美国能源部网络安全战略-第二部分

能源部CIO的各项IT战略目标都有对应的具体网络安全目标及其主要任务

网络安全战略目标

能源部CIO的各项IT战略目标都有对应的具体网络安全目标及其主要任务,如下图所示。IT战略目标2的目标与NIST网络安全框架的各功能(识别、保护、检测、响应和恢复)对应。

目标1提供优质的IT和网络安全解决方案

目标1.1安全可靠的信息访问

要成功完成任务,能源部的员工和利益相关者须能安全可靠地访问关键系统、网络和信息资源。

主要任务:

  • 确保系统、网络和信息资源可用性,能够随时访问,方便能源部对关键功能进行完整生命周期管理;
  • 为服务提供商、客户和利益相关者提供及时准确的信息,让他们能够基于风险管理做出明智决策;
  • 确保部门高价值资产(HVAS)有网络安全保护和物理控制措施,且在整个生命周期内都有足够的管理和资源供应;
  • 加强企业数据和信息资源数据中心的网络安全;
  • 利用新的网络路径和安全数据传输技术,增加能源部站点和操作环境中的内外部信息流;
  • 将供应链风险管理(SCRM)与面向任务、基于风险的保护措施相集成,这些措施为IT服务、外部访问和协作提供支持;
  • 提供基于角色的增强网络安全培训要求和计划,确保用户充分认识到自己在保护能源部信息资源方面的责任。

目标2:持续提升网络安全状况

目标2.1识别增强组织管理网络安全风险的能力。

13800号行政命令要求部长实施风险管理措施,确保网络安全风险管理流程与战略运营和预算规划流程保持一致。为规范整个部门的网络安全风险活动,能源部将利用既定的指导方针(包括网络安全能力成熟度模型、网络安全评估工具和电力分部网络安全风险管理流程),制定通用标准,作为全部门能力分类以及网络安全风险评估的参考。能源部协力开发的部门级数据分类作为基线标准,将对综合网络安全指标报告起到规范作用。

网络安全战略与《能源部能源部门网络安全多年计划》目标一致,后者旨在提升监控、分析和共享OT威胁指标的能力。强大的安全性需要对企业IT环境和操作环境进行监控和保护。

主要任务:

  • 制定指导政策,通过使用自动化工具、加强内部控制措施、规范流程和报告提升网络安全健康状况,降低网络安全功能的成本和管理复杂性;
  • 采用可促进和加速创新IT解决方案安全集成的标准和流程;
  • 在将新的IT软硬件和固件集成到能源部的信息生态系统之前,对其进行评估,确保符合网络安全标准(以及法律和监管要求);
  • 监督、分析评估情况,全面了解能源部的风险状况。

目标2.2保护制定并实施企业控制措施以降低风险提升恢复能力通过劳动力培养与培训提高全部门网络安全意识。

能源部将继续开发需求和相应的解决方案,确保其信息资源的机密性、完整性和可用性。各种标准和最佳实践,无论来自何方,只要能够提高运营效率、降低成本并加速集成创新的IT解决方案,都会被能源部采纳。能源部不排除将标准提高到《联邦信息安全管理法案》(FISMA)、《信息共享与保护》(IS&S)等联邦网络安全要求所设定的标准之上,以便提升能源部及其利益相关者所接收服务的安全性、可靠性和有效性。能源部还会加强认证标准,更好地保护其信息资源,最大限度地减少内部威胁。

尤其重要的是,能源部将采取措施优化政策和控制,加强能源部基础设施和网络环境,包括尽量使用强身份验证、控制特权访问、审计评估以及身份、凭证和访问管理(ICAM)流程。全部门范围内的协作有利于建立可信框架和通用身份基础架构。能源部将部署网络安全资产和工具,在整个部门实施持续诊断和缓解(CDM),还将协助部署工具,加固国家主干电力系统的整体安全性。

能源部各职位人员的储备、培训和配置对于成功完成任务和保护部门信息资源至关重要。普遍的网络安全意识、行为和技能会提高能源部及时识别、评估和对抗潜在或实际威胁的能力。在网络安全培训、教育和意识方面进行投资,能够在部门内部形成网络安全文化,促使各类人员根据网络安全政策、程序和实践行事,对于一线防御不断增长的持续、普遍网络威胁起到事半功倍的作用。根据副部长所言,网络安全“是能源部所有人的任务—无论级别高低、职位如何和工作内容”。

为了使人员始终掌握最佳安全实践,能源部将加强网络安全培训和人员发展计划,包括针对特定角色的培训以及针对安全政策和程序、行为规范和用户意识的培训。能源部与国防部分享培训资源,实现成本节约。

主要任务:

  • 设计和实施网络安全要求、措施和解决方案,以加固能源部基础设施和网络环境,加强对信息资源的保护;
  • 在全部门内采用ICAM方法来控制对能源部信息资源系统和设施的访问;
  • 对能源部所有站点的增强型网络安全服务进行加固,提供支持;
  • 为能源部全员提供有关网络安全威胁、风险和影响的相关培训和教育,培养安全意识,从而实现责任到人,及时响应;
  • 通过基于角色的专业培训和发展,培养高素质的网络安全员工队伍;
  • 优化现有网络安全培训课程,包括人力绩效评估课程。

目标2.3检测开发工具和流程及时通告网络安全威胁

根据需要,能源部使用最先进的工具来加速整个部门的网络威胁检测、通知和响应。能源部的一项关键需求是获取具有可操作性的情报,为此确定了部门级的网络安全态势感知目标,建立了中心组织并且优先为该组织提供资源:联合网络安全综合协调中心(iJC3),通过实时协作,提供统一的标准化网络安全数据搜集和共享分析方法,同时允许各部门独立制定符合各自任务目标的不同网络安全战略。iJC3能够整合不同的网络安全功能并简化整个能源部范围内的信息共享,最终提升能源部的整体安全状况。

2016年7月发布的40号总统政策令(PPD)确定了业务连续性(COOP)计划要求,提出需要在制定COOP计划时涵盖IT系统流程和资源。能源部将与国土安全部国家保护和计划司(NNPD)合作,保护和增强能源部的物理和网络基础设施的恢复能力。此外,根据21号总统政策令《关键基础设施安全与弹性》,能源部是能源部门的行业机构。通过CRISP,CESER使用最初为保护能源部网络而开发的技术,通过分析数据流并使用机密的能源部信息共享和网络安全工具细化分析,帮助能源系统所有人和运营商识别其IT系统中的恶意流量。CRISP还为能源系统所有人和运营商搭建了平台,让他们可以近乎实时地自愿共享网络安全威胁数据,接收机器对机器威胁告警和缓解措施。电力信息共享和分析中心(E-ISAC)管理CRISP,目标是创建可持续性项目,由私营部门所有并运营。CESER旨在让能源部门更多地参与到数据共享工作中,通过CESER网络分析工具和技术(CATT)项目提升分析能力。CESER还通过OT环境网络安全(CYOTE)项目,尝试与公用事业公司进行实时OT数据共享和分析,开发更多的OT功能。

主要任务:

  • iJC3形成全面作战能力;
  • 全面实施CDM;
  • 增加和增强能源部整个范围内的分析和实时威胁信息共享,以提高整个部门的网络安全态势感知、事件检测和战术响应;
  • 提高运营能源基础设施的可见性,并在行业和政府之间建立共享的态势感知能力。

目标2.4响应快速分析、响应异常与可疑事件。

为有效对抗高级持续性威胁,能源部需要完善网络安全事件管理计划,包括扩展分析取证和响应策略,利用自动化工具简化信息技术安全,改善事件管理能力,并为一线运营商提供培训。要确定业务优先级并使能源部资源与需求相匹配,必须要有及时准确的态势感知。为此,能源部与联邦政府和能源部门所有人和运营商合作,着手开发尖端的网络安全解决方案,以加强和协调事件响应能力并共享资源。

能源部的响应工作主要由iJC3完成,该部门还为整个能源部的事件响应和报告提供统一的标准化方法。iJC3可与CRISP的数据流互通,互通的网络安全解决方案需要开发共通标准。

根据《能源部能源部门网络安全多年计划》,CESER和OCIO将继续与能源部的国家实验室合作,制定报告条例和关键信息要求,为内外部利益相关者处理紧急和常态情况提供通用作战图(Common Operating Picture)。目的明确的公私合作关系是能源部战略的基础。能源部国家实验室负有特别的责任,为行业和私营部门无力承担的创新研究、开发和验证(RD&D)提供资金。部长指出,美国依靠国家实验室在创新方面“超越”对手。能源部认为,RD&D投资可改变规则,推动国家的当前网络安全,提升网络恢复能力,同样重要的是,它为未来能源系统的可靠防御奠定了基础。

主要任务:

  • 就能源部网络安全事件报告和响应采用标准操作程序;
  • 支持iJC3的各项分类功能;
  • 定期测试能源部网络安全事件响应,包括全部门测试;
  • 将能源部门的网络安全数据整合到iJC3中;
  • 与能源部门的业主单位和运营商合作,制定信息报告要求,形成通用作战图。

目标2.5恢复制定、实施事件分类、响应和恢复流程抑制并消除网络安全威胁。

能源部需要集中精力识别、缩小业务连续性计划(COOP)和灾难恢复要素之间的差距以及所需IT和信息资源支持之间的差距。能源部将勉力支持网络安全要素,根据PPD 40、1号和2号联邦连续性指令(FCD)以及联邦应急管理署(FEMA)的国家连续性计划行事,提升恢复能力。COOP和灾难恢复计划(DRP)依赖于强大、可靠和冗余的IT基础设施和IT资源的可用性,包括对重要记录的访问。能源部各部门分布极为分散,功能多样,因而没有统一的灾难恢复计划。为了确保能源部任务成功,OCIO将对IT和IT资源进行差距分析,保证能源部能够在各种情况下(包括网络安全攻击)执行其主要关键功能(PMEF)和关键功能(MEF)。

OCIO将推动网络安全演习,这些演习不仅强调事件响应流程和协议,还强调恢复行动,包括复原。在针对偶发事件编制预算时,须考虑到重要的IT基础设施和系统可能会因网络攻击或自然灾害而长期不可用或丢失。能源部的多个部门须采用并审核DRP测试、培训和演习(TTX)计划。

主要任务:

  • 对COOP和DRP所需的IT和IT资源进行差距分析;
  • 确保所有的关键应用程序和基础设施持续运行,并具有足够的灾难恢复能力;
  • 对关键IT故障恢复系统进行实测。

目标3IT所有人过渡到IT代理人更好地聚焦于客户

目标3.1以客户为中心的网络安全

尽可能根据客户的专业需求和经营方式定制有效的网络安全措施。适应性越好,越容易部署,网络安全措施就越有效。同样,网络安全措施的价值主张必须向客户明确。此外,双方、网络安全防护方和客户的持续流程改进是长期成功的必要条件。客户若接收到充分信息,则会积极参与,也更有可能倾情投入到网络安全防护。理想情况下,充分合作的伙伴关系会从一开始就“融入”网络安全。流程本身必须具有迭代性和开放性,发现问题后要将其提交给能源部的IT、信息资源管理和网络安全治理流程解决,而无受罚之虞。

主要任务:

  • 制定并实施迭代流程,征求客户意见/反馈,确定并了解客户需求和挑战;
  • 为网络安全措施提供价值主张;
  • 将客户需求纳入到能源部的IT、信息资源管理和网络安全治理流程信息流中;
  • 制定并实施网络安全措施,通过充分合作的客户关系促进任务成功,在这种合作关系下,客户充分了解情况,积极参与,无需担心因主动上报自身情况而受到惩罚。

目标4管好纳税人的钱

目标4.1基于风险的方法

按照FISMA、13800号行政命令和网络安全框架的要求,网络安全战略采用了风险管理方法。能源部CIO是由部长授权的高级机构官员,负责整个能源部的网络安全风险管理。从现实角度出发,能源部需要将有限的资源优先用于关键任务要求,同时认识到网络安全事件的严重性。

能源部的IT项目规划、执行、管理和采购环节都应考虑网络安全风险。能源部需要培训、配置和部署网络、系统和数据责任人,他们应了解采用网络安全措施的价值主张,以便在各种情况下均能完成任务。数据责任人是数据的实际接收者,因此也是风险承担者。同时,他们还是客户。因此,他们将与网络安全服务提供商打交道并与之合作。此外,根据“众志成城,统一作战”的整体方法,能源部生态系统的其他部门具有显著的互补价值,可以降低网络安全风险,例如情报和反情报(包括内部威胁和供应链风险管理)、能源部评估、隐私以及物理、人员和信息(文档)安全部门。整体系统网络安全状况构成了网络安全健康,同时具有灵活性,可适应能源部专业任务领域的任务并确保任务成功。

主要任务:

  • 为能源部IT利益相关者和网络安全从业人员提供网络安全风险管理培训;
  • 将网络安全风险管理纳入能源部的IT项目管理和IT采购以及IT、IT资源管理和网络安全治理流程;
  • 确保能源部的IT、IT资源管理和网络安全治理流程涵盖负责情报和反情报、能源部评估、隐私以及物理、人员和信息(文档)安全的部门等;
  • 通过基于风险管理的方法改进和规范治理流程,优化部门决策;
  • 实施基于网络安全风险的全面项目计划,为能源部网络防护方和IT专业人员提供指导;
  • 采取措施,应用指标,跟踪和分析整个部门的风险以及风险降低措施的有效性。

建立可持续的未来

要支撑《网络安全战略》和《能源部网络安全项目》,能源部需要解决两个关键资源:人力资本和网络安全专项资金。对于后者,能源部已为当前正在实施的网络安全项目拨款,用于政策管理、安全意识培训、数据搜集和报告。资金划拨与《网络安全框架》保持一致,分为三个预算项目:

(1)保护网络和信息—保护;

(2)检测、分析和防护入侵—检测与响应;以及

(3)塑造网络安全环境—识别和恢复。

未来资金是否到位至关重要,决定了是否可通过实施计划或扩大计划实施范围提供额外的能力和保护,例如与国土安全部合作以提升对信息和CDM的安全保护或扩展能源部的HVA计划、部署新颖、创新的网络安全产品和服务以保护能源部的IT基础设施和信息资源等。首先,根据国会的指示,能源部网络安全预算的责任,即网络分支预算(Cyber Crosscut),已从首席财务官办公室转移到OCIO。利用现代化的自动系统,能源部可将人力集中在最有价值的活动上。

至于人力,能源部需要专门的网络安全人员,在接受技能培训后,为能源部的IT资产和信息资源提供保护。IT网络和系统高度复杂,网络探测和攻击持续不断,再加上私营部门可为合格的网络安全专业人员提供更为丰厚的薪酬和福利,这些因素使得这项任务变得愈发困难。考虑到未来十年间IT和网络安全职位需求预计将以两位数增长以及高企的员工流动率和极具竞争力的薪酬和福利待遇,能源部需要制定网络安全人员发展计划。能源部不会掩盖种族和性别造成的人力不均衡问题:必须着力扩大招聘计划,培养更为多样化的后备军。此外,为了提高其网络安全专业人员的技术能力,能源部必须强调持续学习并衡量学习成果,划拨专项培训资金,以期在未来业绩方面获得高额的投资回报率。

根据国家网络安全教育计划(NICE),能源部着力促进学习和技能培养,以解决公私营部门高技能网络安全人力短缺的问题。为此,能源部启动了STEM Rising计划,还赞助了一项年度网络防御竞赛。2018年4月,近200名学生加入25支蓝队,参加了此次竞赛,进行保护天然气网络的演习,对手是由行业和国家实验室的领域专家组成的红队。

按照总统关于直接雇用权的指示,能源部将根据其人事管理办公室的批准,直接雇用人才,提供有竞争力的薪酬和福利(例如,发放雇用、绩效和留用奖金、确定薪酬范围、远程办公和休假),吸引并留住有才能的专业人士来完成任务。

发表评论