摘自：《網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)動態(tài)》2022年第12期，總第30期。

2022年9月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency，CISA）發(fā)布了《2023-2025年戰(zhàn)略計(jì)劃》（以下簡稱“《計(jì)劃》”）。該計(jì)劃以2019年發(fā)布的《CISA戰(zhàn)略意圖》為基礎(chǔ)，以《美國國土安全部2020-2024財(cái)年安全戰(zhàn)略計(jì)劃》為依據(jù)，重點(diǎn)規(guī)劃了該機(jī)構(gòu)在未來三年的工作目標(biāo)。

《計(jì)劃》描述了CISA的使命、愿景、核心價值觀和原則等，詳細(xì)闡述了其在2023-2025年期間的四大工作目標(biāo)、子目標(biāo)和評估方法。

01 機(jī)構(gòu)介紹

CISA隸屬于美國國土安全部（United States Department of Homeland Security, DHS），是依據(jù)2018年《網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局法案》，由國家保護(hù)與計(jì)劃局（National Protection and Programs Directorate, NPPD）重組而來，并就此提高了美國網(wǎng)絡(luò)安全事務(wù)的管理級別。

CISA下設(shè)網(wǎng)絡(luò)安全部、基礎(chǔ)設(shè)施安全部、國家風(fēng)險管理中心等部門。主要負(fù)責(zé)聯(lián)邦政府相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)防御，對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)威脅監(jiān)測、分析、信息共享和應(yīng)急響應(yīng)，提供綜合性的危害風(fēng)險分析，并提供培訓(xùn)、技術(shù)援助和評估。

圖1 美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局組織架構(gòu)圖

02 戰(zhàn)略計(jì)劃概述

《計(jì)劃》就CISA未來三年的工作，從網(wǎng)絡(luò)空間安全、基礎(chǔ)設(shè)施安全、業(yè)務(wù)協(xié)作和機(jī)構(gòu)建設(shè)等方面提出了4大工作目標(biāo)，以及19個子目標(biāo)。

（一）目標(biāo)1：牽頭開展網(wǎng)絡(luò)空間防御

CISA作為美國國家級網(wǎng)絡(luò)防御機(jī)構(gòu)，將牽頭提高美國網(wǎng)絡(luò)空間的防御能力，確保美國關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)邦和地方政府、私營企業(yè)等獲取最佳的網(wǎng)絡(luò)安全工具、事件響應(yīng)支持和風(fēng)險管理能力。

該目標(biāo)包括4個子目標(biāo)：增強(qiáng)聯(lián)邦系統(tǒng)抵御網(wǎng)絡(luò)攻擊和事件的能力；提高CISA對美國關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵網(wǎng)絡(luò)的安全主動檢測能力；推動關(guān)鍵網(wǎng)絡(luò)漏洞的披露和修復(fù)；通過網(wǎng)絡(luò)空間生態(tài)系統(tǒng)建設(shè)實(shí)現(xiàn)“默認(rèn)安全”。

（二）目標(biāo)2：降低風(fēng)險和提高彈性

CISA將協(xié)調(diào)全美資源保護(hù)和防范關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險，將根據(jù)國家關(guān)鍵職能識別和分析風(fēng)險，明確實(shí)體、資產(chǎn)、系統(tǒng)、技術(shù)和商品中的風(fēng)險集中之處，幫助其降低風(fēng)險和建立安全能力。

該目標(biāo)包括6個子目標(biāo)：改善對基礎(chǔ)設(shè)施、系統(tǒng)和網(wǎng)絡(luò)的風(fēng)險可見性；提升CISA風(fēng)險分析能力和方法；增強(qiáng)CISA對安全和風(fēng)險的緩解指導(dǎo)和影響力；加強(qiáng)利益相關(guān)方在基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全和彈性方面的能力；提高CISA應(yīng)對威脅和事件的能力；支撐選舉基礎(chǔ)設(shè)施的風(fēng)險管理活動。

（三）目標(biāo)3：加強(qiáng)全國業(yè)務(wù)協(xié)作和信息共享

CISA將加強(qiáng)全美網(wǎng)絡(luò)安全業(yè)務(wù)協(xié)作和信息共享。根據(jù)《全國基礎(chǔ)設(shè)施保護(hù)計(jì)劃》，與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)方開展合作，提供安全產(chǎn)品、服務(wù)和信息，還將基于利益相關(guān)方的反饋不斷完善自身的產(chǎn)品。

該目標(biāo)包括5個子目標(biāo)：優(yōu)化利益相關(guān)方合作活動的協(xié)作規(guī)劃與實(shí)施；將區(qū)域辦公室完全納入CISA的運(yùn)營協(xié)調(diào)之中；簡化利益相關(guān)方訪問和使用CISA項(xiàng)目、產(chǎn)品和服務(wù)的流程；加強(qiáng)與CISA合作伙伴的信息共享；增進(jìn)利益相關(guān)方意見的整合，為CISA產(chǎn)品開發(fā)和任務(wù)交付提供信息。

（四）目標(biāo)4：深化機(jī)構(gòu)整合

CISA將簡化現(xiàn)有業(yè)務(wù)，通過提高治理和管理水平、優(yōu)化組織，采用敏捷的新技術(shù)，以賦能改善客戶服務(wù)，并注重構(gòu)建團(tuán)隊(duì)合作、創(chuàng)新包容、主人翁意識等機(jī)構(gòu)文化。

該目標(biāo)包括4個子目標(biāo)：加強(qiáng)和整合CISA的治理、管理和優(yōu)先項(xiàng)；優(yōu)化CISA業(yè)務(wù)流程，推動部門間相互支持；培養(yǎng)和壯大CISA優(yōu)秀員工隊(duì)伍；宣揚(yáng)CISA卓越文化。

03 《計(jì)劃》和CISA重點(diǎn)工作分析

《計(jì)劃》與2019年發(fā)布的《CISA戰(zhàn)略意圖》一脈相承，在近幾年CISA工作的基礎(chǔ)上，進(jìn)一步明確了重點(diǎn)工作方向，并提出的新要求。

（一）《計(jì)劃》突顯美國對風(fēng)險監(jiān)測和漏洞預(yù)警的重視

《計(jì)劃》進(jìn)一步明確了CISA將持續(xù)加強(qiáng)聯(lián)邦機(jī)構(gòu)和各級政府的風(fēng)險監(jiān)測和漏洞預(yù)警工作。一是CISA將持續(xù)創(chuàng)新威脅情報(bào)獲取能力，二是CISA將增強(qiáng)對聯(lián)邦和各級政府網(wǎng)絡(luò)威脅的主動監(jiān)測能力。

（二）《計(jì)劃》表明美國對關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)的決心

《計(jì)劃》中三大目標(biāo)和近一半的子目標(biāo)涉及關(guān)鍵基礎(chǔ)設(shè)施安全，涵蓋了關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險的發(fā)現(xiàn)、分析、緩解與管理，以及多方協(xié)作和選舉基礎(chǔ)設(shè)施的重點(diǎn)保障等，突顯了關(guān)鍵基礎(chǔ)設(shè)施安全在CISA工作中的重要地位。

（三）《計(jì)劃》首次系統(tǒng)明確了CISA業(yè)務(wù)協(xié)調(diào)的工作內(nèi)容

《計(jì)劃》首次明確了CISA業(yè)務(wù)協(xié)作的目標(biāo)和內(nèi)容，其他三個目標(biāo)也與協(xié)作密切相關(guān)。CISA將加強(qiáng)與外部伙伴的多向溝通，如：事件報(bào)告，威脅、漏洞、情報(bào)等信息的共享，并加快共享速度、提高信息準(zhǔn)確性和協(xié)作有效性，以加強(qiáng)CISA及其利益相關(guān)方的態(tài)勢感知能力。

（四）《計(jì)劃》體現(xiàn)了美國國內(nèi)政治氛圍

當(dāng)前正處于俄烏沖突的敏感時刻，《計(jì)劃》兩次提到俄烏危機(jī)對美國的潛在風(fēng)險，描述了其應(yīng)對俄烏危急的工作成果，迎合了美國國內(nèi)對俄威脅的關(guān)切。CISA聯(lián)合DOD、FBI和NSA多次發(fā)布中國、俄羅斯、伊朗等國相關(guān)的網(wǎng)絡(luò)威脅報(bào)告，充分體現(xiàn)了美國國內(nèi)政治氛圍，其實(shí)際上已成為美渲染中國網(wǎng)絡(luò)威脅的技術(shù)支撐單位。

04 思考與建議

針對《計(jì)劃》提出的工作目標(biāo)和CISA的重點(diǎn)工作分析，提出以下建議：

（一）加強(qiáng)漏洞統(tǒng)籌管理

我國于2021年9月起實(shí)施的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，明確了監(jiān)管單位職責(zé)和網(wǎng)絡(luò)運(yùn)營者的義務(wù)，強(qiáng)調(diào)了漏洞信息實(shí)時共享、聯(lián)合評估和處置等工作。但是，關(guān)鍵漏洞管理流程、漏洞共享平臺協(xié)作、漏洞質(zhì)量保證等方面還存在一些實(shí)際問題。需進(jìn)一步統(tǒng)籌、整合漏洞共享平臺，建立完善國家網(wǎng)絡(luò)安全漏洞收集、分析、驗(yàn)證、共享管理機(jī)制。

（二）開展關(guān)鍵信息基礎(chǔ)設(shè)施體系化防御

我國于2021年9月起實(shí)施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定、運(yùn)營者責(zé)任義務(wù)、保障和促進(jìn)措施。但是，我國關(guān)鍵信息基礎(chǔ)設(shè)施仍需提升各機(jī)構(gòu)之間的任務(wù)協(xié)同和工作協(xié)作能力，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施一體化保護(hù)體系，強(qiáng)化安全威脅、漏洞、事件等信息通報(bào)機(jī)制，加強(qiáng)任務(wù)協(xié)同、工作協(xié)作和威脅情報(bào)共享，形成分工協(xié)作、高效協(xié)同的工作模式。

（三）加強(qiáng)網(wǎng)絡(luò)安全信息共享和協(xié)作

我國已有多個安全信息監(jiān)測發(fā)布平臺，開展了漏洞、威脅情報(bào)等安全信息的收集和發(fā)布工作，但目前對安全信息發(fā)布缺乏統(tǒng)一管理，安全信息的共享及業(yè)務(wù)協(xié)作能力尚且不足。需進(jìn)一步統(tǒng)籌協(xié)調(diào)完善網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)、行業(yè)主管部門、企事業(yè)單位和安全廠商之間的安全信息共享和業(yè)務(wù)協(xié)作機(jī)制，構(gòu)建高效、靈敏、權(quán)威的網(wǎng)絡(luò)安全應(yīng)急預(yù)警管控平臺，負(fù)責(zé)威脅情報(bào)、安全事件等信息的收集、共享、發(fā)布和協(xié)作等工作。

中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）主辦，北京升鑫網(wǎng)絡(luò)科技有限公司供稿。

下載CISA《2023-2025年戰(zhàn)略計(jì)劃》（譯）全文：

http://www.china-cia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20221230/20221230102035_2718.pdf