美国国土安全部网络安全组织和职能

（中国信息安全测评中心，北京100085）

美国是世界科技大国，信息化技术给美国带来了各种机会和发展，网络安全风险和威胁也越来越受到重视。从21世纪初期，美国就开始了网络安全工作的探索，从各种网络安全法律、网络安全战略出台，逐渐明确了联邦政府的网络安全机构、职责分工和协作机制。

美国立法权、行政权和司法权三权分立，美国国会拥有唯一的立法权力，美国总统拥有行政决策权。在网络安全方面也是如此，国会通过网络安全法规立法，总统指导联邦政府对国家网络安全负责，总统可发布网络安全方面的行政令。现行的各项网络安全法规和战略都是美国民主与共和两党、政府与国会达成的一致共识。

在行政层面，美国网络安全强调网络弹性（Cyber Resilience）、网络犯罪（Cyber Crime）以及网络防御（Cyber Defence）。联邦政府主要网络安全职能部门：美国司法部（DOJ）、美国国土安全部（DHS）以及美国国防部（DOD），这几个机构都在网络安全方面发挥着至关重要的作用，协同落实美国国家网络安全战略部署。其中，美国司法部的下属的联邦调查局（FBI），负责网络犯罪的网络取证、调查，负责国内网络威胁情报的收集、分析，对网络安全事件提供支持。美国国土安全部（DHS），主要职能是保护国家重要基础设施，牵头网络安全事件处理，网络威胁共享和漏洞分析，在管辖权内调查网络犯罪。美国国防部（DOD）保护国家不受攻击，收集国外的情报，负责军事系统网络安全，对网络安全事件提供支持，对军事网络犯罪进行调查。其他网络安全情报机构（如NSA）、研究机构（如NIST）以及监督机构（如GAO），本文不做讨论。

其中，美国国土安全部（DHS）是美国政府履行网络安全职能的重要机构之一，本文将介绍DHS的发展历史、网络安全职能、主要组成机构、网络安全预算以及两个重要的网络安全项目。

1 国土安全部（DHS）组织架构

1.1 发展历史

美国国土安全部可追溯至2001年发生的911事件，911事件促成了联邦政府自第二次世界大战以来最大的重组之一，美国参议院正式通过《国土安全法案》，布什总统签署执行，于2003年1月24日正式成立国土安全部（DHS）。国土安全部初期包括22个机构，包括海岸警卫队、移民局、海关总署、联邦紧急管理局、交通安全局以及农业部等。

DHS的初始任务重点是防止恐怖主义袭击，减小国家安全风险，尽量减少攻击造成的损害和增加美国的弹性恢复力，而网络安全是一个“次要关注和责任”。

目前国土安全部是联邦政府第三大部门，雇用了大约24万人，由15个部门组成：7个前线或业务部门和8个支持部门。其中，业务部门负责一线行动，以保护国家，而支持部门则提供资源、分析工具、设备、服务和其他支持工作。

1.2 网络安全相关部门

DHS有10725个网络安全相关职位，其主要网络安全职能部门有两个：国家保护与计划管理局（NPPD）和科学技术局（S＆T），其他如美国海关与边境保护局（CBP）、美国特勤局（USSS）、美国公民和移民服务局（USCIS）等主要是保护自己部门的系统、网络和数据，美国移民及海关执法局（ICE）提供计算机调查和取证技能方面的培训。

1.2.1 国家保护与计划管理局

国家保护与计划管理局（NPPD）是DHS的网络安全的主要部门，于2007年成立，有3477名员工。

近日美国众议院通过一项重要提案，将重组NPPD，更名为“网络安全和基础设施局”（Cybersecurity and Infrastructure Security Agency,CISA），目前法案还在推进过程中，如果该法案最终通过，NPPD将从一个“Directorate”提升为一个“Agency”，机构预算和经费管理将更为独立，更加明确其在保护网络空间安全、基础设施和应急方面的重要作用。

目前的国家保护与计划管理局（NPPD）下设五个办公室[1]，组织架构如图1所示。

图1 国家保护与计划管理局（NPPD）组织结构

生物识别身份管理办公室（OBIM）负责DHS企业范围内的生物识别身份服务。

基础设施保护办公室（IP）在国家层面牵头，降低关键基础设施的风险，并在恐怖袭击、自然灾害或其他紧急情况发生后帮助做出响应并迅速恢复。

国家网络安全和通信整合中心（CS＆C）牵头国家网络安全和应急通信，实现及时响应和恢复。它还负责联邦政府、关键基础设施所有者和运营商以及其他利益相关方的应急计划。

网络和基础设施分析办公室（OCIA）协助联邦、州和当地的合作伙伴通过综合分析、基础设施优先排序、建模和模拟来了解国家重要基础设施的危害和后果。

联邦防护服务（FPS）负责确保员工和工作场所的安全。

国家保护与计划管理局（NPPD）中最著名的二级机构分别是国家网络安全和通信整合中心（NCCIC）与网络安全部署（NSD）。NCCIC负责7×24的监测针对美国重要/关键基础设施的网络攻击，以及针对美国国家安全的网络威胁。而NSD负责三大著名的网络安全计划的建设、开发工作：国家网络安全保护系统（NCPS）、持续诊断与缓解（CDM）和增强型网络安全服务（ECS）。

NCCIC由四个部门组成[2]，如图2 所示。

图2 NCCIC组织结构

⑴ NCCIC运营和整合中心 (NO&I)负责规划、协调和集成能力，以同步分析、信息共享和事件响应。

⑵ US-CERT：负责提升国家网络安全能力，协调网络信息共享，积极管理政府和私营部门的网络风险。

⑶ 工控系统网络应急响应小组（ICSCERT）：加强工业控制系统的安全性和弹性，采取措施降低国家关键基础设施的风险。

⑷ 国家通讯协调中心（NCC）负责协助政府，私营企业和国际合作伙伴共享和分析威胁信息，评估通信基础设施的运行状况，了解通信基础设施的风险状况。

1.2.2 科技局下属的网络安全部（CSD）

科技局（S＆T）下属的网络安全部门（CSD），其主要职能与网络安全研发相关，包括方向规划、新技术和工具的研发、科技成果转化、网络空间安全防护，具体目标是：

⑴ 加强关键基础设施的安全性和弹性，确保联邦政府信息技术企业的安全；

⑵ 高级的取证、事件响应和报告能力；

⑶ 加强生态系统，推动网络生态系统中创新的、成本效益高的安全产品，服务和解决方案;

⑷ 推动科研转换，促进信赖的网络基础设施;培养网络安全专业人才；

⑸ 提高公众意识并推广网络安全最佳实践;

⑹ 推动国际参与，促进能力建设，国际标准和合作。

CSD还会与一些行业深度合作，例如LOGIIC项目，LOGIIC是石油和天然气公司以及美国国土安全与科技局（DHS S＆T）正在进行的合作项目，促进合作研究、开发，测试和评估程序，以提高石油行业控制系统的网络安全。

1.3 DHS的近两年的网络安全预算

1.3.1 2019年安全预算

2019 财年国土安全部预算总需求为744.38719亿美元[3]，其中网络安全方面强调的是关键基础设施安全和弹性（Resilience），重点任务预算为：

⑴ 持续性诊断和缓解计划（CDM）2.376亿美元；

⑵ 国家网络安全保护系统，也称为EINSTIEN计划，4.068亿美元；

⑶ 1.582亿美元用于确保国家的应急通信能力，包括下一代网络优先服务（NGN-PS）计划4260万美元；

⑷ 1180万美元用于建立软目标安全计划（Soft Target Security Program）。该方案将提供创新的方法，处置由恐怖分子和其他极端主义行动者构成的风险。

按机构来看，NPPD的预算是334.8261亿美元，雇员3607人。科技局的预算为58.3283亿美元。

1.3.2 2018年安全预算

2018 财年国土安全部预算总需求为706.92491 亿美元[4]，其中网络安全方面的重点任务预算为：

⑴ 9.713亿美元用于与公共、私营和国际合作伙伴合作，提高美国网络基础设施的安全性，其中包括持续诊断和缓解计划（CDM）的2.79亿美元；

⑵ 国家网络安全保护系统3.972亿美元，用于继续为联邦民政部门和机构部署新的入侵预防，信息共享和分析功能；

⑶ 为下一代网络（NGN）提供5650万美元，NGN对于协调联邦政府的规划和提供国家安全和应急准备信息交流至关重要；

⑷ NCCIC增加4920万美元。

按机构来看，NPPD的预算是327.7489亿美元，雇员3592人。科技局的预算为62.7324亿美元。

1.3.3 安全预算分析

2018年和2019年的安全预算变化情况如表1所示。

表1 预算变化情况（单位：亿美元）

可以看出，美国DHS网络安全预算总体是呈现增长趋势，两个重点的项目都有持续性投入。

2 DHS网络安全职能

2.1 重要政策和战略中对DHS在网络安全方面的定位

2002年布什政府将核心威胁认定为恐怖主义，发布《国土安全法》，成立了国土安全部，“反恐”是首要职能，网络安全不是其首要职能，但也定义了DHS对关键基础设施安全的职能，明确DHS要加强联邦和非联邦的网络安全，共享与关键基础设施相关的网络威胁信息，并提供事件响应的支持，并明确其下属NCCIC的定位。

2012年奥巴马政府发布的《保护网络空间的国家战略》，提出了“国际网络空间”的概念，并明确了DHS在关键基础设施安全保护的牵头作用，是协调联邦政府各部门、州政府、地方机关、私营企业和科研机构的网络空间安全战略防护的指挥部。

2013年2月发布的第13636号行政命令《增强关键基础设施网络安全》指出保护关键基础设施成为美国网络安全的重点，要求国土安全部增加网络威胁信息共享的数量、及时性和质量。

2015年《国土安全部科技改革与提高法案》明确了DHS网络安全技术研发的职能。

2015年网络安全法规定了DHS内部职能和流程。

2.2 特朗普政府网络安全行政令和战略

特朗普政府坚持“网络威胁是美国面临的最严重的国家安全危险之一”， 继续推行美国的网络空间国际战略。2017年5月发布行政令《强化联邦网络和关键基础设施网络安全》进一步强调了DHS的作用，DHS牵头保护联邦政府网络，抵御网络安全威胁，与国家、地方和部落政府以及国际合作伙伴和私营部门共享网络安全信息。各联邦政府机构在90天内制定风险管理报告，并提交给国土安全部部长。在关键基础设施网络安全方面，要求关键基础设施于180天内提交网络安全风险评估报告。DHS统筹联邦政府信息技术设施的现代化建设。

2017年12月特朗普政府发布任内首份《国家安全战略报告》，提出增强美国的实力，包括在太空和网络空间的实力，保障美国在网络时代的安全。提高关键基础设施的安全性和弹性，评估六个关键领域的风险：国家安全、能源和电力、银行和金融、健康和安全、通信和运输等。

现任DHS的部长（Kirstjen M. Nielsen）是资深网络安全专家，在国土安全政策与战略、网络安全、关键基础设施和应急管理等领域经验丰富，特朗普总统对DHS部长的任命也能看出特朗普政府对网络安全领域的重视。

2.3 DHS的主要职责

2.3.1 保护联邦政府民用网络的安全

DHS负责民用联邦政府网(‘.com’ 和 ‘.gov’域名)系统的安全运行，同时直接支持相关民事部门和机构的能力开发，改善网络安全。通过网络威胁分析，风险评估，缓解和事件响应能力确保其网络安全。还负责协调国家对重大网络事件的响应，以及为政府创建和维护网络空间的共同场景。

国家保护与计划管理局（NPPD）通过国家网络安全保护系统（NCPS）及EINSTEIN保护能力，采用技术来检测和阻止入侵。

NPPD通过建立持续诊断与缓解（CDM）服务能力，通过向一系列传感器提供网络安全风险的数据，将风险呈现在可供技术人员和管理人员使用的自动化和持续更新的仪表板中，以提高机构能够查看和抵制日常的网络威胁。这些功能将落地美国国家标准与技术研究院（NIST）制定的指导方针，并使联邦机构能够从合规驱动的风险管理转向数据驱动的风险管理。

2.3.2 保护关键基础设施

关键基础设施是美国国家和经济安全的支柱。DHS协调国家对网络事件的保护、预防、缓解和恢复，并定期与行业、企业和运营商合作，采取措施加强其关键基础设施安全。DHS还对关键基础设施进行现场风险评估，并与州、地方和私营部门分享风险和威胁信息。

DHS通过提供关键的网络威胁、漏洞和缓解攻击的数据，通过信息共享和分析中心（ISAC），增强了包括州和地方一级以及工业控制系统所有者和运营商在内的利益相关方的态势感知能力。NCCIC提供7×24的网络态势感知、事件响应和管理中心，是联邦政府、情报机构和执法机构的国家网络和通信协作联盟。

2.3.3 网络威胁的响应

DHS负责协调和响应影响重要基础设施的重大网络或物理事件。多年以来，NCCIC已对近百万份事件报告做出响应，并向公共和私营部门合作伙伴发布了几万项可指导操作的网络安全告警。

美国计算机应急准备小组（US-CERT）、工业控制系统网络应急响应小组（ICS-CERT）是NCCIC的组成部门，为联邦民用机构网络以及私营部门合作伙伴提供反应支持和防御。国土安全部还通过网络自我评估工具为业主和运营商授权，超过1000家公司使用网络自我评估工具，以及面对面和在线培训。

美国国土安全部（DHS），司法部（DOJ）和国防部（DOD）在应对对美国构成威胁的网络安全事件方面发挥了关键作用。DHS以多种方式支持合作伙伴。例如，作为武装部队的美国海岸警卫队已经与美国网络司令部和美国战略司令部合作进行军事网络行动。

2.3.4 减少网络犯罪

DHS依靠美国保密服务机构（USSS）和美国移民和海关执行机构（ICE）的技能和资源，并与合作伙伴合作调查网络犯罪分子。同时，DHS与各种国际合作伙伴合作打击网络犯罪。

此外，国家计算机取证研究所已对1000多名国家和地方执法官员进行了培训，以进行网络入侵和电子犯罪调查和取证职能。数百名检察官和法官以及私营部门的代表也接受了关于网络入侵事件响应，电子犯罪调查和计算机取证考试的培训。

2.3.5 建立伙伴关系

DHS作为政府网络安全宣传和意识的协调中心。使联邦政府能够迅速向州和地方政府有效地提供关键的网络威胁、风险、漏洞和缓解数据。

DHS还通过诸如受保护的关键基础设施信息（PCII）计划等伙伴关系与业界建立了密切的工作关系，该计划加强了基础设施所有者与运营商和政府之间的自愿信息共享。

此外，DHS与国际合作伙伴紧密合作，加强信息共享，提高态势感知能力，提高事件响应能力，并协调战略性政策问题以支持政府的网络空间国际战略。

2.3.6 促进创新

联邦政府依靠各种各样的利益相关者来进行有效的研究和开发项目，以应对日益复杂的网络威胁。这包括学术和科学界开展的研究和开发活动。

科技局建立了“科技转换计划”，促进网络安全技术并鼓励其成功转用。

2.3.7 网络人才培养

DHS创造了一系列奖学金和项目来吸引顶尖人才。在全国范围内与中等和高等教育机构进行网络安全人才培养。

3 DHS两大重要网络安全项目

3.1 国家网络安全保护系统（NCPS）

国家网络安全保护系统（NCPS）是为帮助联邦机构对抗信息安全威胁而开发的工具集，也称为爱因斯坦计划，向联邦机构提供四种网络安全服务的能力：入侵检测、入侵预防、分析和信息共享。

NCPS最初创建于2003年，目标是在政府网络出口部署入侵检测、流量检测、入侵防护系统来提供攻击的早期预警和攻击防护，表2概述了该计划各个阶段的目标。

表2 爱因斯坦计划

3.2 持续诊断和缓解计划（CDM）

为了支持联邦政府信息安全持续监测（ISCM）的要求，持续诊断和缓解计划（CDM）联合多个服务商，为美国国土安全部、联邦、州和地方政府提供持续监控工具，加强政府网络空间安全、评估和打击实时网络空间威胁，并将持续监控作为一种服务手段（云服务），提供给需要的政府单位的网络空间监控和安全风险缓解服务。

CDM的四个阶段：

阶段1：“网络上有什么？”

管理“网络上的内容？”需要管理和控制设备（HWAM），软件（SWAM），安全配置设置（CSM）和软件漏洞（VUL）。

阶段2：“谁在网络上？”

管理“谁在网络上？”需要管理和控制帐户/访问/管理权限（PRIV），授予访问权限（TRUST）的信任确定，证书和认证（CRED）以及安全相关行为培训（BEHAVE）。

阶段3：“网络上发生了什么？”

管理“网络上发生了什么？”基于 “网络上有什么？”和“谁在网络上？”，这些CDM功能包括网络和周边组件，主机和设备组件，静止和传输中的数据以及用户行为和活动。这些功能超出了资产管理范围，需要更广泛和动态地监控安全控制。包括准备和响应事件，确保将软件/系统质量集成到网络/基础设施中，检测内部行为和以确定谁在做什么，减轻安全事件以防止在整个网络/基础设施中传播。

阶段4：“数据如何受到保护？”

第四阶段的目标是持续监控网络安全风险，根据潜在影响优先处理风险，并使网络安全人员能够首先处置重大问题。

4 结语

美国网络空间战略是逐渐形成的，也是美国民主、共和两党政府在网络安全事务上轮流接力、不断充实的产物。特朗普政府继续推行美国的网络空间国际战略，突出网络安全作用，网络安全已经成为美国国家安全的重要组成部分。

作为网络安全责任落地的重要机构之一，美国国土安全部（DHS）的主要责任是网络空间安全性和弹性（resilience），从国家层面承担了重要基础设施和联邦非涉密信息网络安全工作，是国家级的威胁分析和应急机构。

通过持续性投入重要的项目和计划，DHS获得了为政府机构和重要基础设施提供持续性安全保障能力和网络安全监测能力，形成了网络安全事件的应急响应机制，推进公有部门和私营企业的威胁情报共享和合作。同时，DHS还积极推动网络安全研发和科研转换机制，推进产业界参与并为网络空间安全做贡献，共同促进了美国网络空间安全。