事件等信息通報機制,加強任務協(xié)同、工作協(xié)作和威脅情報共享,形成分工協(xié)作、高效協(xié)同的工作模式。

(三)加強網(wǎng)絡安全信息共享和協(xié)作

我國已有多個安全信息監(jiān)測發(fā)布平臺,開展了漏洞、威脅情報等安全信息的收集和發(fā)布工作,但目前對安全信息發(fā)布缺乏統(tǒng)一管理,安全信息的共享及業(yè)務協(xié)作能力尚且不足。需進一步統(tǒng)籌協(xié)調(diào)完善網(wǎng)絡安全監(jiān)管機構、行業(yè)主管部門、企事業(yè)單位和安全廠商之間的安全信息共享和業(yè)務協(xié)作機制,構建高效、靈敏、權威的網(wǎng)絡安全應急預警管控平臺,負責威脅情報、安全事件等信息的收集、共享、發(fā)布和協(xié)作等工作。

中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟(CCIA)主辦,北京升鑫網(wǎng)絡科技有限公司供稿。

下載CISA《2023-2025年戰(zhàn)略計劃》(譯)全文:

http://www.china-cia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20221230/20221230102035_2718.pdf