美国网络安全监管机构首个综合战略规划解析

2022年9月，美国网络安全和基础设施安全局（CISA）发布了《2023年至2025年战略规划》（2023-2025 Strategic Plan）。该规划与美国国土安全部2020-2024财年战略规划保持一致，是CISA自2018年成立以来发布的首个综合性战略规划，为未来3年美国网络和基础设施安全工作指明了方向。

CISA此次战略规划中确定了网络防御、减少风险和增强恢复能力、业务协作、统一机构4个网络安全目标，共有19个子目标；分别聚焦降低风险、增加韧性，以及确保CISA实施该战略规划的组织地位。本文对其战略目标及其具体措施、代表成果和评估方法进行介绍，仅供参考。

CISA发布网络安全战略规划（2023-2025）

编译：学术plus高级观察员 TAO

本文主要内容及关键词

目标1-网络防御

①联邦系统：增加抵抗网络攻击能力；②CISA：增强主动监测能力；③重要网络安全漏洞：增加公开透明度与修复能力；④实现技术生态的“默认安全（security-by-default）”

目标2-减少风险和增强恢复能力

增强网络风险可见性、风险分析能力、安全和风险应对指导、基础设施和网络安全和韧性的能力、响应威胁和应急事件的能力，支持选举基础设施的风险管理活动

目标3-业务协作

优化合作活动规划；加强CISA总部与分部融合；资源访问和使用“流水线化”

信息共享；将相关利益者观点融合到CISA产品研发中

目标4-统一机构

优化CISA的资金管理、业务流程；培养并加强CISA的高级人才队伍

评述：2021年5月，拜登签署关于增强国家网络安全的行政命令，其中提出要加强基础设施的安全可信。CISA发布的《2023年至2025年战略规划》为未来3年美国网络和基础设施安全工作指明了方向，分别聚焦网络防御、网络攻防、业务协作和机构统一4个目标，并提出相应具体举措，以确保CISA战略规划能够顺利实施。

内容主要整理自外文网站相关资料

仅供学习参考，欢迎交流指正！

文章观点不代表本机构立场

*****

战略规划的四项目标

具体举措与代表性结果

目标1：网络防御

美国网络安全和基础设施安全局（CISA）是美国的网络防御机构，负责抵御针对美国关键基础设施、联邦和地方政府（SLTT）、私营企业、美国人民的网络攻击者。CISA的职责就是与其他单位协作应对针对美国的网络威胁，既包括威胁刚出现时的应对，也包括网络事件发生后的处理。

子目标1.1：增强联邦系统抵抗网络攻击和网络安全事件的能力

举措：CISA将帮助联邦机构作出必要变化以增强美国网络防御能力。通过采用现代的、安全的、韧性的技术，改善事件应急响应能力，减少联邦政府供应链风险，增加网络威胁的可见性；通过提供可扩展的、创新的服务和能力来构建高效安全的项目。

代表性成果：联邦民事行政部门（FCEB）能够快速从网络攻击和网络事件中恢复；FCEB在网络攻击和网络事件发生时和发生后仍然可以完成其使命。

评估方法：CISA将评估联邦机构是否遵循CISA网络防御指南、标准和命令来增强网络安全防御能力及实施效果。

子目标1.2：增强CISA主动监测攻击美国关键基础设施和关键网络的能力

举措：CISA将增强其主动监测联邦和SLTT网络威胁能力，同时与行业伙伴合作增强对非政府网络威胁的识别能力；CISA将持续创新威胁情报获取能力，以快速识别和响应威胁。

代表性成果：CISA为美国网络防御者提供更多的主动监测信息；美国网络防御者能够在入侵发生前主动应对最重要网络遭受的威胁。

评估方法：CISA将评估网络监控、网络威胁分析、网络威胁获取的有效性，以减少检测时间和被入侵后的恢复时间。

子目标1.3：重要网络安全漏洞公开和修复

举措：CISA将与公私实体、网络安全研究机构紧密协作，鼓励其识别和报告已发现的漏洞。CISA也将及时公布漏洞，提供修复建议，并采取适当的修复措施。此外，CISA将与网络安全社区协作以实现国土安全部网络安全审查委员会（Cyber Safety Review Board，CSRB）和其他机构提出的建议，并评估国家网络安全情况。

代表性成果：关键基础设施所有者或运营者增强网络安全漏洞透明性的洞察力，并在漏洞被利用前就已采取修复措施。

评估方法： CISA将评估CISA网络安全漏洞评估和修复服务的使用和有效性，以增强漏洞的识别和修复能力，减少敌手利用关键基础设施漏洞的窗口期。

子目标1.4：通过默认安全（security-by-default）推动网络空间生态

举措：CISA一直在推动最新的网络防御和网络工具、服务、能力的开发与采用，以实现技术生态中的默认安全（即将安全理念融入设计、实现全流程的安全）；CISA还支持技术提供商和网络防御者确保基于软件和硬件的产品、网络、服务、系统的安全；最后，CISA还意识到技术产品的设计和开发必须以一种安全优先、强安全控制手段、减少可利用漏洞的方式来进行。

代表性成果：

国家关键功能（National Critical Functions，NCF）中使用的技术产品必须在设计上是安全和具有韧性的
国家的网络和系统必须更多地采用安全设计

评估方法：CISA将评估技术产品和服务中安全开发实践和控制的使用及其效果。

目标2：减少风险和增强恢复能力

子目标2.1：扩大基础设施、系统和网络的风险可见性

举措：CISA需要加深对国家网络和物理关键基础设施资产和系统的理解，识别潜在风险源；推动关键基础设施漏洞的评估、识别与理解。通过开发新的工具和促进合作获得对网络和物理威胁和漏洞的可见性。持续识别可能会对基础设施带来威胁的新兴风险（比如量子技术还没有带来现实风险，但是会有潜在风险）。

代表性成果：

CISA建设成为关键基础设施的中心数据库和国家权威机构
CISA可识别出关键基础设施的潜在新兴系统风险

评估方法：CISA将评估风险可见性和关键基础设施安全性是否增强。

子目标2.2：增强CISA的风险分析能力

举措：使CISA风险分析能力和方法更加成熟，以推动风险的深层次理解；确保关键基础设施信息识别融入到分析方法中，以生成可指导机构决策的分析结果。

代表性成果：

CISA已修改现有风险分析能力和方法
CISA的行动由综合的“风险威胁图谱”指导

评估方法：CISA将评估NCF风险分析的成熟度，以及分析数据的跨机构可访问能力。

子目标2.3：增强CISA的安全和风险应对指导

举措：为加强对关键基础设施的保护，CISA将为利益相关者提供安全和风险修复指导和帮助，如：为解决关键基础设施安全威胁等提供专家渠道与缓解措施、发布IT网络风险管理的权威指南、发布标准和建议以指导安全决策，以及在必要时提供定向专业支持与评估。

代表性成果：

利益相关方已采用CISA关键基础设施安全指南、标准、风险管理专业知识
高风险的化学设备基础设施满足基于风险的性能标准

评估方法：CISA将评估利益相关方采用CISA的应急通信、网络安全指南情况及其有效性。

子目标2.4：增强相关利益者基础设施和网络的安全和韧性的能力

举措：在帮助关键基础设施所有者和运营者做出安全和韧性风险决策方面，CISA担当可信合作者的角色。为更好服务其需求，需要适当扩展CISA在基础设施安全、应急通信等领域关键项目。

代表性成果：

CISA构建产品和服务以满足日益增长的需求的能力
利益相关者认可CISA产品和服务满足其需求的影响力、及时性和实用性

评估方法：CISA将评估CISA关键产品和服务对不同利益相关者的影响。

子目标2.5：增强CISA响应威胁和应急处理的能力

举措：CISA将支持利益相关者和跨机构合作者增强应急处理能力，包括恐怖主义、性暴力攻击、自然灾害等。在重大网络安全事件中，CISA将支持公私实体进行响应，包括部署事件响应能力、限制负面影响、快速恢复等。对于自然灾害，CISA将部署可用的资产和人员。扩大应急通信支持服务的范围，确保应急电话的连通性，以保证公共安全实体可以与其他机构进行快速通信。

代表性成果：

CISA支持其他利益相关者快速响应、应对威胁和处理网络安全事件能力
CISA可确保关键基础设施的持续性和韧性

评估方法：CISA将评估关键应急通信服务和CISA应急响应能力的效率和使用情况。

子目标2.6：支持选举基础设施的风险管理活动

举措：在联邦政府中，CISA负责理解选举基础设施风险，确保选举过程中选举基础设施运营者有足够的信息来管理系统风险。除了威胁图谱，将CISA的支持范围扩展到风险管理方法，以更好平衡网络和物理安全。

代表性成果：

根据对选举基础设施风险的理解来不断改善CISA的服务、产品和指导，以对利益相关者需求进行响应
将从风险和漏洞趋势中了解到的知识应用到选举基础设施中

评估方法：CISA将评估其风险管理和组织的产品与指南对利益相关者的影响。

目标3：业务协作

子目标3.1：优化合作活动的规划与实现方式

举措：CISA将在其服务的利益相关者中构建CISA品牌；CISA将使用利益相关者的数据、观点、客户需求、运行需求来指导国家和区域的活动。

代表性成果：

CISA活动的参与、合作和协调已经具备明确的指向性与目的性，并形成了合作的优先级
CISA的利益相关者关系已有更新与增强

评估方法：CISA将评估战略利益相关者参与和合作活动的有效性。

子目标3.2：将区域办公室融入CISA的运行协调中

举措：CISA区域办公室对于加强CISA产品和服务的访问、构建合作关系、减少风险和增强韧性方面非常重要。CISA将加强总部与分部的融合，在全国范围内提供CISA服务。为优化CISA项目、产品和服务的交付，CISA将加强现有国家级合作管理框架与区域之间的关系。此外，CISA还将创建内部业务管理论坛、机制，使得全国范围内的利益相关者的都能参与规划与协调，并实现多方受益。

代表性成果：

CISA总部与区域分部共享相同的业务流程
CISA和其分部能够解决更多的本地和区域利益相关者的问题

评估方法：CISA将评估区域和总部协作活动的融合，以及区域利益相关者参与的影响。

子目标3.3：CISA资源访问和使用的流程化

举措：为充分利用CISA的项目、产品和服务，CISA将为利益相关者提供更加高效的资源访问，比如根据具体要求和环境提供对应的产品信息、资源访问和交付；并进一步将提供的项目、产品和服务市场化，以扩大服务的核心利益相关者的范围。

代表性成果：

利益相关者可以快速找到并访问相关的、合适的CISA产品和服务
CISA主动向利益相关者告知相关的、合适的产品和服务

评估方法：CISA将评估分部项目、产品和服务的质量和可访问情况。

子目标3.4：增强与CISA合作方的信息共享

举措：为改进CISA和利益相关者的态势感知能力，需要加强与外部合作者之间的多方沟通，包括事件的及时通报、威胁、漏洞、情报和其他信息数据的共享。更多的信息共享需要继续构建新的合作架构，比如2021年8月由CISA成立的联合网络防御协作计划（JCDC）；此外还需要将现有的架构变得更加成熟，比如2019年3月成立的联邦高级领导委员会（FSLC）。作为权威机构，CISA可以增强信息共享和协作的有效性，同时保护隐私、人权和自由等权利。

代表性成果：

利益相关者能够及时访问相关的、准确的信息以做出决策
CISA的数据处理和信息共享能够保护隐私、人权和自由等权利

评估方法：CISA将评估CISA合作方之间多方信息共享的价值。

子目标3.5：将相关利益者观点融合到CISA产品研发和使命完成中

举措：CISA将寻求利益相关者的反馈，并确保对产品进行持续改进，以实现其作为网络基础设施领域可信专家的核心价值。同时，CISA会将利益相关者的观点、信息、数据融合到产品、服务的决策以及优先事项确定、开发和修改过程中。

代表性成果：

利益相关者有机会向CISA反馈其需求、利益和优先事项
CISA适当融入利益相关者的反馈以改善产品和服务的开发和交付

评估方法：CISA将评估利益相关者的满意度和反馈以持续改进。

目标4：统一机构

子目标4.1：优化CISA的过程和决策管理

举措：CISA将更好地将“规划、计划、预算、执行和评估(Planning, Programing, Budgeting, Execution and Evaluation, PPBEE)”过程融合到CISA治理过程和决策中，做好公共资金的管理，提供有效的内部控制，确保基本运营功能和支持投资决策。

代表性成果：

CISA将领导愿景转化为优先行动
CISA有策略和透明地进行资源分配，以支持CISA内部的高效运行

评估方法：CISA将评估资金的有效和透明监管，以及项目和过程的标准化程度以及融入CISA的程度。

子目标4.2：优化CISA业务流程

举措：CISA将现有流程“流水线化”，采用敏捷的、新的技术来加强客户服务、改善即时、现代和安全服务。在CISA内部将采用经过证明有效的产品、服务和资源以确保业务运行的成功，包括安全的、创新的、可互操作的技术方案。CISA将关注融合现有系统和数据以增强态势感知能力，提供信息以支持领导决策，改进协作过程，促进信息共享和数据管理。

代表性成果：

CISA高级领导和运营人员具有持续的、及时的态势感知
CISA在整个机构内融合了系统、进程、数据和架构

评估方法：CISA将评估如何在整个机构内有效增强内部系统、过程和架构的多方支持。

子目标4.3：培养和加强CISA的高级人才队伍

举措：为预防未来人才短缺的问题，CISA将主动寻找、识别、培养有潜力的人才；尤其是寻找来自不同领域、不同背景的人才，并优先使用“国土安全部未来人才管理系统”进行人才招募。

代表性成果：

CISA雇佣、培训和留住有技能、多样化、高效能的人才队伍
CISA为雇员识别、促进和提供有意义的职业生涯

评估方法：CISA将评估CISA人才队伍的招聘和离职情况，以及雇员培训和升职机遇的使用和影响。

子目标4.4：宣扬CISA优秀文化

举措：利用CISA的优秀文化，CISA将成为网络安全领域的领导者，也成为联邦政府内工作的首选。

代表性成果：

CISA在美国网络防御和关键基础设施保护的角色和作用得到认可
CISA使命的文化基础得到认可、实践和加强，包括健康、心理安全、创新、责任感和热情等

评估方法：CISA将评估CISA人才队伍的心理健康、多样性、压力，这对创新和积极的文化是非常重要的。

评述

近年来，美国关键基础设施遭遇多次重大网络安全事件。拜登政府高度重视关键基础设施网络安全工作。2021年5月，拜登签署关于增强国家网络安全的行政命令，其中提出要加强基础设施的安全可信。CISA发布的《2023年至2025年战略规划》是CISA自2018年成立以来发布的首个综合性战略规划，为未来3年美国网络和基础设施安全工作指明了方向。规划中提出了分别聚焦网络防御、网络攻防、业务协作和机构统一4个目标，同时提出了具体举措，以确保CISA战略规划能够顺利实施。

（全文完）

参考链接：

https://www.cisa.gov/sites/default/files/publications/StrategicPlan_20220912-V2_508c.pdf

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

推荐阅读

文章来源：学术plus

点击下方卡片关注我们，

带你一起读懂网络安全 ↓