国土安全部发布网络安全性能目标与指标

关键要点

• 国土安全部（DHS）出台新的网络安全性能目标与指标，旨在推动各个行业的网络安全最佳实践。
• 文件中包含账户、设备和数据安全、漏洞管理及供应链等方面的最佳实践，以及为关键基础设施所有者和运营商提供的“用户友好”工作表。
• Cybersecurity and Infrastructure Security Agency（CISA）经过广泛的行业反馈和数据分析开发了这些目标，尽管初衷是针对关键基础设施，但也适用于许多其他私营部门公司。
• 安全目标旨在易于理解、可负担实施，并显著降低常见跨行业威胁的风险，CISA将每6-12个月更新文件并接受反馈。

国土安全部发布的新的网络安全性能目标与指标旨在提升不同工业领域的网络安全标准。这一举措是由CISA在与数百个私营部门实体及数千条公共评论的互动中制定的，文件包含了各种最佳实践和工具，帮助企业改善其网络安全状况。

值得注意的是，DHS官员强调，这些指导方针虽然最初针对关键基础设施，但同样适用于更广泛的私营公司。CISA在文件中提到，大多数组织缺乏基础的安全防护，小型和中型企业面临着网络安全成熟度和预算的挑战，而运营技术则成为一个日益上升的攻击面。

“这些目标标志着企业在日益严峻的环境中推进网络安全的可选项的优先级，”国土安全部部长亚历杭德罗·马约卡斯在周四的记者会上表示。

这些性能目标是拜登政府通过2021年签署的国家安全备忘录启动的一系列安全计划的一部分，旨在增强对关键基础设施及其工业控制系统的网络安全支持与资源。它们被设计为易于理解、实施成本低，并且显著降低面临的风险。

此外，CISA还通过多个与私营部门和关键基础设施互动的渠道推动实施，如联合网络防御协作体（Joint Cyber DefenseCollaborative）等。新设立的GitHub页面也为企业提供了反馈渠道，以便进一步发展行业特定的网络安全目标。

资金支持问题及未来展望

资金问题仍是网络安全倡议的一个重大挑战，尤其对于如小型企业、医疗及水务领域的组织来说，往往缺乏必要资源。DHS强调了近期宣布的价值十亿美元的联邦赠款项目，旨在帮助资源不足的实体改善其网络安全。

然而，CISA的执行助理主任埃里克·戈德斯坦指出，机构努力获取业内反馈，以聚焦于实施成本较低的改进措施。他表示，虽然某些建议行动可能需要资金投入，但他们努力识别出可以以“非常低廉”成本实现的安全目标和行动。

政府与私营部门的协同

为了促进广泛接受，CISA与联邦政府将依赖各类私营部门利益相关者实行新保护措施。网络安全联盟的执行董事阿里·施瓦茨也表示，他们对CISA在紧迫时间内完成指导文件的“辛勤工作”表示感谢，但指出在目标与其他政府网络安全标准间需要进一步协调。

“很明显，利益相关者最迫切要求的是与NIST网络安全框架分类相一致的组织结构，这仍旧需要一些工作，”施瓦茨说。

CISA表示，将在未来的工作中关注这些问题，以确保各组织能够更高效地利用这些网络安全性能目标。通过不断的反馈与合作，期待在接下来的实施中不断提升网络安全水平。