透视《2023 至2025 年CISA 战略规划

　　2022 年9 月，美国网络安全与基础设施安全局（CISA）发布了《2023 至2025 年CISA 战略规划》。作为CISA 成立以来的第一份战略规划，该规划立足合作、创新、服务和问责等CISA 核心价值观，明确了CISA 未来3 年的工作重点，希望在CISA 的引领和推动下，大幅改善美国各行各业，尤其是关键基础设施行业的网络安全水平。对此，首先介绍了该规划的发布背景，其次详细阐述了该规划的4 大战略目标，最后探讨了CISA 未来的主要发展方向。

　　2022 年9 月13 日，美国土安全部（Department of Homeland Security，DHS）下辖的“网络安全与基础设施安全局”（Cybersecurity and Infrastructure Security Agency，CISA） 发布《2023 至2025 年CISA 战略规划》（以下简称《规划》）[1]。《规划》勾勒了当前美国的网络威胁格局，介绍了CISA的使命、愿景以及核心价值观和原则等机构文化，并阐述了CISA 在2023 至2025 年间的4 大目标和众多子目标。作为CISA 成立以来的首份战略规划，《规划》立足于《2020 至2024 财年DHS 战略规划》，从网络防御、关键基础设施、信息共享和机构整合4 个方面，指明了CISA 未来3 年的工作方向。

　　CISA 于2018 年由DHS 下辖的“国家保护与项目局”改组而来，现已成为美国政府中最重要的文职网络安全部门。CISA 的职责范围非常广泛，既要监控、提醒和处理美国50 个州、华盛顿特区和4 个属地的网络安全事件，又要监督、协调和参与联邦、州级和地方政府之间、政府不同部门之间以及政府与企业之间的网络安全合作，此外还需要管控海量的网络基础设施和制定一系列的网络安全法规。近年来，世界各国的关键基础设施频遭网络攻击，委内瑞拉大范围停电和美国油气管道停运等事件一度引发社会动荡，“太阳风”供应链攻击事件更是触碰了美国国家安全界的敏感神经。在此形势下，CISA 自然将关键基础设施的网络安全视为头等大事。正如《规划》所言，CISA 的愿景是“为美国人民提供安全且具备（网络）弹性的基础设施”，可见关键基础设施将继续在CISA 未来3 年的工作中占据重要地位。

　　网络的本质乃是互联互通，所以要想保障网络安全，各机构之间就必须展开合作，作为网络安全主管机关的CISA 对此也心知肚明。以2021 年为例，CISA 把加强机构内外合作、政府与企业合作乃至国际合作作为年内的工作重点，甚至列为年度报告中的第一项工作成果：CISA与若干“行业协调委员会”（Sector Coordinating Council，SCC）和“政府协调委员会”（Government Coordinating Council，GCC） 建立长期合作关系，以推动16 个关键基础设施行业在网络安全领域的协作、规划和信息共享；CISA 组建了“联合网络防御合作”（Joint Cyber Defense Collaborative，JCDC）组织，以整合各级政府、企业和国际伙伴的网络专长。《规划》也承续了这种合作理念，其4 大目标中，“推动业务合作”和“深化机构整合”这两大目标都直接关乎合作，“加强网络防御”和“降低风险与提高弹性”这两大目标也与合作密切相关。由此看来，CISA必将在未来3 年中加强网络安全合作，通过群策群力来为美国打造更加牢固的网络安全防线

　　通篇来看，《规划》聚焦“加强网络防御”“降低风险与提高弹性”“推动业务合作”和“深化机构整合”这4 大战略目标，而每一个大目标下又有多项具体的子目标及其预期成果和衡量方法。为厘清《规划》为CISA 擘画的蓝图，下文将简明扼要地逐一梳理这些目标。

　　CISA 的头号使命就是防止美国的关键基础设施、各级政府、私营企业和民众遭受网络威胁，因此其第一大目标便是加强网络防御。未来3年内，CISA 将设法减少关键基础设施、关键网络和国家关键职能（National Critical Function，NCF）面临的网络风险，并尽量减轻网络事件产生的影响。具体而言，CISA 将积极寻找潜在的网络威胁，与网络安全界合力披露和修复关键漏洞，建立更安全的网络生态体系（尤其是工业控制系统和运行技术的网络生态体系），以及解决网络劳动力短缺问题。《规划》还将目标1 细化为以下子目标。

　　CISA 将推动联邦机构采用安全且有弹性的现代网络技术，提高网络事件响应能力，减轻供应链风险，并洞察联邦网络面临的威胁。CISA希望通过3 年的努力，联邦文职机构（Federal Civilian Executive Branch，FCEB）能在网络攻击或网络事件期间继续履行职责，并在事后迅速恢复正常。为检验工作成效，届时CISA 将评估各FCEB 在多大程度上遵守了CISA 的网络防御指南、标准和指令，以及这些文件所带来的成效。

　　CISA 认为美国正面临着来自先进对手的网络威胁，鉴于此，CISA 将积极检测各级政府网络面临的威胁，并通过与企业界的合作来进一步摸清私营网络面临的威胁。CISA 希望通过3 年的努力，美国的网络防御人员既能获得更多有用的检测信息，又能积极保护各自的关键网络。为检验工作成效，届时CISA 将评估其开展的网络监控以及威胁分析与搜索工作能在多大程度上缩短发现威胁和阻止入侵的时间。

　　CISA 承认任何软硬件都难免存在漏洞，为避免这些漏洞被对手利用，CISA 将与包括网络安全界在内的公私机构密切合作，鼓励各方找出和报告新漏洞，并依靠各方合力修复这些漏洞。CISA 希望通过3 年的努力，美国关键基础设施的所有方和运营方能更好地摸清网络安全漏洞，并在这些漏洞被人利用前就采取应对之策。为检验工作成效，届时CISA 将评估其网络漏洞评估和补救服务的使用率与有效性。

　　CISA 支持技术开发商和网络维护者开发和采用最先进的网络防御和网络操作工具、服务及能力，并将利用其网络教育资源来填补关键网络领域的人才缺口，从而建立起能根本改善网络安全的技术生态体系。CISA 希望通过3 年的努力，承担NCF 的人员能广泛使用“将安全和弹性融入设计”的技术产品，且美国网络和系统的固有安全水平也有所提升。为检验工作成效，届时CISA 将评估各类技术产品和服务在多大程度上采用了安全的开发做法和控制措施，以及这些做法和措施的成效。

　　美国的关键基础设施分属16 个行业，为管理各行业特有的风险，美国政府为这些行业各指定了一个“行业风险管理机构”（Sector RiskManagement Agency，SRMA）。目前CISA 既担任着其中8 个行业的SRMA，又以提供能力和资源等方式协助其他SRMA 确定和管理行业风险。未来3 年内，CISA 将根据NCF 来确认哪些实体、资产、系统、技术和商品面临最严重的国家安全、经济安全和公众健康与安全风险，继而在此基础上预测哪些因素会产生负面连锁反应，并制订相应的缓解计划。CISA 将在自愿基础上加强合作，并依据《化学设施反恐标准》等监管法规来为美国的关键基础设施制订安全方案。《规划》还将目标2 细化为以下子目标。

　　CISA 深知要想评估和分析关键基础设施的风险并做出决策，就必须收集正确的数据和形成正确的看法。为此，CISA 需要评估基础设施的紧要程度，确认哪些基础设施属于关键基础设施，并了解哪些基础设施更容易遭到入侵。CISA 希望通过3 年的努力，使自身成为负责关键基础设施数据的中央存储库和国家机关，并及时察觉新出现的系统性风险。为检验工作成效，届时CISA 将评估美国关键基础设施在安全性和可见度方面的改善程度。

　　CISA认为只有了解国家和行业层面的风险，才能有效开展网络防御和保护基础设施，因此CISA 必须发展出成熟的风险分析能力与方法，尤其是将关键基础设施的信息及其识别工作纳入分析方法中。除跨机构的战略风险分析外，CISA 还可围绕特定项目发展针对性的风险分析能力。CISA 希望通过3 年的努力，使自身发展出各种量身定做的深度风险分析能力与方法，并在全面洞悉风险格局的基础上确定优先方向和开展业务。为检验工作成效，届时CISA 将评估NCF 风险分析工具的成熟度，其他政府机构能否获取足够的风险数据，以及CISA 自身是否在充分支持其他SRMA 评估各自行业的风险。

　　为保护关键基础设施，CISA 将向各利益攸关方提供指导和援助，包括提供行之有效的专业知识和缓解措施，以化解安全威胁和保护应急通信系统，以及发布权威指南，以推动IT 网络风险管理等。这些指导和援助将侧重于利益攸关方的需求和CISA 确定的优先事项。CISA 希望通过3 年的努力，各利益攸关方将采用CISA 发布的关键基础设施安全指南、标准、性能基准和风险管理建议，且化工等高风险行业的关键基础设施能满足以降低风险为重的绩效标准。为检验工作成效，届时CISA 将评估各利益攸关方在多大程度上遵守了CISA 在物理安全、应急通信和网络安全方面的指导，以及这些指导所带来的成效。

　　作为跨行业SRMA，CISA 必须适当扩大其在网络安全、基础设施安全和应急通信方面的关键项目和风险相关产品，并调整工作（比如就新的网络安全风险发布应急通信指导）以满足新出现的需求。CISA 希望通过3 年的努力，使自身可在能力建设方面推出可扩展的产品和服务，并使其他SRMA 和利益攸关方认同CISA的产品和服务是有效、及时且适当的。为检验工作成效，届时CISA 将评估是否向各利益攸关方提供了更多的产品和服务，以及这些产品和服务所带来的影响。

　　CISA 已开设了一个全天候运行的响应协调中心，未来还将按照“国家响应框架”的规定向应急响应人员提供支持，并扩大其重大应急通信支持服务的范围，以确保在事件期间迅速为一线响应人员提供通信服务。CISA 希望通过3 年的努力，各利益攸关方能快速且适当地对各类威胁和事件做出响应，而美国的关键基础设施也能在保持网络弹性的情况下持续运转。为检验工作成效，届时CISA 将评估其关键应急通信服务和事件响应能力的效用和使用率。

　　作为选举基础设施行业的SRMA，CISA 已与联邦调查局（Federal Bureau of Investigation，FBI）、美国选举援助委员会和情报机构建立合作关系，其对选举基础设施的支持也从以网络安全为重扩展到平衡考虑网络、实体和运行安全。CISA 将把现有资源用于选举基础设施的风险管理，开发减轻选举风险的新产品，以及支持州级官员和地方官员处理各自分管的错误信息和虚假信息等。CISA 希望通过3 年的努力，其服务、产品和指导能随选举基础设施的风险变化而不断改进，并将其他行业的经验教训用到选举基础设施上。为检验工作成效，届时CISA 将评估其产品和指导能在多大程度上满足各级政府和私营利益攸关方的风险管理需求。

　　CISA 认为，保护美国关键基础设施的根基，就在于政府部门间以及政府与企业间建立持久、有效且互信的合作关系，为此CISA 希望其能在关键基础设施防护领域形成品牌效应。未来3年内，CISA 将按照《国家基础设施保护计划》确定的合作架构，与其他SRMA 和关键基础设施相关方开展合作。具体而言，CISA 的职能专家和支持人员将提供CISA 的产品、服务和信息，同时收集必要的反馈意见，从而不断完善和改进CISA 的产品和信息。《规划》还将目标3 细化为以下子目标。

　　为培养各方与CISA 合作的信心，CISA 将在机构内部、SRMA 之间乃至更大范围内规划、安排和协调涉及利益攸关方的活动，根据利益攸关方的数据和看法、客户需求、运行要求和领导层的优先事项来指导国家和地区层面的合作事宜，并以SRMA 和关键基础设施国家协调机构的身份牵头，就相关行业的安全和弹性展开合作。CISA 希望通过3 年的努力，其自身能更有针对性、实效性和条理性地开展各种合作与协调，并扩展和巩固与利益攸关方之间的关系。为检验工作成效，届时CISA 将评估战略级合作活动的成效。

　　CISA 认为其设在各地的办事处是与各方成功合作的关键所在，为此，CISA 将加强其总部与各地办事处之间的整合，制定相关流程来协调总部与各地办事处的工作，加强国家级合作管理框架与各地之间的联系，将SCC 和GCC 扩展到各地，以及创建内部业务管理所需的论坛、机制和流程等。CISA 希望通过3 年的努力，其总部活动和地区活动都遵从相同的运行规划，且CISA 及其他协调机构能关注到地方利益攸关方的问题和诉求。为检验工作成效，届时CISA将评估其地方和总部的活动整合程度，以及地方利益攸关方参与活动所带来的影响。

　　CISA 的项目、产品和服务有助于各利益攸关方降低基础设施面临的风险，而为简化相关的接触和使用流程，CISA 将根据客户的具体需求和情况提供产品服务，并对外发布准确、可定制且颇具吸引力的资源目录。此外，CISA 将主动向核心利益攸关方推广其项目、产品和服务。CISA 希望通过3 年的努力，各利益攸关方能迅速找到和获取所需的CISA 产品与服务，CISA 也能主动向利益攸关方告知适用的产品与服务。为检验工作成效，届时CISA 将评估辖下各部门项目、产品和服务的质量和可获得性。

　　为提升CISA 及其利益攸关方对网络威胁格局的认识，CISA 将加强与合作方之间的多向沟通，比如及时上报网络事件，共享威胁、漏洞、情报、情报需求以及其他信息和数据等。为此CISA 将继续推出诸如JCDC 的合作机制，同时改善“联邦高级领导委员会”“信息共享与分析组织”、信息共享与分析中心、SCC 和GCC等既有机制。CISA 希望通过3 年的努力，各利益攸关方能及时准确地获取决策所需的信息，而CISA 的数据处理与信息共享措施也有助于保护隐私、民权和公民自由。为检验工作成效，届时CISA 将评估多向信息共享产生的价值。

　　使用方的反馈有利于改进CISA 的产品和服务，因此CISA 不但将积极寻求利益攸关方的反馈，也将进一步整合利益攸关方的看法、信息和数据，以便改进其产品和服务的决策、安排、开发、修改和定制工作。CISA 希望通过3 年的努力，各利益攸关方能反馈其需求、兴趣和优先事项，而CISA 则能根据这些反馈来改善产品和服务。为检验工作成效，届时CISA 将评估利益攸关方的满意程度，并根据利益攸关方的反馈来评估持续改进的情况。

　　CISA认为其各部门之间存在着明显的藩篱，因此有必要加强自身的整合。未来3 年内，为实现机构上下的统筹兼顾，CISA 将精简现有的业务，采用敏捷的新技术来服务客户，加强内部的治理、管理和安排，打破部门藩篱，并培养重视团队合作、责任感、创新和包容的机构文化。《规划》还将目标4 细化为以下子目标。

　　CISA 希望既打破部门与任务之间的藩篱，又不破坏既有的专长、问责机制和团队精神。鉴于此，CISA 将在各层级的任务推行办公室之间举行会议和交流信息，组建能为优先决策提供必要数据和流程的治理与管理部门，划定各部门工作范围，明确部门、个人责任，并通过记录和整合进程的方式来践行和推广最佳做法。CISA 还将把规划、编排、预算编制、执行和评价流程纳入其治理流程和治理决策，以便更好地管理公共资金，对发薪等基本业务职能实施有效的内部控制，以及支持明智的投资决策。CISA 希望通过3 年的努力，优先将领导层的愿景落实到行动上，并从战略角度公开透明地分配资源。为检验工作成效，届时CISA 将评估其是否公开、透明且有效地监管资金，并评估CISA 项目和流程的标准化程度和整合程度。

　　为推动CISA 内部人员使用彼此的产品、服务和资源，CISA 将着重整合其系统和数据，从而改善态势感知，为领导层提供决策所需的有用信息，改进流程和协作方式，以及加强CISA

　　上下的信息共享和数据管理。CISA 希望通过3年的努力，其高层人员和一线人员都能及时形成一致的态势感知，并整合机构内部的各种系统、流程、数据和架构。为检验工作成效，届时CISA 将评估各种内部系统、流程和架构在多大程度上改善了其内部的互帮互助。

　　人才是CISA 得以发展的根本，为了吸引、培养和留住美国最出色的网络防御人才，CISA将打造一种涵盖了招聘、雇用、培训、褒奖、晋升、留用和继任规划的世界级人才生态系统，积极从非传统领域寻找人才，优先使用DHS 的“网络人才管理系统”来改善CISA 的招聘和雇用工作，奖励CISA 杰出员工，以及确保所有人都能平等地获得专业发展和教育机会。CISA 希望通过3 年的努力，其能雇用、培训并留住一支技术娴熟且表现优异的多样化员工队伍，并为员工提供富有意义的职业发展道路。为检验工作成效，届时CISA 将评估其员工的招聘、留用、培训和发展情况以及相关工作的影响力。

　　机构文化同样是CISA 取得成功的基础，而为了形成精益求精的卓越文化，CISA 将着重为员工营造一种受到关心、支持和尊重的心理环境，进而在此基础上培养员工的责任感和使命感。CISA 还将采取系统性措施来缓解员工的精神压力，向员工提供精神卫生资源，以及在奖励、决策、沟通和待遇方面形成透明、公平、公正的机构文化，从而成为联邦政府中的文化样板和网络圈内公认的领头羊。CISA 希望通过3 年的努力，其在保护关键基础设施网络安全方面的作用得到全国上下的认可，同时其关于福祉、心理安全、创新、问责和使命感的机构文化也得到认可、践行和强化。为检验工作成效，届时CISA 将评估其员工队伍的心理安全、多样性及职业倦怠的改善程度。

　　关键基础设施既包括电网等有形设施，也包括云平台等虚拟设施，但不论有形无形，这些关键基础设施一旦遭到破坏，就可能对政治、经济和社会造成灾难性影响，这一点已在委内瑞拉大范围停电和美国油气管道停运等事件中得到充分印证。鉴于此，CISA 一向将保护关键基础设施作为其工作重点，《规划》自然也不例外。纵观《规划》全文，4 大目标中有3 大目标都提到了关键基础设施，且近一半的子目标都与关键基础设施有关，涵盖了主动防御、漏洞修复、风险分析与管理、多方合作和生态体系等方方面面，可见关键基础设施在CISA 的未来规划中占有举足轻重的分量。

　　需要指出的是，CISA 并不直接运营任何关键基础设施，其主要通过与其他公私机构间的合作来保护关键基础设施。举例来说，CISA 于2021 年完成了美国总务管理局旗下“联邦风险与授权管理计划”高级政务云环境的迁移工作，迁移期间CISA 为该云环境提供了一套用于保护和恢复关键基础设施的工具和应用程序，以便合作方保护关键基础设施以及化解各种风险与威胁。又如为应对愈演愈烈的勒索软件攻击，CISA 牵头开发了StopRansomware.gov 网站，以便为勒索软件的受害者提供应对攻击的资源和事件上报途径。正如“网络安全与基础设施安全局”这一名称所彰显的那样，未来CISA 必将通过指导、标准、培训、演习和评估等方式，继续支持其他政府机构和私营企业保障关键基础设施的网络安全。

　　经过数十年的发展，网络空间及其依赖的软硬件体系已变得极其复杂，由此造成的结果就是任何系统都多多少少存在漏洞，而《规划》也承认这一现实。除分布式拒绝服务等少数攻击方式外，目前绝大多数攻击方式或多或少利用了网络安全漏洞。更令人担忧的是，出于方便管理和降低成本等考虑，各类企业乃至政府部门往往会使用大量相同型号的系统。一旦这些系统中的重大漏洞被黑客或对手所掌握，后果将不堪设想。这也正是“太阳风”事件引发美国网络安全界恐慌的原因所在。在此背景下，《规划》对漏洞挖掘高度重视，将披露和修复重大漏洞作为子目标之一。此外，发现威胁、提升风险可见度和风险分析等子目标也将挖掘、披露和修复网络安全漏洞作为工作重点。

　　纵观CISA 近年来的工作成果，该机构确实在时刻紧盯重大网络安全漏洞。仅在2021 年内，CISA 就围绕漏洞问题开展了许多工作：发布已知漏洞清单，以指导政府和企业处理相关漏洞；联合美国家安全局和FBI 等部门，就Logj4 漏洞先后发布8 次网络安全警告，以避免该漏洞造成“太阳风”事件那样的严重后果；推动美国国会在《2021 财年国防授权法案》中授予CISA必要权限，使该机构有权检查关键基础设施中的漏洞和敦促运营方修复漏洞；组建“持久安全框架5G 威胁模型专项小组”及其他团队，以便从标准、供应链和系统架构的角度，不断探寻5G 等新兴技术领域的网络安全漏洞。这些工作表明，今后CISA 不仅将披露和分析各方上报的漏洞，更要主动出击，在以关键基础设施为主的一线设施中挖掘漏洞，甚至预先研究5G 等新兴技术的潜在漏洞，从而使美国在未来的网络攻防中占得先机。

　　网络并非任何国家、行业或机构的禁脔，而是连接四面八方的“路网”，因此要想保障网络安全，各国、各行业和各机构之间的合作就必不可少。从《规划》来看，其中两大目标都直接关乎合作，另两大目标也与合作紧密相关，这表明CISA 已将合作视为其工作中不可或缺的一环。CISA 与各方之间的合作形式多样，主要包括建立JCDC 等网络安全合作机制，联合制定《5G 基础设施的潜在威胁向量》等指导文件，提供“联合网络空间基础课程”等网络安全培训课程，不定期披露Log4j 等重大网络安全漏洞，以及积极参与DHS 的网络安全技术研发等。正如《规划》所言，这些合作事宜将从总体上改善美国的网络安全工具、服务和能力，从而形成更加安全的网络生态体系。

　　需要强调的是，CISA 的合作范围并不仅限于美国国内，而是延伸到了全球各地。以2022年为例，3 月，DHS（CISA 是DHS 辖下的网络安全主责部门）与以色列网络安全局签署联合意向书，以推动两国在网络空间研究与开发方面的合作；7 月，CISA 与乌克兰国家特殊通信与信息保护局签署合作备忘录，以巩固两国在信息共享、技术交流及网络安全培训与演习方面的合作；同样在7 月，CISA 与沙特国家网络安全局签署合作备忘录，以深化两国在威胁信息共享和最佳做法交流方面的合作；8 月，美墨网络问题工作组发表联合声明，称CISA 将加强与墨西哥当局在信息共享、事件响应、勒索软件和执法调查等方面的合作。显而易见，这些国际合作有助于CISA 打响《规划》所期望的“品牌效应”，从而使美国在未来的网络空间格局中获得更大话语权。

　　总体而言，CISA 未来3 年的工作重心仍然是加强网络防御和保护关键基础设施，《规划》只是细化了各领域的具体任务，并更加强调通过合作来加强美国的网络弹性。本文虽较为全面地梳理了《规划》本身，但并未探讨落实《规划》所面临的挑战，因此未来可从CISA 以往的目标落实情况入手，进一步分析CISA 将在美国的网络安全体系中发挥何种作用。

　　选自《信息安全与通信保密》2023年第1期（为便于排版，已省去原文参考文献）