(本文为美国国家网络安全风险管理六大支柱部分节选。)
宋秦晋
美国国土安全部网络战略之风险管理
译 / 周素华
支柱一:风险识别
国土安全局必须理解全球网络安全图景和战略层面相关的奉贤区以有效整合我们的资源和优先安排部门的工作以解决整个网络安全活动的漏洞、威胁和后果。
目标一:评估发展中的网络安全风险。
我们将会了解发展中的网络安全风险情形以明确得知和优先安排风险管理活动。
为了国土安全局长期有效地执行我们的使命,我们必须和利益先关着合作,包括专业及后、非联邦网络安全公司和其他联邦与非联邦实体,获得充足的对国家网络安全的风险情形的理解,分析发展中的相关性interdependencies和系统风险,评估恶意行为人的变化的技术。
目标1.1:保持对国家和系统网络安全风险趋势的战略认知。
了解威胁、漏洞、相关性和潜在后果的随时间发展的趋势有助于允许国土安全局优先安排我们的保护、调查和应对活动,并且合适地进行计划和预算安排。国土安全局也必须审查国家分析能力和风险管理工作的缺口,确保对网络安全工作有效性的充分理解。我们必须预见到未来技术革新将会带来的变化,确保长期的准备和预防“失败的想象力”。
子目标:
a.识别发展中的影响国家安全、公共健康和安全、经济安全的网络安全风险。
b.识别和发展计划解决国土安全局和国家网络安全利益相关者的的分析能力和风险管理工作的差距。
c.为未来技术发展和潜在的破坏性的创新发展方案和计划并据此调整国土安全局的工作。
结果:
国土安全局理解国家和系统网络安全风险,定期调整我们的项目和政策工作以应对不断发展的技术和操作中的优先事项。
支柱二:减少漏洞
国土安全局致力于减少联邦企业中的组织和系统漏洞,包括我们自己的网络和其他国家关键系统和资产,通过技术功能、网络安全信息和其他援助,我们授权利益相关者更好地管理他们的网络安全风险。
目标二:保护联邦政府信息系统。
我们将会减少联邦政府部门的漏洞、确保他们达到足够程度的网络安全。
国土安全局主导保护联邦企业的努力,必须使用所有可行的机制确保每一部门保持与自己的风险和其他更大企业的风险相称的足够程度的网络安全。[1]尽管各单独机构最终必须执行他们自己的网络安全风险管理计划因为他们最能理解他们独特的任务环境,国土安全局与行政管理和预算局(OMB)合作以确保企业范围内足够的安全水平和解决整个部门和部门间的系统性风险和相互依存性。国土安全局必须通过提供专业能力、工具和服务保护遗留系统、云计算和共享基础设施,支持部门工作以降低他们的网络威胁漏洞。在他自己的系统中,国土安全局必须继续采用新的技术,在运用网络安全最佳实践上为其他部门树立典范。
纵观整个联邦企业和保护自己的信息系统,国土安全部必须首先解决最大的风险,关注影响最大的系统、资产和功能。这意味着识别最关键的系统和在这些系统中确定保护的优先级。国土安全局必须使用成本效益分析的方法同时获得最大的风险降低水平和确保最大的投资回报。国土安全局必须通过直接的行动和供应展现其领导,还要通过与其他部门和利益相关者的合作追求创新,例如联邦信息技术、采购政策、改进分析和更好的操作计划的改变。国土安全局必须基础密切与其他部门包括行政管理和预算局(OMB)、美国总务管理局、国家标准与技术研究所(NIST)和那些对保护军事和智能网络负有责任的部门,为联邦企业提供网络安全的结果。
目标2.1:通过改进管理、信息安全政策和监督增加联邦企业的网络安全。
为了执行我们管理部门信息安全政策和实践的执行的法定责任,国土安全局必须持续地评估和倡导联邦联邦信息技术管理结构和影响网络安全结果和投资的政府范围内的政策和项目的改革。进一步提炼和明确行政管理和预算局、国土安全局和其他部门的角色和职责是必要的。首先,国土安全局必须为行政管理与预算局的政策发展和监督角色提供更好的支持,并且评估我们的政策和项目以确保效益和有效性。国土安全局还必须为了影响必要的网络安全变革而提倡并制定新的程序以确保各机构和整个联邦机构的问责制。为了支持这些工作,国土安全局必须整合现存的保护功能和来自于智能社区、法律执行和其他来源的相关网络安全威胁报道的信息以加强对单个部门的、奇特和系统风险的理解能力,告知风险管理决定和评估潜在的投资回报。由于这些信息,联邦企业将会更好地安排资源的优先级以有效解决政策和能力的差异,构建一个更加现代、安全和可恢复和信息基础设施。
子目标:
a.发展和执行一个对联邦网络安全的清晰的治理模式,包括定义遗留的和云计算或者共享基础设施的角色和责任。
b.在国土安全局的权力范围内,应要求发行新的或者修订的政策和推荐规范,确保联邦企业充足的网络安全。
c.制定一个形式化的方式衡量和追踪各部门对信息安全政策、时间和要求的控制的适用情况。
d.执行程序以增加机构的问责性和对信息安全策略、实践和必需的控制的遵守。
e.通过战略分析、可获得的的威胁报告和其他方式评估企业和各机构的风险情形以获知网络完全和投资优先级。
f.为机构提供整合的和可操作的对于理解和管理其网络风险所必要的相关信息。
结果:
国土安全局主导的工作使得机构维持与各机构的风险和其他联邦企业的风险相称的足够水平的网络安全。
目标2.2:在联邦企业中提供保护功能、工具和服务。
国家安全局运行企业范围的功能,并提供工具和服务,以协助机构管理他们的网络安全风险。联邦企业的特定要素必须被进一步合适和持续地集中于解决关键的网路安全风险并提供改善的企业范围内的安全。例如,国土安全局已经在通过部署周边安全功能构建联邦企业的保护功能的基准线上取得了显著进步。国土安全局将会设计另外的功能以效益最大化的方式解决联邦企业内的网络安全风险,并且解决日益流行的的云计算和共享基础设施的使用。国土安全局还必须通过集中购买或者内部工具和设施的发展,在合适之处解决遗留系统和云计算或者共享设施的威胁。当新的工具和设施提供了所需的功能、解决了优先级的威胁或者对于促进不同情境下的态势感知、事故应对和其他战略目标是必要的时候,可能在可补偿或者无补偿的基础上向机构提供。
子目标:
a.识别应该被集中用于效益最大化得解决关键的网络安全风险和向企业提供安全的联邦企业的要素。
b.在合适之处部署集中保护功能以解决联邦企业范围内的网络安全风险。
c.为机构发展和提供另外的网络安全工具和设施以应对新兴的或者已确定的威胁。
d.创建性能指标衡量新兴的和先存在网络安全功能、工具和设施的有效性。
结果:
联邦部门利用国土安全局的功能、工具和设施在危害显著化之前确定和减缓网络威胁和漏洞。
目标2.3:运用创新的网络安全功能和实践去保护国土安全局的信息系统。
国土安全局必须为我们自己的系统维持足够水平的安全。许多过国土安全局的信息系统在很大程度上保持分散化,被各部门在无标准化的网络安全方式或者方法论情况下实施。国土安全局必须进行系统性的努力评估我们的信息系统的最大风险,确保合适的保护功能和方法论被运用于保障敏感信息的安全的同时也允许关键的任务功能的执行。国土安全局必须采用一个更为统一的方式去保障我们自己的信息系统的安全,在高价值的部门信息系统范围内的必要之处部署标准化的、收益最大化的和尖端的功能。当我们越来越多地使用云计算和共享设施,国土安全局必须继续发展和引领新兴的功能、工具和实践以更有效地及时制止和缓解发展中的威胁和漏洞并且保障我们的网络安全方针足够灵活和动态去打击确定的和创造性的对手。国土安全局在致力于现代化信息技术和整个联邦企业的时候必须成为第一个采用者和其他机构的典范。
子目标:
a.基于持续的方法论和政府、企业的最佳实践在国土安全局信息系统内执行综合的风险和差距分析。
b.部署合适的最佳级技术和实践,包括在效益最大化和操作上可行时的标准化解决方案,确保遗留系统和云计算、共享设施的安全。
c.追求创新和敏捷的收购和技术采购的方针以部署尖端功能和便利云计算和共享设施的运用。
d.引领创新功能、工具和其他保护国土安全局系统和潜在可扩展的联邦企业层级的新的技术与实践。
结果:
国土安全局维持与我们的风险和政府企业的风险相称的足够水平的网络安全,确保关键的国土安全局信息系统和信息的保密性、可获得性和完整性。
目标三:保护关键基础设施。
我们会与主要的利益相关者合作以确保网络安全风险得到充分的管理。
国土安全局必须确保所有的关键基础设施领域日益增长的网络安全风险和其他影响国家安全、公共健康与安全和经济安全的系统都能在一个可接受的水平上得到管理。[2]国土安全局必须与主要的利益相关者合作,包括特定部门机构和私人部门,通过提供服务例如风险评估和其他技术产品、改进参与工作以推动网络安全管理工作的发展,从而更好地促进网络安全。为了达成这些目标,国土安全局扮演了关键合作伙伴的角色,因为特定部门领导或者共同领导着16个关键基础设施部门中的10个,以及秘书处负责统一协调联邦在全部部门中增强安全和可恢复性的工作。[3]在继续利用现有的伙伴结构的同时,国土安全局必须在所有的部门中深化预期其他主要的非联邦实体的在消除风险的努力上的技术合作。因为部门专用于领导国家在保护国家基础设施的工作,国土安全局也必须扮演这样的角色以确保网络安全威胁不破坏对美国人民的关键服务的供应。因此,国土安全局必须以量身定做的方式巧妙利用其监管权力,与其他机构合作确保他们的政策和工作与网络安全风险相对应,与国家解决关键网络安全漏洞的目标相一致。
为了合适地整合资源和安排工作的优先级,国土安全局必须保持对关键基础设施中网络安全风险情势的实质认知。这包括了基础设施相关的网络安全事故的潜在后果和。国土安全局必须在那些具有高风险的事项的基础上,比如网络安全事故可能导致灾难性影响的实体,优先安排它参与的工作。[4]
目标3.1:成熟的网络安全供应品与参与解决关键基础设置的显著的国家风险。
国土安全局必须通过建立和部署工具、设施和其他供应品,以及通过针对性得拓展至关键基础设施的所有者和运营者,服务提供者和其他关键的风险管理活动的利因,改善关键基础设施的网络安全。国土安全局必须定期地评估这些风险管理工作的价值和评估功能漏洞。特别地,国土安全局必须参与特别部门机构、非联邦网络安全公司、单个关键基础设施实体和其他的利益相关者的工作,评估跨关键基础设施的相互依赖性和系统性风险,事故不饿风险管理工作中的漏洞。国土安全局供应品必须被优先安排于专注系统性风险和解决单个实体中可能对国家安全、公共健康和安全、经济安全有潜在最大影响的风险。不解决确定的漏洞或者不为国土安全局提供途径访问唯一的网络安全信息的供应品应该被重新考虑。
为了确保有效的拓展,国土安全局必须采取严格的方法确定它的关键的利益先关着,包括全部16个关键基础设施部门和其他的风险管理活动的利因。国土安全局必须扩大其工作去鼓励适用可采用的网络安全最佳实践,包括国家标准与技术研究所的改善关键基础设施网络安全的框架。[5]国土安全局还必须增加对外勤人员的利用以在当地使不同的利益相关者参与,鼓励其适用网络安全风险管理最佳实践,并提供对可获得的网络安全信息、风险管理供应品的访问途径,以及其他国土安全局内的功能。国土安全局也必须准备在组织内合适的层次,与官员共同确保关键基础设施网络安全的漏洞包括对国家安全、公共健康和安全或者经济安全的潜在显著影响的解决。
子目标:
a.理解关键基础设施的相互依赖性和影响国家安全、公共健康和安全或者经济安全的系统性风险。
b.评估国土安全局为关键基础设施和其他主要的利益相关者提供的网络安全风险管理供应品的效力、数量和用法。
c.评估国土安全局员工的参与对最佳实践的采用和国土安全局供应品的用法的进展的影响。
d.识别和优先安排近来国家网络安全风险管理的漏洞的工作。
e.通过向关键基础设施所有者、运营者和其他主要实体提供的工具、设置和其他供应品解决确定的漏洞。
f.建立机制减轻持续的对国家安全、公共健康和安全或者经济安全的潜在显著影响的网络安全风险。
结果:
国土安全局减少了对关键基础设施的最显著的国家风险,尤其是那些因为事故对国家安全、公共健康和安全或者经济安全的潜在显著影响之处。
目标3.2:扩展和改善网络威胁指标、防御措施和其他网络安全信息的共享。
国土安全局必须评估和改善现存的信息分享工作以确保为利益相关者提供操作上最有用的信息。
我们扮演了这样的角色:在联邦和非联邦之间与其他的机构之间收取和分享网络威胁指标和防御措施的主要的联邦界面。[6]国土安全局必须建立或者扩展自动化的机制,与关键基础设施和其他关键的利益相关者一起接收、分析和分享网络威胁指标、防御措施和其他网络安全信息。国土安全局必须为了分享有关漏洞的信息和在必要之处分类的网络安全信息,而持续开展计划,同时也强调快速地撤销网络威胁和相关的背景信息的机密级别。国土安全局必须持续地与信息分享和分析中心与其他的信息信息分享和分析机构合作,以增加关于网络安全信息的访问与合作。我们必须识别和解决对与政府和机构之间共享信息的障碍。除了扩展信息分享和合作功能,国土安全局还必须改善它的分析功能以增加共享信息的数量和质量,并且为了所有关键基础设施的利益相关者增加信息分享计划的价值。
子目标:
a.继续扩大信息分享项目计划的参与和增加所有参与者分享的网络安全信息。
b.支持信息分享和分析中心、信息分享和分析机构和其他信息分享实体或论坛的参与。
c.与所有的网络安全信息分享伙伴一起,增加国土安全局的分析、关联和丰富所接受和分享的数据的能力。
d.改善技术平台与机制以分享网络安全信息和与利益相关者的合作,包括高度自动化方式。
e.评估计划的效力,并继续改进国土安全局共享和访问分类或者未分类的美国政府信息以保护非联邦实体的计划。
结果:
网络安全利益相关者越来越多地利用国土安全局分享的信息以快读理解网络安全风险和保护他们的信息系统。
目标3.3:改善特定专业部门、规制者和政策制定者的网络安全功能和可用的资源。
作为10个关键基础设施的部门的一个专业部门,国土安全局必须确保机构认知和这些领域的专门知识以最好地在稳定不变的与突发事故的回应中最好地支持该部门。另外,国土安全局有在化学和交通部门的管理权力。国土安全局必须维持相关的专业性、成熟的现存自愿和监管合作,以及继续为这些部门整合网络和物理资源。国土安全局还必须使我们为非国土安全专门部门、规制者其他政策制定实体提供网络安全专业信息以告知保护国家关键基础设施工作的能力更加成熟。国土安全局必须利用其专业知识塑造一系列广泛的可以推动网络安全显著进步的联邦和非联邦政策。
子目标:
a.加强特定专业部门专注于理解网络事故的潜在影响和便利风险管理工作。
b.访问和更新国土安全部门的政策和管制以解决对所涉及的实体的网络安全风险。
c.在发展和运用合适的网络安全方针和技术支持机制上支持每个关键基础设施部门。
d.对影响国家网络安全风险管理的主要非国土安全部门管制和政策工作进行识别和提供技术和其他支持。
结果:
全部16个关键基础设施部门明确知道对他们的部门的网络风险,并维持充足的与网络安全相关的政策和能力以支持风险管理工作。
参考文献
[1]国土安全部管理执行机构信息安全政策和实践的权力适用于联邦、行政分支机构的系统,除国家安全系统和某些国防和情报系统部门外。参见44 U.S.C. § 3553(b).
[2] 国会授权国土安全局广泛地参与与联邦和非联邦实体的合作解决网络安全风险。参见6 U.S.C. § 148(c)(9).
[3] 16个关键基础设施部门是:1)化学;2)商业设施;3)通讯;4)关键制造业;5)水坝;6)国防工业基础;7)应急措施;8)能量;9)金融服务;10)食物和农业;11)政府设施;12)医疗和公共健康;13)信息技术;14)核反应堆,材料和废物;15)交通系统:16)水源和废水
(https://www.dhs.gov/critical-infrastructure-sectors)
[4] Executive Order 13636, “Improving Critical Infrastructure Cybersecurity” (2013), section 9
(https://www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf).
[5] Available at
https://www.nist.gov/cyberframework.
[6] “网络威胁指标”和“防御措施”的属于有2015年网络安全信息分享法案所定义,见6 U.S.C. § 1501.
声明:本文来自大数据和人工智能法律研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。