美国国土安全部：《网络安全战略》

网空治理第97期

美国国土安全部（DHS）当地时间2018年5月15日发布网络安全战略，希望更积极地履行网络安全使命，以保护关键基础设施免于遭受网络攻击。该战略旨在使 DHS 的网络安全工作规划、设计、预算制定和运营活动按照优先级协调开展。该战略将致力于协调各部门的网络安全活动，以确保相关工作的协调一致。

作为负责网络安全工作的主要文职机构，DHS 一直努力促进其它机构对网络威胁的重视程度，进而可以分配足够的资源来应对网络威胁。

该战略描绘了 DHS 未来五年在网络空间的路线图，为 DHS 提供了一个框架，指导该机构未来五年履行网络安全职责的方向，以减少漏洞、增强弹性、打击恶意攻击者、响应网络事件、使网络生态系统更安全和更具弹性，跟上不断变化的网络风险形势。

根据战略要求，DHS 须制定出新流程以保障 DHS 机构内部权责明确，进而推动必要的网络安全变革。此外，DHS 还须推出一套正规方法以衡量及掌握机构在信息安全政策、实践和必要控制措施方面的采用情况。

五个大方向，七大目标

该战略确定了 DHS 管理网络安全风险的五大主要方向及7个明确目标：

一、风险识别

目标1：评估不断变化的网络安全风险。DHS 将了解不断变化的国家网络安全风险状况，以便为风险管理活动提供信息并确定优先级。

二、减少关键基础设施脆弱性

目标2：保护美国联邦政府信息系统。DHS 将采取措施以减少美国联邦机构系统中存在的漏洞，确保达到适当的网络安全水平。

目标3：保护关键基础设施。DHS 将与主要的利益相关者合作来确保国家网络安全风险得到充分的管理。

三、降低网络犯罪活动威胁

目标4：防止并打击网络空间的犯罪活动。DHS 将通过打击跨国犯罪组织和复杂的网络犯罪分子来降低网络风险。

四、缓解网络事件影响

目标5：有效响应网络事件。DHS 将通过协调性的响应工作，最大限度缓解潜在重大网络事件带来的后果。

五、实现网络安全成果

目标6：提高网络生态系统的安全性和可靠性。DHS 将支持能改善网络安全风险管理目标的政策和举措。

目标7：加强管理 DHS 网络安全活动。DHS 将以综合、优先的方式执行机构内部的网络安全工作。

（来源： 山东九州信息安全研究院）