现在位置:首页 > 政策法规 > 国外法规
​2024年美国国防工业基础网络安全战略
时间:2024-03-29
来源:

2024年美国国防工业基础网络安全战略

一、前言

美国防部国防工业基础(DIB)网络安全战略是一个可操作的框架,用于维持更具弹性的联合部队和国防生态系统,这一框架在当今最具争议的领域之一中盛行:网络空间。

美国国家的国防工业基础对于实现国家安全目标和保持技术优势至关重要。美国必须保护它免遭恶意网络活动和攻击的威胁。美国防部在加强整体网络安全和网络弹性态势方面取得了巨大进步。事实上,支持这一特定战略的许多努力已经进行了数十年或更长时间。

DlB网络安全战略确保美国在保护基础设施方面始终处于领先地位。本战略首先要求美国防部在整个部门内进行协调和协作,以找出并弥补保护DIB网络、供应链和其他关键资源方面的差距。在其中,美国防部确定了可以加强DIB的网络安全、协调国防部对系统性挑战的关注并提供可带来最高投资回报的解决方案的机会。

此外,美国防部知道,拥抱数字优先、数据驱动的文化以及以客户为中心、敏捷和灵活是推动所需变革的关键。美国防部还必须继续实现业务实践现代化,对技术进行适当投资,并通过吸引和留住网络劳动力来保护这些投资,以应对当前和未来战场的挑战。推进这些目标并致力于执行这一强有力的战略将改善整体网络安全并保护关键的国防信息。通过团队合作和正确运用资源,这一战略将推进美国防部保卫国家的使命。

凯瑟琳·H·希克斯

美国防部副部长

二、执行摘要

美国防部DIB网络安全战略是国防部的战略计划,旨在通过涵盖2024财年至2027财年的总体愿景和使命来增强DIB的网络安全和网络弹性。该战略概述了一组四个目标及其各属目的,相关目标和目的与机构间的努力相一致,由国防部利益相关者与DIB协调制订,以实现安全且有弹性的DIB信息环境,从而促进行业竞争力、创新和可持续增长。该战略支持美国武装部队当前和未来的需求以及与网络空间领域跨机构和其他关键参与者的合作。

该战略从属于《2022年美国国防战略》《2023年美国国家网络安全战略》《2023年美国防部网络战略》,并与《2024年美国防部国防工业战略》和美国国家标准与技术研究所(NIST)网络安全框架(CSF)并存。除美国国家和国防部战略外,美国防部根据《2020财年美国国防授权法案》第1648条以及《2021财年美国国防授权法案》第1728条和第1737条做出的调查结果和回应为这项工作提供了信息。

三、介绍

美国依靠DIB的聪明才智、辛勤工作和爱国精神来提供保卫国家所需的必要专业知识、物资和基础设施。作为第21号美国总统政策指令(PPD-21)“关键基础设施安全和弹性”中确定的16个关键基础设施领域之一,DIB是一批国内外公司或组织(各级),相关公司和组织从事国防部系统、子系统和组件或零件的研发、设计、生产、交付和维护,并提供软件和其他关键服务以满足美国国防要求。美国防部依靠DIB开发和生产创新和高度先进的技术,以便:在冲突中,美国防部的作战人员在需要采取行动支持美国国家安全利益时拥有一切可用的战场优势;并且在竞争中,美国防部拥有可靠生产和交付所需的材料。

美国防部依靠DIB来确保驻留在私人拥有和运营的信息系统上的国防信息的安全以及承包商专有信息的安全,这些信息支撑着美国军方取得决定性胜利所需的创新能力。这些重要信息的未经授权的访问、泄露和盗窃对美国的国家和经济安全利益构成了迫在眉睫的威胁。美国国防部认识到,DIB的全球网络代表了网络空间领域的基本优势,必须与国防部自身的网络协调一致地加以保护和加强。

美国对手并没有忽视国防部依靠DIB来追求技术优势、提供关键支持并防止未经授权披露敏感信息的做法。DIB公司,无论规模大小,都面临着外国对手以及暴力极端主义组织和跨国犯罪组织等非国家行为者开展恶意网络活动的风险。以间谍或破坏为目的,有时两者兼而有之,针对DIB的恶意网络活动可能导致未经授权的访问和发布敏感的美国政府数据、专有信息和知识产权,以及数据的破坏,无法开展业务、拒绝服务以及财产损坏。

外国对手未经授权访问DIB系统和网络不仅提供了收集情报、窃取商业秘密和跨越数代人研发的手段,而且还为未来针对关键基础设施漏洞、操纵公共信息以实现战略传播目标以及其他后续网络行动提供了信息。更广泛地说,正如美国防部副部长凯瑟琳·希克斯所说,这些网络攻击“威胁到美国和全球经济所依赖的基于规则的秩序”。在敌对国家利用国家力量窃取知识产权、破坏商业活动并威胁供应链的环境中,市场无法有效运作。

如今,美国防部在多个组成部分中划分了DIB网络安全的角色和职责,其中最主要的是负责研究和工程的国防部副部长(USD(R&E))、负责采办和维护的国防部副部长(USD(A&S))、负责政策的国防部副部长(USD(P))、负责情报和安全的国防部副部长(USD(I&S))和国防部首席信息官(CIO)。DIB网络安全的职责进一步细分给美国家安全局(NSA)、国防部网络犯罪中心(DC3)、国防反情报和安全局(DCSA)、美国网络司令部,以及军事部门和作战司令部的首席信息安全官和项目管理者。

为了鼓励DIB中的网络安全最佳实践,美国防部采用多管齐下的方法,包括建立公私合作,例如自愿的国防部DIB网络安全计划;促进、扩大和采用NIST标准、框架和指南;以及与行业协会就网络安全、培训和实施进行合作,同时保持DIB承包商识别信息的匿名性。美国国家网络安全战略认为“强有力的合作,特别是公共和私营部门间的合作”是“确保网络空间安全的关键”。美国防部与DIB协调,力求建立和完善法规、政策、要求、计划、服务、试点、利益共同体、公私合作和机构间努力的结合,以实现更加网络安全和有弹性的DIB。

在国家层面,美国防部通过实施加强保护政府和非政府网络上的联邦信息的计划,履行《美国联邦信息安全现代化法案》的职责。这些计划符合第13556号行政命令制定的受控非机密信息(CUI)计划的要求。此外,美国防部作为负责提高DIB的安全性和弹性的领域风险管理机构(SRMA)履行与 PPD-21 相关的职责,以及与2021年5月12日的第14028号行政命令相关的职责,该行政命令要求政府机构除其他外,更新有关收集和保存网络安全事件数据并在政府范围内共享数据的合同规定。

为应对当前和未来的挑战,美国防部正在发布此战略,以指导其应对DIB面临的不断变化的网络威胁。本战略将根据美国国家基础设施保护计划和PPD-21的要求,为国防部特定领域计划(SSP)的后续更新提供信息。在本战略中,美国防部将吸取与DIB合作解决与保护联邦信息相关的网络安全问题的经验教训和成功经验,并扩大合作范围,包括确保关键 DIB 供应商在保卫国家和支持作战人员方面的运营连续性所需的可用性和完整性。美国防部坚定地致力于支持DIB应对当前的威胁,并致力于制定长期解决方案,使网络空间领域在未来更具防御性和弹性。

四、战略沿袭

美国防部DIB网络安全战略与《2022年美国国防战略》《2023年美国国家网络安全战略》《2023年美国防部网络战略》《美国网络安全和基础设施安全局(CISA)网络安全战略计划》以及《美国防部小型企业战略》中提出的指导保持一致。本战略支持美国防部各部门和DIB承包商更全面地将NIST改善关键基础设施网络安全框架(NISTCSF)纳入DIB运营计划和网络安全责任的执行中。

  • 《2022年美国国防战略》确立了对针对美国及其盟国和伙伴的战略攻击进行综合威慑的任务,以建立一个有弹性的联合部队和国防生态系统。本战略重点关注国防生态系统的联合协作努力,以加强国防部、DIB以及一系列私营部门和学术企业的网络安全,从而创造和增强联合部队的技术优势。

  • 根据《2023年美国国家网络安全战略》提出的指导,本战略旨在利用整体政府方法大规模破坏恶意网络活动,并在能力日益增强的对手采取破坏美国国家利益的策略时加强DIB的网络安全。

  • 美国防部与DIB(其中大部分由小型企业组成)的合作意味着帮助DIB抵御日益频繁和严重的网络安全威胁。根据《美国防部小型企业战略》和真正的综合威慑,本战略将改进共享DIB可用的网络安全资源,目的是教育DIB公司并使其了解如何最好地保护DIB系统并提高弹性。本战略还解决了提高网络安全法规、政策和要求有效性的需要。

  • 根据《2023年美国防部网络战略》,本战略的目标旨在满足美国防部继续利用公私合作并支持快速信息共享和分析投资的要求。本战略直接响应“开发一种用于识别、保护、检测、响应和恢复关键DIB元件的综合方法,从而确保关键武器系统和生产节点的可靠性和完整性”的要求。

  • 本战略与《2024年美国防部国防工业战略》的优先事项相一致,即扩大小型企业的资源,提高漏洞缓解和供应链弹性,并加强针对网络攻击的执法。

  • 本战略以NIST网络安全框架(NIST CSF)为依据,这是NIST与包括私营企业在内的利益相关者协调发布的一套自愿标准、指南和实践。作为2013年13636号行政命令《改善关键基础设施网络安全》的直接结果,NIST CSF是美国防部建议公共和私营部门组织在管理和降低网络安全风险时参考的主要框架。美国防部的网络安全参考架构整合了NIST CSF、联合能力领域分类法、MITRE ATT&CK®框架和MITRE D3FEND™框架,以描述架构中应包含的功能并提供支持原理。美国防部继续以身作则,采用CSF并向DIB提供关于其在其他信息环境中的适用性的教育机会。

  • DIB特定领域计划(DIB SSP)认为网络安全“可以说是美国面临的最紧迫的基础设施保护问题”。本战略是朝着DIB SSP中概述的国防部目标迈出的一步,即保护网络空间并为长期成功创造条件。

  • 最后,CISA的2024-2026财年网络安全战略计划概述了与美国防部DIB网络安全战略一致的目标和目标。CISA旨在推动缓解可利用漏洞、提高网络安全能力并促进网络安全投资的持续实施。

  • 五、目标和目的

    DIB的网络安全对于美国防部国家安全使命的成功至关重要。保护DIB承包商信息环境免受恶意网络活动的影响并不亚于保护国防部的信息环境。通过保护DIB中的敏感信息、作战能力和产品完整性,国防部将更好地实现美国作战能力的生成、可靠性和维持。

    为支持这一使命,美国防部将与众多部门、项目管理者和DIB协调,力求实现四个主要目标。支持本战略中提到的目标的许多努力已经开始,或者已经成为国防部数十年或更长时间的DIB网络安全方法的一部分。本战略旨在加强这些努力的重点、协作和整合,最终提高美国国防网络安全生态系统的弹性。

    愿景

    “安全、有弹性、技术先进的国防工业基础”

    使命

    “通过保护敏感信息、作战能力和产品完整性,确保美国作战能力的生成、可靠性和维持”

    目标1:加强国防部DIB网络安全治理结构

    确保DIB网络空间的安全需要众多办公室和机构的协调以及权限的协调,以实现支持目标和活动的同步。美国防部副部长同意于2022年2月更新该部在DIB网络安全方面的目标、要求、资源以及角色和职责。为应对这一挑战,美国防部首席信息官呼吁DIB网络安全执行指导小组(ESG)制定战略,以改善DIB网络安全。认识到美国防部在DIB方面的职责分布广泛,美国防部力求加强DIB活动的内部治理结构。

    目的1.1:加强跨领域网络安全问题的跨部门合作

    不同的机构间利益相关群体面临许多相同的网络安全问题,从增强风险意识到设计和实施改善网络安全的策略,以及帮助DIB从恶意网络活动中恢复。该战略旨在促进DIB网络安全社区的共同努力并加强沟通。

    美国防部内部和外部的政府利益相关者必须合作支持DIB网络安全。美国防部首席信息安全官员(CISO)担任 DIB 网络安全ESG主席,负责制定和协调政策和指导,以进一步保护DIB承包商信息环境。美国防部首席信息官负责监督国防部DIB网络安全计划,该计划是制定和实施国防部范围内改善 DIB 网络安全战略方法的中心枢纽。美国防部首席信息官还与负责监督国防部长办公室(OSD)损害评估管理办公室(DAMO)的负责研究和工程的美国防部副部长(USD(R&E))办公室协调合作,该办公室是国防部 DIB 网络安全计划和 DIB 网络事件报告间的纽带,均与美国防部网络犯罪中心(DC3)搭配。反过来,负责政策的美国防部副部长(USD(P))通过国防部的任务保证结构管理风险,并主持DIB政府协调委员会(GCC),召集和协调利益相关者,并制定、协调、协调和促进政策和计划工作的沟通,以改善DIB安全和弹性。

    作为美国联邦对涉及DIB的网络风险、威胁或事件的更广泛响应的一部分,美国防部还可以履行其DIB网络安全职责。在这些情况下,执法/反情报机构(LE/CI)、国土安全部和网络安全和基础设施安全局(CISA)可能会齐心协力采取行动,以确保DIB网络空间域的安全。在美国土安全部关键基础设施合作委员会(CIPAC)的支持下,美国国家安全局参与了持久安全框架,这是一个由国防部和DIB组成的公私合作组织,旨在应对共同的网络安全挑战。这些利益相关者必须合作评估当前的风险环境,概述网络和信息安全以及网络和物理安全间的联系,并解决DIB领域与其他关键基础设施以及关键计划和技术领域间的相互依赖关系。

    虽然该战略旨在通过对已知和新兴的威胁和漏洞提供综合威慑来保护国防部信息网络(DODIN)内外的DIB,但确定的恶意网络行为者所使用的策略和工具可能需要更强有力的响应。如果情况需要从主动网络安全过渡到在关键基础设施或国家利益面临风险时在网络空间内执行防御,作为更大的机构间和/或州、地方、部落和领地(SLTT)响应的一部分,美国防部可能需要协调此类响应。在这些情况下,响应可能包括该美国防部、其他联邦执法和反情报机构(LE/CI)、网络安全和基础设施安全局(CISA)和美国网络司令部的协调行动。在网络空间内进行成功的防御的基础是建立一个论坛,该论坛可以促进协调并减少美国防部与政府其他部门间的差距和分歧。在2024-2027财年,美国防部寻求成熟跨部门机制,以协调应对网络风险管理。

    目的1.2:推进DIB承包商和分包商网络安全责任法规的制定

    执行全面、动态的网络安全计划需要制定法规来评估和加强DIB的网络安全要求。《美国国防联邦采购条例补充》(DFARS)252.204-7012,“保护涵盖的国防信息和网络事件报告”;DFARS252.204-7020、“美国国家标准与技术研究所(NIST)SP 800-171 国防部评估要求”;DFARS 252.239-7010,“云计算服务”,是DIB网络安全生态系统的重要组成部分。DFARS 252.204-7012要求NIST 800-171网络安全要求适用于分包商;然而,较低层的可见性对于美国防部来说仍然是一个具有挑战性的领域。管理DIB分包商网络安全要求流程的法规是一项不断发展和共同的责任,它利用众多利益相关者寻求指导和流程来建立、完善和维护适用于较低层的网络安全最佳实践。在2024-2027财年,美国防部将与DIB、跨部门和国防部利益相关者合作,建立一个治理框架,以维护安全的分包商网络安全环境。

    目标2:增强DIB的网络安全态势

    保持技术优势在很大程度上取决于确保对美国国内专有信息和生产能力以及美国盟友和合作伙伴的专有信息和生产能力进行适当保护。保护专有信息的一个关键要素是鼓励DIB采用自愿的网络安全最佳实践,同时证明遵守合同网络安全要求和网络安全系统的例行测试。根据不断变化的威胁,美国防部认识到一些DIB承包商需要进一步增强其网络安全态势,以应对高级持续威胁(APT)。

    美国国防部还承认,需要与DIB承包商合作,研究如何加强对某些系统的可用性和完整性的保护,在这些系统中,专有信息或国防部数据的丢失不是技术优势的关键驱动因素,但该能力的可用性对于国家安全而言至关重要。通过迭代风险评估和缩小安全态势差距,并促进DIB承包商遵守网络安全法规,可以实现强大的网络安全。需要进行大量并行活动来避免关键设施以及任何相关程序或技术的损失或中断。美国防部将与DIB合作进行差距评估、提供培训和其他资源,并纳入DIB反馈。除共享网络安全最佳实践和快速采用不断发展的标准和指南外,这些努力还需要美国防部、DIB和NIST以及其他政府和非联邦合作伙伴间的持续合作。

    目的2.1:评估DIB是否符合国防部的网络安全要求

    评估对《美国联邦采购条例》(FAR)52.204-21或DFARS 252.204-7012中规定的美国防部安全要求的遵守情况是理解并随后投资改善DIB承包商网络安全的一个重要方面。如今,美国防部仅针对优先DIB承包商进行合同要求的中或高NIST SP 800-171 国防部评估,以验证总体上是否符合DFARS 252.204-7012以及NIST SP 800-171要求的实施情况。未来,美国防部将继续通过网络安全成熟度模型认证(CMMC)计划来做到这一点,该计划将建立大规模验证能力,允许对某些要求进行自我评估,利用对将获得与该部门计划相关的受控非机密信息(CUI)的DIB公司的独立评估,对将接受与国防部最关键和敏感的计划和技术相关的CUI的DIB公司子集进行评估,并加强国防部和行业间在应对不断变化的网络威胁方面的合作。CMMC 和国防部高、中评估的结果必须发布在供应商绩效风险系统中,以满足合同资格要求。

    数字生态系统的演变和扩展导致的威胁数量不断增加,推动了对关键程序或高价值资产子集的更高要求。未来的规则制定工作将通过实施NIST SP 800-172“保护受控非机密信息的增强安全要求”中定义的补充指南来扩展这些公司的现有信息保护要求。虽然DFARS为处理、传输和存储CUI的公司指定了最低DIB网络安全要求,但美国防部还必须支持DIB做出基于风险的决策以超越这些要求。

    美国防部还将对DIB承包商的政策和控制进行自愿网络安全准备评估,以确定其网络安全状况或促进自我评估。美国防部网络犯罪中心(DC3)为美国防部DIB网络安全计划参与者提供持续服务,以评估网络安全准备情况。通过网络弹性分析(CRA)服务,DC3促进政府评估并为自我评估提供支持。CRA计划中使用的任何DIB承包商数据均不会共享。这些评估可帮助DIB承包商了解在何处更有效地分配资源以弥补任何差距。

    为支持NIST SP 800-17220中的增强要求,DC3现在将对手仿真测试(AET)作为一项常设服务进行。AET是一种针对美国防部DIB网络安全计划参与者存储、处理或传输涵盖防御信息(CDI)的网络和系统的更具侵入性的威胁通知渗透测试或评估。CRA和AET参与的数据还用于为DC3威胁和漏洞缓解信息产品提供信息,这些产品专门提供给参与美国防部DIB网络安全计划的公司。

    目的2.2:改善与DIB的威胁、漏洞和网络相关情报的共享

    加强DIB资产的网络安全需要能够及时传播相关威胁信息,包括酌情与国际合作伙伴和盟友进行协调。美国国防部将执行国防部DIB网络安全计划作为与已批准的国防承包商合作的焦点,以更好地保护非机密网络,并期望在不久的将来扩展到所有处理CUI的DIB承包商。美国防部DIB网络安全计划是一项公私网络安全合作,旨在共享非机密和机密网络威胁信息,以推进当前威胁环境的近乎实时情况,并支持参与者保护驻留在或传输DIB非机密信息系统上的防御和DIB信息的能力。美国防部通过国防工业基础网络(DIBNet)发布警报和警告,以向DIB通报关键的、时间敏感的信息。美国防部首席信息官将在2024财年监督DIBNet门户的重新启动,以继续发展威胁共享功能。新系统的一个关键特征是基于应用程序编程接口的威胁信息检索。

    DC3与国防刑事调查组织和军事部反情报组织密切合作,正在开发美国防部框架,以提供数据信息共享,以加强网络反情报调查和行动。收集、分析、传播和操作集成解决方案(CADO-IS)由采用领先技术的物理和虚拟传感器组成,是一种可扩展的网络防御解决方案,利用机器学习和深度学习技术、高级分析和规则基于检测来识别恶意网络活动。CADO-IS将增强主要武器系统、关键防御技术和基础设施以及研究工作的网络防御能力。在完成国防部范围内的需求捕获和初步技术规划后,CADO-IS使用新的基于云的设计确定了技术突破,并向国防部反情报实体实施了exfil数据库的初步部署。未来的工作包括与DIB网络安全数据、美国网络司令部行动以及其他数据和功能进行大规模集成。

    为扩展当前主动和追溯分析美国防部DIB网络安全计划参与者组织系统、网络和基础设施是否存在恶意网络活动的能力,DC3将利用名为“国防工业基础协同信息共享环境(DCISE)Cubed”的现有服务产品以及未来的免费工具。DCISE Cubed是一种防火墙日志分析功能,可利用网络威胁信息和收集的指标自动对与DIB网络的连接进行评分。一旦评分,被识别为恶意的连接将被标记为建议的行动方案,其中可能包括在DIB基础设施(或网络)上进行阻止。DCISE Cubed利用开源、商业和美国政府网络威胁信息源来提供有关影响DIB的网络活动的见解。

    美国家安全局(NSA)与DIB组织合作,共享非公开的、DIB特定的威胁情报,以帮助预防、检测和减轻恶意网络活动。对于这些DIB组织,NSA网络安全协作中心(CCC)开设了一个安全协作通道,允许DIB网络防御者将与NSA共享的威胁情报相关的调查结果直接提交给分析人员,以进一步为分析提供信息,并在需要时与更广泛的国防部和国防信息局社区进行沟通,以提高认识。通过利用其技术专长和能力,以及对民族国家网络威胁、恶意软件、策略、技术和程序的独特见解,NSA还针对不断变化的网络安全威胁制定公共咨询和缓解措施,旨在保卫国家。

    目的2.3:识别DIB信息技术网络安全生态系统中的漏洞

    在执行任务时,美国政府可能会发现IT系统中可能被恶意网络行为者利用的漏洞。负责情报和安全的美国防部副部长(USD(I&S))赞助了DC3高级传感器计划,用于检测和响应对手针对商业关键基础设施实体(包括DIB承包商)的攻击。USD(I&S)将继续与机构间合作伙伴协调,制定实施DC3监控传感器的政策和程序。在DIB承包商网络上的自愿实施将使DC3能够汇总和分析来自这些传感器的收集数据,并向目标实体传播威胁信息。

    DC3执行相关计划,以根据网络架构、软件和流程来分析组织对威胁行为者的脆弱性。它包括在一个单一的、可操作的框架中开展技术、流程和政策评估。DC3还进行渗透测试,包括网络映射、漏洞扫描、网络钓鱼评估和Web应用程序测试。

    通过美国防部DIB网络安全计划的支持,美国家安全局(NSA)通过识别DIB面向互联网的资产,然后利用商业扫描服务来查找这些网络上的漏洞或错误配置,帮助DIB客户在问题受到损害前发现并修复问题。每个客户都会收到一份定制的报告,其中包含需要修复的问题,该报告根据漏洞的严重性以及漏洞是否被利用来确定优先级。

    信息技术中的漏洞使美国政府、美国公司以及盟友和合作伙伴的敏感信息和专有信息面临风险。为解决此问题,美国政府为政府部门和机构制定了漏洞公平政策和流程(VEP),以平衡公平并就信息系统和技术中新发现的非公开漏洞的披露或限制做出决定。根据美国国家安全战略“与合作伙伴就共同利益问题开展共同事业”的号召,美国防部将与盟友和合作伙伴进行协调与合作,包括在机构间和州层面,以减轻这些风险。

    目的2.4:从恶意网络活动中恢复

    尽管采用了最强大的网络安全态势,但美国防部和DIB必须在检测到可疑的恶意网络活动后预测并准备恢复操作,其中可能包括执法/反情报权限和整个国防部能力的参与。一旦DIB承包商提交网络事件报告,美国防部内的利益相关者就会执行活动来了解、评估和减轻涵盖防御信息(CDI)的损失。每个利益相关者社区在实施建议的缓解行动方面都发挥着关键作用,以确保DIB的运营不间断地继续并保护联邦信息。美国防部将继续发展和优化这些能力,并确保为DIB提供最广泛和最有效的支持。

    目的2.5:评估网络安全法规、政策和要求的有效性

    美国防部必须不断评估其网络安全法规和政策(例如DFARS 252.204-7012)及其计划、试点和网络安全服务,以了解这些产品如何应对动态网络威胁形势的未来挑战,并为充满活力、创新的DIB做出贡献。在实施更强大的合规制度的同时,美国防部将积极与DIB合作,规划和执行试点,以测试新的和现有的DIB网络安全能力、服务和流程的有效性。美国防部首席信息官最近发布了美国防部指令8530.03(网络事件响应),该指令重申了DC3对DIB网络事件报告的责任,并建立了与整个国防部的网络事件报告相关的基线数据集。报告要求的一致性支持未来评估事件报告有效性的努力,并将纳入渼美国防部指令5205.13(DIB网络安全活动)的未来修订版中。

    美国防部将与DIB合作,寻求衡量与计划、试点和服务相关的网络安全要求的有效性,为后续工作和迭代改进提供信息。例如,在负责采办和维护的美国防部副部长(USD(A&S))内,网络战理事会(CWD)将开展试点,重点关注确保优先武器系统的国防关键供应链。因此,USD(A&S)正在与美国防部利益相关者和DIB承包商合作,找出当前网络安全即服务(CsaaS)产品中的差距,并进行试点以改善DIB的网络安全。CWD还寻求评估DIB网络安全工作的成本效益,以解决DIB小型企业在实施网络安全方面遇到的挑战。美国防部将与DIB协调,运用从试点中吸取的经验教训,为决策和努力提供信息,以改善对中小型企业网络安全成熟度的支持。

    目标3:在网络竞争环境中保持关键DIB功能的弹性

    最近的全球和地缘政治事件凸显了美国对外国和单一来源供应商的依赖,并表明需要更加关注供应链的脆弱性和依赖性。与多层网络安全生态系统中特定部门的合作伙伴密切协调,有助于制定需求和最佳实践,并对任何关键系统供应链中的瓶颈提供早期预警。

    目的3.1:优先考虑关键DIB生产能力的网络弹性

    DIB是恶意网络活动的巨大攻击面。确保美国防部最关键资产的持续完整性要求国防部评估并随后优先考虑那些最容易受到干扰的生产能力。美国国防工业战略(NDIS)优先考虑弹性供应链以及DIB能够快速、大规模生产产品、服务和技术的需求。“美国防部需要一个有弹性、健康、多样化、动态和安全的供应链,以确保对国家安全至关重要的能力的发展和维持。”对组成DIB的数以万计的公司进行细分对于确保利益相关者的有限资源可以集中用于最有影响力的保护活动。这种细分需要整个美国防部和整个美国政府通过建立DIB政府协调委员会(DIB GCC)进行持续合作,以便充分掌握所有利益相关者的权益,并准确评估关键生产能力的所有风险。DIB GCC是私营企业主导的DIB领域协调委员会(SCC)的对应机构。这两个委员会在关键基础设施合作委员会(CIPAC)内共同努力识别和共享威胁信息、评估和缓解漏洞以及监控DIB的安全性和弹性。

    目的3.2:在政策中优先关注关键供应商和设施的网络安全

    美国防部继续完善其有关多层供应链网络安全风险的政策。需要协调和整合组织政策和计划,以便就DIB供应链网络安全相关的角色和责任制定明确且一致的指导方针。作为根据第21号美国总统政策指令(PPD-21)的DIB 领域风险管理机构(SRMA),美国防部长指定一名首席网络顾问作为与DIB相关的网络安全问题的协调机构。该角色领导美国防部的所有DIB风险管理活动,包括将政府主导的保护工作的重点转向关键的DIB能力和供应商。

    目标4:改善与DIB的网络安全合作

    加强与DIB的网络安全合作是美国防部的战略重点。美国防部必须与联邦政府协调,简化和评估用于日常和关键网络安全意识的通信途径。一致的沟通也有助于网络安全要求的实际采用。与DIB的合作应包括网络安全试点项目、兵棋推演、与行业工作组的日常接触、网络安全培训途径以及多个联邦机构提供的跨领域教育和宣传活动。

    鉴于DIB的多样性和规模,不同的企业可能需要或受益于不同的服务、支持和信息,例如培训和教育或一系列网络安全服务。美国防部将投资于进一步定义DIB子领域并为这些DIB子领域制定计划。最终,美国防部与DIB合作,力求确保DIB做好在网络空间领域安全运作的准备,而不会带来不当的成本或负担。

    目的4.1:利用与商业互联网、云和网络安全服务提供商的合作来增强DIB网络威胁意识

    美国家安全局网络安全协作中心(NSA CCC)在多个核心技术领域保持双向合作,包括但不限于云服务提供商、端点保护、互联网服务提供商、威胁情报公司等。美国家安全局分析人员每天与行业和机构间合作伙伴合作,检测、减轻和消除恶意网络活动。一旦发现恶意网络活动,CCC将向受影响的实体通报该活动并与其合作,直至将其消除。CCC还将与DIB共享这些信息,使其能够强化全球数十亿个端点,抵御会对美国所有关键基础设施、其盟友、行业和个人消费者产生连锁反应的新兴复杂网络威胁。

    目的4.2:与DIB领域协调委员会合作以改善与DIB的沟通与协作

    美国防部寻求与DIB领域协调委员会(SCC)合作,以促进对汇总和匿名网络事件趋势的扩大共享和分析,从而增进国防部对DIB网络安全态势的了解。这些信息将用于确定改进缓解工作的方法,并大大提高国防部DIB网络安全计划的有效性和DIB的网络安全态势。

    为进一步支持DIB SCC在确定DIB和国防部共同感兴趣的问题和潜在解决方案方面的作用,美国防部首席信息官将酌情邀请DIB SCC执行委员会的成员和信息/网络安全常务委员会的指定工作人员在DoDDIB网络安全计划中担任顾问角色。DIB 政府协调委员会(GCC)旨在实现与恶意网络活动相关的信息共享和及时通知,将与DIB SCC信息/网络安全常务委员会协调,列出与DIB信息共享的障碍,并提出缓解敏感数据网络安全风险的建议和使命。

    目的4.3:改善与DIB的双向沟通并扩大公私网络安全合作

    该战略最重要的是改善与DIB的沟通。美国防部致力于向DIB承包商提供及时、相关且可操作的威胁情报,并将继续努力通过人与人、机器与机器的交流来共享信息,以加深网络事件报告和漏洞管理计划间的联系。操作协作必须得到适当的技术解决方案的支持,以共享信息并支持防御工作的优先顺序。通过加强与行业的联系,研究人员和美国防部可以减少发现以前未知的漏洞并在社区内广泛分享所需的时间。

    认识到网络事件不可避免,美国防部还将与业界合作,探讨如何增强应对恶意网络活动并从中恢复的能力。美国防部将投入资源来开发网络事件场景并验证网络事件响应手册。美国防部网络犯罪中心(DC3)、国防反情报和安全局(DCSA)、国家安全局(NSA)和网络司令部都积极为这些努力做出贡献,但没有任何一个机构能够独自保卫国家。美国防部将继续与联邦政府、以领域为中心的信息共享和分析中心(ISAC)以及州、地方、部落和领地(SLTT)等国内合作伙伴合作,分享最佳实践和专业知识。

    美国防部DIB网络安全计划是一项公私网络安全合作,有1000多家DIB公司参与该自愿计划,随着资格标准的修订,预计2024年成员数量将会增加。一旦计划参与者的国防工业基础网络(DIBNet)账户完全激活,其可以参与该计划和DC3以接收网络威胁信息并参与与计划相关的活动,例如工作组和DIBNet论坛。

    NSA协调私营部门的参与,为DIB实体和相关服务提供商提供网络安全援助。NSA网络安全协作中心(CCC)促进情报和行业成员间的威胁信息共享,以确保DIB和服务提供商系统的安全。NSA还提供网络安全服务和协助,帮助DIB承包商检测系统漏洞并应对恶意网络活动。通过美国防部的公私合作DIB网络安全计划、NSA CCC和DC3 国防工业基础协同信息共享环境(DCISE),国防部将以可扩展且经济高效的方式向符合条件的DIB承包商提供网络安全即服务(CsaaS)产品。这些产品包括培训和意识以及对商业网络安全服务的访问,这些服务执行攻击面管理、漏洞扫描、威胁检测和阻止以及各种其他功能。

    美国防部将集中有关DIB网络安全政策、法规和政府/行业资源的信息,包括相关CSaaS能力目录、信息共享计划、资源计划、网络劳动力资格要求以及培训/教育活动;优化该信息的可搜索性、权威性和消费者体验。美国防部的各个办公室负责制定、维护和促进计划和服务,以帮助DIB承包商加强网络安全。虽然这些服务为DIB提供了巨大的价值,但对这些资源的访问由提供这些资源的办公室管理,并受到不同机构的限制。美国防部和DIB内各利益相关者办公室间这些努力的社会化程度的提高将通过改善协调来提高效率。为确保DIB利益相关者可以随时获取这些资源,美国防部首席信息安全官(CISO)将创建并维护一份详细列出这些产品的综合列表。该产品将通过多种方式公开提供,包括通过DIB社区和美国防部首席信息官(CIO)库已经利用的基于网络的非保密功能。

    DIB可用的此类资源之一是NIST网络安全框架(CSF)。NIST目前正在致力于发布CSF 2.0,它将为法规与国际标准和NIST CSF的一致性提供技术援助。美国防部可以通过分享DIB特定部门的专业知识并促进协调政策来促进网络安全利益。

    六、结论

    实现该战略中规定的目标需要美国防部所有实体根据国防战略、国家网络安全战略和国防部网络战略协调努力。美国防部在教育、衡量和推动与DIB网络安全相关的所有事务的改进方面发挥着关键作用。保护关键国防信息和保持竞争优势需要美国防部投资加强DIB网络安全的措施,同时认识到阻碍竞争的繁重合规成本相关的风险。美国防部DIB网络安全战略的成功实施需要国防部和国防部外部的参与,以树立网络弹性的榜样。

    美国防部必须作为一个体系追求上述目标,并与整个政府的努力同步运作,以更好地保护网络空间。虽然这是一项艰巨的任务,但美国防部正在多个领域推动进展。自2008年以来,美国防部首席信息官(CIO)的自愿国防部DIB网络安全计划与明确的行业共享网络威胁信息,包括缓解策略和威胁指标,帮助行业和政府更好地了解网络威胁并预防攻击。自2013年发布DFARS 252.204-7012以来,美国防部要求国防承包商通过建立基线网络安全要求和网络事件报告要求来保护敏感的国防信息。2019年,美国防部小型企业计划办公室(OSBP)启动了频谱项目(Project Spectrum),随后NSA推出了网络安全协作中心(CCC),以认识到与该部门互动的公司的网络能力存在巨大差异,并集中资源来满足其级别的公司的需求。

    支持综合威慑的国家优先事项意味着为危机和冲突做好准备,同时在整个网络行动领域开展竞争。它还意味着建立战略伙伴关系,使美国的系统和网络能够在国防部信息网络和DIB外得到防御。美国防部将继续寻求国家安全局、国防部网络犯罪中心和网络司令部的技术专业知识,以了解趋势并影响政策,从而不断提高安全性和弹性。在过去的几年里,DIB承包商一直致力于提高网络弹性、遵守现有的安全要求并更好地了解不断变化的威胁。这代表了网络威胁意识和对致力于保护非机密DIB网络安全的DIB资源重视的巨大转变。

    本战略为美国防部制定了愿景,即以与DIB合作的方式进一步协调和执行资源,以改变美国最重要的国防供应商和生产商的网络安全。对手不会停止寻求有关美国能力的信息的活动;寻找先进技术的捷径;对抗、消灭或克隆美国作战能力。美国防部必须与DIB协调,保持抵御这些攻击的能力,并通过团队合作取得成功,同时保卫国家。