美國CISA《2023年至2025年戰略規劃》解讀

文 | 路云天網絡安全研究院 孔勇 、 深信服科技股份有限公司 鮑旭華

2022年9月12日，美國網絡安全和基礎設施安全局（CISA）發布了《2023年至2025年戰略規劃》（以下簡稱《戰略》），這是自2018年成立以來該機構的第一個全面戰略規劃，是一個重要里程碑。

美國CISA基于2018年11月發布的《網絡安全和基礎設施安全局法案》創建，根據法案要求，國土安全部（DHS）下屬的國家保護與計劃局（NPPD）及相關機構進行重組，資源和責任全部轉移到CISA，旨在保護國家的網絡和關鍵基礎設施安全。在CISA建立之初，機構的主要任務都是一些具體任務，例如：解決當時面臨的5G網絡的供應鏈威脅；提高隨即到來的選舉安全性；支持聯邦政府自身的網絡安全工作；保護工業控制系統安全問題。經過四年的發展，CISA取得了一定成績，并逐漸明晰了工作重點方向。通過發布《戰略》，CISA闡述了當前日益復雜的網絡安全威脅形勢，重點申明該機構在國家網絡安全和關鍵基礎設施安全保護中的重要地位，并提出未來三年（2023年至2025年）的主要工作目標，同時介紹了近年來取得的相關成就。

一、復雜環境下網絡和基礎設施面臨的風險不斷演變

（一）關鍵基礎設施網絡安全威脅日益嚴峻

近年來，勒索軟件攻擊等網絡安全事件已經對國家安全構成嚴重威脅，直接影響到政府和關鍵基礎設施的正常運行。對手利用日益復雜的網絡攻擊能力來破壞國家經濟和社會民主、竊取知識產權等。面對SolarWinds供應鏈攻擊、微軟Exchange漏洞攻擊，以及Colonial Pipeline輸油管道等一連串備受矚目的重大網絡安全事件，美國政府必須能夠迅速協調響應。此外，2022年初俄烏沖突爆發并持續焦灼，國與國之間的網絡攻擊也隨即展開，關鍵基礎設施成為網絡攻擊重點。面對關鍵基礎設施安全威脅，CISA極大促進了公共和私營部門的有效協作，以確保在面對針對國家關鍵基礎設施的潛在惡意網絡活動時保持警惕，迅速與這些合作伙伴共享寶貴的情報信息，以緩解關鍵基礎設施安全威脅。

（二）有形基礎設施的多樣性和復雜性構成獨特挑戰

有形關鍵基礎設施的多樣性、復雜性和不斷擴張也對關鍵基礎設施安全保護構成了獨特的挑戰。確保重要基礎設施、公眾集會地點、選舉投票場所等免受恐怖主義攻擊和有針對性的暴力威脅仍然是一個關鍵優先事項。氣候變化帶來的風險同樣令人生畏。隨著極端氣候事件的發展，我們可以預期自然災害所造成的傷害和系統壓力會對關鍵基礎設施造成進一步的安全挑戰，這需要更加強調恢復能力。這種風險同樣會增加區域應急響應工作者和政府官員在事件發生和事件處理中面臨的壓力。因此，在下一次災難發生之前，必須具備可恢復的、可互操作的、具有高安全韌性的通信系統。

（三）安全威脅和風險不再局限于單個系統或實體

支持國家關鍵職能（NCF）的基礎設施，本身跨越政府多個部門，同時也是政府和私營部門共同維護的職能，其一旦遭到破壞或喪失功能將對國家安全、經濟安全、公共健康安全等方面產生破壞性影響。NCF不斷發展為更加相互依賴的基礎設施。網絡空間和物理基礎設施之間的界限越來越模糊。網絡技術與物理空間的融合提供了國家的關鍵職能，從工業制造到醫療保健、再到交通運輸等各關鍵職能，任何單方面出現問題都可以導致跨多個行業的服務能力喪失或下降。此外，工業互聯網時代下，大規模部署安全控制設備上網會面臨更廣泛的足以導致中斷后果的威脅，對運營技術和工業控制系統帶來了獨特的風險。雖然新興技術是創新和機遇的關鍵驅動因素，但它們也同樣帶來意料之外的風險。各關鍵基礎設施之間的不可預見的相互依賴性可能會導致系統性風險和級聯影響。面對這種不斷演變的環境，網絡和關鍵基礎設施安全面臨威脅越發復雜。

二、CISA的國家地位與使命愿景

（一）CISA的國家地位

當前，我們面臨的威脅來自網絡空間、數字空間和物理空間，包括人為制造的、自然災害導致的、技術發展帶來的等各個方面，比歷史上的任何時候都更加復雜，威脅制造者也更加多樣化。因此，龐大網絡空間的安全保護需要有強大的國內安全能力和區域聯防機制，同時需要與世界各地的利益有關者進行協作并建立伙伴關系。CISA就是動員網絡空間安全集體防御的中心，同時努力了解、管理和降低關鍵基礎設施的風險，時刻保持警惕，維護美國人民的隱私、公民權利和公民自由。

CISA是美國聯邦政府網絡安全的領導者，又是保護關鍵基礎設施安全的國家協調員。CISA處于聯邦網絡安全團隊核心位置，類似于橄欖球中的四分衛，與全面負責聯邦政府網絡安全的管理和預算辦公室密切合作，保護和捍衛美國聯邦政府網絡。CISA負責協調國家網絡防御的具體執行工作，領導重大網絡事件的資產響應，并確保聯邦、非聯邦和私營部門合作伙伴之間及時共享可采取行動的信息。CISA著眼于整個威脅狀況，與政府和行業的合作伙伴合作，抵御當今的威脅，保護國家的關鍵基礎設施免受隨時可能即將到來的威脅。其中，CISA的利益相關者包括聯邦民事行政部門（FCEB）、“州、地方、部落和地區（SLTT）”政府、私營部門、部門風險管理機構（SRMA）、非政府組織、非營利組織、美國公眾、國際合作伙伴和學術界。

（二）CISA的使命與愿景

確保美國所依賴的網絡和物理基礎設施時刻都是安全、可靠和充滿韌性的，始終是CISA機構每天開展的眾多活動的目標指引，是CISA機構存在的核心意義。CISA機構上下的工作者正是為實現此重要目標而不懈努力。

CISA為了一個安全和諧的網絡空間能夠支持民眾的生活方式，致力于美國擁有最安全的互聯網世界；在美國全國范圍內為每個家庭和企業提供可靠的關鍵服務和核心功能；組織公私部門共同成立協作小組開展工作，以防御對手，維護和保護國家安全、維持繁榮的經濟發展、確保所有美國人民的安全。

CISA的使命是領導國家努力發現、管理并降低國家網絡和物理基礎設施的風險。

CISA的愿景是為美國人民提供安全和可靠的基礎設施。

（三）CISA的核心價值觀

CISA和其他機構最大的不同就是它并不僅僅是一個政府機構，而更類似于一個公私合作的機構。CISA倡導的“合作、創新、服務和責任”的核心價值觀能夠更好地助力機構開展工作。

強大而充滿活力的合作伙伴關系對于CISA所做的一切都至關重要。CISA將合作伙伴團隊的成員作為服務的客戶，將每一項工作都視為為合作伙伴建立信任的機會。

CISA所面對的威脅來自不受官僚機構束縛的敵人，因此必須加快創新，采用靈活的工作推進方式確保領先地位，減少國家和人民面臨的威脅，且必須建立在強大的安全響應恢復能力基礎之上。

CISA的宗旨是無私地為美國人民服務，這不僅是一項承諾，更重要的任務是呼吁更廣大的力量來保護和捍衛美國人民每時每刻都賴以生活的基礎設施。

只有CISA機構中每一個人積極地奉行CISA的使命與行動，才能取得成功。CISA以身作則，對自己的行為負責，通過信任、公開和誠實去賦能。

（四）CISA的核心原則

CISA的核心原則是指，無論是個人還是集體取得成功所必須遵守的完美行為準則。包括但不僅限于：人民至上，做正確有意義的事情；誠實準確地反饋，真誠有效地溝通；努力拼搏；具有同理心、歸屬感、想象力、包容性；平等信任，具有團隊合作、學習精神等。這些將扎根于CISA的使命和愿景，踐行其核心價值觀，融合在一起就是CISA的文化。CISA文化體現了其培養員工的目標和期望。

CISA非常重視文化，認為它對完成CISA的使命至關重要。只有每天踐行核心價值觀，并遵從核心原則，在通往成功的路上不斷成長，國家使命自然也會獲得成功。

三、CISA未來三年的目標

CISA此次戰略提出了網絡安全、關鍵基礎設施安全、業務協作與信息共享、一體化團隊能力建設4個方面的主要目標，具體細化為19個子目標。

（一）牽頭開展網絡空間安全防御

作為美國聯邦政府網絡防御機構，CISA將統籌協調全國資源共同抵御針對美國關鍵基礎設施、聯邦和SLTT政府、私營部門和美國人民的網絡威脅行為者。《戰略》指出，CISA必須在網絡防御任務中向前傾斜，即要在重大事件發生之前，以及網絡安全風險出現時，充分與眾多合作伙伴協作，減輕NCF面臨的最重大網絡風險。此外，CISA作為聯邦文職行政部門網絡安全和聯邦政府網絡安全共享服務提供商的運營領導，必須確保聯邦民事機構能夠獲得最佳的網絡安全工具、事件響應支持和風險管理能力，以保護支持國家基本運營的網絡。

CISA致力于幫助美國聯邦機構做出必要的大膽變革，以改善美國的網絡防御態勢。推動和促進聯邦政府采用現代化、安全靈活的技術，提高事件響應能力，降低聯邦政府的供應鏈風險，提高對聯邦政府網絡中網絡威脅的可見性。CISA將努力推動聯邦民事機構采用最佳網絡安全實踐，并提供可擴展的創新服務能力幫助機構來構建有效的安全計劃。

目前，破壞行為者不斷搜尋重要系統以便持續獲得重要數據。面對日益復雜的網絡安全威脅，CISA需要提升威脅風險的可見性，從而檢測和防范這些威脅。這要求必須提高在聯邦政府和SLTT網絡中的主動檢測威脅的能力，與行業合作伙伴協作增強對行業專用網絡中威脅的理解，不斷創新威脅捕獲能力、快速識別和緩解大規模威脅。

網絡空間中的每一個硬件和軟件都可能包含漏洞，因此CISA作為值得信賴的合作伙伴，要加強協調最新被識別漏洞的披露工作，以減少敵手利用該漏洞的窗口期。具體包括：與公共部門、私營實體以及網絡安全研究組織密切合作，鼓勵識別和報告未知漏洞；利用相關渠道和機制，及時協調漏洞披露工作，提供修復建議；為降低漏洞的使用頻率和嚴重性，利用國家賦予的權力識別未修復的漏洞，在漏洞利用之前推動緊急修復，特別針對影響關鍵基礎設施的漏洞；與網絡研究組織合作，利用網絡安全審查委員會和其他咨詢機構的經驗教訓，形成實施建議提高國家網絡安全。

CISA應促進全國的公共和私營網絡安全保護者采用先進的網絡防御和網絡運營的通用工具、流程、服務等資源，從而推動網絡技術生態實現系統“缺省安全”。具體包括：確保技術提供商和網絡防御者的軟硬件產品、系統和服務的安全性；推動網絡安全技術生態發展，支持國家通過資金、教育等資源填補網絡安全關鍵技術能力差距；加強軟件供應鏈安全，充分考慮技術產品在設計和開發過程中的安全性，確保默認缺省配置情況下的安全能力，減少技術產品中的可利用漏洞。

（二）增強美國關鍵基礎設施的安全及其韌性

關鍵基礎設施的安全保障取決于關鍵基礎設施適應不斷變化環境的能力，以及承受中斷并從中斷中快速恢復的能力。CISA將協調全國資源共同努力以防范關鍵基礎設施安全風險。首先需要重點確定哪些系統和資產對國家真正至關重要，了解、發現它們的脆弱性，再采取行動管理、降低它們面臨的風險；作為全國關鍵基礎設施所有者和運營者的重要合作伙伴，CISA致力于幫助合作伙伴降低風險并建立安全能力，以抵御來自網絡攻擊、自然災害和物理破壞的威脅。

網絡防御和關鍵基礎設施安全相關任務成功的基礎是了解和發現風險，這取決于收集正確的數據和信息，從而才能推動風險評估、分析和決策。CISA需要加深對國家關鍵基礎設施資產和系統的理解，識別潛在風險源；推動關鍵基礎設施漏洞的評估、識別與理解；通過合作開發新的工具獲得對網絡和物理威脅以及漏洞的可見性；持續識別可能會對基礎設施帶來威脅的新風險。

CISA必須不斷增強安全風險分析能力和方法，以深入了解關鍵基礎設施所面臨的風險。在提升關鍵基礎設施風險可見性的基礎上，建立風險識別和分析方法，以產生用來指導機構決策的全面、統一的風險分析結果；針對跨機構戰略級別的風險優先事項，CISA將發揮獨特的技術專長、制定特定的方案，實現量身定制的風險分析能力。

為了加強對關鍵基礎設施的保護，使其免受威脅、危害和風險的影響，CISA為風險承擔者提供安全保障和風險應對指導和幫助，主要包括：提供可操作的專業知識和安全措施，以應對安全威脅；發布權威指導，強化應急通信系統安全，以推動有效的信息系統和網絡風險管理；制定標準和建議來指導安全決策，建立性能目標要求下的跨部門網絡安全基線；提供有針對性的技術援助或評估，提高關鍵基礎設施安全性和恢復能力。

作為一個值得信賴的合作伙伴，CISA必須幫助關鍵基礎設施所有者和運營者構建安全能力，具體包括：擴展CISA在網絡安全、關鍵基礎設施安全和應急通信方面的關鍵計劃和技術產品，以滿足不斷增長的安全需求；為關鍵基礎設施的SRMA提供支持；提供有效的能力和服務應對不斷演變的物理安全挑戰，包括內部威脅、槍擊、爆炸和公共聚會場所的安全；響應應急需求，定制產品以應對新風險；建立將CISA的網絡安全服務擴展到非聯邦利益相關者的能力。

CISA須增強全天候運營態勢和響應協調中心的應急響應和威脅處理能力，以統籌協調、綜合統一的方式應對網絡安全和物理破壞的威脅，主要包括：加強總部和區域的應急響應和威脅處理能力，支持關鍵基礎設施所有者和運營者與機構間伙伴共同應對物理威脅和網絡安全事件、恐怖主義、針對性暴力攻擊以及重大自然災害；在重大網絡事件期間，隨時準備支持公共和私有實體的響應，包括部署可用的事件響應能力、限制負面影響、最大限度地減少運營停機時間、實現快速恢復等；對于具有國家和地區意義的事件（如自然災害），提供應急通信支持服務，確保第一響應者、公共安全實體在事件期間可以快速安全通信。

CISA是政府了解選舉基礎設施安全性并確定其風險的中心，同時確保選舉官員及其私營部門伙伴掌握管理其系統風險所需的其他信息。CISA從網絡安全風險管理方法發展到平衡網絡、物理和運營安全的更廣泛的風險管理方法，結合聯邦伙伴（如美國聯邦調查局、美國選舉援助委員會等情報機構）的情報，評估選舉基礎設施安全風險，并為風險管理操作提供信息。

（三）加強國家統一的業務協作和信息共享

CISA能夠完成使命任務的核心是合作伙伴之間的業務協作，保護國家關鍵基礎設施的網絡空間和物理空間的安全是一項共同責任。CISA正在挑戰傳統的運營方式，積極與聯邦政府、行業、學術和國際合作伙伴合作，朝著更具前瞻性的、以行動為導向的合作邁進。CISA致力于大力發展在行業和地區的合作，從而更有效地為利益相關者提供所需幫助。同時，CISA將利用整套召集機制和關系管理能力來擴展和完善與利益相關者的伙伴關系，并促進信息共享。

為了優化合作伙伴關系，CISA必須與SRMA及更廣泛的利益相關者開展合作規劃，實現共同發展，保障國家網絡安全和關鍵基礎設施安全。在為利益相關者的服務過程中建立CISA品牌，培養利益相關者對CISA創造價值的信心；通過使用利益相關者的數據和態勢、客戶需求信息、運營要求和領導優先級來指導國家和區域級別的推廣活動；優先考慮目標明確的區域、特定行業和SRMA部門的參與；發揮國家網絡安全和關鍵基礎設施安全領導協調的作用，履行立法和政策制定的任務。

CISA區域辦公室作為一線人員，建立伙伴關系的同時改進產品和服務的使用，對CISA成功推廣至關重要。因此CISA應加強總部與區域辦公室的融合一體化；應建立流程以協調總部各部門和區域的工作責任評價，相互支持它們之間的運營關系管理；為優化方案、產品和服務，加強國家一級伙伴關系管理框架和區域之間的聯系，并視情況將部門和政府協調理事會等直接擴展到各區域；創建內部業務管理論壇、機制和流程，使全國利益相關者更簡單高效地參與規劃和協作。

CISA的規劃、產品和服務為利益相關者提供了基本的解決方案，能夠指導利益相關者明智地做出決策，降低網絡和關鍵基礎設施風險，加強網絡安全防御和關鍵基礎設施韌性。為使資源能夠有效訪問并使用，CISA將努力按照客戶的需求提供這些資源，包括根據客戶的特定需求，提供定制的產品信息、訪問和交付；確保資源目錄將準確、可定制、易于訪問和使用；在整個機構范圍內廣泛推廣CISA產品和服務的資源，以鞏固核心利益相關者群體合作關系。

為提高CISA對利益相關者的安全態勢感知能力，必須加強與外部合作伙伴的多向通信，做好安全事件報告、漏洞和威脅情報共享和其他安全信息和數據的共享。繼續構建類似聯合網絡防御協作中心（JCDC）等新的協作結構；完善現有協作結構，例如聯邦高級領導委員會（FSLC）、信息共享和分析組織（ISAO）、信息共享和分析中心（ISAC）等。通過不斷加快信息共享和協作的速度，提高情報準確性和有效性，更好地使利益相關者及時響應安全事件，最終達到保護隱私、公民權利和公民自由的使命任務。

來自外部利益相關者的觀點能夠有效改善CISA產品和服務，實現任務交付，保障網絡安全和關鍵基礎設施安全。CISA應允許利益相關者通過面談和反饋請求的形式提供直接反饋；積極尋求國家網絡和物理基礎設施領域值得信賴的專家的有價值的建議意見；積極尋求利益相關者的反饋來不斷完善和改進產品和服務；增加利益相關者觀點、信息和數據的集成，以幫助關注領域的優先級、開發、定制等工作的決策制定。

（四）提升基于職能、業務和人才的一體化團隊能力

CISA正在建立一種基于核心價值觀和核心原則的卓越文化，從而提升基于綜合職能、業務能力和人才力量的一體化團隊能力，這是CISA取得成功的基礎。

CISA能夠戰略性地解決孤島問題，通過綜合專業知識、明確的責任和團隊作戰能力高效交付任務。在CISA舉行交流方案的跨任務授權辦公室會議，建立管理結構，提供必要的數據和流程，從而做出優先決定；CISA將努力專研工作路線，分配組織和個人責任來推動集體決策，并形成有效記錄，確保最佳實踐的標準化和利用；將計劃、規劃、預算、執行和評估流程集成到管理流程和決策中，為資金管理和業務運營提供有效的內部控制；建立一種卓越文化，通過核心價值觀和核心原則釋放人才的力量和潛力。

業務運營能力對CISA機構至關重要。根據需要，CISA將采用敏捷技術，簡化現有運營流程，從而及時、安全、現代化地服務客戶；提高產品、服務和資源的利用率，通過增加服務覆蓋率證明創新、安全、可互操作的技術解決方案的運營成功；專注于將合作伙伴觀點、系統和數據的融合，提供可操作的信息支持領導決策、改進流程，以實現安全有效的數據管理、信息共享和業務協作。

要為國家提供卓越的服務，CISA必須加強網絡安全人才隊伍培養，確保人才隊伍擁有正確的資質、專業知識和技能，以應對國家的網絡防御挑戰。想方設法吸引并且留住國家最有才華的網絡和基礎設施安全人才；將實施建設一個世界級的人才生態系統；積極尋找、識別和培養來自非傳統行業和地區的潛在人才；找到具有專業技能和國家責任的來自所有領域和背景的有能力的人才；利用DHS的網絡人才管理系統實現招聘相關工作的現代化；確保所有級別的員工和領導都能平等地獲得職業發展和教育機會；創建一個高透明度和運營效率的高績效團隊發展的環境；通過創造更穩健的職業發展途徑、并為職業發展創造更多的交叉工作機會。

CISA文化對完成CISA的使命至關重要。通過頒布核心價值觀和核心原則，繼續建設CISA文化；將文化融入為合作伙伴和利益相關者提供服務以及我們的日常行為中；將優先打造心理安全的環境，讓員工感到被關心、被支持、被尊重和對使命的主人翁和責任感；推進公平和公正的組織文化，要求領導圍繞獎勵、決策和待遇等結果做好溝通過，提高透明度。利用CISA卓越文化，將CISA打造成為網絡空間領域公認的領導者。

四、CISA取得成就分析

（一）提出NCF，明確重點保護對象

CISA在劃分關鍵基礎設施的基礎上提出NCF的概念：NCF即支持國家至關重要職能的基礎設施，其一旦遭到破壞或喪失功能將對國家安全、經濟安全、公共健康安全等方面產生破壞性影響。通過NCF確定了國家至關重要的關鍵基礎設施，明確了重點保護的實體、資產、系統和技術等對象面臨的風險情況，從而更加有效確定網絡安全和關鍵基礎設施安全保護的優先順序。

（二）制定強制法案，加強國家網絡安全管理

CISA作為國家網絡安全和關鍵基礎設施安全保護領導機構，通過制定一系列法案，有效加強了美國網絡安全和關鍵基礎設施安全。2019年發布《改善州、地方網絡安全法案》，明確要求“制定網絡安全資源指南、識別高價值資產和提供網絡安全建設資金”；2020年CISA頒布《實施漏洞披露政策》強制命令，要求所有聯邦機構必須在180天內完成接口對接、漏洞提交、漏洞披露；2021年發布《美國網絡安全和基礎設施安全局網絡演習法案》，提出了對關鍵基礎設施開展網絡安全應急響應、攻防演習、定期測試和評估的工作要求；2022年發布《關鍵基礎設施網絡事件報告法案》，強制要求關鍵基礎設施實體在發生涵蓋網絡事件或勒索軟件攻擊之后，必須在規定時間內進行上報，采取強硬的手段，以確保對網絡事件發展態勢的感知，從而確保關鍵基礎設施安全。

（三）構建JCDC，國家協同威脅情報

2021年8月成立JCDC，形成了從根本上降低網絡安全風險的形式：通過值得信賴的合作伙伴之間的持續運營合作，進行嚴格的規劃，以在破壞性入侵發生之前解決最重大的威脅。JCDC是將美國聯邦調查局、國家安全局和美國網絡司令部等政府合作伙伴與私營部門合作伙伴聯合起來形成的一個威脅情報共享協同的國家平臺。該模式通過每個參與組織的共同貢獻取得成功，給CISA帶來了獨特的專業知識和創新能力。尤其在應對Log4Shell漏洞過程中發揮了重要作用。在漏洞披露的幾個小時內，利用JCDC平臺合作伙伴的專業知識開展運營協作，有效協助CISA通知、理解和管理Log4Shell漏洞帶來的威脅。在JCDC輸入的支持下，CISA的Apache Log4j漏洞指南網頁在前三周就吸引了超過30萬次頁面瀏覽量。JCDC有效促進了數據的收集、組織和整合，以確定漏洞的影響并支持推進全面修復工作，JCDC成為開展威脅情報共享的重要催化劑。

（四）發布技術指南，促進政策落地執行

為更好執行美國第14028號行政令——《改善國家網絡安全》，CISA制定了《云計算技術參考框架》《可擴展可見性參考框架》《云計算服務用例指南》等指導文件，幫助機構在使用云計算服務時采用必要的安全實踐；針對5G安全發布《5G安全評估流程指南》《保護5G云基礎設施安全指南》；發布《零信任成熟度模型》《基于零信任架構的企業移動安全計劃》，進一步支持聯邦機構和其他組織實現零信任?！稇鹇浴分赋?，通過CISA的努力，美國聯邦政府機構能夠快速從網絡攻擊和網絡事件中恢復，并且能夠確保機構在網絡攻擊和網絡事件發生時和發生后仍然可以完成其使命。

五、總結與建議

環顧全球，網絡空間安全形勢愈發復雜化，關鍵基礎設施安全保護成為網絡空間安全的重中之重。面對日益復雜的環境，網絡和基礎設施面臨的風險不斷演變，CISA成立四年來逐漸明晰了工作重點方向。此次《戰略》發布，重點申明了該機構在國家網絡安全和關鍵基礎設施安全保護中的重要地位——既是美國聯邦政府網絡安全的領導者，又是關鍵基礎設施安全保護的國家協調員。《戰略》提出了2023年至2025年主要工作目標，為未來三年指明了方向：一是牽頭開展網絡空間安全防御；二是增強關鍵基礎設施的安全及其韌性；三是加強國家統一的業務協作和信息共享；四是提升基于職能、業務和人才的一體化團隊能力。

近年來，我國《網絡安全法》《數據安全法》《個人信息保護法》和《關鍵信息基礎設施安全保護條例》等相關政策法規的發布，構建起了我國網絡空間安全保障和關鍵信息基礎設施安全保護政策法規體系。

通過分析美國CISA《2023年至2025年戰略規劃》，思考我國關鍵信息基礎設施安全保護工作，建議如下：一是加快關鍵信息基礎設施認定，明確完成關鍵信息基礎設施認定第一次全國普查的時間節點，定期進行認定結果評估工作，保證保護目標的動態調整。二是強化信息共享機制和協作平臺建設，加強政府和關鍵信息基礎設施運營者之間，以及政府各部門之間有關關鍵信息基礎設施的態勢信息交流和協調響應，構建國家服務能力。三是加快關鍵信息基礎設施保護系列標準和指南文件的編制、宣貫，加大可操作、可執行的安全保護技術在行業、企業的指導培訓。“網絡安全是共同的而不是孤立的”，關鍵信息基礎設施安全保護是全社會共同責任，需要國家關鍵信息基礎設施安全保護主管部門、保護工作部門、運營者、網絡安全相關產業、教育、科研機構等有組織有體系的協同工作，構建國家級關鍵信息基礎設施安全保護協作平臺，形成合力，支撐國家關鍵信息基礎設施安全保護要求落地實施，共筑網絡安全防線。