0 清除 对于开放式出版物 2024年3月21日 国防部 预审和安全审查办公室 国防工业基地网络安全战略 2024 执行摘要 国防部DIB网络安全战略是国防部的战略计划,旨在通过涵盖2024财年至2027财年的总体愿景和任务来增强DIB的网络安全和网络弹性。该战略概述了一系列四个目标及其各自的目标,这些目标与机构间的努力相一致,并由国防部利益相关者与DIB协调制定,以实现安全和有弹性的DIB信息环境,从而促进行业竞争力,创新和可持续增长。该战略支持我们武装部队当前和未来的需求,并支持与网络空间领域的机构间和其他关键角色的合作。 该战略与2022年国防战略(NDS),2023年国家网络安全战略和2023年国防部网络战略以及2024年国防部国防工业战略(NDIS)和国家标准与技术研究所(NIST)网络安全框架(CSF)并列。除了国家和国防部战略之外,美国国防部根据2020财年国防授权法(NDAA)第1648条和2021财年NDAA第1728和1737条的调查结果和回应也为这项工作提供了信息。 图2:2024-2027财年DoDDIB网络安全战略 2 目录 前文1 执行摘要2 介绍4 目标和目标10 目标1.加强DIB网络安全的DoD治理结构12 目标1.1加强跨领域网络安全问题的机构间合作13 目标1.2推进DIB承包商网络安全责任法规的制定分包商14 目标2.增强DIB16的网络安全态势 目标2.1评估DIB是否符合DoD的网络安全要求17 目标2.2改进与DIB18的威胁、漏洞和网络相关情报的共享 目标2.3识别DIB信息技术(IT)网络安全生态系统中的漏洞19 目标2.4从恶意网络活动中恢复20 目标2.5评估网络安全法规、政策和要求的有效性21 目标3.在网络竞争环境中保持关键DIB功能的弹性22 目标3.1优先考虑关键DIB生产能力的网络弹性23 目标3.2在政策中确立关键供应商和设施网络安全的优先重点24 目标4.改善与DIB25的网络安全协作 目标4.1利用与商业互联网、云和网络安全服务提供商的协作来增强DIB网络威胁意识26 目标4.2与DIBSCC合作,改善与DIB的沟通和协作27 目标4.3改善与DIB的双向通信,扩大公私网络安全协作27 结论30 附录I-缩写和缩写31 附录二-美国DIB部门33 附录三-DODDIBCSAAS服务和支持36 3 INTRODUCTION 美国依靠DIB的独创性,辛勤工作和爱国主义来提供保卫国家所需的必要专业知识,物资和基础设施。作为总统政策指令21(PPD-21)“关键基础设施安全和弹性”1中确定的16个关键基础设施部门之一,DIB是所有级别的国内外公司或组织进行研究和开发,设计、生产、交付和维护DoD系统、子系统和组件或零件,以及提供软件和其他关键服务以满足美国S.防御要求(见附录二)。国防部依靠DIB开发和生产创新和高度先进的技术 ,以便在冲突中,国防部的战士在采取行动支持美国时拥有一切可用的战场优势。S.国家安全利益,在竞争中,该部拥有可靠生产和交付所需的物资。 图3:士兵穿着集成视觉增强系统(IVAS)能力集3硬件,同时安装在华盛顿州Lewis-McCord联合基地的Stryker中。 国防部依靠DIB来确保私人拥有和运营的信息系统上的国防信息的安全性,以及承包商专有信息的安全性,这些信息是美国军方果断赢得的创新能力的基础。未经授权的访问, 1总统政策指令-关键基础设施安全和弹性,白宫,2013年2月12日,地址:https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-direction-critical -infrastructure-security-and-resil。 4 妥协,盗窃这些重要信息对美国国家和经济安全利益构成了迫在眉睫的威胁。该部门认识到,DIB中的全球网络代表着网络空间领域的基础优势,必须与国防部自己的协调加以保护和加强。 该部门依靠DIB来追求技术优势,提供关键支持并防止未经授权披露敏感信息,这不会对我们的对手造成损失 。无论大小,DIB公司都面临着俄罗斯,中国,伊朗和朝鲜等外国对手进行恶意网络活动的风险,此外还有非国家行为者,如暴力极端主义组织和跨国犯罪组织。出于间谍活动或破坏活动的目的,有时两者兼而有之,针对DIB的恶意网络活动可能导致未经授权的访问和释放敏感的U。S.政府(USG)数据,专有信息和知识产权,以及数据的破坏,无法开展业务,拒绝服务以及对财产的物理损害。 外国对手未经授权访问DIB系统和网络不仅提供了一种收集情报、窃取商业秘密和跨越几代研发的手段,而且还为未来针对关键基础设施漏洞、为战略通信目标操纵公共信息和其他后续网络操作提供了信息。更广泛地说 ,正如国防部副部长凯瑟琳·希克斯(KathleeHics)所说,这些网络攻击“威胁着美国S.以及全球经济所依赖的基于规则的秩序。“在敌对国家利用国家力量窃取知识产权,破坏商业活动并威胁供应链的环境中,市场无法有效运作。 今天,该部门划分了DIB网络安全在几个组成部分中的角色和职责,其中主要是国防部负责研究和工程的副部长 (USD(R&E))。负责采购和维持的副国防部长(USD(A&S))、负责政策的副国防部长(USD(P))、负责情报和安全的副国防部长(USD(I&S))和国防部首席信息官(CIO)。DIB网络安全的职责进一步细分为国家安全局(NSA),国防部网络犯罪中心(DC3),国防反情报和安全局(DCSA),美国网络司令部(USCYBERCOM)以及首席信息安全官和军事部门和作战司令部的项目经理。 为了鼓励DIB的网络安全最佳实践,该部门采用了多管齐下的方法,包括建立公私合作社,例如自愿的DoDDIB网络安全计划;3有助于,扩大和采用NIST标准,框架和指导;并与行业协会就网络安全,培训和实施进行合作,同时保持DIB承包商识别信息的匿名。《国家网络安全战略》认为“强有力的合作,特别是公共和私营部门之间的合作”是“确保网络空间安全的关键”。“4的。 2“国防部专注于保护国防工业基地免受网络威胁”,DavidVergan,国防部新闻,2022年2月7日,在https://www.defense.gov/News/News-Stories/Article/2926539/dod 专注于保护国防工业基地免受网络威胁/。 3DoDDIB网络安全计划在标题32第236部分中建立,联邦法规(CFR),DoDDIB网络安全活动,位于https://www.ecfr.gov/current/title-32/subtitle-A/chapter-I/subchapter-M /part-236。 4《国家网络安全战略》,第2页,白宫,2023年3月,网址:https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf。 5 部门与DIB协调,寻求建立和改善法规,政策,要求,计划,服务,试点,利益社区,公私合作社和机构间努力的组合,以实现更网络安全和弹性的DIB。 图4:当前国防部DIB网络安全工作 在国家一级,国防部通过实施加强对政府和非政府网络上的联邦信息的保护的计划来履行其关于《联邦信息安全现代化法案》的职责。这些计划符合行政命令(EO)13556.6建立的受控未分类信息(CUI)计划的要求。此外,该部门执行与PPD-21相关的职责,作为部门风险管理局(SRMA),负责提高DIB的安全性和弹性。和2021年5月12日的EO14028,其中要求政府机构除其他行动外,更新有关收集和保存网络安全事件数据并在政府范围内共享的合同语言。 为了应对当前和未来的挑战,该部正在发布该战略,以指导其应对DIB面临的不断变化的网络威胁。根据国家基础设施保护计划和PPD-21的要求,该战略将为国防部部门特定计划(SSP)的后续更新提供信息。在该战略中,该部将借鉴与DIB在与保护联邦信息相关的网络安全问题上的经验教训和成功合作,并扩大合作,以包括确保关键DIB供应商在国防中的连续性所需的可用性和完整性。该部门坚定地致力于加强DIB以应对当前的威胁,并致力于长期解决方案,以使网络空间在未来更具防御性和弹性。 5公法编号:113-283,《2014年联邦信息安全现代化法案》,网址:https://www.congress.gov/bill/113-congress/senate-bill/2521。 6EO13556-受控的未分类信息,白宫,2010年11月4日,在https://obamawhitehouse.archives.gov/the-press-office/2010/11/04/executive-order-13556-受控的未分类信息。 图5:美国海军中尉。JamesDbyosi和海军研究生院(NPS)助理教授ToyPollma与佛罗里达州巴拿马城的海军水面作战中心合作,对一次性可重复使用的远征战水下航行器(DREWUV)进行了测试。NPS的海军创新中心将与DIB,技术部门和学术界合作,通过应用研究,分析,原型设计和实验来解决复杂的挑战。 7 战略对齐 国防部DIB网络安全战略与2022年NDS,2023年国家网络安全战略,2023年国防部网络战略,网络安全和基础设施安全局(CISA)网络安全战略计划中提出的指导意见一致。7和DoD小型企业战略8该战略支持DoD组件和DIB承包商更充分地将NIST框架(NISTCSF)9整合到DIB运营计划和网络安全责任的执行中。 图6:DoDDIB网络安全战略调整 2022年NDS确立了针对美国及其盟国和合作伙伴的战略攻击的综合威慑任务,以建立具有弹性的联合部队和防御生态系统。国防生态系统的共同努力,以加强国防部,DIB以及一系列私营部门和学术企业的网络安全,这些企业创造并增强了联合部队的技术优势。 根据2023年国家网络安全战略中提出的指导意见,该战略旨在使用整个政府的方法来大规模破坏恶意网络活动,并加强DIB的网络安全,因为越来越有能力的对手采取破坏美国国家利益的策略。 7CISA网络安全战略计划FY2024-2026,CISA,2023年8月,网址:https://www.cisa.gov/sites/default/files/2023-08/FY2024-2026_Cybersecurity_Strategic _Plan.pdf。 8小型企业战略,国防部,2023年1月,在https://media.defense.gov/2023/Jan/26/2003150429/-1/-1/1/0/SMALL-BUSINESS-STRATEGY.PDF. 9《改善关键基础设施网络安全的框架》,第1.1版,NIST,2018年4月16日,地址:https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf。 10《国防战略》,国防部,2022年,第1页。 11国家网络安全战略,战略目标2.1,第14页。 8 该部门与DIB的合作,其中大部分是由小企业组成,这意味着帮助DIB保护自己免受越来越频繁和严重的网络安全威胁。该战略将改善DIB可用的网络安全资源的共享,以教育和使DIB公司了解如何最好地保护DIB系统并提高弹性。该战略还解决了提高网络安全法规,政策和要求的有效性的需要。 根据2023年国防部网络战略,该战略的目标旨在满足该部继续利用公私合作并支持快速信息共享和分析投资的要求。它直接响应了“为识别,保护,检测,响应和回收关键DIB元件制定综合方法,从而确保关键武器系统和生产节点的可靠性和完整性。“13. 该战略与2024