全文共6353字,阅读大约需13分钟。
国防部(DoD)的国防工业基础(DIB)网络安全战略是可实施的技术框架,用于维持更具弹性的联合部队和国防生态系统,该生态系统普遍用于网络空间领域,其为当今最具争议的领域之一。
美国国防工业基础对于实现国家安全目标和保持技术优势至关重要,我们必须防止其受到恶意网络活动和攻击的威胁。国防部在加强整体网络安全和网络复原力方面取得了巨大进展。事实上,支撑该战略的诸多措施已经进行了几十年以上。
DIB网络安全战略确保美国处于基础设施安全领域的前沿位置。这首先就要求国防部整体进行协调和合作,确定并弥补在保护DIB网络、供应链和其他关键资源方面的差距。通过DIB网络安全战略发现了加强DIB网络安全的机会,国防部的重点将放在系统挑战上,提供带来最高回报的解决方案。
接受数字优先、数据驱动文化,以客户为中心,敏捷性和灵活性是推动所需变革的关键。还必须继续使商业实践现代化,对技术进行适当的投资,通过吸引和留住网络人才保护投资,应对当前和未来的挑战。推进目标并致力于执行该战略,提高整体网络安全水平,保护关键国防信息。通过团队合作和正确使用资源,推进国防部保卫国家的使命。
一
执行摘要
DoD DIB网络安全战略是国防部的战略计划,通过达成2024至2027年的总体愿景和任务增强DIB的网络安全水平和网络弹性。该战略概述了四个总体目标及其分目标,目标与跨部门合作采取的措施相符,由国防部利益相关者与DIB协调制定,实现具有弹性的DIB安全信息环境,从而提高行业竞争力、促进创新和可持续增长。该战略支持我国武装部队当前和未来的需求,支持在网络空间领域的跨部门合作以及其他关键参与者之间的合作。
该战略基于以下战略制定:2022年国防战略(NDS)、2023年国家网络安全战略、2023年国防部网络战略、2024年国防部国防工业战略(NDIS)、国家标准与技术研究院(NIST)网络安全框架(CSF)。除了国家和国防部战略外,国防部根据《2020财年国防授权法案》第1648条和《2021财年国防授权法案》第1728条和第1737条的研究发现和回应也为该战略的制定提供了参考。
图1 2024-2027财年DoD DIB网络安全战略
二
引言
美国依靠国防情报局的创新、勤劳和爱国主义精神,提供保卫国家所需的必要专业知识、物资和基础设施。关键基础设施安全性和弹性是总统政策指令21(PPD-21)中确定的十六个关键基础设施部门之一,DIB是国内外各级公司或组织集合,负责国防部系统、子系统、组件或部件的研发、设计、生产、交付和维护,提供软件和其他关键服务,以此满足美国国防需求的公司或组织。国防部依靠DIB开发和生产创新和先进技术,以使发生冲突时,国防部作战人员拥有战场优势,采取行动保护美国国家安全利益,还可使国防部在竞争中拥有生产和交付所需的物资。
图2 士兵们在华盛顿州刘易斯-麦考德联合基地的史崔克(Stryker)装甲车上安装集成视觉增强系统(IVAS)CS3(Capability Set 3)硬件。
国防部依靠国防信息数据库保证私人拥有和运营的信息系统中的国防信息安全和承包商专有信息的安全。这些信息支撑着美国军方取得决定性胜利所需的创新能力。未经授权访问、泄露和窃取重要信息对美国国家和经济安全利益构成的威胁迫在眉睫。国防部认识到,DIB的全球网络代表了网络空间领域的基本优势,必须与国防部自身的网络相协调,对其进行保护和加强。
国防部依靠DIB寻求技术优势、提供关键支持和防止对敏感信息的未经授权披露,攻击者注意到了这一点。大大小小的DIB公司都面临着恶意网络活动的风险,实施者包括俄罗斯、伊朗和朝鲜等来自国外的攻击者,以及暴力极端组织和跨国犯罪组织等非国家支持的攻击者。以间谍活动或蓄意破坏为目的,或两者兼而有之,针对DIB的恶意网络活动可能导致未经授权的访问和美国政府(USG)敏感数据、专有信息和知识产权泄露,以及数据破坏、无法开展业务、拒绝服务和财产损坏等危害。
外国攻击者可在未经授权的情况下访问DIB系统和网络,这提供了收集情报、窃取商业机密和跨越几代研发的手段,还为未来针对关键基础设施漏洞、为战略通信目标操控公共信息以及其他后续网络行动提供了信息。正如国防部副部长凯瑟琳·希克斯所说,网络攻击威胁美国和全球经济所依赖的规则秩序。攻击者所属的国家利用国家力量窃取知识产权、破坏商业活动、威胁供应链环境,导致市场无法有效运作。
现今,国防部确定了DIB网络安全的角色和责任,其中最主要的是以下角色和职责:国防部副部长主要负责研究和工程(USD(R&E))、情报和安全(USD(I&S))、采办和支持(USD(A&S))、政策(USD(P)),以及国防部首席信息官(CIO)。DIB网络安全职责细分为美国国家安全局(NSA)、国防部网络犯罪中心(DC3)、国防反情报与安全局(DCSA)、美国网络司令部(USCYBERCOM)以及军事部和作战司令部的首席信息安全官和项目经理。
为鼓励DIB网络安全最佳实践,国防部采用了多管齐下的方法,建立公私合作机制,如:遵循自愿原则的国防部DIB网络安全计划。为NIST标准、框架和指导做出贡献,扩大和采用NIST标准、架构和指导,在保证DIB承包商身份信息匿名的同时,与行业协会就网络安全、培训和实施问题进行合作。《国家网络安全战略》认为,强有力的合作,特别是公共和私营部门之间的合作是确保网络空间安全的关键。国防部与DIB协调,寻求建立和改进法规、政策、要求、计划、服务、试点、利益共同体、公私合作和跨部门合作的措施,实现更安全、更具弹性的DIB。
图3 当前国防部DIB网络安全工作
在国家层面,国防部通过实施加强保护政府和非政府网络上的联邦信息的计划,履行《联邦信息安全现代化法案》规定的职责。程序符合第13556号行政令(EO)制定的受控非密信息(CUI)程序的要求。国防部要履行PPD-21相关的职责,PPD-21是负责提高DIB安全性和弹性的部门风险管理机构,还要执行2021年5月12日发布的第14028号行政令,该行政令要求政府机构及时更新收集和保存网络安全事件数据和在政府范围内共享的合同语言。
为了应对当前和未来的挑战,国防部发布了本篇战略文章,指导应对DIB面临的不断演变的网络威胁。根据国家基础设施保护计划和PPD-21的要求,该战略将为国防部部门特定计划(SSP)的后续更新提供信息。国防部将在与国防情报局合作解决与保护联邦信息相关的网络安全问题方面汲取的经验教训和取得的成功的基础上,扩大合作,包括所需的可用性和完整性,保证国防情报局关键供应商对国防和作战人员的持续支持。国防部始终致力于支持DIB应对当前的威胁,制定长期解决方案,使网络空间领域在未来更具防御能力和弹性。
图4 美国海军中尉James Dubyoski和海军研究生院(NPS)助理教授Tony Pollman与佛罗里达州巴拿马市海军水面作战中心合作,对可重复使用远征作战水下航行器(DREW UV)进行测试。NPS的海军创新中心将与DIB、技术部门和学术界合作,进行应用研究、分析、原型设计和实验,应对复杂的挑战。
三
战略结盟
国防部DIB网络安全战略与2022 NDS、2023年国家网络安全战略、2023年国防部网络战略、网络安全和基础设施安全局(CISA)网络安全战略计划和国防部小企业战略中提出的指导意见一致。战略支持国防部各部门和DIB承包商将NIST改善关键基础设施网络安全框架(NIST CSF)更全面地整合到DIB运营计划和网络安全责任的执行中。
图5 国防部DIB网络安全战略协调
2022 NDS确立了对美国及其盟友和伙伴的战略攻击进行综合威慑的授权,建立有弹性的联合部队和防御生态系统。战略的重点是国防生态系统的联合协作,加强国防部、国防情报局以及私营部门和学术企业的网络安全,从而创造和提高联合部队的技术优势。
根据《2023年国家网络安全战略》中提出的指导意见,战略采用全政府通力合作的做法,大规模打击恶意网络活动,应对能力逐渐强大的攻击者采取的破坏美国国家利益的策略,加强DIB的网络安全。
国防部与DIB的合作中大部分由小企业组成,协助DIB实施防御,免受日益频繁和严重的网络安全威胁。根据国防部小企业战略和综合威慑,战略将改善DIB可用网络安全资源的共享,目的是使DIB公司了解保护DIB系统并提高弹性的最佳实践。该战略还解决了提高网络安全法规、政策和要求有效性的需要。
根据2023年国防部网络战略,该战略的目标是满足国防部继续利用公私合作和支持快速信息共享和分析投资的要求,满足通过制定全面的方法发现、保护、探测、响应和回收关键DIB元件,确保关键武器系统和生产节点的可靠性和完整性的要求。
该战略与2024 NDIS的优先事项相一致,扩大小企业的资源,提高漏洞缓解能力和供应链弹性,加强对网络攻击的防御。
NIST CSF为战略提供信息,该战略是由NIST与利益相关者(包括私营行业)联合发布的自愿标准、指南和实践。2013年第13636号行政令《改善关键基础设施网络安全》的发布,使NISTCSF成为国防部建议公共和私营部门组织在管理和降低网络安全风险时参考的主要框架。国防部的网络安全参考体系结构包括NIST CSF、联合能力领域分类法、MITRE ATT&CK框架和MITRE D3FEND框架,对架构中应具有的功能的支持原理进行说明。国防部以身作则,采用了CSF,向DIB提供了关于适用于其他信息环境的教育机会。
DIB SSP将网络安全问题确定为国家面临的最紧迫的基础设施保护问题。该战略是朝着国防部DIB SSP中概述的保护网络空间和为长期成功创造条件的目标迈出的一步。
CISA 2024-2026财年网络安全战略计划最后概述了与国防部DIB网络安全战略一致的目标和目的。CISA的目标是推动可利用的漏洞的缓解措施,提高网络安全能力,促进网络安全投资的持续实施。
四
任务和目标
国防部的网络安全能力对国防部完成国家安全任务的成功至关重要。保护DIB承包商的信息环境免受恶意网络活动的影响的重要性并不亚于保护国防部的信息环境。通过保护DIB的敏感信息、作战能力和产品完整性,国防部将更好地实现美国作战能力的生成、可靠性和保存。
为了支持这项任务,国防部将与众多部门、项目经理和DIB协调合作,努力实现四个主要目标。支持该战略目标的诸多措施已经启动,已经成为国防部未来几十年或更长时间内确保DIB网络安全的做法之一。该战略旨在使措施的重点更加集中,加强协作和整合,最终提高国防网络安全生态系统的弹性。
愿景
建立安全且具有弹性和技术优势的国防工业基础。
任务
通过保护敏感信息、作战能力和产品完整性,确保美国作战能力的生成、可靠性和保存。
目标1:加强国防部DIB网络安全管理结构
保证DIB网络空间的安全性需要多个部门和机构进行协调合作,要求当局保持一致,实现支持目标和活动的同步。DSD于2022年2月批准更新国防部DIB网络安全的目标、要求、资源以及角色和责任。为了应对这一挑战,国防部首席信息官呼吁DIB网络安全执行指导小组(ESG)制定战略,提高DIB的网络安全水平。认识到该部有关DIB的职责分布广泛,寻求加强DIB活动的内部管理结构。
目标1.1:针对跨部门网络安全问题加强机构间的合作
不同的跨部门利益相关者团体面临着许多相同的网络安全问题,包括提高风险意识、设计和实施改善网络安全的战略等,在DIB受到恶意网络活动影响时帮助其进行恢复。该战略旨在促进DIB网络安全方面的共同努力,加强沟通。
国防部内外的政府利益相关者必须通力合作,加强国防部的网络安全。国防部CISO主持DIB网络安全ESG,制定和协调政策和指导方案,进一步保护DIB承包商的信息环境。国防部首席信息官负责监督国防部DIB网络安全计划的实施,该计划是制定和实施国防部范围内改善DIB网络安全战略方法的关键。国防部首席信息官还与美国国防部办公室(R&E)协调工作,R&E负责监督国防部长办公室(OSD)损害评估管理办公室(DAMO)的工作,这是国防部DIB网络安全计划和DIB网络事件报告之间的纽带,这些举措与DC3同等重要。USD(P)通过国防部的任务保障结构管理风险,主持DIB政府协调委员会(GCC),召集和协调利益相关者,制定、调整、协调和促进政策和计划的实施,促进各方之间的沟通,提高DIB的安全性和恢复力。
国防部还可以履行DIB网络安全职责,促进联邦政府应对涉及DIB的网络风险、威胁或事件的更广泛措施的实施。执法/反间谍机构(LE/CI)、国土安全部(DHS)和CISA的行动需要协同进行,保护DIB网络空间域的安全。在国土安全部关键基础设施伙伴关系委员会(CIPAC)的主持下,美国国家安全局参与了持久安全框架项目,这是国防部和国防部下属的公私合作组织,旨在应对共同的网络安全挑战。利益相关者必须合作评估当前的风险环境,概述网络和信息安全以及网络和物理安全之间的关系,解决DIB部门与其他关键基础设施、关键计划和技术部门之间的相互依存关系。
虽然该战略的目的是通过遏制已经存在和新出现的威胁和漏洞保护国防部信息网络内外的DIB,但面对恶意攻击者使用的策略和工具,可能需要更强有力的应对措施。如果需要从积极的网络安全过渡到在关键基础设施或国家利益面临风险时在网络空间内执行防御,国防部需要协调此类响应,扩大跨部门和/或州、地方、部落和领土(SLTT)响应的范围。在这些情况下,响应包括国防部、其他联邦LE/CI、CISA和USCYBERCOM的协调行动。在网络空间内进行成功的防御建立在论坛的基础之上,论坛有助于协调并减少国防部与政府其他部门之间的差距。在2024-2027财年,国防部寻求成熟的跨部门合作机制,共同应对网络风险。
国防部利益相关者:国防部首席信息官负责为扩大网络威胁信息共享并向DIB提供网络安全服务的政策提供信息(例如,国防部DIB网络安全计划),制定和监督网络安全成熟度模型认证(CMMC)计划的实施,在系统或平台开发过程中对不必要的敏感信息共享行为进行限制。
图6 美国网络司令部成员在Fort的综合网络中心/联合作战中心工作
目标1.2:推进DIB承包商和分包商网络安全责任法规的制定
执行全面的动态网络安全计划需要法规的规定,评估和加强DIB的网络安全要求。《国防联邦采购条例补充》(DFARS)252.204–7012,“保护覆盖的国防信息和网络事件报告”;16 DFARS 252.204-7020,“NIST SP 800-171国防部评估要求”;以及DFARS 252.239–7010,“云计算服务”中的合同规定的网络安全要求是DIB网络安全生态系统的重要组部分。DFARS 25.2.204-7012要求NIST 800-171网络安全要求适用于分包商。然而,对维和部来说,较低级别的透明度仍然具有挑战性。管理DIB分包商网络安全要求细化的法规是需要不断发展和分担的责任,利用众多利益相关者寻求指导和流程,建立、维护适用于较低级别的网络安全最佳实践,使之成熟。2024-2027财年,国防部将与DIB、跨部门和国防部利益相关者合作,建立管理框架,维护分包商网络安全环境的安全性。
图7 2023年1月24日,亨利·B·冈萨雷斯会议中心举行的2023年创新产业日活动期间,政府人员、服务人员、行业、学术界和供应商在展厅内交流互动。此次对撞机活动是空军安装和任务支持中心与AFWERX的合作,为飞行员和守护者提供与工业界和学术界建立联系的机会,了解成功和失败的经验教训,帮助确定实施解决方案以满足其任务需求的途径。
目标2:加强DIB的网络安全态势
保持技术优势在很大程度上取决于能否确保对美国国内以及盟友和合作伙伴的专有信息和生产能力的适当保护。保护专有信息的关键因素是鼓励DIB采用自愿的网络安全最佳实践,同时证明符合合同网络安全要求和网络安全系统的常规测试。根据不断演变的威胁情况,国防部意识到,DIB承包商需要进一步加强网络安全态势,应对高级持续性威胁(APT)。
国防部承认,专有信息或国防部数据的丢失不是技术优势的关键驱动因素,但该能力对国家安全至关重要,有必要与DIB承包商合作,加强对某些系统可用性和完整性的保护。通过迭代风险评估和缓解安全态势差距,敦促DIB承包商遵守网络安全法规,实现强大的网络安全能力。需要大量的并行活动,避免关键设施和相关项目或技术的损失或中断。国防部将与DIB合作进行差距评估,提供培训和其他资源,纳入DIB的反馈。除了分享网络安全最佳实践和快速采用不断发展的标准和指导方针外,还需要国防部、DIB、NIST以及其他政府和非联邦合作伙伴之间的持续合作。
· 免责声明 ·
该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的,为业内人士提供参考,促进思考与交流,不作任何商用。如有侵权事宜沟通,请联系[email protected]邮箱。
· 文章信息 ·
发布机构:美国国防部下属出版前和安全审查办公室
发布日期:2024年3月
原文链接:https://dodcio.defense.gov/Portals/0/Documents/Library/DIB-CS-Strategy.pdf
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。