美国国防工业新网络安全战略

国防工业基地网络安全战略2024 执行摘要 国防部DIB网络安全战略是国防部的战略计划，旨在通过涵盖2024财年至2027财年的总体愿景和任务来增强DIB的网络安全和网络弹性。该战略概述了一系列四个目标及其各自的目标，这些目标与机构间的努力相一致，并由国防部利益相关者与DIB协调制定，以实现安全和有弹性的DIB信息环境，从而促进行业竞争力，创新和可持续增长。该战略支持我们武装部队当前和未来的需求，并支持与网络空间领域的机构间和其他关键角色的合作。 该战略与2022年国防战略（NDS），2023年国家网络安全战略和2023年国防部网络战略以及2024年国防部国防工业战略（NDIS）和国家标准与技术研究所（NIST）网络安全框架（CSF）并列。除了国家和国防部战略之外，美国国防部根据2020财年国防授权法（NDAA）第1648条和2021财年NDAA第1728和1737条的调查结果和回应也为这项工作提供了信息。 目录 前文1执行摘要2介绍4 目标和目标10 目标1.加强DIB网络安全的DoD治理结构12 目标1.1加强跨领域网络安全问题的机构间合作13目标1.2推进DIB承包商网络安全责任法规的制定分包商..............................................................................................................14 目标2.增强DIB 16的网络安全态势 目标2.1评估DIB是否符合DoD的网络安全要求17目标2.2改进与DIB 18的威胁、漏洞和网络相关情报的共享目标2.3识别DIB信息技术（IT）网络安全生态系统中的漏洞19目标2.4从恶意网络活动中恢复20目标2.5评估网络安全法规、政策和要求的有效性21 目标3.在网络竞争环境中保持关键DIB功能的弹性22 目标3.1优先考虑关键DIB生产能力的网络弹性23目标3.2在政策中确立关键供应商和设施网络安全的优先重点24 目标4.改善与DIB 25的网络安全协作 目标4.1利用与商业互联网、云和网络安全服务提供商的协作来增强DIB网络威胁意识..........................................................26目标4.2与DIB SCC合作，改善与DIB的沟通和协作27目标4.3改善与DIB的双向通信，扩大公私网络安全协作............................................................................................................27 结论30 附录I -缩写和缩写31附录二-美国DIB部门33附录三- DOD DIB CSAAS服务和支持36 INTRODUCTION 美国依靠DIB的独创性，辛勤工作和爱国主义来提供保卫国家所需的必要专业知识，物资和基础设施。作为总统政策指令21（PPD - 21）“关键基础设施安全和弹性” 1中确定的16个关键基础设施部门之一，DIB是所有级别的国内外公司或组织进行研究和开发，设计、生产、交付和维护DoD系统、子系统和组件或零件，以及提供软件和其他关键服务以满足美国S.防御要求(见附录二)。国防部依靠DIB开发和生产创新和高度先进的技术，以便在冲突中，国防部的战士在采取行动支持美国时拥有一切可用的战场优势。S.国家安全利益，在竞争中，该部拥有可靠生产和交付所需的物资。 国防部依靠DIB来确保私人拥有和运营的信息系统上的国防信息的安全性，以及承包商专有信息的安全性，这些信息是美国军方果断赢得的创新能力的基础。未经授权的访问， 妥协，盗窃这些重要信息对美国国家和经济安全利益构成了迫在眉睫的威胁。该部门认识到，DIB中的全球网络代表着网络空间领域的基础优势，必须与国防部自己的协调加以保护和加强。 该部门依靠DIB来追求技术优势，提供关键支持并防止未经授权披露敏感信息，这不会对我们的对手造成损失。无论大小，DIB公司都面临着俄罗斯，中国，伊朗和朝鲜等外国对手进行恶意网络活动的风险，此外还有非国家行为者，如暴力极端主义组织和跨国犯罪组织。出于间谍活动或破坏活动的目的，有时两者兼而有之，针对DIB的恶意网络活动可能导致未经授权的访问和释放敏感的U。S.政府（USG）数据，专有信息和知识产权，以及数据的破坏，无法开展业务，拒绝服务以及对财产的物理损害。 外国对手未经授权访问DIB系统和网络不仅提供了一种收集情报、窃取商业秘密和跨越几代研发的手段，而且还为未来针对关键基础设施漏洞、为战略通信目标操纵公共信息和其他后续网络操作提供了信息。更广泛地说，正如国防部副部长凯瑟琳·希克斯（Kathlee Hics）所说，这些网络攻击“威胁着美国S.以及全球经济所依赖的基于规则的秩序。“在敌对国家利用国家力量窃取知识产权，破坏商业活动并威胁供应链的环境中，市场无法有效运作。 今天，该部门划分了DIB网络安全在几个组成部分中的角色和职责，其中主要是国防部负责研究和工程的副部长（USD（R＆E））。负责采购和维持的副国防部长(USD (A & S))、负责政策的副国防部长(USD (P))、负责情报和安全的副国防部长(USD (I & S))和国防部首席信息官(CIO)。DIB网络安全的职责进一步细分为国家安全局（NSA），国防部网络犯罪中心（DC3），国防反情报和安全局（DCSA），美国网络司令部（USCYBERCOM）以及首席信息安全官和军事部门和作战司令部的项目经理。 为了鼓励DIB的网络安全最佳实践，该部门采用了多管齐下的方法，包括建立公私合作社，例如自愿的DoDDIB网络安全计划；3有助于，扩大和采用NIST标准，框架和指导;并与行业协会就网络安全，培训和实施进行合作，同时保持DIB承包商识别信息的匿名。《国家网络安全战略》认为“强有力的合作，特别是公共和私营部门之间的合作”是“确保网络空间安全的关键”。“4的。 部门与DIB协调，寻求建立和改善法规，政策，要求，计划，服务，试点，利益社区，公私合作社和机构间努力的组合，以实现更网络安全和弹性的DIB。 在国家一级，国防部通过实施加强对政府和非政府网络上的联邦信息的保护的计划来履行其关于《联邦信息安全现代化法案》的职责。这些计划符合行政命令（EO）13556.6建立的受控未分类信息（CUI）计划的要求。此外，该部门执行与PPD - 21相关的职责，作为部门风险管理局（SRMA），负责提高DIB的安全性和弹性。和2021年5月12日的EO 14028，其中要求政府机构除其他行动外，更新有关收集和保存网络安全事件数据并在政府范围内共享的合同语言。 为了应对当前和未来的挑战，该部正在发布该战略，以指导其应对DIB面临的不断变化的网络威胁。根据国家基础设施保护计划和PPD - 21的要求，该战略将为国防部部门特定计划（SSP）的后续更新提供信息。在该战略中，该部将借鉴与DIB在与保护联邦信息相关的网络安全问题上的经验教训和成功合作，并扩大合作，以包括确保关键DIB供应商在国防中的连续性所需的可用性和完整性。该部门坚定地致力于加强DIB以应对当前的威胁，并致力于长期解决方案，以使网络空间在未来更具防御性和弹性。 战略对齐 国防部DIB网络安全战略与2022年NDS，2023年国家网络安全战略，2023年国防部网络战略，网络安全和基础设施安全局（CISA）网络安全战略计划中提出的指导意见一致。7和DoD小型企业战略8该战略支持DoD组件和DIB承包商更充分地将NIST框架（NIST CSF）9整合到DIB运营计划和网络安全责任的执行中。 2022年NDS确立了针对美国及其盟国和合作伙伴的战略攻击的综合威慑任务，以建立具有弹性的联合部队和防御生态系统。国防生态系统的共同努力，以加强国防部，DIB以及一系列私营部门和学术企业的网络安全，这些企业创造并增强了联合部队的技术优势。 根据2023年国家网络安全战略中提出的指导意见，该战略旨在使用整个政府的方法来大规模破坏恶意网络活动，并加强DIB的网络安全，因为越来越有能力的对手采取破坏美国国家利益的策略。 该部门与DIB的合作，其中大部分是由小企业组成，这意味着帮助DIB保护自己免受越来越频繁和严重的网络安全威胁。该战略将改善DIB可用的网络安全资源的共享，以教育和使DIB公司了解如何最好地保护DIB系统并提高弹性。该战略还解决了提高网络安全法规，政策和要求的有效性的需要。 根据2023年国防部网络战略，该战略的目标旨在满足该部继续利用公私合作并支持快速信息共享和分析投资的要求。它直接响应了“为识别，保护，检测，响应和回收关键DIB元件制定综合方法，从而确保关键武器系统和生产节点的可靠性和完整性。“13. 该战略与2024年NDIS的优先事项保持一致，以扩大小企业的资源，提高脆弱性缓解和供应链弹性，并加强对网络攻击的执法。 该战略由NIST CSF提供信息，这是NIST与利益相关者（包括私营企业）协调发布的一套自愿性标准，指南和实践。2013年EO 13636，改善关键基础设施网络安全的直接结果，14 NIST CSF是该部门建议公共和私营部门组织在管理和减少网络安全风险时参考的主要框架。DoD的网络安全参考架构结合了NIST CSF，联合能力区域分类，MITRE ATT和CK ®框架以及MITRE D3FEND ™框架，以描述和提供架构中应该存在的功能的支持原理。新闻部继续以身作则，采用了CSF，并就其对其他信息环境的适用性向DIB提供了教育机会。 网络安全被DIB SSP15确定为“可以说是国家面临的最紧迫的基础设施保护问题”。该战略是朝着DIB SSP中概述的国防部目标迈出的一步，即保护网络空间并为长期成功创造条件。 最后，CISA的《2024 - 2026财年网络安全战略计划》概述了与国防部DIB网络安全战略相一致的目标和目标。CISA旨在推动缓解可利用的漏洞，提高网络安全能力，并促进网络安全投资的持续实施。 目标和目标 DIB的网络安全对于国防部国家安全任务的成功至关重要。保护DIB承包商信息环境免受恶意网络活动的影响不亚于保护国防部的信息环境。通过保护DIB中的敏感信息，运营能力和产品完整性，该部门将更好地实现生成，可靠性和保存。 美国作战能力。 为支持这项任务，该部将与许多部门，计划经理和DIB协调，寻求实现四个主要目标。支持这一战略中提到的目标的许多努力已经开始，或者已经成为该部几十年或更长时间来的DIB网络安全方法的一个要素。该战略旨在加强这些工作的重点、协作和整合，最终提高国防网络安全生态系统的弹性。 MISSION 加强DIB网络安全的国防部治理结构 目标1.1:加强跨领域网络安全问题的机构间合作1.2:推进DIB承包商和分包商网络安全责任法规的制定 目标1 增强DIB的网络安全态势 2.1:评估DIB符合DoD的网络安全要求2.2:通过DIB改进威胁、漏洞和网络相关情报的共享2.3:识别DIBIT网络安全生态系统中的漏洞2.4:从恶意网络活动中恢复2.5:评估网络安全法规、政策和要求的有效性 在网络环境中保持临界DIB能力的抗性 目标3.1:优先考虑关键DIB生产能力的网络弹性 3.2:在政策中确立关键供应商和设施网络安全的优先重点 改善与DIB的网络安全协作 目标4.1:利用与商业互联网、云和网络安全服务提供商的协作来增强DIB网络威胁意识4.2:与DIBSCC合作以改善与DIB的沟通和协作4.3:改善与DIB的双向通信并扩大公私网络安全合作 目标1.加强DIB网络安全的DoD治理结构 保护DIB网络空间需要众多办公室和机构进行协调，并要求当局与支持目标和活动的同步保持一致。DSD于2022年2月批准更新部门在DIB网络安全方面的目标，要求，资源以及角色和责任。为