作者 | 武汉理工大学 冯志杰
网络安全应急技术国家工程研究中心 何跃鹰,刘中金,邹哲,刘丝丝
一、 战略背景
=======================
为应对国防工业基础(DIB,Defense Industrial Base)的网络安全问题,美国防部于2024年3月28日发布“Defense Industrial Base Cybersecurity Strategy 2024”,即《2024年国防工业基础网络安全战略》,旨在加强美国防部与DIB的合作,以提高美国国防供应商和生产商的网络安全。
DIB是指一批从事国防部系统、子系统和组件或零件的研发、设计、生产、交付和维护,并提供软件和其他关键服务以满足美国国防要求的国内外公司或各级组织。DIB在美国的国防安全中有着重要的地位。美国防部认为:DIB相关公司,无论规模大小,都面临着外国对手、暴力极端主义组织和跨国犯罪组织等以间谍或破坏为目的而开展的恶意网络活动风险。这些外国对手及组织一旦未经授权访问DIB系统和网络,不仅可以收集情报、窃取商业秘密和研发成果的手段,而且还为其未来利用关键基础设施漏洞、操纵公共信息以实现战略目标等后续恶意网络行动提供了条件。
为面对DIB领域严峻的网络安全形势和避免重大安全事件造成严重后果,《2024年国防工业基础网络安全战略》随之发布,其明确了2024至2027财年期间,DIB在网络安全方面的总体愿景和使命,旨在保护DIB免遭恶意网络活动和攻击的威胁,增强DIB的网络安全和弹性。
二、 核心思想
=======================
《2024年国防工业基础网络安全战略》与《2022年美国国防战略》、《2023年美国国家网络安全战略》《美国防部小型企业战略》、《2023年美国国防部网络战略》、《2024年美国国防部国防工业战略》、《美国国家标准技术研究院(National Institute of Standards and Technology, NIST)网络安全框架》、《国防工业基础特定领域计划》以及《美国网络安全和基础设施安全局(Cybersecurity & Infrastructure Security Agency, CISA)2024-2026财年网络安全战略计划》中提出的指导思想保持一致。
美国防部《2024年国防工业基础网络安全战略》以《NIST网络安全框架》为依据,其愿景为:“安全、有弹性、技术先进的国防工业基础”;使命为:“通过保护敏感信息、作战能力和产品完整性,确保美国作战能力的生成、可靠性和维持”。《2024年国防工业基础网络安全战略》主要包括四个目标:目标一是加强美国国防部DIB网络安全治理结构;目标二是增强DIB的网络安全态势;目标三是在网络竞争环境中保持关键DIB功能的弹性;目标四是改善与DIB的网络安全合作。
图1 《2024年国防工业基础网络安全战略》愿景、使命和目标
三、 内容解读及应用情况
============================
DIB的网络安全需要各个部门和组织进行协调。然而,现有的治理结构十分分散,一些服务分散在美国国防部首席信息官,美国国防部网络犯罪中心(DC3,DoD Cyber Crime Center),国防反情报与安全局(DCSA,Defense Counterintelligence & Security Agency)与美国国家安全局(NSA,National Security Agency)之间,导致DIB承包商无法及时获取相关资源。针对这一现状,提出以下子目标:
图2 目标1:加强美国国防部DIB网络安全治理结构及其子目标
首先,国防部负责政策的制定、促进与其他利益相关者的沟通等来推进DIB网络安全工作。其次,国防部需要更广泛地与其他部门,例如联邦执法/反情报机构、国土安全部、CISA合作。除此之外,如果网络安全的情况进一步恶化,即从主动采取措施增强DIB的网络安全变为在网络空间中被动防御网络安全威胁的情况时,美国国防部需要与州、地方、部落、领地各级政府与机构协调合作,以实现对网络安全威胁更强有力的响应。这些响应包括国防部与联邦执法/反情报机构、CISA和美国网络司令部的协调行动。在2024-2027财年,美国国防部将寻求建立成熟的跨部门合作响应机制。
目前针对DIB网络安全要求的法规与指南已出台,包括:DFARS 252.204-7012,DFARS 252.204-7020, DFARS 252.239-7010和NIST 800-171。然而,承包商对供应链中位于低层级供应商的可见性存在不足,这对维护网络安全而言仍是一个挑战。承包商需要多层级的供应商来生产产品及服务,针对这种多层级的供应链模式,承包商无法直接识别并评估低层级的供应商,这些低层级的供应商可能受到网络安全的威胁,进而为整个供应链的网络安全埋下隐患。在2024-2027财年,美国国防部将与DIB、跨部门和国防部利益相关者合作,建立一个治理框架,并建立、完善和维护适用于较低层级的供应商的网络安全最佳实践。
美国国防部认识到网络安全威胁不断变化,DIB承包商需要进一步增强其网络安全态势,以应对高级持续威胁(APT,Advanced Persistent Threat)。对与某些重要系统,更重要的是系统的可用性与完整性,而非机密数据是否丢失,即系统能够维持正常运转是美国国防部保持技术优势的关键。因此,美国国防部会与DIB,NIST和其他政府部门合作,来确定DIB承包商网络安全框架中的漏洞,针对性地提供资源,以增强DIB的网络安全。
图3 目标2:增强DIB网络安全态势及其子目标
目前,美国国防部仅针对部分高优先级的DIB承包商通过合同进行网络安全评估。该网络安全评估是依据国防部所要求的中级或高级NIST SP 800-171国防部评估要求、DFARS 252.204-7012以及FAR 52.204-21。
首先,未来评估将包括网络安全成熟度模型认证(CMMC, Cybersecurity Maturity Model Certification),并将支持更大规模的验证能力。
其次,威胁数量不断增加,推动了对关键程序或高价值资产子集的更高保护要求。未来,美国国防部将依据NIST SP 800-172“保护受控非机密信息的增强安全要求”来扩展/增强现有的信息保护要求。美国国防部还将支持DIB做出基于风险的决策,并超越DFARS所规定的最低DIB网络安全要求。
最后,美国国防部还将支持DIB企业做出自我网络安全评估。美国国防部网络犯罪中心正提供网络弹性服务来帮助DIB企业做出自我评估。为了支持NIST SP 800 172的要求,该中心还将推出一项对手仿真测试常规服务,进行更具侵入性的渗透测试和威胁评估。
美国国防部目前正与已授权的DIB承包商,通过公私合作形式,开展美国国防部DIB网络安全项目,该项目旨在共享非机密和机密网络威胁信息。该项目计划在未来从已授权的DIB承包商扩展至所有的处理受控非机密信息的DIB承包商。美国国防部通过国防工业基础网络(DIBNet,Defense Industrial Base Network)发布关键的、时间敏感的信息和警报。该DIBNet门户将在2024年重启,以继续发展威胁共享功能。
在这一目标下,美国国防部将采取许多措施来识别网络安全生态系统中的漏洞。
首先,由负责情报和安全的美国防部副部长主持美国国防部网络犯罪中心的高级传感器项目,该项目能够监测并响应针对DIB承包商的恶意网络活动,未来美国国防部将与机构间合作伙伴协调合作来制定实施高级传感器项目的政策和程序。
其次,美国国防部网络犯罪中心根据网络架构、软件和过程对企业的技术、过程和政策进行网络安全评估,同时网络犯罪中心还应用渗透测试技术进行网络映射,漏洞扫描以及探针分析等网络安全活动。除此之外,美国安全局也帮助DIB企业识别接入互联网的相关资产,使用商业扫描服务识别漏洞,并以报告的形式告知DIB企业用户。
最后,美国政府为政府部门和机构制定了《漏洞公平裁决政策和程序》,旨在针对新发现且未公开的漏洞,平衡“情报收集”、“调查事项”、“信息安全保障”三方面的影响,做出对整体利益最好的决策,即是否披露或保留该漏洞。
在检测到可疑的恶意网络安全活动之后,美国国防部和DIB必须具备让系统从恶意网络安全活动中恢复的能力,该恢复活动可能需要联邦执法/反情报机构和国防部的参与。在DIB承包商提交网络事件报告之后,国防部的利益相关者就会了解、评估和减轻相关损失。之后,国防部将继续发展和优化这些能力。
为了应对不断变化的网络威胁形势,美国防部必须不断评估网络安全法规和政策及其计划、试点和网络安全服务,以了解这些产品是否符合当前网络威胁形势的最新要求。美国国防部将于DIB合作,测试现有的和新的DIB网络安全能力、流程和服务的有效性。
此外,网络战理事会还寻求评估DIB网络安全工作的成本效益,以解决DIB小型企业在实施网络安全方面遇到的挑战。
美国国防部认为最近的全球和地缘政治事件凸显了美国对外国和单一来源供应商的依赖,需要更关注供应链的脆弱性和依赖性,并需要与合作伙伴密切协调,制定需求和最佳实践,并为供应链中的瓶颈提供早期预警。
图4 目标3:在网络竞争环境中保持DIB功能弹性及其子目标
在这一目标下,需要优先考虑那些最容易受到干扰的生产能力。美国国防工业战略优先考虑供应链弹性以及DIB能够快速、大规模生产产品、服务和技术的需求。这需要美国国防部与整个美国政府以及DIB保持合作,对DIB公司进行分类,以确定关键的DIB生产能力,使有限资源集中在最有影响力的保护活动上。
目标3.2在政策中优先关注关键供应商和设施的网络安全
在该目标下,美国国防部将协调和整合政策,来明确DIB供应链中网络安全各方的角色和责任,构建一个多层的供应链网络安全风险政策,将政府主导的保护工作的重点转向那些关键的DIB能力和供应商。
图5 目标4:改善与DIB的网络安全合作及其子目标
在该目标下,美国国家安全局网络安全协作中心在多个核心技术领域包括云服务提供商,端点保护,互联网服务提供商,威胁情报公司等领域保持双向合作,检测、减轻和消除恶意网络活动,并与DIB共享信息,通报受影响的实体。
美国国防部寻求与DIB领域协调委员会合作,促进对匿名网络事件的共享和分析。在该目标下,美国国防部还将邀请协调委员会的成员在国防部网络安全项目中担任顾问角色。
美国国防部将继续加强与DIB的合作,以及时提供威胁情报,加深网络事件报告和漏洞管理计划间的联系。此外,美国国防部还将继续与联邦政府、以领域为中心的信息共享和分析中心以及各个合作伙伴部门合作,并保持紧密联系。
其次,美国国防部继续实施DIB网络安全项目,并吸引更多的DIB企业加入。同时,美国国防部在向DIB承包商提供网络安全政策法规、培训、服务等资源的同时,集中这些资源,优化资源的可搜索性,以改善效率。
此外,美国国家安全局也为DIB承包商提供网络安全服务和协助,包括信息共享、相关培训、网络安全技术与产品等。
现有的DIB网络安全活动主要由美国国防部,美国国防部网络犯罪中心,美国国家安全局,美国国防反情报和安全局等机构执行。
美国国防部开展自愿的公私合作的DIB网络安全项目,通过该计划美国国防部可以向DIB承包商共享威胁情报信息,提供培训、技术支持及各项产品服务等,该DIB网络安全项目目前已有1000多家企业加入。
除了美国国防部,国防部网络犯罪中心、美国国家安全局和美国国防反情报和安全局等机构也推出了自己的DIB网络安全产品,例如,美国国防部网络犯罪中心利用DIB协作信息共享环境来实现情报的共享与警告、网络事件的强制性与自愿性报告以及免费的工具,产品及策略的提供等。
与之相似的是,美国国防反情报和安全局向已授权的承包商提供漏洞等威胁情报,对已授权的DIB承包商进行安全评估以及为承包商的机密信息系统提供并更新指导、技术标准等。
四、 启示分析
=======================
根据美国防部《2024年国防工业基础网络安全战略》,对网络安全相关政策的制定启示如下。
1.关注网络安全治理架构顶层设计
网络安全治理涉及多行业领域、多政府工作部门的协作。《2024年国防工业基础网络安全战略》的一大目标是加强DIB网络安全的治理结构和法律法规设计。有关部门在制定相关政策时,需要做好顶层设计,明确科学合理的工作分工,避免治理结构的混乱与分散,并同步完善相关网络安全法律法规、政策文件体系。
2.聚焦重点行业领域网络安全态势
国防工业领域作为维护国家安全的重要领域,其网络安全至关重要,增强DIB的网络安全态势是美国DIB网络安全政策关注的重点之一。金融、能源等关乎国家安全、国计民生的关键信息基础设施,同样是是网络安全的重中之重。有关部门制定相关政策时需要密切关注关基领域整体网络安全态势感知能力,持续评估承包商的网络安全,并对零信任架构、云安全技术等新技术予以重点关注。
3.提升防御能力及弹性恢复能力
美国政府将部分国家视为可能对起发动恶意网络活动的威胁行为实体,有关部门在政策制定时也需要考虑同样的情况,需要注重增强DIB承包商的网络安全防御能力及弹性恢复能力。其关键要素分为两个方面:一是集中资源投入最有影响力的保护活动,优先保障快速、大规模生产产品、服务和技术的需求;二是加强供应链安全,确保供应商的稳定性和安全性。
4.多角色分工合作共同维护网络安全
改善DIB公私网络安全合作是美国《2024年国防工业基础网络安全战略》另一目标,以明确不同政府部门、组织和外部企业的职能,促进合作。在制定政策时,有关部门可借鉴该目标的思想,构建分层的网络安全治理体系,将国家监管部门、行业主管部门、运营单位、供应商等的职责界面划分清晰,不同角色各司其职,整体协调联动,形成合力。
政府与企业的合作和及时的情报共享是美国《2024年国防工业基础网络安全战略》的重要组成部分,有关部门可以借鉴美国国防部的DIB网络安全项目,构建一专门的机构来向已授权的DIB承包商提供情报、培训、产品及服务等,以此建立合理、及时的信息共享机制。
[1] Sydney J. Freedberg Jr. New strategy will streamline DoD support for defense contractors’ cybersecurity[EB/OL].(2024-3-28)[2024-5-16]. https://breakingdefense.com/2024/03/new-strategy-will-streamline-dod-support-for-defense-contractors-cybersecurity/.
[2] Department of Defense Cyber Crime Center. Defense Industrial Base Collaborative Information Sharing Environment Overview[EB/OL]. [2024-5-16]. https://www.dc3.mil/Missions/DIB-Cybersecurity/DIB-Cybersecurity-DCISE/.
[3] Mikayla Easley. New DOD strategy aims to improve contractors’ cybersecurity, resiliency[EB/OL]. (2024-3-28)[2024-5-16]. https://defensescoop.com/2024/03/28/defense-industrial-base-cybersecurity-strategy/.
[5] 奇安网情局. 美国防部发布《2024年国防工业基础网络安全战略》[EB/OL]. (2024-3-29)[2024-5-16]. https://www.secrss.com/articles/64817.
[6] Blair Chenault. A General Contractor’s Hidden Risk: Lower-tier Subs and Vendors[EB/OL]. [2024-5-18]. https://flashtract.com/blog/general-contractors-hidden-risk-lower-tier-subs-and-vendors
[7] Sedex. Driving responsible, sustainable practices in the lower tiers of supply chains[EB/OL]. [2024-5-18]. https://www.sedex.com/blog/driving-responsible-sustainable-practices-in-the-lower-tiers-of-supply-chains/
[8] OUSD Acquisition & Sustainment. NIST SP 800-171 DoD Assessment Methodology, Version 1.2.1[EB/OL]. (2020-6-24)[2024-5-18]. https://www.acq.osd.mil/asda/dpc/cp/cyber/docs/safeguarding/NIST-SP-800-171-Assessment-Methodology-Version-1.2.1-6.24.2020.pdf
[9] 信息安全与通信保密杂志社. 美国《漏洞公平裁决政策和程序》对我国的启示[EB/OL]. (2018-1-24)[2024-5-18]. https://www.secrss.com/articles/475
[10] 莫非,沈逸.拜登政府关键基础设施网络安全治理评析[J].国家安全研究,2023,(02):102-119+165.
[11] 王娟娟,高佳琪.美国关键基础设施安全防护工作对我国的启示[J].中国信息安全,2023,(09):42-46.
原文来源:安全内参
“投稿联系方式:010-82992251 sunzhonghao@cert.org.cn”
