解讀美網絡安全與基礎設施安全局首份戰略意圖
2019年8月22日,美國國土安全部(DHS)下面新改建的網絡安全與基礎設施安全局(CISA,Cybersecurity and Infrastucture Security Agency)正式公布了其成立以來的首份《戰略意圖》(Strategic Intent)文檔。該文件闡述了CISA的戰略愿景和運營重點,它為CISA履行職責提供了一般方法,旨在使CISA在未來幾年和幾十年內成功地完成其使命。“這份文件是CISA這個新機構的基石”(源引自CISA局長的致辭)。
一 《戰略意圖》的發布背景
1.DHS網絡安全機構全面升級
2018年11月16日,美國總統特朗普簽署了《2018年網絡安全和基礎設施安全局法案》,批準國土安全部下的國家保護與計劃局(NPPD)重新命名為網絡安全和基礎設施安全局(CISA),將其升級到與國土安全部其他部門相同的地位。CISA的通過,建立了一個致力于捍衛基礎設施安全的網絡安全機構,也表明了安全局對網絡安全問題的高度重視。該法案鞏固了國土安全部的網絡安全職能,強調要保護聯邦網絡和關鍵基礎設施免受網絡威脅。
創建CISA是國土安全部的長期目標之一,是國土安全部對其網絡安全職能機構的全面升級。除了協調和領導國家網絡安全和基礎設施保護工作以外,CISA的組建也帶來了DHS內部結構的調整,將網絡安全職能置于突出位置,還賦予國土安全部在保護聯邦人員和財產方面更大的靈活性。與國防部網絡作戰司令部的整合升級一樣,此舉將使DHS的部門資源更多地向CISA傾斜。圖1是CISA目前的總體組織架構。
圖1 CISA的總體組織架構
2.CISA核心職能順應了DHS工作重心的變化
當前,美國土安全部的工作重點發生了顯著變化。CISA局長克里斯托弗·克里布斯指出,在9.11事件發生后的數年里,基地組織等恐怖組織是該機構的關注重點;但在最近十年里美國所面臨的威脅環境已明顯不同,除了傳統恐怖主義威脅外,美國還在網絡空間中面臨所謂的“大四(Big Four)”國家——中國、俄羅斯、伊朗、朝鮮——的挑戰,因此,美國土安全部將之前的“國家保護與計劃局(NPPD)”改組為網絡安全與關鍵基礎設施安全局,既是順應了威脅環境的變化,又進一步地明確了該局的職能。
CISA的核心職能是行使對美國聯邦民事機構的物理及網絡關鍵基礎設施的安全保衛職責。CISA有一個很顯著的特點就是將網絡安全和物理安全整合到了一起,不僅保護關鍵信息基礎設施,也保護關鍵物理基礎設施。或者說,針對關鍵基礎設施,從物理空間到網絡空間都在其保護范圍之內。而我國則是分開來的。
美國認定的關鍵基礎設施有16大類(如圖2所示),這16大關鍵基礎設施都有專門的管理機構(SSA)。此外,在保護關鍵基礎設施和網絡空間安全上,DHS的CISA與DOJ(司法部)的FBI也有分工。前者更偏協調工作,重在防御;后者則更注重依法調查取證和打擊針對美國公私目標的網絡入侵與攻擊。而我國的情況則是不同的。
圖2 美國關鍵基礎設施分類
3.政府對DHS網絡安全機構的投入日益加大
2019年,美國眾議院撥款委員會批準了638億美元的國土安全部(DHS)支出計劃,其中包括為該部門的頂級網絡機構提供更多資金。
該法案規定為美國網絡安全和基礎設施安全局(CISA)撥款約20億美元,比去年增加3.35億美元,比總統預算要求的高出4.08億美元,以支持其具有更多資源去執行網絡安全任務。同時,該法案為CISA的選舉安全計劃提供2400萬美元的額外資金,用于加強國家網絡安全和通信集成中心(NCCIC)與擁有網絡安全經驗的國民警衛隊之間的協調,以支持州和地方政府的培訓、風險評估和事件響應需求。
在網絡安全方面的其它預算包括:持續診斷和緩解項目(CDM)1.3億美元;集中式的聯邦域名系統出口服務4000萬美元,提供政府DNS基礎設施遭受攻擊的更詳細信息;工業控制系統安全,額外的1100萬美元;CyberSentry試點項目1100萬美元,旨在將NCCIC服務擴展到關鍵的基礎設施組織,并部署網絡傳感器來檢測惡意活動;海關與邊境保護局2.66億美元,用于獲取和部署邊境安全技術與其他資產。
4.關鍵基礎設施網絡安全面臨重大威脅
DHS認為,美國關鍵基礎設施和美國人的生活方式面臨著各種各樣的嚴重風險,民族國家對手和競爭對手尋求通過實現針對目標的多種策略,包括顯著削弱美國權力基礎、降低社會功能以及增強對手將美國的關鍵基礎設施置于風險中。
與此同時,美國社會中的關鍵功能是“系統之系統”,具有復雜的相互依賴性和系統性風險,可以在所有類型的事件中產生連鎖效應;聯網設備進一步融入美國人的生活和業務,它們的漏洞為民族國家和罪犯提供了額外的攻擊途徑;全球供應鏈帶來了惡意的軟件和硬件風險。
二《戰略意圖》的主要看點
該份文檔總共14頁,主要內容有:局長致辭、引言、CISA簡介、戰略背景、使命、方法和指導原則、選舉安全、該局的運作優先事項以及三大目標。下面分析其主要內容及看點。
1.提出達成愿景的五項核心指導原則
根據CISA的《戰略意圖》文檔所述,CISA的使命是:領導國家力量去理解和管理國家關鍵基礎設施的網絡及物理風險。其愿景是:為美國人民帶來安全和彈性的關鍵基礎設施。
達成愿景的核心指導原則有:
1)建立領導力和協作:需要在CISA的統一領導下進行廣泛的協作;
2)確定風險優先級:聚焦最重大的威脅和脆弱性;
3)以結果為導向:解決方案必須具有創新性、敏捷性以及高度的可擴展性,并能應對不斷發展的威脅,使效益最大化;
4)尊重國家的價值觀:保護安全的同時維護公民隱私、公民權利和自由;
5)具有統一的使命和機構:將以協調統一、跨機構的方式,從根本上關注風險,涵蓋物理、網絡、人和供應鏈。
CISA的核心目標是“動員對美國國家的關鍵基礎設施的集體防御。通過匯集不同的利益相關者來協同識別風險,確定風險的優先級,開發解決方案并推動這些解決方案以確保國家關鍵職能的穩定性,從而引領國家風險管理工作”。
2.明確CISA當前的五大工作重點
《戰略意圖》文檔明確了CISA當前的以下五個特定的工作重點領域:
1)中國,供應鏈和5G
中國對美國構成了最緊迫的長期戰略風險。中國構成的持續威脅迫使CISA著眼于國家安全的供應鏈風險管理。CISA希望通過5G或任何其他技術來降低中國供應鏈受損所帶來的風險。
2)選舉安全
CISA負責協助州和地方政府以及支持他們的私營部門組織,以努力提高選舉基礎設施的安全性和彈性。CISA的目標是減少損害選舉基礎設施的機密性、完整性和可用性的可能性。
3)軟目標安全
通過故意利用漏洞來破壞傳統的風險管理和物理安全實踐,帶來了嚴峻的安全挑戰。由于國土安全部負責軟目標和擁擠場所的安全工作,CISA將支持合作伙伴確定、制定和實施創新且可擴展的措施,以減輕這些場所的風險。
4)聯邦網絡安全
CISA將領導聯邦政府以統一的目標應對網絡快速變化這一挑戰,促使聯邦機構制定風險相關的網絡安全決策。CISA的主管部門將提供創造聯邦網絡安全方法以應對變化速度的能力和機會;還將利用CISA的洞察力、專業知識、能力和影響力來協助美國各州和地方政府合作伙伴改善其網絡安全狀況并防御勒索軟件的爆發。
5)工業控制系統
許多關鍵基礎設施具有一個共同特征:對工業控制系統(ICS)的依賴。ICS控制、監視和管理各種關鍵基礎設施的基本功能,包括運輸系統、電信網絡、工業制造工廠、發電機、石油和天然氣管道,以及新興的物聯網。CISA將領導聯邦政府與ICS社區共同努力,通過加強控制系統的安全性和彈性來降低關鍵基礎設施的風險。
3.確定CISA的兩大戰略目標
《戰略意圖》確定了CISA的兩大戰略目標,以及達成這兩大目標的方法和手段。這兩大戰略目標的主旨是:“保衛今天,守護明天”。針對這兩個目標,CISA的《戰略意圖》文檔進行了目標分解。
(1)保衛今天:應對當下緊迫的威脅和危險
該目標分解為以下四個子目標:
1)網絡防衛:重大網絡威脅無法在CISA的使命空間中達成目標
· 可見性:知曉當前的威脅活動每個主要威脅組織的戰略意圖,隨時獲悉關鍵信息系統的風險態勢
· 分析與事件管理:劃定緊急風險的優先級并協調響應
· 阻止與響應:阻止或緩解重大威脅及脆弱性
2)物理災害:通過應急預案與處置將物理災害的影響性降到最低
· 可見性與分析:準確感知針對重要基礎設施的緊要威脅
· 規劃與預案服務:做好應對具體自然災害、特定事件和大規模集會的預案
· 事件管理與恢復
3)應急通訊:確保在日常狀態和緊急狀態下語音、視頻和數據通信的通暢
· 緊急支撐功能
· 優先通信服務
· 應急通訊支撐
4)混合威脅、供應鏈威脅和新興威脅:阻止這些新威脅的目標達成
· 可見性與分析:感知這些新威脅及其影響性
· 響應計劃與預案
· 響應行動與管理
(2)守護明天:加強關鍵基礎設施以應對長期風險
同樣,該目標也分解為以下四個子目標:
1)關鍵基礎設施彈性與容量建設:通過風險管理和容量建設來維持恰當的風險和彈性水平
· 戰略風險態勢感知:準確獲悉關鍵基礎設施及其相關實體的風險態勢
· 規劃、策略與治理
· 容量建設與緩解服務
2)聯邦網絡安全治理與容量建設:確保各聯邦民事機構的網絡安全風險處于與其整體風險相當并可接受的水平
· 戰略風險態勢感知
· 規劃、策略與治理
· 容量建設工具與服務
3)緊急通信治理與容量建設
· 容量建設服務與撥款
· 治理
· 分析、規劃與策略
4)長期風險管理:通過整個生態的協作風險管理來應對長期風險
· 分析、規劃與創新
· 設計安全
· 國家力量支撐
而要達成上述兩大戰略目標,CISA還設定了一個輔助目標:使命支撐:勞動力發展與保留;轉變:落實“CISA2020”內部變革管理運動;能力交付:及時有效地應對不斷變化的威脅;使命支撐管理:高于聯邦政府平均使命支撐績效水平。
4.給出了達成目標的總體方法
《戰略意圖》給出了達成目標的總體方法,包括:
· 風險管理規劃、治理和執行
· 風險可見性與分析
· 信息共享
· 責任共擔
· 容量建設和技術服務
· 事件管理與響應。
還給出了達成目標的手段:
· 分析師、風險模型、技術性告警
· 協作規劃團隊
· 策略與治理行動
· 技術輔助團隊和安全咨詢師
· 部署的工具和傳感器
· 撥款和運營合同
· 演習與培訓
三《戰略意圖》的特點分析
1.特別強調協作
我們注意到,《戰略意圖》在指出達成戰略愿景的五項基本原則中,第一條就是領導力和協作。也就是說,CISA在領導關鍵基礎設施保護職責的時候,首要的原則就是協作。
通過正確的準備和協作關系,CISA可以確保:預防或緩解聯邦網絡和關鍵基礎設施中的大多數重大威脅;盡可能減輕所有災害事件的影響;在事件響應期間實現語音、視頻和數據通信的無縫流動;并適當緩解重大事件、供應鏈和新出現的威脅。
為了實現上述目標,CISA認為需要各方協調努力,實現數據共享和部署技術。
2.關注網絡犯罪組織的威脅
《戰略意圖》表明,CISA在強調對抗國家行為體的威脅的同時,也關注網絡犯罪組織的威脅,尤其是勒索軟件。為此,CISA還聯合其他機構發布了聯合聲明,敦促政府合作伙伴和網絡社區加強其勒索軟件防御。CISA認為,越來越多的勒索軟件攻擊凸顯了將網絡準備作為優先事項并采取必要措施確保美國政府網絡免受敵人入侵的至關重要性。
3.特別關注5G風險
《戰略意圖》特別關注5G安全風險。2019年7月,CISA曾發布了名為《5G市場份額和風險分析》的報告,對5G關鍵技術產品的市場滲透率和可能存在的風險因素進行了分析。CISA對5G的關鍵設備部件、網絡關鍵組件的市場進行了分析,對5G供應鏈、部署方式、網絡安全、競爭和選型等可能會影響5G網絡的安全性和彈性的因素進行了詳細分析。《戰略意圖》將此項工作作為其首要工作,可以看出其對5G的安全性的重視非同一般。
