2023年8月4日，美国网络安全与基础设施安全局（CISA）发布《2024-2026财年网络安全战略计划》，旨在进一步落实2023年3月发布的《国家网络安全战略》。CISA表示，在该计划中制定了近30项有效措施。在CISA内部，该计划将作为实施、管理资源和运营规划的基石，并通过年度运营计划进一步执行。在外部，该计划将帮助利益相关方了解并参与长期的网络安全规划。在实施战略计划的过程中，随着网络威胁和技术环境的持续变化，需要定期重新评估战略优先事项。

CISA的网络安全方法以五项基本原则为基础：网络安全是CISA的整体任务、网络安全是政府的一项整体任务、网络安全是整个国家的使命、优先考虑资源、影响或失败。

该计划明确了网络安全的任务目标，包括：

（1）应对直接威胁

提高网络安全威胁的可视性和缓解网络安全威胁的能力。通过建立联盟，利用所有能力来衡量针对关键基础设施和政府网络的威胁活动。

建立新型模式，解决关键基础设施和政府网络中普遍存在的漏洞和安全薄弱环节。通过自身的能力或合作伙伴的能力，衡量关键基础设施和政府网络中的漏洞，特别是已知的被对手利用的漏洞。扩大对协调漏洞披露工作的参与范围，增强与研究界和私营部门的信任与合作。同时鼓励和支持安全研究人员，在对手利用漏洞造成危害之前发现并修复漏洞。

规划、演练和执行联合网络防御行动，协调应对重大网络安全事件。扩大持久合作模式的广度和深度。增加网络防御计划的数量，并确定每项计划的优先级风险。

（2）加固地形

了解攻击原理，以及应对措施。发展强大的能力，以分析有关网络安全入侵和对手的信息，并深入了解哪些安全措施在限制影响和伤害方面最有效或可能最有效。

推动实施有效的网络安全投资。制定能直接应对入侵发生方式和对手适应方式的指南，并推动对最具影响力的安全措施进行投资，包括定期更新跨部门网络安全绩效目标，合作制定特定部门的网络安全绩效目标，以及利用具有约束力的业务和紧急指令，推动对最具影响力的措施进行紧急投资。

提供网络安全服务。扩大网络安全能力和服务，提供网络安全评估，并在授权允许的情况下提供共享服务，以弥补已确定的能力差距。利用商业攻击面管理和类似能力，帮助合作伙伴识别被利用或可被利用的情况，并更好地了解全国的安全趋势。

（3）推动安全规模化

推动开发值得信赖的技术产品。制定并定期更新标准和做法，以开发和维护在设计和默认情况下都是安全的产品，并与合作伙伴合作，评估技术产品在多大程度上采用了这些明确界定的做法。

了解并降低新兴技术原生风险。提供指导和支持，帮助各组织了解、利用和减少恶意使用人工智能、密码分析相关量子计算机和其他新兴技术带来的危害。

建立国家网络人才队伍，支持当前的网络安全人才队伍应对当前的挑战，帮助建立一支深厚和多元化的未来人才队伍。

信息来源：

https://www.cisa.gov/news-events/news/cisa-cybersecurity-strategic-plan-shifting-arc-national-risk-create-safer-future

https://www.secrss.com/articles/57679