美国CISA发布《2024-2026财年网络安全战略计划》
2023-08-25 17:53 浏览:1838
一、序言
近日,美国网络安全和基础设施安全局(CISA)发布《2024-2026财年网络安全战略计划》。该计划旨在进一步落实2023年3月发布的《国家网络安全战略》。具体包括:“解决眼前的威胁”,将与合作伙伴合作,围绕针对美国的入侵、破坏威胁行为者的活动开展行动;“加固地形”,将促进、支持和衡量采用强有力的安全和韧性实践方案,显著降低破坏性入侵的可能性;“大规模推动安全”,将以网络安全作为一个基本安全问题优先考虑推动产品设计。CISA表示,在该计划中制定了近30项有效措施。
《2023年美国国家网络安全战略》概述了网络安全的新愿景,一个以协作、创新和问责为基础的愿景。网络安全战略计划概述了三个持久目标:
目标1:应对直接威胁。使对手越来越难以通过攻击美国和盟国网络来实现其目标。与合作伙伴合作,了解针对我国的入侵活动的范围,挫败威胁行为者的活动,确保在入侵发生时迅速驱逐对手,并加速缓解对手经常利用的可利用条件。
目标2:加固地形。促进、支持和衡量安全和恢复能力方面的有力实践的采用情况,以显著降低破坏性入侵的可能性。我们将提供可操作和可用的指导和方向,帮助各组织优先考虑最有效的安全投资,并利用可扩展的评估来评估各组织、关键基础设施部门和国家的进展情况。
目标3:推动安全规模化。推动把网络安全作为一个基本的安全问题放在首位,并要求技术提供商在产品的整个生命周期中建立安全机制,在产品出厂时提供安全默认设置,并提高其安全实践的透明度,以便客户清楚地了解使用每件产品所承担的风险。
二、战略意图
根据《2023年国家网络安全战略》和《2023-2025财年CISA战略计划》,本计划介绍了执行网络安全任务和提高网络安全能力的方法。在CISA内部,该计划将作为实施、资源和运营规划的基石,并通过年度运营计划进一步执行。在外部,该计划将帮助利益相关方了解并参与长期网络安全规划和优先排序。在实施战略计划的过程中,威胁和技术环境的变化可能要求定期重新评估战略优先事项。
在实施战略计划的过程中,威胁和技术环境的变化可能要求我们定期重新评估战略优先事项。但是,努力实现的基本安全转变,以及本计划所确定的长期投资将持续下去。
CISA的网络安全方法以五项基本原则为基础:
· 网络安全是CISA的整体任务:虽然网络安全部门提供独特的技术专长,并执行该机构的许多核心网络安全授权,但CISA的每个组织、每个团队、每个人都为网络安全任务做出了贡献,有时通过非数字手段可以最有效地应对网络安全风险,例如投资于各种条件下的功能恢复能力。特别是,不断壮大的地区团队对实现向我国每个角落的组织提供反应迅速、可操作的援助这一目标至关重要。
· 网络安全是政府的一项整体任务:在美国政府内部,CISA发挥着独特的作用,这种作用有赖于与机构间合作伙伴的密切合作。与联邦调查局、国家安全局、美国网络司令部和部门风险管理机构等机构保持着宝贵的业务合作关系,并与国家网络总监办公室、管理和预算办公室以及国家安全委员会密切协调,共同推进国家优先事项和战略要务。必须继续将这些合作伙伴关系制度化,使其能够持久存在,并消除任何可能被对手利用的凝聚力缺口。
· 网络安全是整个国家的使命:面临的网络安全挑战的广度超出了任何一个组织的能力。作为一个共同体,努力建立一种模式,在这种模式中,合作是默认的应对措施,有关恶意活动(包括入侵)的信息被假定为共同利益所必需,并在行业和政府之间紧急共享,政府和行业在对等的透明度和价值期望下开展合作。
· 优先考虑资源:与任何组织一样,CISA的资源是有限的,必须优先考虑我们的行动,以实现对美国人民的最大影响。
把活动重点放在四大类利益相关者上:
(1)联邦文职行政部门机构,在这些机构中拥有独特的权力和能力;
(2)目标丰富、资源匮乏的实体,这些实体最需要联邦的援助和支持,包括SLTT合作伙伴和我们国家的选举基础设施;
(3)对提供或维持国家关键职能具有独特关键作用的组织,利用我们国家风险管理中心的分析能力;
(4)有能力和知名度的技术和网络安全公司,包括工业控制系统和操作技术社区,以推动大规模安全;
· 影响或者失败:面临的网络安全风险过高,美国人民期望 CISA在推动积极变革方面发挥核心作用。
三、CISA网络安全目标
网络安全战略计划包括将通过年度运营计划执行的目标和相关目的,为每个CISA组织分配了关键里程碑和指标的责任。重要的是,我们的三个目标并不是孤立的,如下所示: