2022年9月13日,美国国土安全部(DHS)下辖的“网络安全与基础设施安全局”(CISA)发布了《2023至2025年CISA战略规划》(以下简称《规划》)。《规划》首先勾勒了当前美国面临的网络威胁格局,然后介绍了其使命、愿景以及核心的价值观和原则等机构文化,最后阐述了CISA在2023至2025年期间的四大目标和众多子目标。作为CISA成立以来发布的首份战略规划,《规划》立足于《2020至2024财年DHS战略规划》,从网络防御、关键基础设施、信息共享和机构整合四个方面,指明了CISA未来三年的工作方向。
一、发布背景
CISA于2018年由DHS下辖的“国家保护与项目局”(NPPD)改组而来,短短数年间,就已成为美国政府中最重要的文职网络安全部门。CISA的职责范围非常广泛,其既要监控、提醒和处理美国50个州、华盛顿特区和4个属地的网络安全事件,也要监督、协调和参与联邦、州级和地方政府之间、政府不同部门之间以及政府与企业之间的网络安全合作,另外还需要管控海量的网络基础设施和制定一系列网络安全法规等。近年来世界各国的关键基础设施频遭网络攻击,委内瑞拉大停电和美国油气管道停运等重大事件一度引发社会动荡,“太阳风”供应链攻击事件更是触碰了美国国家安全人士的敏感神经。在此形势下,CISA也随之将关键基础设施的网络安全视为头等大事。《规划》就直言不讳地指出,CISA的愿景正是“为美国人民提供安全且具备(网络)弹性的基础设施”,可见关键基础设施将继续在CISA未来三年的工作中占据重要地位。
网络的本质乃是互联互通,因此要想保障网络安全,就不可避免地需要与众多机构和人员展开合作。作为网络安全主管机关的CISA对此当然心知肚明,以2021年为例,CISA就把加强机构内外合作、政府与企业合作乃至国际合作作为当年的重中之重,甚至列为年度报告中的第一项工作成果:CISA与若干“行业协调委员会”(SCC)和“政府协调委员会”(GCC)建立长期合作关系,以推动16个关键基础设施行业在网络安全领域的协作、规划和信息共享;CISA还组建了名为“联合网络防御合作”(JCDC)的组织,以此整合各级政府、企业和国际伙伴的网络专长,进而通过各方之间的网络防御合作来减轻网络风险。《规划》自然也承续了这种合作理念,其四大目标中,有两大目标(“业务合作”和“机构整合”)都直接关乎合作,另两大目标(“网络防御”和“降低风险与提高弹性”)也与合作密切相关。由此看来,CISA必将在未来三年中进一步加强网络安全合作,以群策群力的方式来为美国打造更加牢固的网络安全防线。
二、重点内容
从篇幅来看,《规划》聚焦于“加强网络防御”、“降低风险与提高弹性”、“推动业务合作”和“深化机构整合”这四大战略目标,而每一目标下又有针对具体领域的多项子目标及其预期成果和衡量方法。为厘清《规划》为CISA擘画的蓝图,下文将简明扼要地一一梳理这些目标。
2.1 目标1:加强网络防御
CISA最首要的使命就是防止美国的关键基础设施、各级政府、私营企业和民众遭受网络威胁,因此其首当其冲的一大目标自然就是加强网络防御。未来三年内,CISA将设法减少关键基础设施、关键网络和国家关键职能(NCF)面临的网络风险,并尽量减轻相关网络事件带来的影响。具体而言,CISA将积极寻找尚未发现的网络威胁,与网络安全界合作披露和缓解关键漏洞,努力建立更安全的网络生态体系(尤其是工业控制系统(ICS)和运行技术(OT)的此类体系),以及解决网络劳动力短缺的问题。针对目标1,《规划》又提出了以下更加具体的子目标及其预期成果和衡量方法:
2.1.1 增强联邦系统抵御网络攻击和网络事件的能力
CISA将推动联邦机构采用安全且有弹性的现代网络技术、提高网络事件响应能力、减轻供应链风险和洞察联邦网络面临的网络威胁。通过未来三年的努力,CISA希望各联邦文职机构(FCEB)在网络攻击或网络事件期间仍能继续履行职责,并在事后迅速恢复如初。为检验工作成效,届时CISA将评估各FCEB在多大程度上遵守了CISA针对网络防御的指南、标准和指令,以及遵守这些文件所带来的效果。
2.1.2 提高CISA主动发现关键基础设施/网络所受网络威胁的能力
CISA认为美国正面临着来自先进对手的网络威胁,而为了发现和防范此类威胁,CISA将积极检测联邦网络和各级政府网络面临的威胁,并通过与企业界的合作来进一步摸清私营网络面临的威胁。通过未来三年的努力,CISA希望美国的网络防御人员不但能获得更多有用的检测信息,也能积极保护各自的关键网络。为检验工作成效,届时CISA将评估其开展的网络监控、网络威胁分析和网络威胁搜索工作能在多大程度上缩短发现威胁和阻止入侵的时间。
2.1.3 进一步披露和缓解重大网络漏洞
CISA承认任何软硬件都难免存在漏洞,但为避免这些漏洞被美国的对手所利用,CISA将与包括网络安全研究界在内的公私机构展开密切合作,以鼓励各方找出和报告新漏洞,并依靠各方合力缓解这些漏洞。通过未来三年的努力,CISA希望美国关键基础设施的所有方/运营方能更好地掌握网络安全漏洞,并在这些漏洞被人利用之前就协调各方采取应对之策。为检验工作成效,届时CISA将评估其网络漏洞评估和补救服务的使用率和有效性。
2.1.4 建立能从根本上改善网络安全的网络空间生态体系
CISA支持技术开发商和网络维护者开发和采用最先进的网络防御和网络操作工具、服务和能力,并将利用其网络教育资源来填补关键网络领域的人才缺口,从而建立起能从根本上改善网络安全的技术生态体系。通过未来三年的努力,CISA希望承担NCF的人员能广泛使用将安全和弹性融入设计之中的技术产品,美国网络和系统的固有安全水平也不断得到提升。为检验工作成效,届时CISA将评估各类技术产品和服务在多大程度上采用了安全的开发做法和控制措施,以及这些做法和措施的实践效果。
2.2 目标2:降低风险与提高弹性
美国的关键基础设施分属16个行业,美国政府为这些行业都指定了一个“行业风险管理机构”(SRMA),以更好地管理行业风险。目前CISA担任着其中8个行业的SRMA,同时以提供能力和资源等方式协助其它SRMA确定和管理行业风险,以此改善这些行业的安全和弹性水平。未来三年内,CISA将根据NCF来确认哪些实体、资产、系统、技术和商品面临最严重的国家安全、经济安全以及公众健康与安全风险,继而预测哪些因素会引起负面连锁反应和制定相应的缓解计划。CISA还将在自愿基础上加强合作关系,并依据《化学设施反恐标准》(CFATS)等监管法规来为美国的关键基础设施制定安全方案。针对目标2,《规划》又提出了以下更加具体的子目标及其预期成果和衡量方法:
2.2.1 改善基础设施、系统和网络的风险可见度
CISA深知要想评估和分析关键基础设施的风险并作出决策,就必须收集正确的数据和形成正确的看法。为此CISA需要评估基础设施的紧要程度,确认哪些基础设施属于关键基础设施,并了解哪些基础设施更容易遭到入侵。通过未来三年的努力,CISA希望自身能成为负责关键基础设施数据的中央存储库和国家机关,并能及时察觉新出现的系统性风险。为检验工作成效,届时CISA将评估美国关键基础设施的安全性和可见度有多大改善。
2.2.2 提升CISA的风险分析能力与方法
CISA认为开展网络防御和保护基础设施的前提是了解国家和行业层面的风险,因此CISA必须发展出成熟的风险分析能力与方法,尤其是将关键基础设施的信息及其识别工作纳入分析方法之中。而除了跨机构的战略风险分析,CISA还可针对特定项目发展针对性的风险分析能力。通过未来三年的努力,CISA希望自身能发展出各种量身定做的深度风险分析能力与方法,并在全面洞悉风险格局的基础上确定优先方向和开展业务。为检验工作成效,届时CISA将评估NCF风险分析工具的成熟度,其它政府机构能否获取足够的风险数据,以及CISA自身是否已充分支持各SRMA评估所属行业的风险。
2.2.3 加强CISA的安全与风险指导及其影响力
为保护关键基础设施,CISA将向各路利益攸关方提供安全与风险缓解方面的指导和援助,包括提供行之有效的专业知识和缓解措施来化解安全威胁和保障应急通信系统,以及发布权威指南来推动IT网络风险管理等,而这些指导和援助将侧重于利益攸关方的需求和CISA判定的优先事项。通过未来三年的努力,CISA希望各路利益攸关方将采用CISA发布的关键基础设施安全指南、标准、性能基准和风险管理专长,且化工等高风险的关键基础设施能满足基于风险的性能标准。为检验工作成效,届时CISA将评估各路利益攸关方在多大程度上遵守了CISA针对物理安全、应急通信和网络安全的指导,以及遵守这些指导所带来的效果。
2.2.4 培养利益攸关方加强基础设施与网络安全性和弹性的能力
作为多个行业的SRMA,为更好地满足利益攸关方日益增长的需求,CISA必须适当扩大其在网络安全、基础设施安全和应急通信方面的关键项目和风险相关成果,并调整工作(比如就新的网络安全风险发布应急通信指导)以满足新出现的需求。通过未来三年的努力,CISA希望自身可在能力建设方面推出可扩展的产品和服务,且其它SRMA和利益攸关方认为CISA的产品和服务是有效的、及时且适当的。为检验工作成效,届时CISA将评估是否向各路利益攸关方提供了更多的产品和服务及其影响力。
2.2.5 强化CISA对威胁和事件的响应能力
CISA已开设了一个全天时运行的响应协调中心,但为了应对不断变化的网络威胁,CISA还将按照“国家响应框架”的规定向应急响应人员提供支持,并扩大其重大应急通信支持服务的范围,以确保在事件期间迅速为一线响应人员提供通信服务。通过未来三年的努力,CISA希望各路利益攸关方能快速而适当地对各类威胁和事件作出响应,而美国的关键基础设施也能在保持网络弹性的情况下持续运转。为检验工作成效,届时CISA将评估其关键应急通信服务和事件响应能力的效用和使用率。
2.2.6 支持选举基础设施的风险管理活动
作为选举基础设施行业的SRMA,CISA已与联邦调查局(FBI)、美国选举援助委员会和情报机构建立了合作关系,其对选举基础设施的支持也从以网络安全为重扩展到平衡考虑网络、实体和运行安全。CISA将把现有资源用于选举基础设施的风险管理,开发减轻选举风险的新产品,以及支持州级官员和地方官员处理各自负责的错误信息和虚假信息等。通过未来三年的努力,CISA希望其服务、产品和指导能随选举基础设施的风险变化而不断改进,并将其它行业的经验教训用到选举基础设施上。为检验工作成效,届时CISA将评估其产品和指导能在多大程度上满足各级政府和私营利益攸关方的风险管理需求。
2.3 目标3:推动业务合作
CISA认为,保护美国关键基础设施的根基,就在于使政府部门之间以及政府与企业之间建立持久、有效且互信的合作关系。而作为网络安全合作的重要推动者,CISA希望其能在关键基础设施防护领域形成品牌效应。未来三年内,CISA将按照《国家基础设施保护计划》确定的合作架构与其它SRMA和关键基础设施相关方开展合作。具体而言,CISA的职能专家和支持人员将提供CISA的产品、服务和信息,同时收集必要的反馈意见,以不断完善和改进CISA的产品和信息。针对目标3,《规划》又提出了以下更加具体的子目标及其预期成果和衡量方法:
2.3.1 更好统筹规划和落实利益攸关方参与和合作的活动
为培养各方与CISA进行合作的信心,CISA将在机构内部、SRMA之间以及更大范围内规划、安排和协调涉及利益攸关方的活动,根据利益攸关方的数据和看法、客户需求、运行要求和领导层的优先事项来指导国家和地区层面的合作事宜,并以SRMA和关键基础设施国家协调机构的身份牵头相关行业的安全和弹性合作。通过未来三年的努力,CISA希望自身能更有针对性、更有实效性和更有条理性地开展各种合作与协调工作,并扩展和巩固与利益攸关方之间的关系。为检验工作成效,届时CISA将评估战略级合作活动的成效。
2.3.2 将各地办事处充分纳入CISA的运行协调之中
CISA认为其在各地的办事处是与各方成功开展合作的关键所在,为此CISA将加强其总部与各地办事处之间的整合,制定相关流程以协调总部与各地办事处之间的接触,加强国家级合作管理框架与各地之间的联系,将SCC和GCC扩展到各地,以及创建关于内部业务管理的论坛、机制和流程等。通过未来三年的努力,CISA希望其总部活动和地区活动都遵从相同的运行规划,且CISA及其它协调机构能关注到地方利益攸关方的问题和诉求。为检验工作成效,届时CISA将评估其地方和总部协调活动的整合程度,以及地方利益攸关方参与活动所带来的影响。
2.3.3 简化利益攸关方接触和使用CISA项目、产品和服务的流程
CISA的项目、产品和服务有助于各路利益攸关方降低其基础设施面临的风险,而为简化相关的接触和使用流程,CISA将根据客户的具体需求和情况提供产品服务,并对外发布准确、可定制且颇具吸引力的资源目录。除此之外,CISA也主动将向核心利益攸关方推广其项目、产品和服务。通过未来三年的努力,CISA希望各路利益攸关方能迅速找到和获取所需的CISA产品与服务,CISA也能主动向利益攸关方告知适用的产品与服务。为检验工作成效,届时CISA将评估辖下各部门项目、产品和服务的质量和可及性。
2.3.4 强化与CISA合作方之间的信息共享
为提升CISA及其利益攸关方对网络威胁格局的认识,CISA将加强与合作方之间的多向沟通,比如及时上报网络事件,以及共享威胁、漏洞、情报、情报需求以及其它信息和数据等。为此CISA将继续推出诸如JCDC的合作机制,同时改善“联邦高级领导委员会”(FSLC)、“信息共享与分析组织”(ISAO)、信息共享与分析中心(ISAC)、SCCS和GCC等既有机制。通过未来三年的努力,CISA希望各路利益攸关方能及时准确地获取决策所需的信息,而CISA的数据处理与信息共享措施也有助于保护隐私、民权和公民自由。为检验工作成效,届时CISA将评估多向信息共享带来的价值。
2.3.5 吸纳反馈以改善CISA的产品和服务
使用方的反馈当然有利于改进CISA的产品和服务,因此CISA不但将积极寻求利益攸关方的反馈,也将进一步整合来自利益攸关方的看法、信息和数据,以改进关于其产品和服务的决策、安排、开发、修改和定制工作。通过未来三年的努力,CISA希望各路利益攸关方能反馈其需求、兴趣和优先事项,而CISA则能适当吸纳这些反馈以改善其产品和服务。为检验工作成效,届时CISA将评估利益攸关方的满意程度,以及基于后者反馈的持续改进情况。
2.4 目标4:深化机构整合
CISA认为其各部门之间存在着明显的藩篱,因此有必要加强对自身的整合。未来三年内,为了实现机构上下的统筹兼顾,CISA将精简现有的业务,采用敏捷的新技术来服务客户,加强内部的治理、管理和安排,打破部门藩篱,并培养重视团队合作、责任感、创新和包容的机构文化。针对目标4,《规划》又提出了以下更加具体的子目标及其预期成果和衡量方法:
2.4.1 加强与整合CISA的治理、管理和安排
CISA希望既打破部门与任务之间的藩篱,又不愿破坏既有的专长、问责机制和团队认同。鉴于此,CISA将在各层级的任务授权办公室(MEO)之间举行会议和交流信息,组建能为优先决策提供必要数据和流程的治理与管理部门,划定各部门工作范围,明确部门和/或个人责任,以及通过记录和整合进程的方式来利用和推广最佳做法。CISA还将把规划、编排、预算编制、执行和评价(PPBEE)流程纳入其治理流程和治理决策,以便更好地管理公共资金,对发薪等基本业务职能实施有效的内部控制,以及支持明智的投资决策。通过未来三年的努力,CISA希望将其领导层的愿景转化为优先行动,并能从战略角度公开透明地分配其资源。为检验工作成效,届时CISA将评估是否在公开透明且有效地监管资金,以及CISA项目和流程的标准化程度和整合程度。
2.4.2 优化CISA业务以推动各部门互帮互助
为推动CISA内部人员使用彼此的产品、服务和资源,CISA将着重整合其系统和数据,从而改善态势感知,为领导层提供决策所需的有用信息,改进流程和协作方式,以及加强CISA上下的信息共享和数据管理。通过未来三年的努力,CISA希望其高层人员和一线人员都能及时形成一致的态势感知,且CISA能够整合机构内部的各种系统、流程、数据和架构。为检验工作成效,届时CISA将评估各种内部系统、流程和架构在多大程度上改善了机构内部的互帮互助。
2.4.3 培养表现优异的CISA员工
人才是CISA得以发展的根本,为了吸引、培养和留住美国最出色的网络防御人才,CISA将发展一种涵盖了招聘、雇用、培训、褒奖、晋升、留用和继任规划的世界级人才生态系统,积极从非传统领域寻找人才,优先使用DHS的“网络人才管理系统”来改善CISA的招聘和雇用工作,奖励CISA杰出员工,以及确保所有人都能平等地获得专业发展和教育机会。通过未来三年的努力,CISA希望其能雇用、培训并留住一支技术娴熟且表现优异的多样化员工队伍,并为员工提供富有意义的职业发展道路。为检验工作成效,届时CISA将评估其员工的招聘、留用、培训和发展情况以及相关工作的影响力。
2.4.4 发展CISA的卓越文化
机构文化同样是CISA取得成功的基础,而为了形成精益求精的卓越文化,CISA将着重为员工营造一种受到关心、支持和尊重的心理环境,进而在此基础上推动员工的责任感和使命感。CISA还将采取系统性措施来缓解员工的精神压力,向员工提供精神卫生资源,以及在奖励、决策、沟通和员工待遇方面形成透明、公平、公正的机构文化,从而成为联邦政府中的文化样板和网络群体中公认的领头羊。通过未来三年的努力,CISA希望其在保护关键基础设施网络安全方面的作用得到全国上下的认可,同时其关于福祉、心理安全、创新、问责和使命感的机构文化也得到认可、践行和强化。为检验工作成效,届时CISA将评估其员工队伍的心理安全、多样性和职业倦怠有多大程度的改善。
三、发展方向
3.1 以关键基础设施为保护重点
关键基础设施既包括电网等有形设施,也包括云平台等虚拟设施,但不论有形无形,这些关键基础设施万一遭到破坏,就可能对一国的政治、经济、社会乃至卫生安全造成灾难性影响,这一点已在委内瑞拉大停电和美国油气管道停运等事件中得到充分印证。有鉴于此,CISA一向将保护关键基础设施作为其工作重点,《规划》自然也不例外。纵观《规划》全文,四大目标中有三大目标都提到了关键基础设施,且近一半的子目标都与关键基础设施有关,总体上涵盖了主动防御、漏洞缓解、风险分析与管理、多方合作和生态体系等关键基础设施的方方面面,可见关键基础设施在CISA的未来规划中占有举足轻重的份量。
需要指出的是,CISA并不直接运营关键基础设施,其主要通过与其它公私机构的广泛合作来保护关键基础设施。举例来说,CISA于2021年完成了总务管理局(GSA)旗下“联邦风险与授权管理计划”(FedRAMP)高级政府云(GovCIoud)环境的迁移,迁移期间CISA为FedRAMP GovCIoud提供了一套用于保护和恢复基础设施的工具和应用程序,以便合作方保护关键基础设施以及化解各种风险与威胁。又比如为了应对愈演愈烈的勒索软件攻击,CISA牵头开发了stopransomware.gov网站,以便于为勒索软件的受害者集中提供应对攻击的资源和事件上报途径。正如“网络安全与基础设施安全局”这一名称所反映的那样,未来CISA必将以指导、标准、培训、演习和评估等方式,继续支持其它政府机构和私营企业保障关键基础设施的网络安全。
3.2 着力提升重大漏洞防范能力
经过数十年的发展,网络空间及其依赖的软硬件体系已变得极其复杂,由此造成的结果就是基本不存在没有漏洞的系统,《规划》对此也予以承认。除分布式拒绝服务(DDoS)等少数攻击方式外,目前绝大多数攻击方式都或多或少利用了网络安全漏洞;更令人担忧的是,出于方便管理和降低成本等考虑,几乎所有企业乃至政府部门都会用相同的系统服务大量用户设备。受此影响,一旦此类系统中的重大漏洞并被黑客或对手所掌握,后果就将不堪设想,这也正是“太阳风”事件引发美国网络安全界恐慌的原因所在。在此背景下,《规划》对漏洞挖掘也高度重视,其不但将披露和缓解重大漏洞作为子目标之一,发现威胁、提升风险可见度和风险分析等子目标也必然以挖掘、披露和缓解网络安全漏洞为工作重点。
纵观CISA近年来的工作成果,该机构也确实在时刻紧盯重大网络安全漏洞,其发布的众多公告中不少都是在披露各种重大漏洞。仅在2021年内,CISA就围绕漏洞问题开展了许多工作,其中包括:发布已知漏洞清单,为政府和企业处理相关漏洞提供重要指导;联合美国国家安全局和FBI等部门,就Logj4漏洞先后发布8次网络安全警告,避免了该漏洞引发“太阳风”那般的重大事件;推动《2021财年国防授权法案》授予CISA必要权限,使该机构有权检查关键基础设施中的漏洞和敦促运营方修复漏洞;组建“持久安全框架(ESF)5G威胁模型专项小组”及其它团队,以便从标准、供应链和系统架构的角度来寻找5G等新兴技术的网络安全漏洞。这些工作表明,今后CISA将不仅仅是披露和分析各方上报的漏洞,更是要主动出击,在以关键基础设施为主的一线设施中挖掘漏洞,甚至预先研究5G等新兴技术可能存在的漏洞,以便美国能在未来的网络防御乃至网络攻击中占得先机。
3.3 力争加强多方网络安全合作
网络并非任何国家、行业或机构的禁脔,而是连接四面八方的“路网”,因此要想保障网络安全,各国、各行业和各机构之间的合作就必不可少。从《规划》来看,其两大目标都直接关乎合作,另两大目标也与合作紧密相关,这表明CISA已将合作视为其大部分工作中不可或缺的一环。CISA与各方之间的合作形式多种多样,主要包括建立JCDC等网络安全合作机制,联合制定《5G基础设施的潜在威胁向量》等指导文件,提供“联合网络空间基础课程”(JCFC)等网络安全培训课程,不定期披露Log4j等重大网络安全漏洞,以及积极参与DHS的网络安全技术研发等等。正如《规划》所言,这些合作事宜总体上将改善美国的网络安全工具、服务和能力,从而形成更加安全的网络生态体系。
需要强调的是,CISA的合作范围并不仅限于美国国内,而是把足迹延伸到了全球各地。以2022年为例,在3月时,DHS(CISA是DHS中的网络安全主责部门)与以色列网络安全局(INCD)签署了一份联合意向书,以推动两国在网络空间研究与开发方面的合作;在7月时,CISA与乌克兰国家特殊通信与信息保护局(SSCIP)签署了一份合作备忘录,以巩固两国在信息共享、技术交流及网络安全培训与演习方面的合作;同样在7月,CISA与沙特国家网络安全局(NCA)签署合作备忘录,以深化两国在威胁信息共享和最佳做法交流方面的合作;在8月时,美墨网络问题工作组发表联合声明,其中称CISA将加强与墨西哥当局在信息共享、事件响应、勒索软件和执法调查等方面的合作。显而易见,这些国际合作将有助于CISA打响《规划》所期望的“品牌效应”,从而使美国在未来的网络空间格局中获得更大话语权。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
