（中國信息安全測評中心，北京100085）

美國是世界科技大國，信息化技術給美國帶來了各種機會和發(fā)展，網絡安全風險和威脅也越來越受到重視。從21世紀初期，美國就開始了網絡安全工作的探索，從各種網絡安全法律、網絡安全戰(zhàn)略出臺，逐漸明確了聯邦政府的網絡安全機構、職責分工和協作機制。

美國立法權、行政權和司法權三權分立，美國國會擁有唯一的立法權力，美國總統擁有行政決策權。在網絡安全方面也是如此，國會通過網絡安全法規(guī)立法，總統指導聯邦政府對國家網絡安全負責，總統可發(fā)布網絡安全方面的行政令?，F行的各項網絡安全法規(guī)和戰(zhàn)略都是美國民主與共和兩黨、政府與國會達成的一致共識。

在行政層面，美國網絡安全強調網絡彈性（Cyber Resilience）、網絡犯罪（Cyber Crime）以及網絡防御（Cyber Defence）。聯邦政府主要網絡安全職能部門：美國司法部（DOJ）、美國國土安全部（DHS）以及美國國防部（DOD），這幾個機構都在網絡安全方面發(fā)揮著至關重要的作用，協同落實美國國家網絡安全戰(zhàn)略部署。其中，美國司法部的下屬的聯邦調查局（FBI），負責網絡犯罪的網絡取證、調查，負責國內網絡威脅情報的收集、分析，對網絡安全事件提供支持。美國國土安全部（DHS），主要職能是保護國家重要基礎設施，牽頭網絡安全事件處理，網絡威脅共享和漏洞分析，在管轄權內調查網絡犯罪。美國國防部（DOD）保護國家不受攻擊，收集國外的情報，負責軍事系統網絡安全，對網絡安全事件提供支持，對軍事網絡犯罪進行調查。其他網絡安全情報機構（如NSA）、研究機構（如NIST）以及監(jiān)督機構（如GAO），本文不做討論。

其中，美國國土安全部（DHS）是美國政府履行網絡安全職能的重要機構之一，本文將介紹DHS的發(fā)展歷史、網絡安全職能、主要組成機構、網絡安全預算以及兩個重要的網絡安全項目。

1 國土安全部（DHS）組織架構

1.1 發(fā)展歷史

美國國土安全部可追溯至2001年發(fā)生的911事件，911事件促成了聯邦政府自第二次世界大戰(zhàn)以來最大的重組之一，美國參議院正式通過《國土安全法案》，布什總統簽署執(zhí)行，于2003年1月24日正式成立國土安全部（DHS）。國土安全部初期包括22個機構，包括海岸警衛(wèi)隊、移民局、海關總署、聯邦緊急管理局、交通安全局以及農業(yè)部等。

DHS的初始任務重點是防止恐怖主義襲擊，減小國家安全風險，盡量減少攻擊造成的損害和增加美國的彈性恢復力，而網絡安全是一個“次要關注和責任”。

目前國土安全部是聯邦政府第三大部門，雇用了大約24萬人，由15個部門組成：7個前線或業(yè)務部門和8個支持部門。其中，業(yè)務部門負責一線行動，以保護國家，而支持部門則提供資源、分析工具、設備、服務和其他支持工作。

1.2 網絡安全相關部門

DHS有10725個網絡安全相關職位，其主要網絡安全職能部門有兩個：國家保護與計劃管理局（NPPD）和科學技術局（S＆T），其他如美國海關與邊境保護局（CBP）、美國特勤局（USSS）、美國公民和移民服務局（USCIS）等主要是保護自己部門的系統、網絡和數據，美國移民及海關執(zhí)法局（ICE）提供計算機調查和取證技能方面的培訓。

1.2.1 國家保護與計劃管理局

國家保護與計劃管理局（NPPD）是DHS的網絡安全的主要部門，于2007年成立，有3477名員工。

近日美國眾議院通過一項重要提案，將重組NPPD，更名為“網絡安全和基礎設施局”（Cybersecurity and Infrastructure Security Agency,CISA），目前法案還在推進過程中，如果該法案最終通過，NPPD將從一個“Directorate”提升為一個“Agency”，機構預算和經費管理將更為獨立，更加明確其在保護網絡空間安全、基礎設施和應急方面的重要作用。

目前的國家保護與計劃管理局（NPPD）下設五個辦公室[1]，組織架構如圖1所示。

圖1 國家保護與計劃管理局（NPPD）組織結構

生物識別身份管理辦公室（OBIM）負責DHS企業(yè)范圍內的生物識別身份服務。

基礎設施保護辦公室（IP）在國家層面牽頭，降低關鍵基礎設施的風險，并在恐怖襲擊、自然災害或其他緊急情況發(fā)生后幫助做出響應并迅速恢復。

國家網絡安全和通信整合中心（CS＆C）牽頭國家網絡安全和應急通信，實現及時響應和恢復。它還負責聯邦政府、關鍵基礎設施所有者和運營商以及其他利益相關方的應急計劃。

網絡和基礎設施分析辦公室（OCIA）協助聯邦、州和當地的合作伙伴通過綜合分析、基礎設施優(yōu)先排序、建模和模擬來了解國家重要基礎設施的危害和后果。

聯邦防護服務（FPS）負責確保員工和工作場所的安全。

國家保護與計劃管理局（NPPD）中最著名的二級機構分別是國家網絡安全和通信整合中心（NCCIC）與網絡安全部署（NSD）。NCCIC負責7×24的監(jiān)測針對美國重要/關鍵基礎設施的網絡攻擊，以及針對美國國家安全的網絡威脅。而NSD負責三大著名的網絡安全計劃的建設、開發(fā)工作：國家網絡安全保護系統（NCPS）、持續(xù)診斷與緩解（CDM）和增強型網絡安全服務（ECS）。

NCCIC由四個部門組成[2]，如圖2 所示。

圖2 NCCIC組織結構

⑴ NCCIC運營和整合中心 (NO&I)負責規(guī)劃、協調和集成能力，以同步分析、信息共享和事件響應。

⑵ US-CERT：負責提升國家網絡安全能力，協調網絡信息共享，積極管理政府和私營部門的網絡風險。

⑶ 工控系統網絡應急響應小組（ICSCERT）：加強工業(yè)控制系統的安全性和彈性，采取措施降低國家關鍵基礎設施的風險。

⑷ 國家通訊協調中心（NCC）負責協助政府，私營企業(yè)和國際合作伙伴共享和分析威脅信息，評估通信基礎設施的運行狀況，了解通信基礎設施的風險狀況。

1.2.2 科技局下屬的網絡安全部（CSD）

科技局（S＆T）下屬的網絡安全部門（CSD），其主要職能與網絡安全研發(fā)相關，包括方向規(guī)劃、新技術和工具的研發(fā)、科技成果轉化、網絡空間安全防護，具體目標是：

⑴ 加強關鍵基礎設施的安全性和彈性，確保聯邦政府信息技術企業(yè)的安全；

⑵ 高級的取證、事件響應和報告能力；

⑶ 加強生態(tài)系統，推動網絡生態(tài)系統中創(chuàng)新的、成本效益高的安全產品，服務和解決方案;

⑷ 推動科研轉換，促進信賴的網絡基礎設施;培養(yǎng)網絡安全專業(yè)人才；

⑸ 提高公眾意識并推廣網絡安全最佳實踐;

⑹ 推動國際參與，促進能力建設，國際標準和合作。

CSD還會與一些行業(yè)深度合作，例如LOGIIC項目，LOGIIC是石油和天然氣公司以及美國國土安全與科技局（DHS S＆T）正在進行的合作項目，促進合作研究、開發(fā)，測試和評估程序，以提高石油行業(yè)控制系統的網絡安全。

1.3 DHS的近兩年的網絡安全預算

1.3.1 2019年安全預算

2019 財年國土安全部預算總需求為744.38719億美元[3]，其中網絡安全方面強調的是關鍵基礎設施安全和彈性（Resilience），重點任務預算為：

⑴ 持續(xù)性診斷和緩解計劃（CDM）2.376億美元；

⑵ 國家網絡安全保護系統，也稱為EINSTIEN計劃，4.068億美元；

⑶ 1.582億美元用于確保國家的應急通信能力，包括下一代網絡優(yōu)先服務（NGN-PS）計劃4260萬美元；

⑷ 1180萬美元用于建立軟目標安全計劃（Soft Target Security Program）。該方案將提供創(chuàng)新的方法，處置由恐怖分子和其他極端主義行動者構成的風險。

按機構來看，NPPD的預算是334.8261億美元，雇員3607人。科技局的預算為58.3283億美元。

1.3.2 2018年安全預算

2018 財年國土安全部預算總需求為706.92491 億美元[4]，其中網絡安全方面的重點任務預算為：

⑴ 9.713億美元用于與公共、私營和國際合作伙伴合作，提高美國網絡基礎設施的安全性，其中包括持續(xù)診斷和緩解計劃（CDM）的2.79億美元；

⑵ 國家網絡安全保護系統3.972億美元，用于繼續(xù)為聯邦民政部門和機構部署新的入侵預防，信息共享和分析功能；

⑶ 為下一代網絡（NGN）提供5650萬美元，NGN對于協調聯邦政府的規(guī)劃和提供國家安全和應急準備信息交流至關重要；

⑷ NCCIC增加4920萬美元。

按機構來看，NPPD的預算是327.7489億美元，雇員3592人?？萍季值念A算為62.7324億美元。

1.3.3 安全預算分析

2018年和2019年的安全預算變化情況如表1所示。

表1 預算變化情況（單位：億美元）

可以看出，美國DHS網絡安全預算總體是呈現增長趨勢，兩個重點的項目都有持續(xù)性投入。

2 DHS網絡安全職能

2.1 重要政策和戰(zhàn)略中對DHS在網絡安全方面的定位

2002年布什政府將核心威脅認定為恐怖主義，發(fā)布《國土安全法》，成立了國土安全部，“反恐”是首要職能，網絡安全不是其首要職能，但也定義了DHS對關鍵基礎設施安全的職能，明確DHS要加強聯邦和非聯邦的網絡安全，共享與關鍵基礎設施相關的網絡威脅信息，并提供事件響應的支持，并明確其下屬NCCIC的定位。

2012年奧巴馬政府發(fā)布的《保護網絡空間的國家戰(zhàn)略》，提出了“國際網絡空間”的概念，并明確了DHS在關鍵基礎設施安全保護的牽頭作用，是協調聯邦政府各部門、州政府、地方機關、私營企業(yè)和科研機構的網絡空間安全戰(zhàn)略防護的指揮部。

2013年2月發(fā)布的第13636號行政命令《增強關鍵基礎設施網絡安全》指出保護關鍵基礎設施成為美國網絡安全的重點，要求國土安全部增加網絡威脅信息共享的數量、及時性和質量。

2015年《國土安全部科技改革與提高法案》明確了DHS網絡安全技術研發(fā)的職能。

2015年網絡安全法規(guī)定了DHS內部職能和流程。

2.2 特朗普政府網絡安全行政令和戰(zhàn)略

特朗普政府堅持“網絡威脅是美國面臨的最嚴重的國家安全危險之一”， 繼續(xù)推行美國的網絡空間國際戰(zhàn)略。2017年5月發(fā)布行政令《強化聯邦網絡和關鍵基礎設施網絡安全》進一步強調了DHS的作用，DHS牽頭保護聯邦政府網絡，抵御網絡安全威脅，與國家、地方和部落政府以及國際合作伙伴和私營部門共享網絡安全信息。各聯邦政府機構在90天內制定風險管理報告，并提交給國土安全部部長。在關鍵基礎設施網絡安全方面，要求關鍵基礎設施于180天內提交網絡安全風險評估報告。DHS統籌聯邦政府信息技術設施的現代化建設。

2017年12月特朗普政府發(fā)布任內首份《國家安全戰(zhàn)略報告》，提出增強美國的實力，包括在太空和網絡空間的實力，保障美國在網絡時代的安全。提高關鍵基礎設施的安全性和彈性，評估六個關鍵領域的風險：國家安全、能源和電力、銀行和金融、健康和安全、通信和運輸等。

現任DHS的部長（Kirstjen M. Nielsen）是資深網絡安全專家，在國土安全政策與戰(zhàn)略、網絡安全、關鍵基礎設施和應急管理等領域經驗豐富，特朗普總統對DHS部長的任命也能看出特朗普政府對網絡安全領域的重視。

2.3 DHS的主要職責

2.3.1 保護聯邦政府民用網絡的安全

DHS負責民用聯邦政府網(‘.com’ 和 ‘.gov’域名)系統的安全運行，同時直接支持相關民事部門和機構的能力開發(fā)，改善網絡安全。通過網絡威脅分析，風險評估，緩解和事件響應能力確保其網絡安全。還負責協調國家對重大網絡事件的響應，以及為政府創(chuàng)建和維護網絡空間的共同場景。

國家保護與計劃管理局（NPPD）通過國家網絡安全保護系統（NCPS）及EINSTEIN保護能力，采用技術來檢測和阻止入侵。

NPPD通過建立持續(xù)診斷與緩解（CDM）服務能力，通過向一系列傳感器提供網絡安全風險的數據，將風險呈現在可供技術人員和管理人員使用的自動化和持續(xù)更新的儀表板中，以提高機構能夠查看和抵制日常的網絡威脅。這些功能將落地美國國家標準與技術研究院（NIST）制定的指導方針，并使聯邦機構能夠從合規(guī)驅動的風險管理轉向數據驅動的風險管理。

2.3.2 保護關鍵基礎設施

關鍵基礎設施是美國國家和經濟安全的支柱。DHS協調國家對網絡事件的保護、預防、緩解和恢復，并定期與行業(yè)、企業(yè)和運營商合作，采取措施加強其關鍵基礎設施安全。DHS還對關鍵基礎設施進行現場風險評估，并與州、地方和私營部門分享風險和威脅信息。

DHS通過提供關鍵的網絡威脅、漏洞和緩解攻擊的數據，通過信息共享和分析中心（ISAC），增強了包括州和地方一級以及工業(yè)控制系統所有者和運營商在內的利益相關方的態(tài)勢感知能力。NCCIC提供7×24的網絡態(tài)勢感知、事件響應和管理中心，是聯邦政府、情報機構和執(zhí)法機構的國家網絡和通信協作聯盟。

2.3.3 網絡威脅的響應

DHS負責協調和響應影響重要基礎設施的重大網絡或物理事件。多年以來，NCCIC已對近百萬份事件報告做出響應，并向公共和私營部門合作伙伴發(fā)布了幾萬項可指導操作的網絡安全告警。

美國計算機應急準備小組（US-CERT）、工業(yè)控制系統網絡應急響應小組（ICS-CERT）是NCCIC的組成部門，為聯邦民用機構網絡以及私營部門合作伙伴提供反應支持和防御。國土安全部還通過網絡自我評估工具為業(yè)主和運營商授權，超過1000家公司使用網絡自我評估工具，以及面對面和在線培訓。

美國國土安全部（DHS），司法部（DOJ）和國防部（DOD）在應對對美國構成威脅的網絡安全事件方面發(fā)揮了關鍵作用。DHS以多種方式支持合作伙伴。例如，作為武裝部隊的美國海岸警衛(wèi)隊已經與美國網絡司令部和美國戰(zhàn)略司令部合作進行軍事網絡行動。

2.3.4 減少網絡犯罪

DHS依靠美國保密服務機構（USSS）和美國移民和海關執(zhí)行機構（ICE）的技能和資源，并與合作伙伴合作調查網絡犯罪分子。同時，DHS與各種國際合作伙伴合作打擊網絡犯罪。

此外，國家計算機取證研究所已對1000多名國家和地方執(zhí)法官員進行了培訓，以進行網絡入侵和電子犯罪調查和取證職能。數百名檢察官和法官以及私營部門的代表也接受了關于網絡入侵事件響應，電子犯罪調查和計算機取證考試的培訓。

2.3.5 建立伙伴關系

DHS作為政府網絡安全宣傳和意識的協調中心。使聯邦政府能夠迅速向州和地方政府有效地提供關鍵的網絡威脅、風險、漏洞和緩解數據。

DHS還通過諸如受保護的關鍵基礎設施信息（PCII）計劃等伙伴關系與業(yè)界建立了密切的工作關系，該計劃加強了基礎設施所有者與運營商和政府之間的自愿信息共享。

此外，DHS與國際合作伙伴緊密合作，加強信息共享，提高態(tài)勢感知能力，提高事件響應能力，并協調戰(zhàn)略性政策問題以支持政府的網絡空間國際戰(zhàn)略。

2.3.6 促進創(chuàng)新

聯邦政府依靠各種各樣的利益相關者來進行有效的研究和開發(fā)項目，以應對日益復雜的網絡威脅。這包括學術和科學界開展的研究和開發(fā)活動。

科技局建立了“科技轉換計劃”，促進網絡安全技術并鼓勵其成功轉用。

2.3.7 網絡人才培養(yǎng)

DHS創(chuàng)造了一系列獎學金和項目來吸引頂尖人才。在全國范圍內與中等和高等教育機構進行網絡安全人才培養(yǎng)。

3 DHS兩大重要網絡安全項目

3.1 國家網絡安全保護系統（NCPS）

國家網絡安全保護系統（NCPS）是為幫助聯邦機構對抗信息安全威脅而開發(fā)的工具集，也稱為愛因斯坦計劃，向聯邦機構提供四種網絡安全服務的能力：入侵檢測、入侵預防、分析和信息共享。

NCPS最初創(chuàng)建于2003年，目標是在政府網絡出口部署入侵檢測、流量檢測、入侵防護系統來提供攻擊的早期預警和攻擊防護，表2概述了該計劃各個階段的目標。

表2 愛因斯坦計劃

3.2 持續(xù)診斷和緩解計劃（CDM）

為了支持聯邦政府信息安全持續(xù)監(jiān)測（ISCM）的要求，持續(xù)診斷和緩解計劃（CDM）聯合多個服務商，為美國國土安全部、聯邦、州和地方政府提供持續(xù)監(jiān)控工具，加強政府網絡空間安全、評估和打擊實時網絡空間威脅，并將持續(xù)監(jiān)控作為一種服務手段（云服務），提供給需要的政府單位的網絡空間監(jiān)控和安全風險緩解服務。

CDM的四個階段：

階段1：“網絡上有什么？”

管理“網絡上的內容？”需要管理和控制設備（HWAM），軟件（SWAM），安全配置設置（CSM）和軟件漏洞（VUL）。

階段2：“誰在網絡上？”

管理“誰在網絡上？”需要管理和控制帳戶/訪問/管理權限（PRIV），授予訪問權限（TRUST）的信任確定，證書和認證（CRED）以及安全相關行為培訓（BEHAVE）。

階段3：“網絡上發(fā)生了什么？”

管理“網絡上發(fā)生了什么？”基于 “網絡上有什么？”和“誰在網絡上？”，這些CDM功能包括網絡和周邊組件，主機和設備組件，靜止和傳輸中的數據以及用戶行為和活動。這些功能超出了資產管理范圍，需要更廣泛和動態(tài)地監(jiān)控安全控制。包括準備和響應事件，確保將軟件/系統質量集成到網絡/基礎設施中，檢測內部行為和以確定誰在做什么，減輕安全事件以防止在整個網絡/基礎設施中傳播。

階段4：“數據如何受到保護？”

第四階段的目標是持續(xù)監(jiān)控網絡安全風險，根據潛在影響優(yōu)先處理風險，并使網絡安全人員能夠首先處置重大問題。

4 結語

美國網絡空間戰(zhàn)略是逐漸形成的，也是美國民主、共和兩黨政府在網絡安全事務上輪流接力、不斷充實的產物。特朗普政府繼續(xù)推行美國的網絡空間國際戰(zhàn)略，突出網絡安全作用，網絡安全已經成為美國國家安全的重要組成部分。

作為網絡安全責任落地的重要機構之一，美國國土安全部（DHS）的主要責任是網絡空間安全性和彈性（resilience），從國家層面承擔了重要基礎設施和聯邦非涉密信息網絡安全工作，是國家級的威脅分析和應急機構。

通過持續(xù)性投入重要的項目和計劃，DHS獲得了為政府機構和重要基礎設施提供持續(xù)性安全保障能力和網絡安全監(jiān)測能力，形成了網絡安全事件的應急響應機制，推進公有部門和私營企業(yè)的威脅情報共享和合作。同時，DHS還積極推動網絡安全研發(fā)和科研轉換機制，推進產業(yè)界參與并為網絡空間安全做貢獻，共同促進了美國網絡空間安全。