美國國土安所有網絡安全組織和職能

美國立法權、行政權和司法權三權分立，美國國會擁有惟一的立法權力，美國總統擁有行政決策權。在網絡安全方面也是如此，國會經過網絡安全法規立法，總統指導聯邦政府對國家網絡安全負責，總統可發佈網絡安全方面的行政令。現行的各項網絡安全法規和戰略都是美國民主與共和兩黨、政府與國會達成的一致共識。

在行政層面，美國網絡安全強調網絡彈性（Cyber Resilience）、網絡犯罪（Cyber Crime）以及網絡防護（Cyber Defence）。聯邦政府主要網絡安全職能部門：美國司法部（DOJ）、美國國土安所有（DHS）以及美國國防部（DOD），這幾個機構都在網絡安全方面發揮着相當重要的做用，協同落實美國國家網絡安全戰略部署。其中，美國司法部的下屬的聯邦調查局（FBI），負責網絡犯罪的網絡取證、調查，負責國內網絡威脅情報的收集、分析，對網絡安全事件提供支持。美國國土安所有（DHS），主要職能是保護國家重要基礎設施，牽頭網絡安全事件處理，網絡威脅共享和漏洞分析，在管轄權內調查網絡犯罪。美國國防部（DOD）保護國家不受攻擊，收集國外的情報，負責軍事系統網絡安全，對網絡安全事件提供支持，對軍事網絡犯罪進行調查。其餘網絡安全情報機構（如 NSA）、研究機構（如 NIST）以及監督機構（如 GAO），本文不作討論。

其中，美國國土安所有（DHS）是美國政府履行網絡安全職能的重要機構之一，本文將介紹 DHS 的發展歷史、網絡安全職能、主要組成機構、網絡安全預算以及兩個重要的網絡安全項目。

>>>國土安所有（DHS）組織架構 <<<

 發展歷史

 

美國國土安所有可追溯至 2001 年發生的911 事件，911 事件促成了聯邦政府自第二次世界大戰以來最大的重組之一，美國參議院正式經過《國土安全法案》，布什總統簽署執行，於 2003 年 1 月 24 日正式成立國土安所有（DHS）。國土安所有初期包括 22 個機構，包括海岸警衛隊、移民局、海關總署、聯邦緊急管理局、交通安全局以及農業部等。

DHS的初始任務重點是防止恐怖主義襲擊，減少國家安全風險，儘可能減小攻擊形成的損害和增長美國的彈性恢復力，而網絡安全是一個「次要關注和責任」。

目前國土安所有是聯邦政府第三大部門，僱用了大約 24 萬人，由 15 個部門組成：7 個前線或業務部門和 8 個支持部門。其中，業務部門負責一線行動，以保護國家，而支持部門則提供資源、分析工具、設備、服務和其餘支持工做。

  網絡安全相關部門

 

DHS 有 10725 個網絡安全相關職位，其主要網絡安全職能部門有兩個：國家保護與計劃管理局（NPPD）和科學技術局（S ＆ T），其餘如美國海關與邊境保護局（CBP）、美國特勤局（USSS）、美國公民和移民服務局（USCIS）等主要是保護本身部門的系統、網絡和數據，美國移民及海關執法局（ICE）提供計算機調查和取證技能方面的培訓。

 國家保護與計劃管理局

國家保護與計劃管理局（NPPD）是 DHS的網絡安全的主要部門，於 2007 年成立，有3477 名員工。

近日美國衆議院經過一項重要提案，將重組 NPPD，改名爲「網絡安全和基礎設施局」（Cybersecurity and Infrastructure Security Agency, CISA），目前法案還在推動過程當中，若是該法案最終經過，NPPD 將從一個「Directorate」提高爲一個「Agency」，機構預算和經費管理將更爲獨立，更加明確其在保護網絡空間安全、基礎設施和應急方面的重要做用。

目前的國家保護與計劃管理局（NPPD）下設五個辦公室 ，組織架構如圖 1 所示。

 

圖 1 國家保護與計劃管理局（NPPD）組織結構

生 物 識 別 身 份 管 理 辦 公 室（OBIM） 負 責DHS 企業範圍內的生物識別身份服務。基礎設施保護辦公室（IP）在國家層面牽頭，下降關鍵基礎設施的風險，並在恐怖襲擊、天然災害或其餘緊急狀況發生後幫助作出響應並迅速恢復。

國家網絡安全和通訊整合中心（CS ＆ C）牽頭國家網絡安全和應急通訊，實現及時響應和恢復。它還負責聯邦政府、關鍵基礎設施全部者和運營商以及其餘利益相關方的應急計劃。

網絡和基礎設施分析辦公室（OCIA）協助聯邦、州和當地的合做夥伴經過綜合分析、基礎設施優先排序、建模和模擬來了解國家重要基礎設施的危害和後果。

聯邦防禦服務（FPS）負責確保員工和工做場所的安全。

國家保護與計劃管理局（NPPD）中最著名的二級機構分別是國家網絡安全和通訊整合中心（NCCIC）與網絡安所有署（NSD）。NCCIC負責 7×24 的監測針對美國重要 / 關鍵基礎設施的網絡攻擊，以及針對美國國家安全的網絡威脅。而 NSD 負責三大著名的網絡安全計劃的建設、開發工做：國家網絡安全保護系統（NCPS）、持續診斷與緩解（CDM）和加強型網絡安全服務（ECS）。 NCCIC 由四個部門組成 ，如圖 2 所示。

 

圖 2 NCCIC 組織結構

⑴ NCCIC 運營和整合中心 (NO&I) 負責規劃、協調和集成能力，以同步分析、信息共享和事件響應。⑵ US-CERT：負責提高國家網絡安全能力，協調網絡信息共享，積極管理政府和私營部門的網絡風險。⑶ 工 控 系 統 網 絡 應 急 響 應 小 組（ICS-CERT）：增強工業控制系統的安全性和彈性，採起措施下降國家關鍵基礎設施的風險。⑷ 國家通信協調中心（NCC）負責協助政府，私營企業和國際合做夥伴共享和分析威脅信息，評估通訊基礎設施的運行情況，瞭解通訊基礎設施的風險情況。

 

 科技局下屬的網絡安所有（CSD）

 

科技局（S ＆ T）下屬的網絡安所有門（CSD），其主要職能與網絡安全研發相關，包括方向規劃、新技術和工具的研發、科技成果轉化、網絡空間安全防禦，具體目標：

⑴ 增強關鍵基礎設施的安全性和彈性，確保聯邦政府信息技術企業的安全；⑵ 高級的取證、事件響應和報告能力；⑶ 增強生態系統，推進網絡生態系統中創新的、成本效益高的安全產品，服務和解決方案 ;⑷ 推進科研轉換，促進信賴的網絡基礎設施 ; 培養網絡安全專業人才；⑸ 提升公衆意識並推廣網絡安全最佳實踐 ; ⑹ 推進國際參與，促進能力建設，國際標準和合做。

 

CSD 還 會 與 一 些 行 業 深 度 合 做， 例 如LOGIIC 項目，LOGIIC 是石油和自然氣公司以及美國國土安全與科技局（DHS S ＆ T）正在進行的合做項目，促進合做研究、開發，測試和評估程序，以提升石油行業控制系統的網絡安全。

 DHS 的近兩年的網絡安全預算

 2019 年安全預算

2019 財 年 國 土 安 全 部 預 算 總 需 求 爲744.38719 億美圓 ，其中網絡安全方面強調的是關鍵基礎設施安全和彈性（Resilience），重點任務預算爲：

⑴ 持續性診斷和緩解計劃（CDM）2.376 億美圓；⑵ 國 家 網 絡 安 全 保 護 系 統， 也 稱 爲EINSTIEN 計劃，4.068 億美圓； ⑶ 1.582 億美圓用於確保國家的應急通訊能力，包括下一代網絡優先服務（NGN-PS）計劃 4260 萬美圓；⑷ 1180 萬美圓用於創建軟目標安全計劃（Soft Target Security Program）。該方案將提供創新的方法，處置由恐怖分子和其餘極端主義行動者構成的風險。按機構來看，NPPD 的預算是 334.8261 億美圓，僱員 3607 人。科技局的預算爲 58.3283 億美圓。

 2018 年安全預算

2018 財 年 國 土 安 全 部 預 算 總 需 求 爲706.92491 億美圓 ，其中網絡安全方面的重點任務預算爲：

⑴ 9.713 億美圓用於與公共、私營和國際合做夥伴合做，提升美國網絡基礎設施的安全性，其中包括持續診斷和緩解計劃（CDM）的 2.79億美圓；⑵ 國家網絡安全保護系統 3.972 億美圓，用於繼續爲聯邦民政部門和機構部署新的入侵預防，信息共享和分析功能；⑶ 爲下一代網絡（NGN）提供 5650 萬美圓，NGN 對於協調聯邦政府的規劃和提供國家安全和應急準備信息交流相當重要；⑷ NCCIC 增長 4920 萬美圓。按機構來看，NPPD 的預算是 327.7489 億美圓，僱員 3592 人。科技局的預算爲 62.7324 億美圓。

 安全預算分析

 

2018 年和 2019 年的安全預算變化狀況如表 1 所示。

表 1 預算變化狀況（單位：億美圓）

能夠看出，美國 DHS 網絡安全預算整體是呈現增加趨勢，兩個重點的項目都有持續性投入。

 

 

>>>DHS 網絡安全職能<<<

重要政策和戰略中對 DHS 在網絡安全方面的定位

2002 年布什政府將核心威脅認定爲恐怖主義，發佈《國土安全法》，成立了國土安所有，「反恐」是首要職能，網絡安全不是其首要職能，但也定義了 DHS 對關鍵基礎設施安全的職能，明確 DHS 要增強聯邦和非聯邦的網絡安全，共享與關鍵基礎設施相關的網絡威脅信息，並提供事件響應的支持，並明確其下屬 NCCIC 的定位。

2012 年奧巴馬政府發佈的《保護網絡空間的國家戰略》，提出了「國際網絡空間」的概念，並明確了 DHS 在關鍵基礎設施安全保護的牽頭做用，是協調聯邦政府各部門、州政府、地方機關、私營企業和科研機構的網絡空間安全戰略防禦的指揮部。

2013 年 2 月發佈的第 13636 號行政命令 《加強關鍵基礎設施網絡安全》指出保護關鍵基礎設施成爲美國網絡安全的重點，要求國土安所有增長網絡威脅信息共享的數量、及時性和質量。2015 年《國土安所有科技改革與提升法案》明確了 DHS 網絡安全技術研發的職能。 2015 年網絡安全法規定了 DHS 內部職能和流程。

特朗普政府網絡安全行政令和戰略

特朗普政府堅持「網絡威脅是美國面臨的最嚴重的國家安全危險之一」， 繼續推行美國的網絡空間國際戰略。2017 年 5 月發佈行政令《強化聯邦網絡和關鍵基礎設施網絡安全》進一步強調了 DHS 的做用，DHS 牽頭保護聯邦政府網絡，抵禦網絡安全威脅，與國家、地方和部落政府以及國際合做夥伴和私營部門共享網絡安全信息。各聯邦政府機構在 90 天內製定風險管理報告，並提交給國土安所有部長。在關鍵基礎設施網絡安全方面，要求關鍵基礎設施於 180天內提交網絡安全風險評估報告。DHS 統籌聯邦政府信息技術設施的現代化建設。

2017 年 12 月特朗普政府發佈任內首份《國家安全戰略報告》，提出加強美國的實力，包括在太空和網絡空間的實力，保障美國在網絡時代的安全。提升關鍵基礎設施的安全性和彈性，評估六個關鍵領域的風險：國家安全、能源和電力、銀行和金融、健康和安全、通訊和運輸等。

現 任 DHS 的 部 長（Kirstjen M. Nielsen） 是資深網絡安全專家，在國土安全政策與戰略、網絡安全、關鍵基礎設施和應急管理等領域經驗豐富，特朗普總統對 DHS 部長的任命也能看出特朗普政府對網絡安全領域的重視。

 DHS 的主要職責

 保護聯邦政府民用網絡的安全

DHS 負責民用聯邦政府網 (‘.com’和 ‘.gov’域名 ) 系統的安全運行，同時直接支持相關民事部門和機構的能力開發，改善網絡安全。經過網絡威脅分析，風險評估，緩解和事件響應能力確保其網絡安全。還負責協調國家對重大網絡事件的響應，以及爲政府建立和維護網絡空間的共同場景。

國家保護與計劃管理局（NPPD）經過國家網絡安全保護系統（NCPS）及 EINSTEIN 保護能力，採用技術來檢測和阻止入侵。

NPPD 經過創建持續診斷與緩解（CDM）服務能力，經過向一系列傳感器提供網絡安全風險的數據，將風險呈如今可供技術人員和管理人員使用的自動化和持續更新的儀表板中，以提升機構可以查看和抵制平常的網絡威脅。這些功能將落地美國國家標準與技術研究院（NIST）制定的指導方針，並使聯邦機構可以從合規驅動的風險管理轉向數據驅動的風險管理。

 保護關鍵基礎設施

關鍵基礎設施是美國國家和經濟安全的支柱。DHS 協調國家對網絡事件的保護、預防、緩解和恢復，並按期與行業、企業和運營商合做，採起措施增強其關鍵基礎設施安全。DHS 還對關鍵基礎設施進行現場風險評估，並與州、地方和私營部門分享風險和威脅信息。DHS 通 過 提 供 關 鍵 的 網 絡 威 脅、 漏 洞 和緩解攻擊的數據，經過信息共享和分析中心（ISAC），加強了包括州和地方一級以及工業控制系統全部者和運營商在內的利益相關方的態勢感知能力。NCCIC 提供 7×24 的網絡態勢感知、事件響應和管理中心，是聯邦政府、情報機構和執法機構的國家網絡和通訊協做聯盟。

 網絡威脅的響應

DHS 負責協調和響應影響重要基礎設施的重大網絡或物理事件。多年以來，NCCIC 已對近百萬份事件報告作出響應，並向公共和私營部門合做夥伴發佈了幾萬項可指導操做的網絡安全告警。

美國計算機應急準備小組（US-CERT）、工業控制系統網絡應急響應小組（ICS-CERT）是 NCCIC 的組成部門，爲聯邦民用機構網絡以及私營部門合做夥伴提供反應支持和防護。國土安所有還經過網絡自我評估工具爲業主和運營商受權，超過 1000 家公司使用網絡自我評估工具，以及面對面和在線培訓。

美國國土安所有（DHS），司法部（DOJ）和國防部（DOD）在應對對美國構成威脅的網絡安全事件方面發揮了關鍵做用。DHS 以多種方式支持合做夥伴。例如，做爲武裝部隊的美國海岸警衛隊已經與美國網絡司令部和美國戰略司令部合做進行軍事網絡行動。

 減小網絡犯罪

DHS 依靠美國保密服務機構（USSS）和美國移民和海關執行機構（ICE）的技能和資源，並與合做夥伴合做調查網絡犯罪分子。同時，DHS 與各類國際合做夥伴合做打擊網絡犯罪。此外，國家計算機取證研究所已對 1000 多名國家和地方執法官員進行了培訓，以進行網絡入侵和電子犯罪調查和取證職能。數百名檢察官和法官以及私營部門的表明也接受了關於網絡入侵事件響應，電子犯罪調查和計算機取證考試的培訓。

創建夥伴關係

DHS 做爲政府網絡安全宣傳和意識的協調中心。使聯邦政府可以迅速向州和地方政府有效地提供關鍵的網絡威脅、風險、漏洞和緩解數據。

DHS 還經過諸如受保護的關鍵基礎設施信息（PCII）計劃等夥伴關係與業界創建了密切的工做關係，該計劃增強了基礎設施全部者與運營商和政府之間的自願信息共享。

此外，DHS 與國際合做夥伴緊密合做，增強信息共享，提升態勢感知能力，提升事件響應能力，並協調戰略性政策問題以支持政府的網絡空間國際戰略。

促進創新

聯邦政府依靠各類各樣的利益相關者來進行有效的研究和開發項目，以應對日益複雜的網絡威脅。這包括學術和科學界開展的研究和開發活動。

科技局創建了「科技轉換計劃」，促進網絡安全技術並鼓勵其成功轉用。

網絡人才培養

 

DHS 創造了一系列獎學金和項目來吸引頂尖人才。在全國範圍內與中等和高等教育機構進行網絡安全人才培養。

 

 

 

>>>  DHS 兩大重要網絡安全項目<<<

 

國家網絡安全保護系統（NCPS）

 

國家網絡安全保護系統（NCPS）是爲幫助聯邦機構對抗信息安全威脅而開發的工具集，也稱爲愛因斯坦計劃，向聯邦機構提供四種網絡安全服務的能力：入侵檢測、入侵預防、分析和信息共享。

NCPS 最初建立於 2003 年，目標是在政府網絡出口部署入侵檢測、流量檢測、入侵防禦系統來提供攻擊的早期預警和攻擊防禦，表 2概述了該計劃各個階段的目標。

表 2 愛因斯坦計劃

持續診斷和緩解計劃（CDM）

爲 了 支 持 聯 邦 政 府 信 息 安 全 持 續 監 測（ISCM）的要求，持續診斷和緩解計劃（CDM）聯合多個服務商，爲美國國土安所有、聯邦、州和地方政府提供持續監控工具，增強政府網絡空間安全、評估和打擊實時網絡空間威脅，並將持續監控做爲一種服務手段（雲服務），提供給須要的政府單位的網絡空間監控和安全風險緩解服務。

CDM 的四個階段：

階段 1：「網絡上有什麼？」

管理「網絡上的內容？」須要管理和控制設備（HWAM），軟件SWAM），安全配置設置（CSM）和軟件漏洞（VUL）。

階段 2：「誰在網絡上？」

管理「誰在網絡上？」須要管理和控制賬戶 / 訪問 / 管理權限（PRIV），授予訪問權限（TRUST）的信任肯定，證書和認證（CRED）以及安全相關行爲培訓（BEHAVE）。

階段 3：「網絡上發生了什麼？」

管理「網絡上發生了什麼？」基於 「網絡上有什麼？」和「誰在網絡上？」，這些 CDM功能包括網絡和周邊組件，主機和設備組件，靜止和傳輸中的數據以及用戶行爲和活動。這些功能超出了資產管理範圍，須要更普遍和動態地監控安全控制。包括準備和響應事件，確保將軟件 / 系統質量集成到網絡 / 基礎設施中，檢測內部行爲和以肯定誰在作什麼，減輕安全事件以防止在整個網絡 / 基礎設施中傳播。

階段 4：「數據如何受到保護？」

第四階段的目標是持續監控網絡安全風險，根據潛在影響優先處理風險，並使網絡安全人員可以首先處置重大問題。

 

>>> 結語<<<

 

美國網絡空間戰略是逐漸造成的，也是美國民主、共和兩黨政府在網絡安全事務上輪流接力、不斷充實的產物。特朗普政府繼續推行美國的網絡空間國際戰略，突出網絡安全做用，網絡安全已經成爲美國國家安全的重要組成部分。

做爲網絡安全責任落地的重要機構之一，美國國土安所有（DHS）的主要責任是網絡空間安全性和彈性（resilience），從國家層面承擔了

重要基礎設施和聯邦非涉密信息網絡安全工做，是國家級的威脅分析和應急機構。

經過持續性投入重要的項目和計劃，DHS得到了爲政府機構和重要基礎設施提供持續性安全保障能力和網絡安全監測能力，造成了網絡安全事件的應急響應機制，推動公有部門和私營企業的威脅情報共享和合做。同時，DHS 還積極推進網絡安全研發和科研轉換機制，推動產業界參與併爲網絡空間安全作貢獻，共同促進了美國網絡空間安全。