目 录
引言
支柱一:保卫关键基础设施
支柱二:打击和摧毁威胁行为体
支柱三:塑造市场力量以推动安全和弹性
支柱四:以投资打造富有弹性的未来
支柱五:建立国际伙伴关系以实现共同目标
实施要点
引 言
支柱一:保卫关键基础设施
拜登政府在某些关键部门制定了新的网络安全要求。在其它部门,将要求新的主管部门制定能够推动更好的大规模网络安全做法的条例。拜登政府与工业界进行了具体接触,以建立一致、可预测的网络安全监管框架。私营部门已做出重大承诺,参与合作防御工作。网络安全事件发生时,必须与私营部门和州、地方、部落和领地(SLTT)合作伙伴协调,并密切结合联邦政府的应对举措。最后,联邦政府可以更好地支持保卫关键基础设施,使自己的系统更易于防御和更有弹性。
制定的条例应以业绩为基础,利用现有的网络安全框架、自愿协商一致的标准和指导,包括网络安全和基础设施安全局(CISA)的网络安全绩效目标和改善关键基础设施网络安全的国家标准和技术研究所(国家情报支援组)框架,并针对对手能力的提高和战术变化灵活应用。在为关键基础设施制定网络安全条例时,鼓励监管机构推动采用设计原则,优先考虑基本服务的可用性,并确保系统具有安全和快速恢复的设计。条例将界定最低限度的预期网络安全做法或目标,但联邦政府鼓励并将支持各实体进一步实现以超越这些要求。
在联邦法规相互冲突、重复或过于繁重的情况下,监管机构必须共同努力,尽量减少这些危害。必要时,美国将寻求跨境监管协调,以防止网络安全要求阻碍数字贸易流动。在可行的情况下,监管机构不仅应努力协调法规和细则,还应协调对受监管实体的评估和审计。国家网络主任办公室将与管理和预算办公室(OMB)协调,领导行政当局协调网络安全监管方面的工作。网络事件报告委员会将协调、解除和统一联邦事件报告要求。
不同的关键基础设施部门承担网络安全成本的能力各不相同,从无法在没有干预的情况下轻易增加投资的低利润率部门,到可以吸收改善网络安全边际成本的部门。在某些部门,监管可能是必要的,以创造一个公平的竞争环境,使公司不陷入竞争,以减少同行在网络安全方面的支出。在其它部门,鼓励监管机构确保通过利率制定程序、税收结构或其它机制来激励对网络安全的必要投资。在制定新的网络安全要求时,鼓励监管机构与受监管实体协商,以了解如何为这些要求提供资源。在寻求新的监管机构时,政府将与国会合作制定监管框架,并会考虑到执行这些权力所需的资源。
私营部门有能力在没有联邦政府直接援助的情况下缓解大多数网络事件。当需要联邦援助时,联邦政府必须提出统一、协调、全政府间的对策。受到网络威胁的组织必须知道为了什么目的要联系哪些政府机构。联邦政府必须提供明确的指导,说明私营部门合作伙伴如何在网络事件期间向联邦机构寻求支持,以及联邦政府可以提供何种形式的支持。
联邦政府需要安全和弹性的信息、通信和作战技术和服务来履行其职责。在最初的几个月里,本届政府为联邦网络安全制定了一个新的战略方向,发布了14028号行政令《改进国家的网络安全》,并据此发布了8号国家安全备忘录《改善国家安全、国防部和情报部门系统的网络安全》以及OMB《联邦零信任架构》战略。
联邦民事行政部门(FCEB)机构负责管理和保护自己的IT和OT系统。由于机构结构、任务、能力和资源的不同,FCEB网络安全成果各不相同。我们必须继续建立联邦网络安全模式,在各机构的权力和能力与通过集体防御办法实现的安全利益之间取得平衡。
国家安全系统(NSS)存储和处理联邦政府的一些最敏感的数据,必须保护其免受广泛的网络和物理威胁,包括内部威胁、网络罪犯和最复杂的民族国家对手。
支柱二:打击和摧毁威胁行为体
为了加强、加速统一的破坏行动,联邦政府必须进一步发展技术和组织平台,使之能够支持持续、协调的行动。NCIJTF作为破坏行动的协调中心,将提升其能力,从而能够更快、更大规模和更频繁地协调破坏活动。同样,国防部和情报部门将致力于充分发挥其对破坏行动的支持作用。
鼓励私营部门伙伴的合作,成立一个或多个非营利组织,作为联邦政府展开行动的中心,如国家网络取证和培训联盟(NCFTA)。针对威胁的协作应采取灵活、临时的组织形式,由少数可信任的人员组成,并得到相关中心的支持。使用虚拟协作平台,组织机构的成员将双向共享信息、协同工作,迅速干扰对手。联邦政府将迅速消除这一协作模式的障碍,例如安全要求和记录管理政策。
联邦政府将提高网络威胁情报共享的速度和规模,主动向网络防御方告警,并将政府掌握的某一组织被攻击或可能已经遭到破坏的信息通知给受害方。SRMA将与CISA、执法机构和CTIIC协调,确定情报工作需求和优先事项,并制定与政府和非政府组织共享报警、技术指标、威胁背景以及其它相关信息的程序。这些进程提供的机制必须使私营部门能够及时地向联邦政府提供反馈和它们自身的威胁情报工作,以改进网络威胁的目标选择和进一步的情报收集工作。联邦政府还将审查解密政策和程序,以确定在何种条件下扩大保密准入和扩大许可范围,以便向关键基础设施的所有者和经营者提供可采取行动的情报。
恶意网络行为体利用美国的云基础设施、域名注册、主机和电子邮件提供商以及其它数字服务来开展犯罪活动、制造恶意影响以及针对美国和国外的个人、企业、政府和其它组织的间谍活动。这些服务通常是通过外国转售商租用的,且与美国供应商实施多级隔离,因此约束了这些供应商解决滥用投诉或对美国当局法律程序作出反应的能力。联邦政府将与云和其它互联网基础设施提供商合作,迅速查明对基于美国的基础设施的恶意使用,与政府共享恶意使用报告,使受害者更容易报告滥用这些系统的行为,并使恶意行为体一开始就难以获得这些资源。
鉴于勒索软件对关键基础设施服务的影响,美国将利用国家权力从以下四个方面应对威胁:(1)利用国际合作破坏勒索软件生态体系,孤立那些为罪犯提供安全避难所的国家;(2)调查勒索软件犯罪,利用执法部门和其它权力机构破坏勒索软件基础设施和行为体;(3)加强关键的基础设施弹性,以防御勒索软件攻击;(4)解决滥用虚拟货币进行勒索软件支付的问题。
支柱三:塑造市场力量以推动安全和弹性
行政当局支持立法对收集、使用、转移和保存个人数据的能力施加强有力和明确的限制,并为地理位置和健康信息等敏感数据提供强有力的保护。这一立法还应制定国家要求,以确保个人数据的安全符合美国国家标准与技术研究所(NIST)制定的标准和准则。
行政当局将按照《2020年网络安全改进法》的指示,通过联邦研究与发展、采购和风险管理的努力,继续改善物联网网络安全。此外,政府还将按照14028号行政令《改善国家的网络安全》的指示,继续推进物联网安全标签项目的发展。通过扩大物联网安全标签,消费者将能够比较不同物联网产品提供的网络安全保护,从而为整个物联网生态系统提供更大的安全性创造市场动力。
政府将与国会和私营部门合作,制定立法,确定软件产品和服务的责任。任何此类立法都应防止具有市场力的制造商和软件发布商通过合同完全免除责任,并在特定的高风险情况下建立更高的软件保护标准。为了制定安全软件开发的标准,政府将推动开发一个适应性强的安全框架,以保护那些安全地开发和维护其软件产品和服务的责任公司。这个安全框架将借鉴当前安全软件开发的最佳实践,例如:NIST发布的《安全软件开发框架》。政府将鼓励在所有技术类型和行业中进行协调的漏洞披露;促进SBOM的进一步发展;并制定一个流程以识别和减轻因关键基础设施广泛使用不安全软件而带来的风险。联邦政府还将与私营部门和开源软件社区合作,继续投资于安全软件的开发,包括内存安全语言和软件开发技术、框架和测试工具。
联邦政府将与SLTT实体、私营部门和其它合作伙伴合作,在申请者的网络安全要求与技术援助和其它形式的支持之间取得平衡。共同推动对关键产品和服务的设计安全和弹性的投资,并在关键基础设施的整个生命周期内维持和激励安全性和弹性。联邦政府还将优先为旨在加强关键基础设施网络安全和弹性的网络安全研究、开发和示范(RD&D)计划提供资金。此外,政府将与国会合作制定其它激励机制,以大规模推动更好的网络安全实践。
对向联邦政府销售产品的供应商的合同要求一直是改善网络安全的有效工具。第14028号行政命令“改善国家的网络安全”扩展了这种方法,确保联邦机构加强和标准化网络安全的合同要求。通过采购继续试行制定、执行和测试网络安全要求的新概念,可以带来新颖且可扩展的方法。
政府将评估联邦保险对灾难性网络事件做出反应的必要性和可能的结构,以支持现有的网络保险市场。在制定此评估时,政府将征求国会、州监管机构和行业利益相关者的意见并与之协商。
支柱四:以投资打造富有弹性的未来
联邦政府必须利用对创新、研发和教育的战略性公共投资,推动经济上可持续并符合国家利益的成果。我们将利用美国国家科学基金会(NSF)的区域创新引擎计划、长期的安全和值得信赖的网络空间计划;在两党基础设施法、通货膨胀降低法和 芯片与科学法案中建立的新赠款计划和资助机会;制造机构;以及联邦研发企业的其他要素。
通过支持非政府标准制定组织(SDO),美国将与行业领袖、国际盟国、学术机构、专业协会、消费者团体和非营利组织合作。
作为联邦网络安全研究与开发战略计划更新的一部分,联邦政府将确定研究、开发和示范(R&D)社区,并将其列为优先事项并加以促进,以主动预防和减轻现有和下一代技术中的网络安全风险。各部门和机构将指导研发项目,以推进人工智能、运营技术和工业控制系统、云基础设施、电信、加密、系统透明度和关键基础设施中使用的数据分析等领域的网络安全和弹性。这些研发投资将集中在以下三个系列的技术上:计算机相关技术,包括微电子、量子信息系统和人工智能;生物技术和生物制造;以及清洁能源技术。
为了平衡量子计算的推广和进步与数字系统所面临的威胁,国家安全备忘录 10的《促进美国在量子计算方面的领导地位,同时降低易受攻击的密码系统的风险》,建立了一个将国家密码系统及时过渡到可互操作的抗量子密码系统的过程。联邦政府将优先考虑将脆弱的公共网络和系统过渡到基于量子密码的环境,并制定补充缓解策略,以在面对未知的未来风险时提供加密的灵活性。私营部门应遵循政府的模式,为未来的后量子时代做好网络和系统的准备。
在美国对新能源基础设施进行大力投资之际,政府将抓住这一战略机遇,通过实施国会指导的《国家网络信息工程战略》,积极构建网络安全,而不是在这些互联设备广泛部署后,制定一系列安全控制措施。政府正在与联邦政府、工业界和SLTT的利益相关者进行协调,以部署一个安全、可互操作的电动汽车充电器、零排放燃料基础设施以及零排放公交和校车网络。能源部(DOE)通过清洁能源网络安全加速器(CECA),以及两党基础设施法指导的能源网络感知计划等,以及国家实验室正在领导政府确保未来清洁能源电网的安全,并制定安全最佳实践,以推广到其他关键基础设施部门。能源部还将继续与工业界、各州、联邦监管机构、国会和其他机构合作,促进配电和分布式能源的网络安全。
联邦政府将鼓励并支持投资强大的、可验证的数字身份解决方案,以促进安全性、可访问性和互操作性、消费者隐私和经济增长。基于《芯片和科学法案》授权的NIST领导的数字身份研究计划,将包括加强数字证书的安全性;提供属性和凭证验证服务;开展基础研究;更新标准、指南和治理流程,以支持统一使用和互操作性;以及开发促进透明度和测量的数字身份平台。我们承认各州正在试点移动驾驶执照,并鼓励将重点放在隐私、安全、公民自由、公平、可访问性和互操作性上。
ONCD将负责制定并监督《国家网络劳动力和教育战略》的实施。
这一战略将采取全面和协调一致的办法,扩大国家网络劳动力队伍,提高其多样性,并增加利用网络教育和培训途径的机会。该战略将解决所有经济部门对网络安全专门知识的需求,特别关注关键基础设施,并将使美国劳动力能够继续在安全和富有弹性的下一代技术方面进行创新。该战略将加强联邦网络劳动力并使其多样化,应对公共部门在招聘、保留和发展保护联邦数据和信息技术基础设施所需的人才和能力方面面临的独特挑战。此外,该战略将认识到网络劳动力的挑战并非美国所独有,它将扩大并从其他国家正在进行的努力中汲取灵感。
支柱五:建立国际伙伴关系以实现共同目标
美国将努力扩大国家网络安全利益相关者与国际社会合作的新模式。我们将扩大联盟,协同打击跨国犯罪分子和其他恶意网络行为者,建设我们的国际盟友和合作伙伴的能力,加强现有国际法对网络空间国家行为的适用性,维护和平时期全球公认和自愿的负责任国家行为准则,惩罚那些从事破坏性或破坏稳定的恶意网络活动的人。
2022年4月,美国和60个国家发起了“互联网未来宣言”(DFI),汇集了广泛、多样的合作伙伴联盟。通过DFI、自由在线联盟以及其它伙伴关系和机制,美国正在召集志同道合的国家、国际商业界和其它利益攸关方。
美国将在各机构、公共和私营部门以及先进的区域伙伴之间汇集专门知识,以开展协调和有效的国际网络能力建设和业务合作。在执法界,司法部将继续通过双边和多边接触和协议、正式和非正式合作,并提供国际和区域领导,加强网络犯罪法律、政策和作战纲要,以建立一个更强有力的网络犯罪合作模式。国防部将继续加强其军事关系,利用盟国和合作伙伴的独特技能和理念,同时提升能力,为我们的全局网络安全态势作出贡献。国务院将继续协调整个政府,确保联邦能力建设优先事项在战略上保持一致,并进一步促进美国、盟国和合作伙伴的利益。
政府将制定政策,以确定何时提供此类支持符合国家利益。建立机制,在这些工作中确定和部署部门和机构资源,并在需要时迅速消除现有的财务和程序障碍,以提供此类业务支持。例如,美国正在领导北大西洋公约组织建立虚拟网络事件支持能力,使盟国能够在应对重大恶意网络活动时更加有效和高效地相互支持。
作为新的积极外交的核心部分,美国将在不负责任的国家不履行其承诺时追究它们的责任。为了有效地限制我们的对手并打击武装冲突门槛以下的恶意活动,我们将与我们的盟国和合作伙伴合作,将谴责声明与施加有意义的后果结合起来。这将需要合作使用所有的治国手段,包括外交孤立、经济成本、反网络和执法行动或法律制裁等。
在国家5G安全战略的基础上,通过开放无线接入网(OpenRAN)和合作举措实现供应商多样化。这些努力包括:国防部通过数百万美元的智能仓库和物流项目,对多个基地的开放式RAN实施进行测试,以及国家电信和信息管理局(NTIA)通过公共无线供应链创新基金促进开放、互操作和基于标准的网络的开发和采用。将这一模式扩展到其他关键技术将需要国内外公共和私营部门之间的长期战略合作,以重新平衡全球供应链。两党基础设施法规定,联邦资助的项目,包括数字基础设施项目,必须“建设美国,购买美国”。通过14017号行政令、“美国的供应链”、《芯片和科学法案》和《通胀削减法案》,联邦政府引入了新的工业和创新战略工具。
美国将与盟国和合作伙伴合作,包括通过IPEF、四方关键和新兴技术工作组和TTC等区域伙伴关系,确定和实施跨界供应链风险管理方面的最佳做法,并努力使供应链通过伙伴国家和受信任的供应商流动。国务院将通过新的国际技术安全和创新基金进一步加快这一进程,以支持建立安全多样的半导体和电信供应链。最后,通过实施13873号行政令,“保障信息和通信技术及服务供应链”以及14034号行政令《保护美国人的敏感数据不受外国对手攻击》。
实施要点
在NSC工作人员的监督下,ONCD将与OMB协调实施这一战略。如果实施该战略需要审查现有政策或制定新政策,国家安全委员会工作人员将通过国家安全备忘录-2“更新国家安全委员会系统”中所述的过程来领导这项工作。
原文始发于微信公众号(山石网科安全技术研究院):2023年美国拜登政府最新网络安全战略出台
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论