摘自:《网络安全技术和产业动态》2022年第12期,总第30期。
2022年9月,美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)发布了《2023-2025年战略计划》(以下简称“《计划》”)。该计划以2019年发布的《CISA战略意图》为基础,以《美国国土安全部2020-2024财年安全战略计划》为依据,重点规划了该机构在未来三年的工作目标。
《计划》描述了CISA的使命、愿景、核心价值观和原则等,详细阐述了其在2023-2025年期间的四大工作目标、子目标和评估方法。
01 机构介绍
CISA隶属于美国国土安全部(United States Department of Homeland Security, DHS),是依据2018年《网络安全和基础设施安全局法案》,由国家保护与计划局(National Protection and Programs Directorate, NPPD)重组而来,并就此提高了美国网络安全事务的管理级别。
CISA下设网络安全部、基础设施安全部、国家风险管理中心等部门。主要负责联邦政府相关机构的网络防御,对关键基础设施进行网络威胁监测、分析、信息共享和应急响应,提供综合性的危害风险分析,并提供培训、技术援助和评估。
图1 美国网络安全和基础设施安全局组织架构图
02 战略计划概述
《计划》就CISA未来三年的工作,从网络空间安全、基础设施安全、业务协作和机构建设等方面提出了4大工作目标,以及19个子目标。
(一)目标1:牵头开展网络空间防御
CISA作为美国国家级网络防御机构,将牵头提高美国网络空间的防御能力,确保美国关键基础设施、联邦和地方政府、私营企业等获取最佳的网络安全工具、事件响应支持和风险管理能力。
该目标包括4个子目标:增强联邦系统抵御网络攻击和事件的能力;提高CISA对美国关键基础设施和关键网络的安全主动检测能力;推动关键网络漏洞的披露和修复;通过网络空间生态系统建设实现“默认安全”。
(二)目标2:降低风险和提高弹性
CISA将协调全美资源保护和防范关键基础设施风险,将根据国家关键职能识别和分析风险,明确实体、资产、系统、技术和商品中的风险集中之处,帮助其降低风险和建立安全能力。
该目标包括6个子目标:改善对基础设施、系统和网络的风险可见性;提升CISA风险分析能力和方法;增强CISA对安全和风险的缓解指导和影响力;加强利益相关方在基础设施、网络安全和弹性方面的能力;提高CISA应对威胁和事件的能力;支撑选举基础设施的风险管理活动。
(三)目标3:加强全国业务协作和信息共享
CISA将加强全美网络安全业务协作和信息共享。根据《全国基础设施保护计划》,与关键基础设施相关方开展合作,提供安全产品、服务和信息,还将基于利益相关方的反馈不断完善自身的产品。
该目标包括5个子目标:优化利益相关方合作活动的协作规划与实施;将区域办公室完全纳入CISA的运营协调之中;简化利益相关方访问和使用CISA项目、产品和服务的流程;加强与CISA合作伙伴的信息共享;增进利益相关方意见的整合,为CISA产品开发和任务交付提供信息。
(四)目标4:深化机构整合
CISA将简化现有业务,通过提高治理和管理水平、优化组织,采用敏捷的新技术,以赋能改善客户服务,并注重构建团队合作、创新包容、主人翁意识等机构文化。
该目标包括4个子目标:加强和整合CISA的治理、管理和优先项;优化CISA业务流程,推动部门间相互支持;培养和壮大CISA优秀员工队伍;宣扬CISA卓越文化。
03 《计划》和CISA重点工作分析
《计划》与2019年发布的《CISA战略意图》一脉相承,在近几年CISA工作的基础上,进一步明确了重点工作方向,并提出的新要求。
(一)《计划》突显美国对风险监测和漏洞预警的重视
《计划》进一步明确了CISA将持续加强联邦机构和各级政府的风险监测和漏洞预警工作。一是CISA将持续创新威胁情报获取能力,二是CISA将增强对联邦和各级政府网络威胁的主动监测能力。
(二)《计划》表明美国对关键基础设施安全保护的决心
《计划》中三大目标和近一半的子目标涉及关键基础设施安全,涵盖了关键基础设施风险的发现、分析、缓解与管理,以及多方协作和选举基础设施的重点保障等,突显了关键基础设施安全在CISA工作中的重要地位。
(三)《计划》首次系统明确了CISA业务协调的工作内容
《计划》首次明确了CISA业务协作的目标和内容,其他三个目标也与协作密切相关。CISA将加强与外部伙伴的多向沟通,如:事件报告,威胁、漏洞、情报等信息的共享,并加快共享速度、提高信息准确性和协作有效性,以加强CISA及其利益相关方的态势感知能力。
(四)《计划》体现了美国国内政治氛围
当前正处于俄乌冲突的敏感时刻,《计划》两次提到俄乌危机对美国的潜在风险,描述了其应对俄乌危急的工作成果,迎合了美国国内对俄威胁的关切。CISA联合DOD、FBI和NSA多次发布中国、俄罗斯、伊朗等国相关的网络威胁报告,充分体现了美国国内政治氛围,其实际上已成为美渲染中国网络威胁的技术支撑单位。
04 思考与建议
针对《计划》提出的工作目标和CISA的重点工作分析,提出以下建议:
(一)加强漏洞统筹管理
我国于2021年9月起实施的《网络产品安全漏洞管理规定》,明确了监管单位职责和网络运营者的义务,强调了漏洞信息实时共享、联合评估和处置等工作。但是,关键漏洞管理流程、漏洞共享平台协作、漏洞质量保证等方面还存在一些实际问题。需进一步统筹、整合漏洞共享平台,建立完善国家网络安全漏洞收集、分析、验证、共享管理机制。
(二)开展关键信息基础设施体系化防御
我国于2021年9月起实施的《关键信息基础设施安全保护条例》,明确了关键信息基础设施的认定、运营者责任义务、保障和促进措施。但是,我国关键信息基础设施仍需提升各机构之间的任务协同和工作协作能力,构建关键信息基础设施一体化保护体系,强化安全威胁、漏洞、事件等信息通报机制,加强任务协同、工作协作和威胁情报共享,形成分工协作、高效协同的工作模式。
(三)加强网络安全信息共享和协作
我国已有多个安全信息监测发布平台,开展了漏洞、威胁情报等安全信息的收集和发布工作,但目前对安全信息发布缺乏统一管理,安全信息的共享及业务协作能力尚且不足。需进一步统筹协调完善网络安全监管机构、行业主管部门、企事业单位和安全厂商之间的安全信息共享和业务协作机制,构建高效、灵敏、权威的网络安全应急预警管控平台,负责威胁情报、安全事件等信息的收集、共享、发布和协作等工作。
中国网络安全产业联盟(CCIA)主办,北京升鑫网络科技有限公司供稿。
下载CISA《2023-2025年战略计划》(译)全文:
http://www.china-cia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20221230/20221230102035_2718.pdf
声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。