3月28日，美国国防部（DoD）发布了《2024国防工业基地（DIB）网络安全战略》[1]，旨在加强国防工业利益相关者的网络安全。美国国防部DIB网络安全战略从属于《2022年美国国防战略》《2023年美国国家网络安全战略》和《2023年美国国防网络战略》，并与《2024年美国国防部国防工业战略》和美国国家标准与技术研究院（NIST）网络安全框架并存。战略计划旨在通过涵盖2024财年至2027财年的总体愿景和使命来增强DIB的网络安全和网络弹性。

一、愿景与使命

该战略阐述了国防部未来三年的愿景，即建立一个安全、有弹性和技术优越的国防工业基地，以确保美国的作战优势。DIB的网络安全对于国防部国家安全使命的成功至关重要，保护DIB承包商信息免受恶意网络活动的影响并不亚于保护国防部的信息环境。通过保护DIB的敏感信息、作战能力和产品完整性，国防部将更好地实现美国作战能力的生成、可靠性和维持。

二、战略目标

战略提出了与愿景一致的4个主要目标：

目标1、加强国防部DIB网络安全治理结构

确保DIB网络空间的安全需要众多办公室和机构以及权限之间的协调，以实现支持目标和活动的同步。美国国防部副部长同意于2022年2月更新该部在DIB网络安全方面的目标、要求、资源以及角色和职责。为应对这一挑战，国防部首席信息官呼吁DIB网络安全执行指导小组（ESG）制定战略，以改善DIB网络安全，同时加强DIB活动的内部治理结构。具体目标：加强跨领域网络安全问题的跨部门合作；推进DIB承包商和分包商网络安全责任法规的规定。

目标2、增强DIB网络安全态势

保持技术优势在很大程度上取决于确保对美国国内专有信息和生产能力以及美国盟友和合作伙伴的专有信息和生产能力进行适当保护。保护专有信息的一个关键要素是鼓励DIB采用自愿的网络安全最佳实践，同时证明遵守合同网络安全要求和网络安全系统的例行测试。根据不断变化的威胁，美国国防部认识到DIB承包商需要进一步增强其网络安全态势，以应对高级持续威胁。具体目标：①评估DIB是否符合国防部的网络安全要求；②改善与DIB的威胁、漏洞和网络相关情报的共享；③识别DIB信息技术网络安全生态系统中的漏洞；④从恶意网络活动中恢复；⑤评估网络安全法规、政策和要求的有效性。

目标3、在网络竞争环境中保持关键DIB功能的弹性

最近的全球和地缘政治事件凸显了美国对外国和单一来源供应商的依赖，并表明需要更加关注供应链的脆弱性和依赖性。与多个网络安全生态系统中特定部门的合作伙伴密切协调，有助于制定需求和最佳实践，并对任何关键系统供应链中的瓶颈提供早期预警。具体目标：优先考虑关键DIB生产能力的网络弹性；在政策中优先关注关键供应商和设施的网络安全。

目标4、改善国防部与DIB之间的网络安全合作

加强与DIB的网络安全合作是国防部的战略重点。国防部必须与联邦政府协调，简化和评估用于日常和关键网络安全意识的通信途径。一致的沟通也有助于网络安全要求的实际采用。与DIB的合作应包括网络安全试点项目、兵棋推演、与行业工作组的日常接触、网络安全培训途径以及多个联邦机构提供的跨领域教育和宣传活动。具体目标：①利用与商业互联网、云和网络安全服务提供商的合作来增强DIB网络威胁意识；②与DIB领域协调委员会合作以改善与DIB的沟通与协作；③改善与DIB的双向沟通并扩大公私网络安全合作。

实现战略中规定的各项目标，需要国防部所有实体根据国防战略、国家网络安全战略和国防部网络战略协调努力。国防部在教育、衡量和推动与DIB网络安全相关的所有事务中发挥着关键作用。保护关键国防信息和保持竞争优势，需要国防部投资加强DIB网络安全的措施，同时认识到阻碍竞争的繁重合规成本相关的风险。国防部DIB网络安全战略的成功实施需要国防部外部力量的参与，以树立网络弹性的榜样。本战略为美国国防部制定了愿景，即与DIB合作进一步协调和执行资源，以改变美国最重要的国防供应商和生产商的网络安全。

                                                                        （李宏 赵梦珂）