摘自:《网络安全技术和产业动态》2023年第10期,总第40期。

2023年8月,美国网络安全和基础设施安全局(CISA)发布了《2024-2026财年网络安全战略计划》(以下简称《计划》)。该《计划》在2023年3月白宫发布的《国家网络安全战略》(以下简称《战略》)框架下,继承了《2023-2025财年CISA战略计划》(以下简称《2025计划》)对CISA加强网络安全能力的措施要求,为落实未来3年CISA在网络安全方面的工作提供了较强操作性的实施指导。

0《计划》简述

《计划》核心内容主要包含“应对直接威胁”、“安全加固”和“大规模提升安全性”三大能力目标,以及近30项促进措施和相应的考核评估方法。

目标1:应对直接威胁

以提高攻击者针对美国和盟国网络攻击的难度为目标。加强与各方合作,了解入侵活动情况,挫败攻击者行为,确保入侵发生时实现快速处置,消除攻击者可利用的攻击条件。

目标2:安全加固

以促进、支持和评估安全加固情况,以及显著降低破坏性入侵可能性为目标。提供明确、有可操作的指导,优先考虑最有效的安全投资,并量化评估关键基础设施安全和国家网络安全状况。

目标3:大规模提升安全性

以实现网络安全规模性提升为目标。在设计、开发和测试各环节最大限度地减少产品中可利用的漏洞;提高软件、硬件、系统和供应链的安全透明度;确保新兴技术的安全性,如消除人工智能和量子技术所带来的可能风险;努力建设一支能够应对未来威胁的国家网络安全队伍。

0《计划》的特点

《战略》是美国明确国家网络安全战略的指导性文件。《2025计划》是明确CISA所辖领全面业务的指导性文件。《计划》则是CISA在网络安全领域的指导性文件,是对国家网络安全战略目标落实的细化,具有较强的可操作性和指导性。《计划》在网络安全战略、目标、方向和内容上与《2025计划》、《战略》紧密关联,保持一致。

《计划》在《战略》、《2025计划》基础上,细化了其参与的重点网络安全项目,进一步明确了其对外提供安全能力的前提和范围,并提出了促进措施和评估内容。《计划》对CISA内部来说,是近几年内实施、投资和运营工作的基石,并将结合年度工作计划进一步分解执行;对外部来说,该计划将帮助相关方了解并参与CISA长期网络安全规划和优先事项。

(一)《计划》细化了CISA参与的网络安全项目

《计划》在目标描述中强调了部分项目,突显了CISA的工作重点,包括:联合协作环境(Joint Collaborative Environment,JCE)、网络分析和数据系统(Cyber Analytic and Data System,CADS)、国家网络事件响应计划(The National Cyber Incident Response Plan ,NCIRP)、《2022年关键基础设施网络事件报告法案》(CIRCIA)和网络安全绩效目标(CPG)等。

(二)《计划》强调了CISA与安全行业的关系,明确其对外提供安全能力的前提和范围

《计划》强调CISA将利用美国强大的商业化安全服务,不能也不会试图取代或重复这一市场。在商业能力不足的情况下,CISA将发挥其作用,并考虑发展其内部能力。《计划》还特别明确CISA仅针对联邦文职行政部门机构、缺乏安全能力的高价值组织提供相应的网络安全能力和服务。

(三)《计划》以美国是否更加安全为标准,设定目标、措施和评估内容

《计划》提出的30余项具体落实措施,并为每个目标提供了具有可操作性的评估标准。《计划》提出的评估标准不仅衡量CISA完成工作目标的情况,也是衡量其工作是否使美国国家更加安全的标准。同时,《计划》中措施和评估标准在质量上存在差异,也显现出CISA所面临的难度和不确定性。

(四)《计划》强调网络安全是全社会任务,将指导安全投资和能力建设

《计划》强调网络安全是一项全社会任务,任何一个组织都无法单独应对网络安全挑战,每个人和每个组织都应在其中发挥作用。因此,《计划》明确提出推动安全投资和安全能力建设、提供网络安全能力和服务,以及推动开发值得信赖的技术产品等工作目标。

0启示

针对CISA的《计划》,结合我国网络安全实践情况思考,有以下启示:

1.网络安全必须在总体国家安全观框架下规划、建设、管理,以是否影响国家安全为标准去衡量、评估,并明确各级机构的战略定位、专项职责和协作关系,强化各级机构网络安全战略的规划统筹、目标衔接。

2.网络安全除做好顶层战略规划设计外,还要重视做好各层级具体落实可操作的相关计划安排,并建立相应的考评评价机制和标准,定期对执行情况进行评估反馈,检验战略落地效果。

3.在落实网络安全战略的同时,需形成政府、企业、组织、公民积极参与的安全生态环境,贯彻网络安全靠人民的理念,指导各行业积极开展安全能力规划建设,补齐安全防护短板,并做好相关责任边界划分和认定。

4.高度关注新技术风险研究及管控,健全相关法律和规章制度,保障新技术研发和应用中的个人隐私与数据安全;提高新技术治理的技术能力和发展创新监管技术,以重大项目建设带动网络安全技术创新、理论创新、机制创新。

中国网络安全产业联盟(CCIA)主办,北京升鑫网络科技有限公司(青藤云安全)供稿。

声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。