透视美国国防部《2024年国防工业基地网络安全战略》

2024年3月21日，美国国防部正式推出了《2024年国防工业基地网络安全战略》（Defense Industrial Base Cybersecurity Strategy，以下简称《战略》），《战略》旨在勾勒出一个贯穿2024至2027年的宏大愿景与具体任务。该《战略》详细列举了四大核心目标及其具体措施，并强调了与各机构间以及网络空间其他关键参与者的协同合作。现将原文主要内容编译如下，以飨读者。

（一）强化国防部国防工业基地网络安全治理结构

1.加强跨部门合作，解决网络安全交叉议题

面对日益严峻的网络安全挑战，包括不断提升的风险认知、制定并改善网络安全的策略，以及协助国防工业基地从恶意网络攻击中恢复，不同部门的利益相关群体实际上面临很多相同的问题。为此，《战略》着重于激发国防工业基地网络安全社区的集体努力和深化沟通。国防部信息安全首席负责领导和监督国防工业基地网络安全执行小组，其主要职责在于制定与协调相关政策和指导，旨在进一步加强对国防工业基地承包商信息环境的安全防护。这一计划是构建并实施涵盖整个国防部层面战略措施的核心，以提升国防工业基地网络安全防护水平。在此计划中，执法及反情报机构、美国国土安全部及其下属的网络安全和基础设施安全局可能会协同行动，共同保障国防工业基地网络空间的安全。为了确保全面的安全管理，这些利益相关方亟需开展密切合作，共同对当前复杂多变的风险环境进行全面而深入的评估。他们需要系统地梳理和阐述网络与信息安全之间错综交织的关系，以及网络安全与实体安全之间的内在联系。同时，针对国防工业基地部门与其他至关重要的基础设施领域，以及与关键项目和技术部门间存在的相互依存性问题，各方也需要联手寻找解决方案，通过深度协同和有效整合，妥善处理彼此间的安全联动需求，以达成整体安全防控的目标。

2.推进国防工业基地承包商和分包商网络安全责任法规的制定

要执行一个全面和动态的网络安全计划，就需要制定法规，以评估和加强对国防工业基地的网络安全要求。随着技术不断发展，针对国防工业基地分包商所制定的网络安全要求流转规则成为一个持续发展的动态责任领域，它需要众多参与者共同努力来逐步建立、成熟和完善适用于下游各级供应商的网络安全最佳操作标准和程序。在2024至2027年度内，政府部门将会携手国防工业基地成员、跨部门伙伴以及国防部内部的相关利益方，合力打造一个能够有效维护分包商网络安全状态的治理框架体系。

（二）提升国防工业基地的网络安全态势

1.评估国防工业基地遵守国防部网络安全要求的情况

评估国防工业基地承包商是否符合国防部安全要求，是理解和进一步投资改进承包商网络安全的关键环节。当前阶段，国防部仅针对优先级国防工业基地承包商依据合同要求，对其执行中或高级别的NIST SP 800-171进行评估，以核实其是否切实满足DFARS 252.204-7012和NIST SP 800-171的要求。未来，国防部将持续通过网络安全成熟度模型认证计划进行此类评估工作，这一计划将构建起大规模验证能力，包含自评需求，并利用独立评估方式，针对那些承担国防部最为关键和敏感项目的国防工业基地公司进行评估，进而强化部门与业界的合作机制。此外，国防部还会对国防工业基地承包商进行自愿性质的网络安全状况评估，以测定其网络安全态势或辅助其进行自我评估。这些评估有助于国防工业基地承包商识别资源优化配置的潜在方向，以弥补可能存在的安全缺口。

2.改善与国防工业基地共享威胁、漏洞和网络安全情报

为了强化国防工业基地资产的网络安全防护，有必要建立一个能迅速传播相关且及时的威胁信息的机制，这包括在必要时与国际合作伙伴和盟国进行协调。当前，国防部正在执行国防部国防工业基地网络安全计划，该计划集中关注与明确界定的国防承包商互动，以便更好地保护非机密网络，并预计在不久的将来将其覆盖范围扩大至所有处理受控非密信息的国防工业基地承包商。该计划是一个公私合作的网络安全平台，旨在分享非机密和部分机密级别的网络威胁信息，以形成近乎实时的威胁环境全景图。美国国家安全局与国防工业基地组织紧密合作，分享针对国防工业基地组织特有的非公开威胁情报，以助力预防、探测和缓解恶意网络活动。对于国防工业基地组织而言，网络安全协作中心（Cybersecurity Collaboration Center，CCC）搭建了一个安全的合作通道，使得国防工业基地网络安全人员能够提交问题和反馈，发现的相关威胁情报会被直接传回国家安全局的分析师，进一步充实分析结果，并在需要时提高整个国防部和国防工业基地社群的威胁意识。

3.识别国防工业基地信息技术网络安全生态系统中的漏洞

在执行任务过程中，美国政府可能会发现信息技术系统中存在的潜在弱点，这些弱点可能被恶意网络行为者利用。情报与安全事务副部长办公室资助了国防网络犯罪中心DC3的高级传感器项目，目的是监测并对抗敌对势力对包括国防工业基地承包商在内的商业关键基础设施实体的瞄准行为。美国政府将持续与跨部门合作伙伴协作，共同制定部署国防网络犯罪中心监控传感器的相关政策与程序。在国防工业基地承包商网络中自愿部署国防网络犯罪中心传感器后，国防网络犯罪中心得以汇聚并分析从这些传感器获取的各类数据，继而向受影响实体通报潜在威胁信息。得益于国防部国防工业基地网络安全计划的支持，美国国家安全局能识别出国防工业基地客户的互联网暴露资产，并借助商业扫描服务检测其中的漏洞或不当配置，并提出解决方案。每一位客户都会获得一份个性化的报告，详列有待修复的问题，并根据漏洞的严重程度及其是否已被利用来进行优先级排序。信息技术系统的漏洞无疑对美国政府、美国企业以及盟友和合作伙伴的敏感与专属信息构成威胁。为有效应对这一问题，美国政府已设立专门的漏洞披露政策和流程，旨在权衡利弊，并对信息系统和技术中新出现的未公开漏洞作出决策。

4.从恶意网络活动中恢复

即使采取了最严密的网络安全防御措施，国防部与国防工业基地在遭遇疑似恶意网络活动时，仍需预见并提前规划相应的恢复行动方案，这其中或许会涉及到执法/情报机构（LE/CI）的介入，以及调动整个国防部的综合力量。一旦国防工业基地承包商上报了网络事件，国防部内部的相关各方将立即启动一系列应对举措，包括深入了解事件详情、评估并减少涉密国防信息的潜在损失。各个利益相关群体在落实推荐的缓解措施上扮演着不可或缺的角色，以确保国防工业基地的业务运营不受影响，同时保证联邦信息的安全无虞。国防部将继续改进和发展这些核心能力，并全力以赴确保为国防部提供最大程度和最高效率的支持。

5.评估网络安全法规、政策和要求的有效性

司法部负有持续审查其网络安全法规与政策，例如DFARS 252.204-7012等规定，以及各项网络安全项目、试点和服务的职责，以确保这些措施能够有效应对未来不断演变的网络威胁环境带来的挑战，并助力塑造一个灵活、富有创新力的国防工业基地生态。在强化合规体系的同时，国防部积极联手国防工业基地，策划并实施一系列试点项目，旨在检验新旧国防工业基地网络安全功能、服务与流程的实际效能。举例来说，网络战委员会主导了一系列试点项目，重点关注确保优先武器系统供应链中关键环节的网络安全。鉴于此，美国政府正与国防部内部相关方及国防工业基地承包商紧密合作，识别当前网络安全即服务产品存在的不足，并启动试点项目以提升国防工业基地的整体网络安全水平。同时，国家网络总监还致力于评估国防工业基地在网络安全投入方面的成本效益，以应对国防工业基地中小型企业实施网络安全时遇到的困难。

（三）在网络对抗环境中保持国防工业基地关键能力的弹性

1.优先考虑国防工业基地生产能力的网络弹性

国防工业基地作为一个庞大的实体，面临着严重的恶意网络攻击风险。为了确保国防部最核心资产的持续安全性，有必要识别并优先关注那些潜在易受攻击的生产环节。《国防工业战略》（Depaterment of Defence National Defense Industrial Strategy，NDIS）特别重视确保供应链具有抵御冲击的能力，并确保国防工业基地能够在紧急情况下迅速且大规模地生产和供应产品、服务和技术。为保障国家安全至关重要的能力得以发展和保持，国防部必需构建一个具备弹性、稳健、多样、活跃和安全特征的供应链。要有效分配利益相关者有限的资源至最具保护效果的行动中，关键一步是对组成国防工业基地的数万家公司进行细致划分。这一精细化的过程离不开整个国防部乃至整个美国政府的持续协作，这样才能确保全面考量所有利益相关者的权益，并精确评估关键生产能力所面临的所有风险。

2.在政策中确保优先关注关键供应商和设施的网络安全

国防部正不断完善其针对多层次供应链网络安全风险的政策框架。为了确保对与国防工业基地供应链相关的网络安全角色和责任提供清晰、统一的指导，必须协调并整合各组织内的政策和战略规划。根据总统政策指令21（Presidential Policy Directive 21，PPD-21），作为国防工业基地供应链风险管理的主管机构，国防部长已委派一名首席网络安全顾问担任与国防工业基地相关的网络安全协调职能。这一关键角色引领了部门内所有针对国防工业基地的风险管理工作，其中包括聚焦于关键国防工业基地能力和供应商的政府主导保护措施。

（四）改善与国防工业基地的网络安全合作

1.利用与商业互联网、云计算和网络安全服务提供商的合作，提高国防工业基地网络威胁意识

美国国家安全局旗下的网络安全协作中心跨越多个核心技术领域建立起双向合作机制，涵盖了云服务提供商、终端安全解决方案提供商、互联网服务提供商、威胁情报企业等多个行业伙伴。美国国家安全局的分析师们每日都在与行业内及跨部门的合作伙伴紧密协作，共同致力于探测、减轻和彻底消除恶意网络活动。当识别到恶意网络活动时，网络安全协作中心会迅速通知受影响的实体，并与其紧密合作，直至彻底解决该威胁。同时，网络安全协作中心也会将这些关键信息分享给国防工业基地，以便国防工业基地能够在全球范围内强化数十亿个终端设备的安全防护能力，有效应对日益复杂的新型网络威胁。

2.与国防工业基地安全委员会（DIB SCC）合作，改善与国防工业基地的沟通和协作

国防部正积极寻求与国防工业基地安全委员会深化合作，旨在增进对汇总和匿名化网络事件趋势的共享与分析，以此来深化对国防工业基地网络安全状况的认识。通过这种方式收集的信息将有助于辨识改进防御措施的机会，显著提升国防部针对国防工业基地网络安全计划的执行力，同时也加固国防工业基地自身的网络安全状态。为了进一步支持国防工业基地安全委员会在识别挑战和发掘国防工业基地内部以及与国防部相关的潜在解决方案方面所扮演的角色，国防部首席信息官将适时邀请国防工业基地安全委员会执行委员会成员以及指定的信息/网络安全常务委员会工作人员参与到国防部的国防工业基地网络安全计划中去。在涉及恶意网络活动信息交换的过程中，国防工业基地安全委员会的信息/网络安全常务委员会将与国防部相关团队协作，共同梳理与国防工业基地信息共享相关的障碍，并提出有针对性的建议，以期降低敏感数据和关键任务在网络安全方面的潜在风险。

3.改善国防部与国防工业基地的双向沟通，并扩大公私网络安全合作

《战略》的核心目标是强化与国防工业基地的沟通交流。国防部坚定承诺向国防工业基地承包商提供及时、针对性强且具有操作价值的威胁情报，并将持续努力通过人工与自动化手段相结合的方式，增进网络事件报告与漏洞管理项目间的联动性。通过强化与产业界的纽带，研究人员和该部门能够更快地识别并减少以往未知漏洞的曝光时间，确保在业内迅速广泛传播必要的防护信息。考虑到网络事件的发生难以完全避免，司法部也将主动与行业界对接，以增强对恶意网络活动的应对及恢复能力。为此，司法部将投入资源构建并验证网络事件应对预案和应急脚本。国防承包商系统安全局、国家安全局和美国网络司令部等机构都在积极为上述努力贡献力量，但任何一个单独的机构都无法独自承担起保卫国家网络安全的重任。因此，该部门将继续与联邦政府其他分支、专注于特定领域的信息共享与分析中心以及州、地方、部落和领土各级合作伙伴紧密协作，增强对网络攻击的抵抗力，并通过团队合作，捍卫国家安全。