2023年7月13日,拜登政府发布《国家网络安全战略实施计划》(NCSIP)文件,该文件对照《国家网络安全战略》,提供了具体的实施路线图,每项举措和要求都分配给指定机构并设定具体时间节点。
本文针对该计划内容重点与漏洞进行梳理与简要评析,并附上计划主要内容。
拜登政府发布《国家网络安全战略实施计划》
编译整理:网安观察员 皓月
全文摘要与关键词
2.《国家网络安全战略实施计划》2023年7月发布(与战略五支柱一致,重在协调美国政府与社会关系,计划将不断迭代,近期政府部门将出台相关政策文件,计划的三个漏洞:缺乏“数据隐私”和“数字身份”方面内容;存在重大财务漏洞;严峻劳动力问题无良策)
3.计划主要内容概览:
· 发布关键基础架构法案(CIRCIA)
· 制定国防部网络战略,重点关注国家恶意行为者
· 扩大颠覆活动组织平台
· 国家学科基金会2024年拨款奖励主题:网络经济学、人为因素、信息完整性;优先投资领域包括:网络安全领域的社会、行为和经济方面的研究、开发和演示;增加对“个人和社会对网络安全的影响,以及网络安全对个人和社会的影响”的理解。
01《国家网络安全战略》
2023年3月发布,围绕“可防御、有韧性的数字生态系统”,提出五大支柱:
保护关键基础设施
破坏和摧毁威胁行为者
塑造市场力量
投资于有韧性的未来
建立国际伙伴关系
02《国家网络安全战略实施计划》
与战略的五个支柱保持一致。是该战略多年实施计划的首个版本,提出了69项倡议,与2023年3月发布的《国家网络安全战略》的五个支柱相一致。明确了拜登政府计划如何将其战略变为现实的路线图,启动了对联邦政府如何监管数字安全问题的重大改革。
重在协调美国政府和社会的具体行动。该计划包含加强国家安全和提高针对重大网络攻击的长期抵御能力的具体举措和要求,每项举措和要求都分配给指定机构并设定具体时间节点,具有较强的可执行性。
实施计划将通过不断迭代来完善。《国家网络安全战略》旨在持久指导,实施计划预计将随着不断变化的威胁形势而演变。随着计划的完成和后续行动的开展,实施计划也会随着政府监管数字安全问题的出现而不断发展变化,后续也将不断推出新的实施计划版本。
近期相关政府部门将陆续发布具体政策文件。在实施计划中明确要求相关部门制订具体的政策,例如要求国防部发布更新的全部门网络战略、国家网络总监办公室发布国家网络劳动力和教育战略等,预计相关执行部门随后陆续会出台相应的政策文件和一些更具体措施,值得后续继续关注。
存在三个遗漏!!!
一是缺乏数据隐私和数字身份行动方面的实施计划。《国家网络安全战略》将支持数字身份生态系统作为战略目标,并展望了政府在数字身份解决方案方面的投资,但实施计划未提及。
政府目前在数字身份方面的努力来自围绕数字身份和欺诈方面的工作,并致力于在该领域采取行动,也希望身份欺诈工作的后续行动将纳入未来的实施计划。实施计划预计明年将推出2.0版本,届时有望将遗漏的重要内容纳入新计划中。
二是重大的“财务漏洞”。实施计划主要将集中在3年内实施,但最近的国会拨款法案将新资金归零。在不提供新资金的情况下,实施这些措施具有较大难度。为应对不断变化的网络威胁形势和新兴技术的新进步,网络实施计划可能每年将更新,但当下工作的开展所需要的大量资金在实施计划中未提及。
三是眼前面临的严峻劳动力短缺问题无良策。该计划还缺乏有关网络劳动力持续短缺的关键细节。今年4月至5月期间,美国有超过 663,000个网络安全职位空缺。这一急待解决的现实问题在实施计划中未提及。
03 实施计划主要内容概览
第一支柱: 保卫关键基础设施
1.1 建立网络安全要求,支持国家和公共安全
2024财1季度前建立网络监管协调倡议。国家网络总监办公室(ONCD)将与管理和预算办公室(OMB)合作,领导政府在网络安全监管协调方面的工作,网络事故报告委员会协调、消除冲突并统一联邦事故报告要求;
2025财年2季度前明确关键基础设施跨部门网络安全需求。国家安全委员会(NSC)负责政策制定,ONCD和行业风险管理机构(SRMA)分析行业中网络风险,考虑部门具体需求,确定差距并制定缩小差距提案;
2025财年1季度前增加机构对框架和国际标准使用并监管协调。国家标准与技术研究院(NIST)更新发布网络安全框架,跟上技术和威胁趋势,整合经验教训,并将最佳实践转移到通用实践中。
1.2 扩大公私合作的规模
2024财年1季度前CISA领导公私合作伙伴关系并扩大合作努力。与NIST、其他联邦机构开发安全设计和默认安全原则和实践,确定采用这些原则和最佳实践的障碍,并推动集体行动,在整个私营部门采用这些原则;
2024财年1季度前为关键基础设施部门和SRMA提供建议。联邦高级领导委员会审查SRMA能力,咨询私营部门合作伙伴,并向国土安全部部长提供SRMA建议,继续加强CISA和其他中小企业之间的协调;
2024财年3季度前CISA与SRMA合作,了解信息共享差距及与合作伙伴间信息互操作系统需求,开发流程使能力成熟;
2026财年1季度前CISA领导跨部门审查公私合作机制,完成新的和改进的信息共享和协作平台、流程和机制;
2025财年2季度前CISA建立SRMA支持办公室,协调为每个SRMA提供服务,CISA定义其对办公室支持的需求和优先级,并使用这些信息更新CISA服务目录;
1.3 整合联邦网络安全中心
2023财年4季度前ONCD对联邦网络安全中心和相关网络中心进行审查,确定能力差距;
1.4 更新联邦突发事件响应计划和流程
2025财年1季度前CISA与ONCD协调,更新国家网络事件响应计划,包括对外部合作伙伴提供的关于联邦机构在事件响应和恢复方面的作用和能力的明确指导;
2025财年4季度前CISA发布关键基础架构法案(CIRCIA),与SRMA、司法部和其他机构协商实施CIRCIA,CISA发布CIRCIA拟议的规则制定和最终规则的通知,推进网络事件报告行动;
2024财年1季度前ONCD与跨部门和其他相关利益相关者合作,制定演习场景,改善网络事件响应;
2023财年2季度前国土安全部与国会合作,编纂网络安全审查委员会(CSRB)立法草案;
1.5使联邦防御现代化
2024财年2季度前OMB与CISA协调,制定行动计划,通过集体运营防御保护非机密的联邦文职行政部门(FCEB)系统,并促进集中式共享服务、企业许可协议和软件供应链风险缓解的扩大使用;
2024财年4季度前OMB领导制定多年生命周期计划,加速FCEB技术现代化,优先考虑联邦努力消除维护昂贵且难以保护的遗留系统;
2024财年4季度前国家安全局(NSA)制定和执行一项计划,解决FCEB机构的国家安全系统(NSS)安全问题;
第二支柱:扰乱和瓦解威胁行为者
2.1 整合联邦破坏活动
2024财年1季度前国防部制定与国家安全战略、国防战略和国家网络安全战略相一致的最新的国防部网络战略,重点关注民族国家和其他恶意行为者所带来的挑战;
2025财年4季度前FBI加强国家网络调查联合特别工作组(NCIJTF)能力,以更快的速度、规模和频率协调整个政府解除破坏活动能力;
2025财年1季度前司法部扩大颠覆活动组织平台,增加网络工作合格律师的数量,增加针对网络罪犯破坏运动的数量和速度;
2023财年4季度前司法部跨部门合作,制定一套有针对性的立法提案,增强政府扰乱和遏制网络犯罪的能力;
2024财年2季度前FBI、网络司令部、国家安全局和情报部门开发一系列协调和执行中断行动,提高中断国家和恶意行为者操作的速度和规模;
2.2 加强公私作战合作,破坏对手活动
2024财年2季度前ONCD与跨部门和私营部门合作,确定利用现有机制改进业务协作机会,增强对抗恶意网络行为者能力;
2.3 提高情报共享和受害者通报的速度和规模
2024财年2季度前国家安全委员会牵头政策制定,为SRMA建立一个商定方法,确定特定部门的情报需求和优先事项;
2024财年3季度前国家情报总监办公室(ODNI)与司法部和国土安全部协调,审查与关键基础设施所有者和运营商共享网络威胁情报的政策和程序,消除提供网络威胁情报和数据障碍;
2.4 防止滥用美国基础设施
2023财年4季度前商务部将发布一份关于基础设施即服务(IaaS)提供商和经销商的要求、标准和程序的拟议规则制定的通知,确定基于风险的预防方法足以获得豁免的标准和程序;
2.5 打击网络犯罪,击败勒索软件
2023财年4季度前国务院与联合勒索软件特别工作组(JRTF)(由FBI和CISA联合主持)协调,与司法部和其他利益相关者合作,制定一个国际参与计划,加强打击跨国网络犯罪的国际合作,阻止各国成为勒索软件罪犯的避风港;
2024财年1季度前FBI配合JRTF,与美国特勤局,司法部,CISA和其他联邦、国际和私营部门合作伙伴进行中断操作的勒索软件生态系统;
2024财年2季度前司法部加强其与联邦、国际和私营部门合作,计划、协调和执行针对勒索软件生态系统的破坏操作;
2025财年1季度前CISA与JRTF、SRMA和其他利益相关者协调,提供培训、网络安全服务、技术评估、攻击前规划和应对关键基础设施组织、州、地方、部落和领土(SLTT)和其他高风险目标的资源,减轻勒索软件的风险;
2024财年4季度前财政部牵头政府利益相关者通过金融行动工作组(FATF)代表团与国际合作伙伴合作,加速全球采用和实施反洗钱,打击恐怖主义融资(AML/CFT)标准和对虚拟资产服务提供商的监督,继续起草和出版15份相关的出版物,向能力较低的国家提供技术援助,并鼓励其他FATF成员提供类似的支持。
第三支柱:塑造市场力量并推动安全性和弹性
3.1 推动安全型物联网设备开发
2023财年4季度前OMB与联邦收购监管委员会合作,根据《2020年物联网(IoT)网络安全改进法》实施联邦收购法规(FAR)要求,国家安全委员会启动政府物联网安全标签计划,确定物联网安全标签项目大致轮廓和领导机构;
3.2 不安全的软件产品和服务的转移责任
2024财年2季度前ONCD与利益相关者举办一场法律研讨会,探索开发一个长期、灵活和持久的软件责任框架的方法;
2025财年2季度前CISA探讨对全球可访问数据库的生命周期终止/支持软件终止的要求,并召集软件材料清单(SBOM)国际工作人员级工作组,降低不支持软件的风险,缩小SBOM规模与实施差距;
2025财年4季度前CISA在所有技术类型和部门的公共和私人实体之间协调进行脆弱性披露;
3.3 利用联邦拨款和其他激励措施来建立安全设施
2023财年4季度前,ONCD开发材料,澄清、促进和鼓励将网络安全权益纳入联邦拨款项目,科学和技术政策办公室与ONCD和OMB协调,通过2025财年预算过程,鼓励优先考虑网络安全研究、开发和示范,加强关键基础设施的安全和弹性;
2024财年4季度前,国家科学基金会(NSF)通过2024财年拨款奖励,通过对网络经济学、人为因素、信息完整性和相关主题的研究,优先考虑投资于网络安全领域的社会、行为和经济研究方面的研究、开发和演示,增加对个人和社会对网络安全的影响,以及网络安全对个人和社会的影响的理解;
3.4 利用联邦采购提高问责制
2024财年1季度前OMB通过联邦采购政策办公室,与联邦采购监管委员会合作,对EO 14028所要求的FAR提出修改建议,通过发布规则草案(网络安全事件报告、标准化网络安全合同要求和安全软件),在最终确定变更之前,考虑发表公众意见;
2025财年4季度前司法部根据《虚假申报法案》,识别、追踪和阻止在联邦合同和拨款中未能遵守网络安全要求的情况,建立弹性,增加脆弱性披露,减少负责任的供应商的竞争劣势,为受影响的联邦项目和机构追回损害,改善供应商的网络安全;
3.5 探索联邦网络保险支持
评估联邦保险公司应对灾难性网络事件的必要性。
2024财年1季度前财政部联邦保险办公室与CISA和ONCD合作,评估联邦保险应对灾难性网络事件的必要性,以支持现有的网络保险市场。
第四支柱:投资有弹性的未来
4.1 确保互联网的技术基础
2024财年2季度前OMB与CISA和联邦机构合作,根据零信任策略和成熟度模型(M-22-09),对域名系统请求的加密进行优先排序,确保采用网络安全的最佳实践,改善互联网生态系统的安全性;
2024财年1季度前ONCD建立一个开源软件安全倡议(OS3I),以支持采用内存安全编程语言和开源软件安全,CISA与OS3I和开源软件社区合作,实现政府和关键基础设施中开源软件的安全使用,并提高开源软件生态系统的安全基线,CISA与开源软件社区成员建立密切关系并整合到各种社区的努力中;
2024财年1季度前NIST召开跨部门国际网络安全标准化工作组会议,协调国际网络安全标准化中的主要问题,并加强联邦机构对这一过程的参与,加速基础互联网基础设施能力和技术日志的开发、标准化和采用;
2024财年4季度前NIST与跨机构、工业界、学术界和其他社区合作,通过推动开发、商业化和采用国际标准,解决边境网关协议(BGP)和IPv6安全差距,加速开发和标准化,支持基础互联网基础设施能力和技术采用;
2024财年3季度前ONCD与主要利益相关者合作,制定路线图,增加安全互联网路由技术和技术的采用;
4.2 重振联邦网络安全研发部门
2024财年1季度前科学技术政策办公室(OSTP)与合作伙伴优先投资加速成熟度、采用和安全内存安全编程语言的应用程序、操作系统和关键的基础设施;
4.3 为我们的后量子时代的未来做好准备
2025财年1季度前OMB和国家安全系统经理与ONCD协调,继续优先实施国家安全备忘录-10,将脆弱的公共网络和系统过渡到基于量子抵抗密码的环境,OMB与NIST合作,制定补充缓解战略,在面对未知的未来风险时提供加密敏捷性;
2025财年3季度前NSA确保国家安全系统(NSS)实施NSM-10,实现NSS向抗量子密码学的过渡;
2025财年1季度前NIST确定其征求、评估和标准化一种或多种抗量子公钥密码算法,并支持向后量子密码算法的过渡;
4.4 确保清洁能源的未来
2024财年1季度前能源部与ONCD和CISA合作,通过将网络设计安全原则纳入联邦项目,推动网络设计安全原则的采用;
2024财年2季度前ONCD制定一项计划,确定差距或要求优先级,确保数字生态系统结合新技术支持清洁能源转型,支持和实现美国政府的脱碳目标;
2025财年4季度前能源部与利益相关者合作,利用具有网络信息的工程原理,为工程师和技术人员建立和完善培训、工具和支持;
4.5 制定国家战略加强网络劳动力
2024财年2季度前ONCD发布国家网络劳动力和教育战略,并跟踪其履行;
第五支柱:建立国际伙伴关系以追求共同目标
5.1 建立联盟,加强国际合作伙伴的能力
2025财年1季度前国务院部门工作人员储备与网络空间和数字政策相关的知识和技能,用于建立和加强国家和区域跨机构网络团队,促进与伙伴国家协调;
2024财年1季度前国务院发布包含双边和多边活动的国际网络空间和数字政策战略;
2025财年4季度前FBI加强与盟友和合作伙伴的联邦执法合作机制,增加针对网络罪犯的国际执法行动的数量和速度;
2024财年4季度前ONCD委托对欧洲网络犯罪中心一项研究,为未来网络中心的发展提供信息;
5.2 加强国际合作伙伴的能力
2024财年1季度前国务院和利益相关者利用现有的机构间网络能力建设工作组来评估当前的全球和网络空间的政策趋势,优先考虑未来的国际能力建设援助,加强国际合作伙伴的网络能力;
2026财年4季度前司法部联邦执法部门加强与国际同行合作,通过运营执法合作,扩大国际合作伙伴的网络能力;
5.3 扩大美国协助盟国和合作伙伴的能力
2024财年1季度前国务院确定一项灵活和快速的外国援助机制,以提供网络事件反应支持;
5.4建立联盟,加强负责任的国家行为的全球规范
2025财年4季度前国务院将通过开放式工作组开展工作,推进网络空间中负责任的国家行为框架,并加强愿意追究恶意行为者责任的国家联盟,当不负责任的国家不履行承诺时,就让他们承担责任;
5.5为信息、通信和运营技术产品和服务提供安全的全球供应链
2024财年2季度前国务院通过国际技术安全和创新基金与盟友和合作伙伴合作,推动国际社会采用安全的信息和通信技术生态系统的政策和监管框架,促进安全和可靠的信息和通信技术(ICT)网络和服务的发展,促进开放和可互操作的网络架构的开发和部署,促进一个更加多样化和有弹性的可靠ICT供应商供应链;
2023财年4季度前国家电信和信息管理局(NTIA)通过管理为期10年、价值15亿美元的PWSCIF,促进开放、可互操作和基于标准的网络的开发和采用,2023年8月开始授予第一波资金,推动开放和互操作网络的测试和评估能力;
2025财年2季度前NIST通过软件供应链项目,在国内外发布和扩大C-SCRM的最佳实践,增加对外国供应商的信任;
实施范围的倡议
评估有效性
2024财年3季度前ONCD评估实施国家网络安全战略、相关政策和后续行动的有效性,并提供第一份年度报告;
2024财年2季度前ONCD确定从网络事件中吸取的关键经验教训并将其应用于实施计划中,审查网络安全审查委员会(CSRB)的建议,并确定ONCD是否应将其纳入更广泛的实施计划工作;
2023财年4季度前ONCD和OMB确保共同发布年度指导网络安全预算,与国会合作资助网络安全活动跟上网络生态系统的变化速度,将预算指导与国家网络安全战略的实施情况相一致。
参考资料网址:
1.https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/13/fact-sheet-biden-harrisadministration-publishes-thenational-cybersecurity-strategyimplementation-plan/
2.https://www.whitehouse.gov/wp-content/uploads/2023/07/National-Cybersecurity-Strategy-Implementation-Plan-WH.gov_.pdf
3.https://www.nextgov.com/cybersecurity/2023/07/new-white-house-cyber-plan-leaves-digital-identity-action-items-out/388466/
4.https://www.nextgov.com/cybersecurity/2023/07/experts-warn-financial-challenges-and-gaps-cyber-implementation-plan/388531/
声明:本文来自认知认知,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
