摘自:《網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)動(dòng)態(tài)》2022年第12期,總第30期。

2022年9月,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency,CISA)發(fā)布了《2023-2025年戰(zhàn)略計(jì)劃》(以下簡(jiǎn)稱“《計(jì)劃》”)。該計(jì)劃以2019年發(fā)布的《CISA戰(zhàn)略意圖》為基礎(chǔ),以《美國(guó)國(guó)土安全部2020-2024財(cái)年安全戰(zhàn)略計(jì)劃》為依據(jù),重點(diǎn)規(guī)劃了該機(jī)構(gòu)在未來(lái)三年的工作目標(biāo)。

《計(jì)劃》描述了CISA的使命、愿景、核心價(jià)值觀和原則等,詳細(xì)闡述了其在2023-2025年期間的四大工作目標(biāo)、子目標(biāo)和評(píng)估方法。

0機(jī)構(gòu)介紹

CISA隸屬于美國(guó)國(guó)土安全部(United States Department of Homeland Security, DHS),是依據(jù)2018年《網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局法案》,由國(guó)家保護(hù)與計(jì)劃局(National Protection and Programs Directorate, NPPD)重組而來(lái),并就此提高了美國(guó)網(wǎng)絡(luò)安全事務(wù)的管理級(jí)別。

CISA下設(shè)網(wǎng)絡(luò)安全部、基礎(chǔ)設(shè)施安全部、國(guó)家風(fēng)險(xiǎn)管理中心等部門。主要負(fù)責(zé)聯(lián)邦政府相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)防御,對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)威脅監(jiān)測(cè)、分析、信息共享和應(yīng)急響應(yīng),提供綜合性的危害風(fēng)險(xiǎn)分析,并提供培訓(xùn)、技術(shù)援助和評(píng)估。

圖1 美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局組織架構(gòu)圖

0戰(zhàn)略計(jì)劃概述

《計(jì)劃》就CISA未來(lái)三年的工作,從網(wǎng)絡(luò)空間安全、基礎(chǔ)設(shè)施安全、業(yè)務(wù)協(xié)作和機(jī)構(gòu)建設(shè)等方面提出了4大工作目標(biāo),以及19個(gè)子目標(biāo)。

(一)目標(biāo)1:牽頭開展網(wǎng)絡(luò)空間防御

CISA作為美國(guó)國(guó)家級(jí)網(wǎng)絡(luò)防御機(jī)構(gòu),將牽頭提高美國(guó)網(wǎng)絡(luò)空間的防御能力,確保美國(guó)關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)邦和地方政府、私營(yíng)企業(yè)等獲取最佳的網(wǎng)絡(luò)安全工具、事件響應(yīng)支持和風(fēng)險(xiǎn)管理能力。

該目標(biāo)包括4個(gè)子目標(biāo):增強(qiáng)聯(lián)邦系統(tǒng)抵御網(wǎng)絡(luò)攻擊和事件的能力;提高CISA對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵網(wǎng)絡(luò)的安全主動(dòng)檢測(cè)能力;推動(dòng)關(guān)鍵網(wǎng)絡(luò)漏洞的披露和修復(fù);通過(guò)網(wǎng)絡(luò)空間生態(tài)系統(tǒng)建設(shè)實(shí)現(xiàn)“默認(rèn)安全”。

(二)目標(biāo)2:降低風(fēng)險(xiǎn)和提高彈性

CISA將協(xié)調(diào)全美資源保護(hù)和防范關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn),將根據(jù)國(guó)家關(guān)鍵職能識(shí)別和分析風(fēng)險(xiǎn),明確實(shí)體、資產(chǎn)、系統(tǒng)、技術(shù)和商品中的風(fēng)險(xiǎn)集中之處,幫助其降低風(fēng)險(xiǎn)和建立安全能力。

該目標(biāo)包括6個(gè)子目標(biāo):改善對(duì)基礎(chǔ)設(shè)施、系統(tǒng)和網(wǎng)絡(luò)的風(fēng)險(xiǎn)可見性;提升CISA風(fēng)險(xiǎn)分析能力和方法;增強(qiáng)CISA對(duì)安全和風(fēng)險(xiǎn)的緩解指導(dǎo)和影響力;加強(qiáng)利益相關(guān)方在基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全和彈性方面的能力;提高CISA應(yīng)對(duì)威脅和事件的能力;支撐選舉基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)管理活動(dòng)。

三)目標(biāo)3:加強(qiáng)全國(guó)業(yè)務(wù)協(xié)作和信息共享

CISA將加強(qiáng)全美網(wǎng)絡(luò)安全業(yè)務(wù)協(xié)作和信息共享。根據(jù)《全國(guó)基礎(chǔ)設(shè)施保護(hù)計(jì)劃》,與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)方開展合作,提供安全產(chǎn)品、服務(wù)和信息,還將基于利益相關(guān)方的反饋不斷完善自身的產(chǎn)品。

該目標(biāo)包括5個(gè)子目標(biāo):優(yōu)化利益相關(guān)方合作活動(dòng)的協(xié)作規(guī)劃與實(shí)施;將區(qū)域辦公室完全納入CISA的運(yùn)營(yíng)協(xié)調(diào)之中;簡(jiǎn)化利益相關(guān)方訪問(wèn)和使用CISA項(xiàng)目、產(chǎn)品和服務(wù)的流程;加強(qiáng)與CISA合作伙伴的信息共享;增進(jìn)利益相關(guān)方意見的整合,為CISA產(chǎn)品開發(fā)和任務(wù)交付提供信息。

四)目標(biāo)4:深化機(jī)構(gòu)整合

CISA將簡(jiǎn)化現(xiàn)有業(yè)務(wù),通過(guò)提高治理和管理水平、優(yōu)化組織,采用敏捷的新技術(shù),以賦能改善客戶服務(wù),并注重構(gòu)建團(tuán)隊(duì)合作、創(chuàng)新包容、主人翁意識(shí)等機(jī)構(gòu)文化。

該目標(biāo)包括4個(gè)子目標(biāo):加強(qiáng)和整合CISA的治理、管理和優(yōu)先項(xiàng);優(yōu)化CISA業(yè)務(wù)流程,推動(dòng)部門間相互支持;培養(yǎng)和壯大CISA優(yōu)秀員工隊(duì)伍;宣揚(yáng)CISA卓越文化。

0《計(jì)劃》和CISA重點(diǎn)工作分析

《計(jì)劃》與2019年發(fā)布的《CISA戰(zhàn)略意圖》一脈相承,在近幾年CISA工作的基礎(chǔ)上,進(jìn)一步明確了重點(diǎn)工作方向,并提出的新要求。

(一)《計(jì)劃》突顯美國(guó)對(duì)風(fēng)險(xiǎn)監(jiān)測(cè)和漏洞預(yù)警的重視

《計(jì)劃》進(jìn)一步明確了CISA將持續(xù)加強(qiáng)聯(lián)邦機(jī)構(gòu)和各級(jí)政府的風(fēng)險(xiǎn)監(jiān)測(cè)和漏洞預(yù)警工作。一是CISA將持續(xù)創(chuàng)新威脅情報(bào)獲取能力,二是CISA將增強(qiáng)對(duì)聯(lián)邦和各級(jí)政府網(wǎng)絡(luò)威脅的主動(dòng)監(jiān)測(cè)能力。

(二)《計(jì)劃》表明美國(guó)對(duì)關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)的決心

《計(jì)劃》中三大目標(biāo)和近一半的子目標(biāo)涉及關(guān)鍵基礎(chǔ)設(shè)施安全,涵蓋了關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)的發(fā)現(xiàn)、分析、緩解與管理,以及多方協(xié)作和選舉基礎(chǔ)設(shè)施的重點(diǎn)保障等,突顯了關(guān)鍵基礎(chǔ)設(shè)施安全在CISA工作中的重要地位。

(三)《計(jì)劃》首次系統(tǒng)明確了CISA業(yè)務(wù)協(xié)調(diào)的工作內(nèi)容

《計(jì)劃》首次明確了CISA業(yè)務(wù)協(xié)作的目標(biāo)和內(nèi)容,其他三個(gè)目標(biāo)也與協(xié)作密切相關(guān)。CISA將加強(qiáng)與外部伙伴的多向溝通,如:事件報(bào)告,威脅、漏洞、情報(bào)等信息的共享,并加快共享速度、提高信息準(zhǔn)確性和協(xié)作有效性,以加強(qiáng)CISA及其利益相關(guān)方的態(tài)勢(shì)感知能力。

(四)《計(jì)劃》體現(xiàn)了美國(guó)國(guó)內(nèi)政治氛圍

當(dāng)前正處于俄烏沖突的敏感時(shí)刻,《計(jì)劃》兩次提到俄烏危機(jī)對(duì)美國(guó)的潛在風(fēng)險(xiǎn),描述了其應(yīng)對(duì)俄烏危急的工作成果,迎合了美國(guó)國(guó)內(nèi)對(duì)俄威脅的關(guān)切。CISA聯(lián)合DOD、FBI和NSA多次發(fā)布中國(guó)、俄羅斯、伊朗等國(guó)相關(guān)的網(wǎng)絡(luò)威脅報(bào)告,充分體現(xiàn)了美國(guó)國(guó)內(nèi)政治氛圍,其實(shí)際上已成為美渲染中國(guó)網(wǎng)絡(luò)威脅的技術(shù)支撐單位。

0思考與建議

針對(duì)《計(jì)劃》提出的工作目標(biāo)和CISA的重點(diǎn)工作分析,提出以下建議:

(一)加強(qiáng)漏洞統(tǒng)籌管理

我國(guó)于2021年9月起實(shí)施的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,明確了監(jiān)管單位職責(zé)和網(wǎng)絡(luò)運(yùn)營(yíng)者的義務(wù),強(qiáng)調(diào)了漏洞信息實(shí)時(shí)共享、聯(lián)合評(píng)估和處置等工作。但是,關(guān)鍵漏洞管理流程、漏洞共享平臺(tái)協(xié)作、漏洞質(zhì)量保證等方面還存在一些實(shí)際問(wèn)題。需進(jìn)一步統(tǒng)籌、整合漏洞共享平臺(tái),建立完善國(guó)家網(wǎng)絡(luò)安全漏洞收集、分析、驗(yàn)證、共享管理機(jī)制。

(二)開展關(guān)鍵信息基礎(chǔ)設(shè)施體系化防御

我國(guó)于2021年9月起實(shí)施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,明確了關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定、運(yùn)營(yíng)者責(zé)任義務(wù)、保障和促進(jìn)措施。但是,我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施仍需提升各機(jī)構(gòu)之間的任務(wù)協(xié)同和工作協(xié)作能力,構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施一體化保護(hù)體系,強(qiáng)化安全威脅、漏洞、事件等信息通報(bào)機(jī)制,加強(qiáng)任務(wù)協(xié)同、工作協(xié)作和威脅情報(bào)共享,形成分工協(xié)作、高效協(xié)同的工作模式。

(三)加強(qiáng)網(wǎng)絡(luò)安全信息共享和協(xié)作

我國(guó)已有多個(gè)安全信息監(jiān)測(cè)發(fā)布平臺(tái),開展了漏洞、威脅情報(bào)等安全信息的收集和發(fā)布工作,但目前對(duì)安全信息發(fā)布缺乏統(tǒng)一管理,安全信息的共享及業(yè)務(wù)協(xié)作能力尚且不足。需進(jìn)一步統(tǒng)籌協(xié)調(diào)完善網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)、行業(yè)主管部門、企事業(yè)單位和安全廠商之間的安全信息共享和業(yè)務(wù)協(xié)作機(jī)制,構(gòu)建高效、靈敏、權(quán)威的網(wǎng)絡(luò)安全應(yīng)急預(yù)警管控平臺(tái),負(fù)責(zé)威脅情報(bào)、安全事件等信息的收集、共享、發(fā)布和協(xié)作等工作。

中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)主辦,北京升鑫網(wǎng)絡(luò)科技有限公司供稿。

下載CISA《2023-2025年戰(zhàn)略計(jì)劃》(譯)全文:

http://www.china-cia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20221230/20221230102035_2718.pdf