揭秘CISA——保護關鍵基礎設施免受網路威脅的新聯邦機構

2018年10月，網路安全與基礎設施安全局（簡稱CISA）法案獲參議院通過，並最終正式獲得美國總統簽署成為法律。該法案將國家保護與計劃局（簡稱NPPD）重組為網路安全與基礎設施安全局（簡稱CISA），以識別威脅，共享信息並協助事件響應，以保護國家的網路和關鍵基礎設施安全。

CISA的定義

CISA全稱為「網路安全和基礎設施安全局」（The Cybersecurity and Infrastructure Security Agency），它是一個新成立的聯邦機構，旨在保護國家的關鍵基礎設施安全。

它是通過2018年的《網路安全和基礎設施安全局法案》創建的，該法案於2018年11月16日正式獲得簽署成為法律。該法案將國土安全部屬下的國家保護與計劃局（簡稱NPPD）重組為網路安全與基礎設施安全局（簡稱CISA），並將NPPD的資源和責任全部轉移到了新成立的機構。據悉，在該法案通過之前，NPPD負責管理幾乎所有國土安全部的網路安全相關事宜。

CISA成立後，便由其負責保護國家的關鍵基礎設施免受物理和網路威脅。其使命是「建立防禦網路攻擊的國家能力，並與聯邦政府合作，提供網路安全工具、事件相應服務和評估功能等，以保護支持合作夥伴部門和機構基本運營的.gov網路安全。」

在CISA內部有兩個主要中心，是該機構實現使命的關鍵所在：第一個是國家網路安全和通信集成中心（簡稱NCCIC），主要負責為聯邦政府；州、地方、部落和地區政府；私營部門以及國際合作夥伴等提供24X7全天候的網路態勢感知、分析、事件響應和網路防禦能力；第二個主要中心即國家風險管理中心（簡稱NRMC），它是一個規劃、分析和協作中心，致力於識別和解決國家關鍵基礎設施面臨的最重大安全風險。

像之前的NPPD一樣，CISA同樣隸屬國土安全部（DHS），同時負責監督聯邦保護服務（FPS）、網路和基礎設施分析辦公室（OCIA）、網路安全和通信辦公室（OC＆C）以及基礎設施保護辦公室（OIP）。（編者按：然而，按照2018年的CISA法案規定，國土安全部審查是否應將FPS——負責近10,000個聯邦建築物及其居住者的人身安全，轉移到DHS內的另一個母機構或其他聯邦機構。此外，它還將生物識別身份管理辦公室從NPPDZ轉移到了國土安全部管理局）。

憑藉其創建和提升聯邦機構地位的能力，CISA成為了DHS內部的一個獨立機構，完全可以與特勤局或聯邦緊急事務管理局（FEMA）相提並論。前NPPD副局長Christopher Krebs是CISA的第一任主任。前NPPD副部長Matthew Travis是新機構的第一任副主任。2020財年總統的預算案建議為DHS投資19.19億美元，其中負責全國網路安全防護的CISA預算約為10億多美元，占部門網路安全總預算過半。據悉，在2020財年預算安排中，CISA項目主要分為五大類：

（1）聯邦網路安全。包括3個項目：全國網路安全保護系統（NCPS）、持續診斷與緩解（CDM）、聯邦網路安全彈性（FNR）。主要任務是保護聯邦政府網路安全、提升高價值資產安全防護水平。預算合計6.94億美元。

（2）網路預備與響應。包括國家網路安全和通信中心（NCCIC）運營、規劃與演習，主要任務是為全國網路安全提供持續保障，2020財年預算為2.48億美元。

（3）網路基礎設施彈性。包括4個項目：網路安全教育與意識、加強網路安全服務、網路安全顧問，以及新設的「網路安全技術戰略計劃」項目。主要任務是通過教育培訓、多部門合作和信息共享等多種手段，提升國家在遭遇網路攻擊和數據泄漏時，各項業務的正常運營能力，預算合計為6197.6萬美元。其中新設的「網路安全技術戰略計劃」獲得預算948.5萬元，主要目的是通過加速採用新技術、國際標準和規範，推動網路安全項目在網路安全能力、數據架構和戰略技術上的一致性。

（4）網路安全研發。用於支持網路安全技術研發所需運營和維護費，特別是架構分析、需求定義和數據建模工具的投入。預算為2409.1萬美元。

（5）風險管理。下設項目基礎設施分析，預算為471.5萬美元，其任務是支持國家風險管理中心（NRMC）開展對全國政府和私營部門的關鍵基礎設施風險進行識別、分析和管理。

CISA誕生的歷史背景

在2015年人事管理辦公室（OPM）遭到大規模破壞，致使2200萬現任及前任聯邦僱員的敏感個人數據遭到境外黑客泄露之後，許多專家開始越發清晰地認識到，DHS並沒有充分發揮其作用，對境外攻擊者滲透國家關鍵資源的行為做出有效的反應。隨著越來越多的境外攻擊者入侵美國IT基礎設施，以及其他針對美國的網路攻擊形式頻現，越來越多的專家開始呼籲建立一個新機構，以更好地處理這種日益嚴峻的網路安全問題。

在美國政治新聞網站——「政治」（Politico.com）上，美國陸軍司令David Petraeus和Kiran Sridhar表達了需要一個新的國家安全機構的想法，他們表示：

「DHS的網路安全戰略已經提交了超過一年的時間，事實說明該組織缺乏足夠的『品牌文化』來招聘和留住頂尖人才，而且許多公司已經證明不願意與之進行合作。」

DHS的網路安全戰略，即DHS《網路安全戰略》，發佈於2018年5月，該戰略描繪了DHS未來五年在網路空間的路線圖，為DHS提供了一個框架，指導該機構未來五年履行網路安全職責的方向，以減少漏洞、增強彈性、打擊惡意攻擊者、響應網路事件、使網路生態系統更安全和更具彈性，跟上不斷變化的網路風險形勢。該戰略與早期的第21號總統政策指示《關鍵基礎設施安全和彈性》都強調了一種管理風險的綜合方法，為建立一個獨立的網路安全機構提供了更大的信任。

CISA主任Krebs強調，這種綜合方法是CISA成立的基礎。NPPD成立時，它是「DHS內不同安全計劃的集合體，不能完全適合TSA、FEMA或其他已經建立的傳統機構」。因此，隨著時間的推移，特別是從網路安全的角度來看，威脅形勢已經發生了翻天覆地的變化，美國國會也澄清並強化了該部門的作用，很明顯，在這種情況下，該部門需要一個單一的聲音，一個單一的機構或組織來執行DHS的關鍵基礎設施保護和網路安全職能。

除了需要採用綜合方法來應對國家的網路安全威脅之外，CISA的成立還為了解決安全專業人士和政府官員經常提到的DHS所面臨的NPPD「品牌化」問題。根據Krebs的說法，前NPPD的名稱「難以理解且不好發音」，使得該組織的活動在關鍵利益相關者中難以辨認。

CISA的Travis在一次會議上表示：

「我不是一個挑剔語法的人，但是當你看到NPPD這個詞時，可能會發現不少問題：首先，網路（cyber）這一辭彙並不包含在名稱之內；第二，它要是直接叫『國家保護局』可能會好很多，因為畢竟這個名稱涵蓋了我們的工作職責。如果是叫『國家保護計劃局』，那也很好，雖然略顯啰嗦，但這確實是我們的工作程序。但它偏偏叫『國家保護和計劃局』。」

CISA的早期階段

該機構目前正在制定一項工作計劃，以解決各種各樣的責任並建立維持其可持續發展的網路安全綜合方法。Krebs介紹稱：

「我非常期待明年和未來兩年，我們給了自己兩年的時間來不斷完善該組織，並讓其發展成為人人皆知且滿足人們期待的CISA。」

由於創建了最新的組織和任務計劃，該機構目前正在與私營部門和政府利益相關者進行聽取會議。Krebs已經大體概述了具有「任務機會」和「任務風險」的5條發展路線，包括解決即將到來的5G網路的供應鏈威脅；提高選舉安全性；支持政府網路安全；保護工業控制系統以及持續關注物理安全問題。

在制定了長期戰略目標的同時，CISA也推出了一系列舉措。該機構正與信息和通信技術（ICT）供應鏈風險管理工作組的行業成員一起，努力確定和開發全球供應鏈風險的協作解決方案。此外，CISA還致力於選舉安全問題，建立了工作小組，彙集了廣泛的資源以確保在2020年選舉開始前迅速解決這一威脅。

2019年4月下旬，CISA發布了首批國家關鍵職能部門，這些職能部門確定了對政府和私營部門至關重要的職能，如電力分配或互聯網服務，其任何中斷都可能對安全，國家經濟安全，國家公共衛生或安全造成破壞性影響。此外，CISA也成為實施行政命令的關鍵角色，指導聯邦政府採取關鍵措施來強化和支持美國的網路安全從業者，因為網路安全部門正面臨著持續性的勞動力短缺問題。

最近，CISA的Krebs利用該機構新開發的可見性發布警告稱，伊朗正在加強其惡意網路活動，並尋求通過發動可以主動摧毀網路的破壞性「磁碟擦除器攻擊」（wiper attacks）來竊取數據和資金。

與關鍵基礎設施所有者和運營商合作

由於私營部門擁有並經營著美國的大部分關鍵基礎設施，因此，ISA認為與關鍵基礎設施所有者和運營商合作將是其完成使命的關鍵所在。目前，該機構正與行業合作夥伴密切合作，制定了關鍵職能清單，正如其機構發言人所言:

「不管是政府還是私營部門自身都不具備足夠的知識、權力或資源來實現這件事。公私合作夥伴關係才是有效的關鍵基礎設施安全和彈性戰略的基礎，利益相關者之間及時、可信的信息共享對於國家關鍵基礎設施的安全至關重要。」

與行業共享信息也是其他CISA計劃的關鍵所在，例如自動指標共享（AIS）計劃，這是一個早期預警系統，允許公司或聯邦機構在觀察過試圖入侵的行為後近乎實時地共享信息。AIS的目標是允許行業和政府合作夥伴在入侵發生之前保護好自身安全。

CISA表示，自2016年3月（包括其前身NPPD版本的時間框架）以來，它與合作夥伴已經共享了超過600萬個獨特的網路威脅指標。CISA發言人稱，該機構目前已有超過250個組織連接到其AIS伺服器以及4000多個第三方AIS連接。

除此之外，CISA還可以通過幫助組織使用美國國家標準與技術研究院（NIST）網路安全框架（CSF）以及其他機構最佳實踐，來助其更好地管理網路安全風險。最後，CISA鼓勵首席信息安全官們參與並加入到各自的信息共享和分析中心（ISAC），以促進其部門內的信息交流。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！