2023年3月,美白宮釋出新版《國家網絡安全戰略》;5月,國防部向國會送出了《美國防部網絡戰略》;7月,白宮釋出《國家網絡安全戰略實施計劃》;8月,紐約州釋出首個《紐約州網絡安全戰略》(以下簡稱“州戰略”)。美密集釋出網絡安全戰略檔案,強調在國家、聯邦機構、州政府層面加強政策指導,以提升網絡彈性、改善網絡安全。
政策釋出背景
美國認為,世界正進入愈發依賴數字化的新階段,使軟體和系統變得更加複雜、更易受到網絡攻擊,這将引發更廣泛的惡意網絡行為,增加網絡安全系統性風險。
新興技術增加網絡安全風險。随着新興網絡技術的快速發展,網際網路、軟體和系統正變得越來越複雜。通過網際網路能将個人、企業、社群和國家連接配接起來,使國際交流規模得以擴大。全球互聯為美國企業和消費者創造價值的同時,也增加了關鍵系統的網絡安全風險。原本對一個組織、行業或國家的網絡攻擊可以迅速蔓延到其他行業和地區,如俄羅斯2020年對烏克蘭發動的網絡攻擊蔓延到美國,造成了數億美元的損失。
惡意網絡活動持續擴散。近年來,美國頻發網絡攻擊事件,包括“太陽風”供應鍊攻擊事件、“科洛尼爾輸油管”攻擊事件等。疊加烏克蘭危機導緻網絡攻擊風險進一步外溢,使美國政府辦公系統、關鍵基礎設施面臨更多網絡安全威脅。以往,外國攻擊性黑客工具和服務僅由少數國家掌握,但如今已能廣泛擷取,使網絡犯罪集團的威脅不斷增加。
協調機制存在障礙。美國政府認為,目前終端使用者承擔了太多緩解網絡風險的負擔。個人、小企業、州政府和地方政府以及基礎設施營運商的資源有限,且各種優先事項互相幹擾,對維護國家網絡安全造成隐患。美國整體網絡彈性不能依賴于最小的組織機構,應要求能力最強、占位最優的行為體在確定數字生态系統的安全和彈性方面承擔更多責任。
政策體系構成
美網絡安全政策體系包括國家、聯邦機構、州政府等層面。國家層面包括美白宮《國家網絡安全戰略》《國家網絡安全戰略實施計劃》,聯邦機構層面包括《美國防部網絡戰略》,州政府層面包括《紐約州網絡安全戰略》等。
國家層面:《國家網絡安全戰略》。2023年3月,美白宮釋出新版《國家網絡安全戰略》(以下簡稱“國家戰略”)。國家戰略明确了網絡安全戰略支柱,統籌安排了國家層面的重點任務。一是加強關鍵基礎設施網絡防禦。制定網絡安全要求,擴大公私合作範圍,整合聯邦網絡安全中心,優化事件響應流程,以提升網絡防禦現代化水準。二是打擊網絡威脅行為。整合政府能力,加強公私協作,實作情報共享和威脅檢測,防止對手濫用基礎設施,以打擊網絡犯罪。三是塑造市場力量。基于聯邦采辦制度強化問責,要求資料管理者、軟體供應商承擔安全責任,探索網絡安全保險新方式,以提高網絡彈性。四是投資未來彈性網絡。制定網絡空間人才政策,關注網際網路、後量子、清潔能源領域網絡安全,重振網絡技術研發。五是建構國際夥伴關系。建立聯盟,深化國際合作,應對數字生态系統威脅,確定資訊技術産品與服務全球供應鍊安全。
美國《國家網絡安全戰略》
國家戰略細化實施路徑,推動落實具體工作。一是明确政府責任主體。提出國家安全委員會監督、預算管理辦公室協調、國家網絡總監辦公室制定實施計劃。二是開展有效性評估。要求聯邦政府全面評估戰略的有效性,并每年向總統、國會報告,確定後續工作的有效性。三是吸取網絡事件經驗教訓。将吸取網絡事件經驗教訓作為政府優先事項,鼓勵相關機構把網絡安全事故審查流程納入監管架構。四是引導網絡安全投資。釋出年度指南等措施,確定各部門和機構預算提案一緻性,提升長期投資的針對性。
國家層面:《國家網絡安全戰略實施計劃》。2023年7月,美白宮釋出《國家網絡安全戰略實施計劃》,以提高應對重大網絡攻擊的長期防禦能力。一是網絡安全和基礎設施安全局将協調公私合作,以推動安全技術的開發與采用。二是國防部釋出新版網絡戰略,重點關注惡意行為者所帶來的挑戰,以應對潛在的戰略級威脅。三是司法部協調情報界實體機構,牽頭制定“一系列選項”,以應對網絡犯罪分子和國家對手的破壞活動。四是減輕公民網絡安全職責,将負擔從普通公民轉移到更有網絡安全能力的實體機構,同時激勵網絡安全領域的長期投資。五是國土安全部牽頭更新國家網絡事件響應計劃,要求國土安全部和聯邦調查局合作阻止勒索軟體攻擊,并為醫院和學校等高風險目标提供響應預案。六是廣泛關注網絡安全人才問題。
聯邦機構層面:《國防部網絡戰略》。2023年5月,美國防部向國會送出了機密版《美國防部網絡戰略》(以下簡稱“國防戰略”)。根據戰略情況說明書,國防戰略提出了3項網絡領域指導原則:一是美軍将最大限度地發揮其網絡能力,以支援綜合威懾,并與其他國家協同開展網絡空間行動;二是美軍将在低武裝沖突情況下,在網絡空間中和通過網絡空間開展行動,以加強威懾和挫敗對手;三是美國聯合全球盟友和合作夥伴,鞏固和加強網絡領域優勢。
此外,國防戰略還強調了美國政府和國防部長期以來所面臨的網絡威脅,威脅主要來自競争國家、極端主義組織和跨國犯罪組織,并提出4項應對措施:一是保衛國家。美軍将開展利用網絡能力開展行動以深入了解惡意網絡行為者,開展“前沿防禦”以破壞和削弱上述行為者的能力和支援生态系統,并與跨部門合作夥伴合作,加強美國關鍵基礎設施的網絡彈性,并打擊戰備威脅。二是準備戰鬥并赢得戰争。美軍将確定軍事資訊網絡的網絡安全以及聯合部隊的網絡彈性,并将利用網絡空間作戰産生非對稱優勢,以支援聯合部隊的計劃和行動。三是與盟友和合作夥伴合作,保護網絡域。美軍将協助盟友和合作夥伴建設其網絡能力和實力,擴大潛在網絡合作途徑,繼續開展“前出狩獵”行動,并将通過鼓勵遵守國際法和國際公認的網絡空間規範來加強負責任的國家行為。四是在網絡空間建立持久優勢。美軍将優化網絡作戰部隊和現役網絡部隊的組織、訓練和裝備,并将投資于網絡空間作戰的推動因素,包括情報、科學技術、網絡安全和文化。
《紐約州網絡安全戰略》
州政府層面:《紐約州網絡安全戰略》。2023年8月,美國紐約州出台首個州戰略,并任命首位首席網絡官。州戰略提出三大網絡安全願景,一是統籌管理,加強對網絡資訊、工具和服務的管理,使網絡防禦措施能夠覆寫所有實體;二是網絡彈性,通過擴大網絡安全法規、要求和建議的範圍,更好地保護紐約州關鍵設施的安全;三是充分準備,廣泛提供建議和指導,確定公民網絡安全。州戰略提出五大戰略支柱,一是建構安全、彈性的政府網絡,確定紐約州政府網絡按照現代安全原則設計;二是加強與利益相關者(如地方政府、私營企業、合作夥伴、非營利組織等)合作,提供端點檢測和響應等網絡安全服務;三是規範關鍵行業,確定關鍵行業基礎設施所有者和營運商所提供的服務達到最低安全标準;四是提倡公民參與網絡安全工作,強調個人在網絡安全中的重要性;五是發展網絡安全勞動力,建構紐約州網絡安全人才庫,提高紐約州對網絡人才的吸引力。
此外,州戰略要求成立一個工業控制系統網絡評估團隊,幫助紐約州國土安全部門開展網絡事件響應工作。州戰略要求,通過州衛生保健技術資本撥款計劃,投入5億美元用于改善全州醫療保健資訊技術和網絡安全基礎設施;同時,增加紐約州網絡安全預算,為擴大縣級和地方政府的共享服務計劃提供資金。
幾點認識
對華定位發生根本性轉變,視中國為網絡安全“最大威脅”。美國家戰略用三個“最”形容中國,提出“中國是美政府和私營部門最廣泛、最活躍和最持久的威脅,并且中國是唯一一個既有重塑國際秩序意圖,又越來越多地使用經濟、外交、軍事和技術手段推進該意圖的國家”。而2018版戰略中,美将俄羅斯、中國、伊朗、北韓等一并視作構成挑戰的“長期競争對手”,但隻強調中國能夠對美網絡空間及新興技術領域造成挑戰。新舊戰略對比,反映出拜登政府在網絡安全領域對華定位發生根本性轉變,中國由“競争對手”正式轉變為“最大威脅”。
美軍将確定軍事資訊網絡的網絡安全以及聯合部隊的網絡彈性
強調聯邦機構責任下移,賦予供應商更多網絡安全責任。美在網絡空間領域的國家戰略、國防戰略中,多次提到“監管”“協調”等關鍵詞,明确聯邦政府機構責任。一是授權國防部網絡和基礎設施安全局保護聯邦民事行政部門系統,并主導更新網絡事件響應計劃;二是協調财政部、司法部、特勤局等參與勒索攻擊調查,打擊網絡犯罪;三是協調運輸安全管理局、環境保護局等參與能源、航空、鐵路等關鍵領域網絡安全工作。同時,美網絡安全政策體系重塑了美網絡社會契約,調整了網絡安全責任主體。政策體系要求,必須重新平衡網絡安全責任,将責任從個人、小企業和州政府轉移,移交給擁有必要資源和專業知識的大型供應商,以更好確定網絡安全。
重視長期資金引導,鞏固和擴充網絡技術優勢。美網絡政策體系圍繞“一個系統、兩個主體、三個領域”,重新建構網絡技術長期投資機制。一是以建構“數字生态系統”為一緻性目标,加強美網絡安全彈性和防禦性投資;二是以“政府機構、私營部門”為協調主體,加強公私合作,優化網絡安全投資結構;三是以“計算技術、生物制造技術、清潔能源技術”為重點領域,加大網絡安全技術研發投入,確定美國網絡技術上司地位。
拜登政府網絡政策體系相較以往,提出的相關措施更加全面、具體
保護關鍵基礎設施是美國網絡安全工作重點。美網絡政策體系将保衛關鍵基礎設施網絡安全放在首位,從政策制定、公私合作、能力整合、事件響應等方面提出了保護關鍵基礎設施的各項舉措。一是完善關鍵基礎設施網絡安全法規;二是擴大公私合作,推動網絡防禦者同步保護關鍵基礎設施;三是整合聯邦網絡安全中心,推動政府間協調;四是更新網絡事件響應計劃,加強關鍵基礎設施安全事件應對能力等。拜登政府網絡政策體系相較以往,提出的相關措施更加全面、具體,可見聯邦政府高度重視關鍵基礎設施網絡安全工作,亟需重塑美國人民對關鍵基礎設施網絡安全的信心。
免責聲明:本文轉自軍事文摘,原作者樊偉、劉永豔等。文章内容系原作者個人觀點,本公衆号編譯/轉載僅為分享、傳達不同觀點,如有任何異議,歡迎聯系我們!
轉自丨軍事文摘
作者丨樊偉、劉永豔等
研究所簡介
國際技術經濟研究所(IITE)成立于1985年11月,是隸屬于國務院發展研究中心的非營利性研究機構,主要職能是研究大陸經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題,跟蹤和分析世界科技、經濟發展态勢,為中央和有關部委提供決策咨詢服務。“全球技術地圖”為國際技術經濟研究所官方微信賬号,緻力于向公衆傳遞前沿技術資訊和科技創新洞見。
位址:北京市海澱區小南莊20号樓A座
電話:010-82635522
微信:iite_er