摘自:《网络安全技术和产业动态》2023年第10期,总第40期。
2023年8月,美国网络安全和基础设施安全局(CISA)发布了《2024-2026财年网络安全战略计划》(以下简称《计划》)。该《计划》在2023年3月白宫发布的《国家网络安全战略》(以下简称《战略》)框架下,继承了《2023-2025财年CISA战略计划》(以下简称《2025计划》)对CISA加强网络安全能力的措施要求,为落实未来3年CISA在网络安全方面的工作提供了较强操作性的实施指导。
《计划》核心内容主要包含“应对直接威胁”、“安全加固”和“大规模提升安全性”三大能力目标,以及近30项促进措施和相应的考核评估方法。
目标1:应对直接威胁
以提高攻击者针对美国和盟国网络攻击的难度为目标。加强与各方合作,了解入侵活动情况,挫败攻击者行为,确保入侵发生时实现快速处置,消除攻击者可利用的攻击条件。
目标2:安全加固
以促进、支持和评估安全加固情况,以及显著降低破坏性入侵可能性为目标。提供明确、有可操作的指导,优先考虑最有效的安全投资,并量化评估关键基础设施安全和国家网络安全状况。
目标3:大规模提升安全性
以实现网络安全规模性提升为目标。在设计、开发和测试各环节最大限度地减少产品中可利用的漏洞;提高软件、硬件、系统和供应链的安全透明度;确保新兴技术的安全性,如消除人工智能和量子技术所带来的可能风险;努力建设一支能够应对未来威胁的国家网络安全队伍。
《战略》是美国明确国家网络安全战略的指导性文件。《2025计划》是明确CISA所辖领全面业务的指导性文件。《计划》则是CISA在网络安全领域的指导性文件,是对国家网络安全战略目标落实的细化,具有较强的可操作性和指导性。《计划》在网络安全战略、目标、方向和内容上与《2025计划》、《战略》紧密关联,保持一致。
(一)《计划》细化了CISA参与的网络安全项目
《计划》在目标描述中强调了部分项目,突显了CISA的工作重点,包括:联合协作环境(JointCollaborativeEnvironment,JCE)、网络分析和数据系统(CyberAnalyticandDataSystem,CADS)、国家网络事件响应计划(TheNationalCyberIncidentResponsePlan,NCIRP)、《2022年关键基础设施网络事件报告法案》(CIRCIA)和网络安全绩效目标(CPG)等。
(二)《计划》强调了CISA与安全行业的关系,明确其对外提供安全能力的前提和范围
《计划》强调CISA将利用美国强大的商业化安全服务,不能也不会试图取代或重复这一市场。在商业能力不足的情况下,CISA将发挥其作用,并考虑发展其内部能力。《计划》还特别明确CISA仅针对联邦文职行政部门机构、缺乏安全能力的高价值组织提供相应的网络安全能力和服务。
(三)《计划》以美国是否更加安全为标准,设定目标、措施和评估内容
《计划》提出的30余项具体落实措施,并为每个目标提供了具有可操作性的评估标准。《计划》提出的评估标准不仅衡量CISA完成工作目标的情况,也是衡量其工作是否使美国国家更加安全的标准。同时,《计划》中措施和评估标准在质量上存在差异,也显现出CISA所面临的难度和不确定性。
(四)《计划》强调网络安全是全社会任务,将指导安全投资和能力建设
《计划》强调网络安全是一项全社会任务,任何一个组织都无法单独应对网络安全挑战,每个人和每个组织都应在其中发挥作用。因此,《计划》明确提出推动安全投资和安全能力建设、提供网络安全能力和服务,以及推动开发值得信赖的技术产品等工作目标。
针对CISA的《计划》,结合我国网络安全实践情况思考,有以下启示:
1.网络安全必须在总体国家安全观框架下规划、建设、管理,以是否影响国家安全为标准去衡量、评估,并明确各级机构的战略定位、专项职责和协作关系,强化各级机构网络安全战略的规划统筹、目标衔接。
中国网络安全产业联盟(CCIA)主办,北京升鑫网络科技有限公司(青藤云安全)供稿。