在线炒股配资门户网-杠杆交易软件搜加杠网-【东方资本】,股票杠杆app,今日热股什么意思,预计下周一股市行情展望

內容目錄：

1　摘　要

2　主要內容

2.1　目標 1：加強 DoD DIB 網絡安全治理結構

2.2　目標 2：增強 DIB 網絡安全態勢

2.3　目標 3：在網絡競爭環境中保持 DIB 關鍵能力的彈性

2.4　目標 4：加強與 DIB 的網絡安全合作

3　結　語

2.1　目標 1：加強 DoD DIB 網絡安全治理結構

保障 DIB 網絡空間的安全需要眾多辦公室和機構協調及權限的協調，以實現支持目標和活動的同步。美國國防部副部長批準于 2022 年2 月更新部門在 DIB 網絡安全方面的目標、要求、資源及角色和責任。為應對這一挑戰，DoD 首席信息官（Chief Information Officer，CIO）要求DIB 網絡安全執行指導小組（Executive Steering Group，ESG）制定策略，以提升 DIB 的網絡安全。DoD 認識到，它在 DIB 方面的職責分布過于廣泛，力求加強 DIB 活動的內部治理結構。

2.1.1　加強跨領域網絡安全問題的跨部門協作

不同的跨部門利益相關者群體面臨著許多相同的網絡安全問題，從日益增強的風險意識到設計和實施提高網絡安全的策略，以及幫助DIB 從惡意網絡活動中恢復。該戰略旨在促進DIB 網絡安全社區的共同努力并加強溝通。

DoD 內部和外部的利益相關者必須合作以支持 DIB 網絡安全。DoD 首席信息安全官（Chief Information Security Officer，CISO） 擔 任 DIB 網絡安全 ESG 主席，制定和協調政策及指導工作，進一步保護 DIB 承包商信息環境。DoD CIO 負責監督 DoD DIB 網絡安全計劃，該計劃是制定和實施 DoD 內部增強 DIB 網絡安全戰略方法的中心樞紐。DoD CIO 還負責研究與工程副部長辦公室協調工作，USD 辦公室負責監督國防部長辦公室損害評估管理辦公室，該辦公室是 DoD DIB 網絡安全計劃和 DIB 網絡事件報告之間的紐帶，所有這些機構都與國防部網絡犯罪中心（DoD Cyber Crime Center，DC3）協同工作。反過來，負責政策的國防部副部長通過 DoD 的任務保證結構管理風險，并擔任 DIB 政府協調委員會（Government Coordinating Council，GCC）主席，召集和協調利益相關者，制定、協調和促進政策和計劃工作的溝通，以提高 DIB 的安全性和彈性。

作為美聯邦對涉及 DIB 網絡風險、威脅或事件響應的一部分，DoD 也可能執行其 DIB 網絡安全職責。在這些情況下，執法 / 反情報機構（Law Enforcement/Counterintelligence Agencies，LE/CIs）、國土安全部和 CISA 可能會共同采取行動，以確保 DIB 網絡空間安全。在國土安全部關鍵基礎設施伙伴關系委員會（Critical Infrastructure Partnership Council，CIPAC）的主持下，美國國家安 全 局（National Security Agency，NSA） 參 與持久安全框架，這是一個由 DoD 和 DIB 組成的公私合作機構，旨在共同應對網絡安全挑戰。這些利益相關者必須合作評估當前的風險環境，概述網絡與信息安全及網絡與物理安全之間的聯系，并解決 DIB 部門與其他關鍵基礎設施、關鍵計劃和技術部門之間的相互依賴關系。

雖然該戰略旨在通過為已知和新出現的網絡威脅和漏洞提供綜合威懾來保護 DoD 信息網絡內外的 DIB，但已知的惡意網絡行為者所使用的戰術和工具可能需要更深層次的響應。當關鍵基礎設施或國家利益面臨風險時，如果需要從主動網絡安全過渡到在網絡空間內執行防御，作為更大跨部門和 / 或州、地方、部落和領土（State, Local, Tribal, and Territorial，SLTT）響應的一部分，DoD 可能需要協調此類響應。在這些情況下，響應可能包括由國務院、其他聯邦LE/CIs、CISA 和美國網戰司令部（United States Cyber Command，USCYBERCOM）協調行動。在網絡空間內進行成功防御需要建立一個論壇，該論壇促進了這種協調并減少了部門和政府其他部門之間的差距和分歧。在 2024—2027 財年，DoD 尋求建立成熟的跨部門機制，以協調應對網絡風險管理。

2.1.2　推進 DIB 承包商和分包商網絡安全責任法規的制定

執行全面和動態的網絡安全計劃需要制定法規來評估和加強 DIB 的網絡安全要求。《美國國防聯邦采購條例補充》（Defense Federal Acquisition Regulation Supplement，DFARS）252.204-7012“保護涵蓋的國防信息和網絡事件報告”的合同強制網絡安全要求、《美國國防聯邦采購條例補充》252.204-7020“NIST SP800-171 DoD 評估要求”和《美國國防聯邦采購條例補充》252.238-7010“云計算服務”的網絡安全要求，都是 DIB 網絡安全生態系統的重要組成部分。DFARS 252.204-7012 要求 NIST 800-171 網絡安全要求適用于分包商；然而，在較低級別的網絡安全可控范圍內，對 DoD 來說仍然是一個具有挑戰性的領域。管理 DIB 分包商網絡安全需求流程的法規是不斷發展和共同的責任，它通過向眾多利益相關者尋求指導，并建立流程來完善和維護較低層次的網絡安全最佳實 踐。2024—2027 財 年，DoD 將 與 DIB、 跨 部門和 DoD 利益相關者合作，建立一個治理框架，以維護安全的分包商網絡安全環境。

2.2　目標 2：增強 DIB 網絡安全態勢

保持技術優勢在很大程度上取決于確保對美國國內、盟友和合作伙伴的專有信息和生產能力的保護。保護專有信息的一個關鍵因素是鼓勵 DIB 采用自愿的網絡安全最佳實踐，同時證明遵守相關合同網絡安全要求和網絡安全系統的例行測試。根據不斷變化的威脅，DoD 認識到一些 DIB 承包商需要進一步增強其網絡安全態勢，以應對高級持續性威脅（Advanced Persistent Threat，APT）。

DoD 還深刻意識到需要與 DIB 承包商合作，以加強某些系統的可用性和完整性保護，這些系統的專有信息或 DoD 數據的丟失不是技術優勢的關鍵驅動因素，但這種能力的可用性對國家安全至關重要。通過迭代風險評估和縮減安全態勢中的差距，并結合促進 DIB 承包商遵守網絡安全法規，可以實現強大的網絡安全。為了避免關鍵設施和任何相關程序或技術的損失或中斷，需要進行大量的并行活動。DoD 將與DIB 合作進行差距評估，提供培訓和其他資源，并納入 DIB 反饋機制。增強 DIB 網絡安全態勢，除了分享網絡安全最佳實踐和快速采用不斷發展的標準和指南，還需要國務院、DIB 和 NIST與其他政府和非聯邦伙伴之間持續合作。

2.2.1　評估 DIB 是否符合 DoD 網絡安全要求

評估 DIB 是否符合 FAR 52.204-21 或 DFARS252.204-7012 規定的 DoD 安全要求，是之后投資改善 DIB 承包商網絡安全的一個重要方面。當前，DoD 只對優先的 DIB 承包商進行合同要求的中或高的 NIST SP 800-171 國防部評估，以驗證總體是否遵守 DFARS 252.204-7012 和 NIST SP 800-171 中的要求。未來，DoD 計劃通過網絡安全成熟度模型認證（Cybersecurity Maturity Model Certification，CMMC）建立大規模的驗證能力，允許對某些要求進行自我評估，對將獲得與該部門項目相關的受控非機密信息（Controlled Unclassified Information，CUI）的 DIB 公司進行獨立評估，對將接受與該部門最關鍵和敏感的項目和技術相關的 CUI 的 DIB 公司子集進行評估，并加強 DoD 與產業界在應對不斷演變的網絡威脅方面的合作。CMMC 和 DoD 的高、中評估的結果必須公布在供應商績效風險系統中，以滿足合同資格要求。

數字生態系統的發展和擴展導致的威脅數量不斷增加，促使人們對關鍵程序或高價值資產的子集提出更高的要求。未來的規則制定工作將通過實施 NIST SP 800-172“加強保護受控非機密信息的安全要求”中定義的補充指南來擴展這些公司現有的信息保護要求。雖然 DFARS規定了處理、傳輸和存儲 CUI 的公司的最低 DIB網絡安全要求，但 DoD 還必須支持 DIB 做出基于風險的決定，以超越這些要求。

DoD 還將對 DIB 承包商政策及管制進行自愿性的網絡安全準備情況評估，以確定其網絡安全狀況或協助承包商進行自我評估。DC3 為DoD DIB 網絡安全計劃參與者提供持續服務，以評估網絡安全準備情況。通過網絡彈性評估（Cyber Resilience Assessment，CRA）服務，DC3 促進了美國政府網絡安全評估，并為自我評估提供支持。在 CRA 計劃中使用的任何 DIB承包商數據都不會共享。這些評估有助于 DIB承包商了解如何更有效地分配資源，以彌補任何差距。

為了支持 NIST SP 800-172 中的增強要求，DC3 現 在 正 在 進 行 敵 手 模 擬 測 試（Adversary Emulation Tests，AET），作為常設服務提供。AET 是對 DoD DIB 網絡安全計劃參與者的網絡和系統進行的更具入侵性的威脅滲透測試或評估，該網絡和系統存儲、處理或傳輸涵蓋防御信息（Covered Defense Information，CDI）。CRA和 AET 參與的數據還被用于為 DC3 威脅和漏洞緩解信息產品提供信息，將這些產品專門提供參加 DoD DIB 網絡安全計劃的公司。

2.2.2　改善與 DIB 的威脅、漏洞和網絡相關情報的共享

加強資產的網絡安全，DIB 需要具有能夠及時傳播相關威脅信息的能力，包括與國際伙伴和盟友的協調。DoD 執行 DIB 網絡安全計劃，作為與已批準的國防承包商進行合作的焦點，以更好地保護非機密網絡，并期望在將來能將范圍擴大到所有處理 CUI 的 DIB 承包商。DoD DIB 網絡安全計劃是一個公私網絡安全合作項目，用于共享非機密和機密網絡威脅信息，以推進當前威脅環境更接近真實情況，并支持參與者保護駐留在 DoD 國防承包商非機密信息系統上或在 DoD 國防承包商非機密信息系統中傳輸的國防承包商信息的能力。DoD 通過國防工業基礎網絡（DIBNet）發布警報和警告，向 DIB通報重要的和時間敏感的信息。DoD CIO 將在2024 財年監督 DIBNet 門戶重新啟動，以繼續發展威脅共享能力。新系統的關鍵特征將是基于應用程序編程接口的威脅信息檢索。

DC3 與國防刑事調查組織和軍事部門反情報組織密切合作，正在開發 DoD 框架，以提供數據的信息共享，開展反情報調查和網絡行動。收集、分析、傳播和運營一體化解決方案（Collect, Analyze, Disseminate, and Operationalize- Integrated Solution，CADO-IS） 由 物 理 和 虛擬化傳感器組成，是一種可擴展的網絡防御解決方案，利用機器學習和深度學習技術、高級分析和基于規則的檢測來識別惡意網絡活動。CADO-IS 將增強主要武器系統、關鍵防御技術和基礎設施的網絡防御能力。在完成 DoD 需求捕獲和初始技術規劃后，CADO-IS 使用新的基于云的設計確定了技術突破，并實現了 exfil 數據庫對 DoD CI 實體的初步部署。未來的工作為與 DIB 網絡安全數據、USCYBERCOM 行動及其他大規模數據和能力的集成。

為了擴展 DC3 當前能力，它將利用現有的“DCISE Cubed”服務和未來免費工具，主動和追溯分析 DoD DIB 網絡安全計劃參與者的組織系統、網絡和基礎設施的惡意網絡活動。“DCISECubed”服務具備防火墻日志分析能力，可以利用網絡威脅信息和收集到的指標自動對 DIB 網絡的連接進行評分。一旦被評分，被識別為惡意的連接就會被標記為建議采取的行動方案，其中可能包括在 DIB 基礎設施（或網絡）上進行阻斷。“DCISE Cubed”利用開源、商業和美國政府網絡威脅信息反饋，提供影響 DIB 網絡活動的見解。

NSA 與 DIB 組織合作，共享非公開、特定于 DIB 的威脅情報，以幫助預防、檢測和減輕惡意網絡活動。對于這些 DIB 組織，網絡安全協作中 心（Cybersecurity Collaboration Center，CCC）開通了一個安全協作通道，允許 DIB 網絡防御者就與 NSA 共享的威脅情報相關的發現提交問題和反饋，以便進一步為分析提供信息，并與更廣泛的 DoD 和 DIB 社區進行溝通，以提高網絡威脅認知。NSA 通過利用其技術專長和能力，以及其對國家網絡威脅、惡意軟件、戰術、技術和程序的獨特見解，還開發了旨在保衛國家的網絡安全威脅公共咨詢和緩解措施服務。

2.2.3　識別 DIB 信息技術網絡安全生態系統中的漏洞

在執行任務時，美國政府可能會發現 IT 系統中的漏洞，而惡意網絡行為者可能會利用這些漏洞。美國司法部（信息與安全）贊助了 DC3高級傳感器計劃，以檢測和響應針對商業關鍵基礎設施實體（包括 DIB 承包商）的攻擊。美國司法部（信息與安全）將繼續與跨部門合作伙伴協調，制定實施 DC3 監測傳感器的政策和程序。DC3 將通過網絡傳感器向這些 DIB 承包商收集信息并進行分析，并向目標實體傳播威脅信息。

根據網絡架構、軟件和流程，DC3 通過執行程序來分析威脅行為者的脆弱性。它在一個單一的、可操作的框架中進行技術、流程和政策評估。此外，DC3 還要進行滲透測試，包括網絡映射、漏洞掃描、釣魚評估和 Web 應用程序測試。

在 DoD DIB CS 計劃的支持下，NSA 通過識別 DIB 面向互聯網的資產，幫助 DIB 客戶發現并解決問題，然后利用商業掃描服務來發現這些網絡上的漏洞或錯誤配置。每個客戶都會收到一份定制的報告，其中包含需要修復的問題，報告根據漏洞的嚴重程度和是否被利用進行了優先級排序。

網絡漏洞使美國政府、美國公司及盟國和合作伙伴的敏感信息、專有信息面臨風險。為了解決這個問題，美國政府制定了“漏洞權益政策與程序”（Vulnerabilities Equities Policy and Process，VEP），以平衡各種權益，并就信息系統和技術中新發現的和未公開的漏洞的披露或限制做出決定。根據《國家安全戰略》關于“與合作伙伴圍繞共同關心的問題開展共同事業”的號召，美國國務院將與盟友和合作伙伴進行協調和合作，以減輕這些風險。

2.2.4　從惡意網絡活動中恢復

盡管應用了最強大的網絡安全解決方案，但在檢測到疑似惡意網絡活動后，DoD 和 DIB必須預測并準備恢復行動，這可能包括 DoD 和LE/CI 當局的參與。一旦 DIB 承包商提交網絡事件報告，DoD 的利益相關者就會執行網絡行動以了解、評估和減輕 CDI 的損失。每個利益攸關方在實施建議的緩解行動方面發揮著關鍵作用，以確保 DIB 行動的持續，并保護聯邦信息。DoD 將繼續提升和優化這些能力，并確保對國防情報局提供最廣泛和最有效的幫助。

2.2.5　評估網絡安全法規、政策和要求的有效性

DoD 必須持續評估其網絡安全法規和政策，如 DFARS 252.204-7012，以及其計劃、試點和網絡安全服務，以了解這些產品如何有效地應對動態網絡威脅環境的未來挑戰，并為充滿活力和創新的 DIB 做出貢獻。在實施更健全的合規制度的同時，DoD 將積極與 DIB 合作，計劃和執行試點項目，以測試新的和現有的 DIB 網絡安全能力、服務和流程的有效性。DoD CIO 最近發布了 DoD 指令 8530.03《網絡事件響應》，重申了 DC3 對 DIB 網絡事件報告的責任，并建立了一個與 DoD 網絡事件報告相關聯的基線數據集。報告要求的一致性支持未來評估事件報告有效性的工作，并將納入 DoD 第 5205.13 指令《DIB 網絡安全活動》的未來修訂中。

DoD 將與 DIB 合作，尋求衡量與計劃、試點和服務相關的網絡安全要求的有效性，為后續工作和迭代改進提供信息。例如，在負責采辦與保障副部長辦公室內部，網絡戰理事會（Cyber Warfare Directorate，CWD）將進行試點項目，重點確保優先武器系統的國防關鍵供應鏈的安全。因此，負責采辦與保障副部長辦公室正在與DoD 利益相關者和 DIB 承包商合作，以確定當前網絡安全即服務（Cybersecurity-as-a-Service，CSaaS）產品的差距，并進行試點項目，以提高DIB 的網絡安全。CWD 還尋求評估 DIB 網絡安全工作的成本效益，以解決 DIB 小企業在實施網絡安全方面所面臨的挑戰。DoD 將與 DIB 協調，將試點項目的經驗教訓應用于決策和未來工作，以加強對中小企業網絡安全成熟度的支持力度。

2.3　目標 3：在網絡競爭環境中保持 DIB 關鍵能力的彈性

最近的全球和地緣政治事件凸顯了美國對外國和唯一來源供應商的依賴，并表明需要更多地關注供應鏈的脆弱性和依賴性。在多層網絡安全生態系統中，與特定行業部門的合作伙伴密切協調，有助于供應鏈需求和最佳實踐的發展，并為任何關鍵系統的供應鏈瓶頸提供了早期預警。

2.3.1　優先提高 DIB 關鍵生產能力的網絡彈性

DIB 是惡意網絡活動的一個巨大攻擊面。確保 DoD 關鍵資產的持續完整性，要求 DoD 對那些最容易受到破壞的生產能力進行評估并進行優先排序。NDIS 中優先考慮了彈性供應鏈及DIB 能夠快速、大規模生產產品、服務和技術的必要性。“DoD 需要一個有彈性的、健康的、多樣化的、動態的和安全的供應鏈，以確保發展和維持對國家安全至關重要的能力。”為確保利益相關者的有限資源能夠集中于最有效的保護活動，要求對構成 DIB 的成千上萬家公司進行細分。這種細分需要跨部門和政府間的持續合作，通過 DIB GCC 的構建，以便充分捕獲所有利益相關者的權益，并準確評估關鍵生產能力的所有風險。DIB 全球協調理事會與私營企業領導的 DIB 行業協調理事會（Sector Coordinating Council，SCC） 相 對 應。兩 個 理 事 會 在 CIPAC內共同開展工作，以識別和共享有關威脅的信息，評估和減輕脆弱性，并監測 DIB 的安全性和彈性。

2.3.2　在政策中確立關鍵供應商和設施的網絡安全優先重點

DoD 繼續完善其關于多層供應鏈網絡安全風險的政策。DoD 需要對組織政策和計劃進行協 調 和 整 合， 就 DIB 供 應 鏈 網 絡 安 全 相 關 的角色和職責制定明確和一致的指導方針。根據PPD-21，國防部長指定一名首席網絡顧問作為DIB 的部門風險管理人員，協調與 DIB 有關的網絡安全問題。這一角色領導 DoD 的所有 DIB 風險管理活動，包括將政府主導的保護工作的重點轉向關鍵的 DIB 能力和 DIB 供應商。

2.4　目標 4：加強與 DIB 的網絡安全合作

加強與 DIB 的網絡安全合作是 DoD 的戰略優先事項。DoD 必須與聯邦政府協調，精簡和評估用于日常和關鍵網絡安全意識的溝通途徑。一致的溝通也有助于真正適應網絡安全要求。與 DIB 的合作應包括網絡安全試點項目、戰爭演習、與行業工作組的例行溝通、網絡安全培訓途徑，以及由多個聯邦機構提供的跨領域教育和網絡安全意識宣傳活動。

鑒于 DIB 的多樣性和整體規模，不同的企業可能需要或受益于不同的服務、支持和信息，如培訓和教育或一系列網絡安全服務。DoD 將投資于進一步定義 DIB 的細分部門，并為這些細分部門制訂計劃。最終，DoD 與 DIB 合作，力求確保 DIB 做好在網絡空間領域安全運作的準備，而不會帶來不必要的成本或負擔。

2.4.1　與商業互聯網、云和網絡安全服務提供

商合作，增強 DIB 網絡威脅意識NSA CCC 在多個核心技術部門之間保持雙向合作，包括但不限于云服務提供商、端點保護、互聯網服務提供商、威脅情報公司等。NSA 的分析人員每天與行業和跨部門合作伙伴一起工作，以檢測、緩解和消除惡意網絡活動。一旦發現惡意網絡活動，CCC 將通知受影響的實體，并與它們合作，直至消除惡意網絡活動。此外，它還將與 DIB 共享這些信息，使其能夠加固全球數十億個端點的安全，以應對新興的復雜網絡威脅，這將對美國所有關鍵基礎設施、盟友、行業和個人消費者產生連鎖反應。

2.4.2　與 DIB SCC 合作，改善與 DIB 的溝通和協作

DoD 尋求與 DIB SCC 合作，擴大共享和分析 匿 名 網 絡 事 件 趨 勢， 以 促 進 DoD 對 DIB 網絡安全態勢的了解。這些信息將用于確定改進緩解工作的方法，并較大地提高 DoD DIB 網絡安全計劃的有效性和 DIB 的網絡安全態勢感知能力。

為進一步了解 DIB SCC 在確定 DIB 和 DoD共同關心的問題上和潛在解決方案方面的作用，DoD CIO 將酌情邀請 DIB SCC 執行委員會成員和信息 / 網絡安全常設委員會指定人員在 DoD DIB網絡安全計劃中擔任顧問角色。為實現與惡意網絡活動相關的信息共享和及時通知，DIB GCC將與 DIB SCC 信息 / 網絡安全常設委員會協調，列出與 DIB 信息共享的障礙，并就降低敏感數據和任務的網絡安全風險提出建議。

2.4.3　改善與 DIB 的雙向通信，擴大公私網絡安全合作

該戰略最重要的是改善與 DIB 的溝通。DoD致力于向 DIB 承包商提供及時、相關和可操作的威脅情報，并將繼續努力通過人與人和機器對機器的交流來共享信息，從而加深其網絡事件報告和脆弱性管理項目之間的聯系。操作協作必須由適當的技術解決方案來支持，以共享信息和支持防御工作的優先級。通過加強與行業的聯系，研究人員和 DoD 可以減少發現未知漏洞所需的時間，并在社區內廣泛分享。

由于認識到網絡事件不可避免，DoD 還將與業界合作，以提高應對和恢復惡意網絡活動的能力。DoD 將投入資源，開發網絡事件場景并驗證網絡事件響應策略。DC3、國防反情報與安全局、NSA 和 USCYBERCOM 都積極地做出貢獻，但沒有任何一個機構能夠單獨保衛國家。DoD 將繼續與聯邦政府、以領域為重點的信息共享和分析中心及 SLTT 的國內合作伙伴合作，分享最佳實踐和專業知識。

DoD DIB 網絡安全計劃是一項公私網絡安全合作計劃，1 000 多家 DIB 公司參與該計劃，成員數量預計在 2024 年持續增加。一旦計劃參與者的 DIBNet 賬戶被完全激活，他們就可以參與該計劃和 DC3 以接收網絡威脅信息并參與與計劃相關的活動，如工作組和 DIBNet 論壇。

NSA 與 私 營 部 門 協 調 合 作， 為 DIB 實 體和相關服務提供商提供網絡安全援助。NSA 的CCC 促進了情報部門和行業成員之間的威脅信息共享，以確保 DIB 和服務提供商系統的安全。NSA 還提供網絡安全服務和協助，幫助 DIB 承包商檢測系統漏洞和應對惡意網絡活動。

通 過 DoD 公 私 合 作 的 DoD DIB 網 絡 安 全計 劃、NSA CCC 和 DC3 DCISE，DoD 將 以 可 擴展和經濟高效的方式向合格的 DIB 承包商提供CSaaS 產品。這些服務包括培訓和感知、訪問執行攻擊面管理、漏洞掃描、威脅檢測和阻斷及各種具有其他功能的商業網絡安全服務。

該戰略規劃了 DoD 進一步與 DIB 合作協調和執行資源的愿景，以改變美國最關鍵的國防供應商和生產商的網絡安全。我們的對手會一直開展搜尋有關美國能力信息的活動，并尋找先進技術的捷徑；甚至反擊、對抗、消滅或克隆美國的作戰能力。DoD 必須與 DIB 協調，在防御這些攻擊時保持網絡彈性，并通過團隊合作取得成功，同時保護國家安全。

來源：信息安全與通信保密雜志社