摘 要
2023 年 3 月 2 日,美国《国家网络安全战略》出炉。作为美国五年来首份网络安全领域的战略文件,新战略围绕保卫关键基础设施、打击和摧毁威胁行为体、塑造市场力量以推动安全和弹性、以投资打造富有弹性的未来、建立国际伙伴关系以实现共同目标五大支柱展开。它不仅体现了拜登政府在网络安全领域的优先事项,也为本届政府后半段任期中解决网络威胁的具体方式提供清晰的路线图。
内容目录:
1 战略环境及发展趋势
1.1 战略环境
1.2 美国通向弹性网络之路
2 保卫关键基础设施
2.1 战略目标一:制定支持国家安全和公共安全的网络安全要求
2.2 战略目标二:扩大公私合作
2.3 战略目标三:整合各联邦网络安全中心
2.4 战略目标四:更新联邦事件响应计划及进程
2.5 战略目标五:发展现代化的联邦防御能力
3 打击和摧毁威胁行为体
3.1 战略目标一:统一联邦政府的打击行动
3.2 战略目标二:通过公共、私营部门间的业务合作来打击敌手
3.3 战略目标三:加快情报共享与信息通报的速度并扩大规模
3.4 战略目标四:防止美国境内的基础设施遭到滥用
3.5 战略目标五:打击网络犯罪和挫败勒索软件
4 塑造市场力量以推动安全和弹性
4.1 战略目标一:让管理方对我们的数据负责
4.2 战略目标二:推动安全物联网设备的发展
4.3 战略目标三:调整不安全软件产品和服务的责任方
4.4 战略目标四:通过联邦补助金及其他激励措施来强化安全
4.5 战略目标五:利用联邦采购机制来加强问责制度
4.6 战略目标六:探索以联邦网络保险为后盾的新机制
5 以投资打造富有弹性的未来
5.1 战略目标一:保护互联网的技术基础
5.2 战略目标二:重振联邦层面的网络安全研发
5.3 战略目标三:让美国为后量子时代做好准备
5.4 战略目标四:保护美国未来的清洁能源
5.5 战略目标五:支持数字身份生态体系的发展
5.6 战略目标六:制定国家战略以充实美国的网络劳动力
6 建立国际伙伴关系以实现共同目标
6.1 战略目标一:建立联盟以打击美国数字生态体系面临的威胁
6.2 战略目标二:加强国际合作伙伴的能力
6.3 战略目标三:提升美国协助盟友和合作伙伴的能力
6.4 战略目标四:建立联盟以推行关于负责任国家行为的全球规范
6.5 战略目标五:保护信息、通信和运营技术类产品与服务的全球供应链
7 结 语
未来十年将是决定性的十年。美国的目标是建立一种可防御且富有弹性的数字生态体系,这种新体系能让攻击方付出比防御方更高的代价,能充分保护敏感信息和个人信息,且不会因某些事件和错误就引发危及整套系统的灾难性后果。此外,正如《互联网未来宣言》和“自由在线联盟”所倡导的那样,在建设这一生态体系的同时,美国能够也必须抓住机会,将其最珍视的价值观融入其中。本战略将力促美国与其盟友和合作伙伴共同建设这一新的数字生态体系,使其既容易形成防御能力和网络弹性,又契合美国的价值观。美国将在十年后取得这些成果,从此阔步迈向造福万众的数字化未来。
1
战略环境及发展趋势
1.1 战略环境
在拜登总统提出关于数字化未来的良好愿景后,美国已在这方面取得了重大进展,同时一些新兴趋势也为相关发展带来了新的机遇和挑战。
1.1.1 新兴趋势
下一代互联理念正在消解数字世界与物理世界之间的界限,并使美国最基础的一些系统面临着被破坏的风险。美国的工厂、电网、水处理设施及其他重要的基础设施正在逐步淘汰老旧的模拟控制系统,并用在线数字运营技术(OT)取而代之。先进的无线技术、物联网和天基资产(包括民用和军用的定位、导航及授时技术/资产,环境与气象监测技术/资产,以及从银行业务到远程医疗的各种日常互联网活动)将加快这种“使基础系统联网”的趋势,而这在客观上将加剧网络攻击对美国人民日常生活造成的破坏和影响。
1.1.2 恶意行为体
恶意网络活动早已不再是小打小闹,而是演变成了网络间谍活动、知识产权盗窃活动、针对关键基础设施的破坏性攻击、勒索软件攻击乃至削弱美国民主公信力基础的网络影响力活动。曾几何时,只有少数技术高超的国家才拥有攻击性的黑客工具和能力(包括外国出售的商业间谍软件),如今则有不少国家或组织都掌握了这些工具和能力。有了这些工具和能力,一些此前不足为虑的国家已能通过网络空间损害美国的利益,组织犯罪集团的涉网活动也日趋猖獗。
1.2 美国通向弹性网络之路
对 美 国 的 数 字 生 态 体 系 而 言, 若 能 在 各利益方之间推动深入而持久的合作,就能使该体系具有更强的防御能力和弹性以及契合美国的价值观。我们将对美国在网络空间内分配角色、责任和资源的方式进行根本性的转变。在实现这些转变的过程中,不仅希望提高防御能力,还希望改变目前与我们利益相违背的潜在动力。
1.2.1 使保卫网络空间的责任变得更加平衡
无论是在公共部门还是在私营部门,我们都必须要求更多最有能力、最具权威的执行机构来确保美国的数字生态体系的安全和弹性。在一个自由和相互关联的社会中,保护数据和确保关键系统的可靠性必须是持有数据和运转社会职能的那些系统所有者和操作者的责任,同时也是建立和服务这些系统的技术提供方的责任。政府的作用是保护自己的系统、确保私营实体,特别是关键基础设施能保护其系统,履行政府的核心职能,如从事外交、收集情报工作、征收经济成本、执法和采取破坏性行动来应对网络威胁。工业界和政府必须共同推动有效和公平的合作,以纠正市场失灵,尽量减少网络事件对社会最脆弱群体的危害,并保护美国共享的数字生态体系。
1.2.2 调整有利于长期投资的激励措施
美国的经济和社会必须具有使网络空间具有更强的抵御能力和长期的防御能力的激励决策。短期需求和长期愿景之间不容易平衡。美国必须保护现有的系统,同时投资和建设未来的数字生态体系,这种生态体系具有更强的内在抵抗力和抗御能力。
本战略概述了联邦政府将如何利用现有的所有工具,以协作、公平和互利的方式重塑激励机制并实现团结一致。美国必须确保市场力量和公共项目对安全和弹性也有同样的激励政策,建立一支强大和多样化的网络劳动力队伍,通过设计来拥抱安全和弹性,并在战略上协调网络安全方面的研究和开发投资,并促进对数字生态体系的协调管理。为了实现这些目标,联邦政府将把重点放在平衡协调上,以最小的代价实现防御和系统弹性能力的最大化。
2
保卫关键基础设施
保护构成关键基础设施的系统和资产对美国的国家安全、公共安全和经济繁荣至关重要。美国人民必须对这类基础设施及其提供的基本服务的可用性和弹性有信心。美国的目标是运作一个持久且有效的协作防御模式,公平地分配风险和责任,并为美国的数字生态体系提供基本的安全和弹性。美国必须建立新的创新能力,使关键基础设施的所有者和经营者、联邦机构、产品供应商和服务供应商以及其他利益攸关方能够在速度和规模上有效地相互协作。支持关键基础设施提供商的联邦机构必须加强自己的能力和与其他联邦实体合作的能力。当网络安全事件发生时,必须与私营部门和州、地方、部落和领地(SLTT)合作伙伴协调,并密切结合联邦政府的应对举措。
2.1 战略目标一:制定支持国家安全和公共安全的网络安全要求
美国人民必须对支撑他们的生活和国家经济的关键服务有信心。虽然对关键基础设施网络安全采取自愿做法带来了有意义的改进,但缺乏强制性要求又不能确保关键基础设施网络安全。当前的市场回报不够,而且往往不利于关键基础设施的所有者和经营者投资预防性措施以防止或减轻网络事件的影响。
监管可以在公平的环境下进行,在不牺牲网络安全或运行弹性的情况下促进健康的竞争。美国的战略环境需要现代化和灵活的网络安全监管框架,为每个部门量身定做风险预报,协调工作以减少重复性,补充公私合作,并了解执行成本。必须发布新的或者更新网络安全条例,以满足国家安全和公共安全的需要,以及个人、受管制实体及其雇员、客户、运营和数据的安全和保护。
2.2 战略目标二:扩大公私合作
保护关键基础设施免受敌对活动和其他威胁的侵害需要一种模仿互联网分布式结构的网络防御模式。我们将通过结构化的作用和责任,数据、信息和知识的自动交换所实现的增强连通性来发展和加强捍卫者之间的协作,从而实现这一分布式的网络化模式。将组织协作和技术支持的连接结合起来,将创建一个基于信任的“网络中的网络”,构建态势感知并推动保护我们关键基础设施的网络防御采取集体和同步行动。
CISA 是关键基础设施安全和弹性的国家机构。在这方面,CISA 与部门风险管理机构(SRMA)进行协调,使联邦政府能够扩大与全美关键基础设施所有者和运营商的协调。SRMA 具有日常责任和特定部门的专业知识,以提高其部门内的安全和弹性。SRMA 支持各自部门中负责保护其运营的系统和资产的个人所有者和经营者。信息共享和分析组织(ISAO)、以部门为重点的信息共享和分析中心(ISACS)以及类似的组织促进了庞大且复杂的部门网络防御行动。
联 邦 政 府 将 继 续 加 强 CISA 与 其 他 SRMA之间的协调,投资于 SRMA 能力的发展,并以其他方式使 SRMA 能够积极响应其行业关键基础设施所有者和运营商的需求。联邦政府将与工业界合作,逐个确定行业需求,并评估当前SRMA 能力方面的差距。联邦政府在建设 SRMA能力方面的投资将使关键基础设施的安全和弹性得到改善。SRMA 将与 CISA 协调,以提高其主动应对行业需求的能力。SRMA 还必须继续支持第三方协作机制的成熟。基于数十年 ISAC 和ISAO 合作的经验,联邦政府将与以上及其他团体组织合作,就这一模式应如何发展制定共同愿景。
2.3 战略目标三:整合各联邦网络安全中心
联邦政府必须协调各部门和机构的权力及能力,共同支持关键基础设施的防御。联邦网络安全中心作为协作节点,整合了政府在国土防御、执法、情报、外交、经济和军事任务方面的能力。一旦成功整合,其将推动政府内部的协调,并使联邦政府能够有效和果断地支持非联邦伙伴。
政府在实现这一目标方面取得了进展,在CISA 建立了联合网络防御合作组织(JCDC),以整合整个联邦政府、私营部门和国际合作伙伴的网络防御规划和作战;加强国家网络调查联合特遣部队(NCIJTF)的能力,以协调执法和其他破坏行动;重振网络威胁情报集成中心(CTIIC)在协调情报收集、分析和合作方面的作用。
SRMA 的作战协作模型提供了可以直接与行业私营合作伙伴进行共享及时、可操作及相关信息的机会,例如能源部(DOE)的能源威胁分析中心(ETAC)试点、国防部的国防工业基地协作信息共享环境(DCISE)和国家安全局(NSA)的网络安全协作中心。
2.4 战略目标四:更新联邦事件响应计划及进程
私营部门有能力在没有联邦政府直接援助的情况下缓解大多数网络事件。当需要联邦援助时,联邦政府必须提出统一、协调、全政府间的对策。受到网络威胁的组织必须知道何时要联系哪些政府机构。联邦政府必须提供明确的指导,说明私营部门合作伙伴如何在网络事件期间向联邦机构寻求支持,以及联邦政府可以提供何种形式的支持。
在发生重大事件后,我们将确保网络安全界从网络安全审查委员会(CSRB)吸取的经验教训中受益。自第 14028 号行政令《改善国家的网络安全》颁布,CSRB 汇集了公共和私营部门的网络安全领导人,以审查重大网络事件,进行权威的事实调查,为行业提供信息和指导的见解,并为改善国家未来的网络安全态势提供建议。政府将与国会合作立法,将 CSRB 编入国土安全部,并向其提供对重大事件进行全面审查所需的权力。
2.5 战略目标五:发展现代化的联邦防御能力
联邦政府需要安全和弹性的信息、通信和作战技术以及服务来履行其职责。在最初的几个月里,本届政府为联邦网络安全制定了一个新的战略方向,发布了第 14028 号行政令《改进国家的网络安全》,并据此发布了 8 号国家安全备忘录《改善国家安全、国防部和情报部门系统的网络安全》以及 OMB《联邦零信任架构》战略。
在这一趋势下,政府将根据在传统边界内外应对威胁的零信任原则,推动长期努力捍卫联邦企业并使得联邦系统现代化。通过使自己的网络更具防御性和弹性,联邦政府将成为私营部门效仿的典范。
3
打击和摧毁威胁行为体
美国将动用一切国家力量来瓦解和摧毁那些威胁国家利益的威胁分子。这些努力可以结合外交、信息、军事(包括动能和网络)、金融、情报和执法能力,目标是使恶意行为体无法发动持续的网络活动,从而无法威胁美国的国家安全或公共安全。
事实证明,联邦和非联邦实体的协调努力可以有效阻止外国政府、犯罪分子和其他威胁行为者的恶意网络活动。联邦政府提高了应对网络事件的能力;逮捕并成功起诉了跨国网络罪犯和国家支持的行为体;对恶意网络行为体实施了制裁,包括旅行禁令和拒绝接触货币服务提供商;剥夺威胁行为者访问数字基础设施和受害者网络的权限。联邦政府还针对用于非法活动的金融基础设施,制定了新的外交举措,将摧毁性、破坏性或以其他方式破坏稳定的网络活动归咎于恶意行为者,并追回了价值数十亿美元的非法资产。
3.1 战略目标一:统一联邦政府的打击行动
国防部的前置防御策略有助于我们了解威胁行为体,识别和公布恶意软件,并在可能对目标造成影响之前破坏恶意活动。根据经验教训和迅速变化的威胁环境,国防部将制定一项与国家安全战略相一致的新版国防部网络战略。国防部的新战略将阐明美国网络司令部和国防部其他机构如何将网络行动整合到他们的行动中,以抵御能够对美国利益构成战略层面威胁的国家和非国家组织,同时继续加强与民用、执法和情报部门、合作伙伴的整合和协调,破坏有规模的恶意行动。
为了加强、加速统一的破坏恶意行动,联邦政府必须进一步发展技术和组织平台,使之能够支持持续、协调的行动。NCIJTF 作为破坏恶意行动的协调中心,将提升其能力,从而能够更快、更大规模和更频繁地协调破坏恶意行动。同样,国防部和情报部门将致力于充分发挥其对破坏恶意行动的支持作用。
3.2 战略目标二:通过公共、私营部门间的业务合作来打击敌手
鼓励私营部门伙伴的合作,成立一个或多个非营利组织,作为联邦政府展开行动的重点合作对象,如国家网络取证和培训联盟(NCFTA)。针对威胁的协作应采取灵活、临时的组织形式,由少数可信任的人员组成,并得到相关中心的支持。使用虚拟协作平台,组织机构的成员将双向共享信息、协同工作,迅速干扰对手。联邦政府将迅速消除这一协作模式的障碍,例如安全要求和记录管理政策。
3.3 战略目标三:加快情报共享与信息通报的速度并扩大规模
联邦政府将提高网络威胁情报共享的速度和规模,主动向网络防御方告警,并将政府掌握的某一组织被攻击或可能已经遭到破坏的信息通知给受害方。SRMA 将与 CISA、执法机构和 CTIIC 协调,确定情报工作需求和优先事项,并制定与政府和非政府组织共享报警、技术指标、威胁背景以及其他相关信息的程序。这些进程提供的机制必须使私营部门能够及时地向联邦政府提供反馈和自身的威胁情报工作,以改进网络威胁的目标选择和进一步的情报收集工作。联邦政府还将审查解密政策和程序,以确定在何种条件下扩大保密准入和扩大许可范围,以便向关键基础设施的所有者和经营者提供可采取行动的情报。
3.4 战略目标四:防止美国境内的基础设施遭到滥用
恶意网络行为体利用美国的云基础设施、域名注册、主机和电子邮件提供商以及其他数字服务来开展犯罪活动、制造恶意影响以及针对美国和国外的个人、企业、政府和其他组织的间谍活动。这些服务通常是通过外国转售商租用的,且与美国供应商实施多级隔离,因此约束了这些供应商解决滥用投诉或对美国当局法律程序做出反应的能力。联邦政府将与云和其他互联网基础设施提供商合作,迅速查明对基于美国的基础设施的恶意使用,与政府共享恶意使用报告,使受害者更容易报告滥用这些系统的行为,并使恶意行为体一开始就难以获得这些资源。
3.5 战略目标五:打击网络犯罪和挫败勒索软件
勒索软件是对国家安全、公共安全和经济繁荣的威胁。勒索软件扰乱了医院、学校、补给管线、政府服务以及其他重要的基础设施和基本服务。勒索软件行为体利用网络安全措施的不完善性,控制受害者网络,并依靠加密货币收取敲诈勒索款项,回收其收益。
鉴于勒索软件对关键基础设施服务的影响,美国将利用国家权力从以下四个方面应对威胁:(1)利用国际合作破坏勒索软件生态体系,孤立那些为罪犯提供安全避难所的国家;(2)调查勒索软件犯罪,利用执法部门和其他权力机构破坏勒索软件基础设施和行为体;(3)加强关键的基础设施弹性,以防御勒索软件攻击;(4)解决滥用虚拟货币进行勒索软件支付的问题。
4
塑造市场力量以推动安全和弹性
为了建设安全和富有弹性的未来,我们必须塑造市场力量,将责任寄托于我们的数字生态系统中,而这些生态体系是有能力降低风险的。我们将使网络安全不良的后果远离最脆弱的群体,使我们的数字生态系统更值得信任。在这一努力过程中,我们不会取代或削弱市场的作用,而是将市场力量有效地引导到保持国家的弹性和安全上,目标是建立现代数字经济,促进增强数字生态系统安全性和弹性,同时保持创新和竞争。
为了应对这些挑战,政府将塑造数字生态系统的长期安全和弹性,以应对当前和未来的挑战。我们必须追究数据管理员保护个人数据的责任;推动开发更安全的联网设备;重新制定因网络安全错误、软件漏洞、软件和数字技术造成的或者其他风险造成的数据损失和损害的法律责任;利用联邦购买力和赠款来激励安全;探讨政府如何稳定保证市场以抵御灾难性风险,推动更好的网络安全实践,并在发生灾难性事件时提供确定性市场信息。
4.1 战略目标一:让管理方对我们的数据负责
在 未 来 数 字 经 济 时 代, 保 护 个 人 数 据 的安全是保护消费者隐私的一个基本方面。数据驱动技术已经改变了我们的经济,为消费者提供了便利。但是,个人信息的急剧扩散扩大了威胁环境,增加了数据泄露对消费者的影响。当拥有个人数据的组织不能为这些数据充当负责任的管理者时,他们就会将成本外化到普通美国人身上。最严重的伤害往往落在弱势群体身上,对他们个人数据的风险可能造成更大的伤害。
行政当局支持立法对收集、使用、转移和保存个人数据的能力施加强有力和明确的限制,并为地理位置和健康信息等敏感数据提供强有力的保护。这一立法还应制定国家要求,以确保个人数据的安全符合美国国家标准与技术研究所(NIST)制定的标准和准则。通过提供随着威胁而变化的隐私保护要求,美国可以为更安全的未来铺平道路。
4.2 战略目标二:推动安全物联网设备的发展
物联网(IoT)设备,包括健身追踪器和婴儿监视器等消费品以及工业控制系统和传感器,为家庭和企业引入了新的连接来源。然而,如今部署的许多物联网设备没有得到足够的保护,难以抵御网络安全威胁。这些设备往往被部署在不适当的默认设置中,可能很难或不可能得到修补、升级,或者配备高级功能,使得恶意行为者能够在关键的物理和数字系统上进行恶意的网络活动。最近的物联网漏洞表明,恶意行为者利用这些设备构建僵尸网络和进行监视是多么容易的事。
行政当局将按照《2020 年网络安全改进法》的指示,通过联邦研究与发展、采购和风险管理的努力,继续改善物联网网络安全。此外,政府还将按照第 14028 号行政令《改善国家的网络安全》的指示,继续推进物联网安全标签项目的发展。通过扩大物联网安全标签,消费者将能够比较不同物联网产品提供的网络安全保护,从而为整个物联网生态系统提供更大的安全性创造市场动力。
4.3 战略目标三:调整不安全软件产品和服务的责任方
政府将与国会和私营部门合作,制定立法,确定软件产品和服务的责任。任何此类立法都应防止具有市场力的制造商和软件发布商通过合同完全免除责任,并在特定的高风险情况下建立更高的软件保护标准。为了制定安全软件开发的标准,政府将推动开发一个适应性强的安全框架,以保护那些安全地开发和维护其软件产品和服务的责任公司。这个安全框架将借鉴当前安全软件开发的最佳实践,例如 NIST 发布的《安全软件开发框架》。此外,它还必须与时俱进,不断发展,包括用于安全软件开发、软件透明度和漏洞挖掘的新工具。
为进一步鼓励采用安全软件开发实践,政府将鼓励在所有技术类型和行业中进行协调的漏洞披露;促进 SBOM 的进一步发展;并制定一个流程以识别和减轻因关键基础设施广泛使用不安全软件而带来的风险。联邦政府还将与私营部门和开源软件社区合作,继续投资于安全软件的开发,包括内存安全语言和软件开发技术、框架和测试工具。
4.4 战略目标四:通过联邦补助金及其他激励措施来强化安全
联邦拨款计划为关键基础设施的投资提供了战略机遇,这些基础设施的设计、开发、部署和维护都考虑到了网络安全和所有风险的抵御能力。通过《两党基础设施法》《降低通货膨胀法》《芯片与科学法案》资助的项目,国家正在对基础设施和支持它的数字生态体系进行千载难逢的投资。本届政府致力于以增强我们集体系统复原力的方式进行投资。
联邦政府将与 SLTT 实体、私营部门和其他合作伙伴合作,在申请者的网络安全要求与技术援助和其他形式的支持之间取得平衡。我们可以共同推动对关键产品和服务的设计安全和弹性的投资,并在关键基础设施的整个生命周期内维持和激励安全性和弹性。联邦政府还将优先为旨在加强关键基础设施网络安全和弹性的网络安全研究、开发和示范(RD&D)计划提供资金。此外,政府将与国会合作制定其他激励机制,以大规模推动更好的网络安全实践。
4.5 战略目标五:利用联邦采购机制来加强问责制度
对向联邦政府销售产品的供应商的合同要求一直是改善网络安全的有效工具。第 14028号行政命令《改善国家的网络安全》扩展了这种方法,确保联邦机构加强和标准化网络安全的合同要求。通过采购继续试行制定、执行和测试网络安全要求的新概念,可以带来新颖且可扩展的方法。
当公司向联邦政府做出遵循网络安全最佳实践的合同承诺时,他们必须履行这些承诺。民事网络欺诈倡议(CCFI)根据《虚假索赔法》规定的司法部权限,对未履行网络安全义务的政府受赠方和承包商提起民事诉讼。CCFI 将追究那些通过故意提供有缺陷的网络安全产品或服务,故意歪曲其网络安全实践或协议,或故意违反监控和报告网络事件和违规行为的义务而使美国信息或系统面临风险的实体或个人的责任。
4.6 战略目标六:探索以联邦网络保险为后盾的新机制
当发生灾难性事件时,政府有责任在不确定的时期稳定经济并提供确定性。如果发生灾难性的网络事件,可以要求联邦政府稳定经济并帮助复苏。在灾难性事件发生之前构建这种反应可以为市场提供确定性并使国家更具弹性,而不是在事实发生后匆忙制订一揽子援助计划。政府将评估联邦保险对灾难性网络事件做出反应的必要性和可能的结构,以支持现有的网络保险市场。在制定此评估时,政府将征求国会、州监管机构和行业利益相关者的意见并与之协商。
5
以投资打造富有弹性的未来
一个有弹性和蓬勃发展的数字未来始于今天的投资。我们可以通过战略投资和协调的协作行动,建立一个更安全、更有弹性、保护隐私和更公平的数字生态系统。通过这样做,美国将保持其作为世界上安全和有弹性的下一代技术和基础设施方面最重要的创新者的领导身份。
数字生态系统的基本要素(如互联网)是公共和私营部门实体持续和相互支持的投资的产物。然而,对网络安全的公共和私人投资长期以来一直落后于我们面临的威胁和挑战。随着我们建设新一代数字基础设施,从下一代电信和物联网到分布式能源,并为人工智能和量子计算带来的技术面貌的革命性变化做准备,解决这一投资缺口的需求变得更加迫切。
联邦政府必须利用对创新、研发和教育的战略性公共投资,推动经济上可持续并符合国家利益的成果。我们将利用美国国家科学基金会(NSF)的区域创新引擎计划、长期的安全和值得信赖的网络空间计划;在《两党基础设施法》《降低通货膨胀法》和《芯片与科学法案》中建立新的赠款计划和资助机会,制造机构以及联邦研发企业的其他要素。
5.1 战略目标一:保护互联网的技术基础
维护和扩展开放、自由、全球、可互操作、可靠和安全的互联网需要持续参与标准制定进程,以灌输我们的价值观,并确保技术标准产生更安全和更具弹性的技术。美国及其外国和私营部门伙伴将实施一项多管齐下的战略,以保持技术卓越,保护我们的安全,提高经济竞争力,促进数字贸易,并确保技术标准的“道路规则”有利于透明度、公开性、共识、相关性和一致性原则。通过支持非政府标准制定组织(SDO),美国将与行业领袖、国际盟国、学术机构、专业协会、消费者团体和非营利组织合作,以确保新兴技术的安全,促进互操作能力,促进全球市场竞争,保护我们的国家安全和经济优势。
5.2 战略目标二:重振联邦层面的网络安全研发
通过联邦政府努力优先考虑可防御和弹性架构的研发,并减少底层技术的漏洞,我们可以确保未来的技术比今天的技术更安全。
这些研发投资将集中在以下三个系列的技术上:计算机相关技术,包括微电子、量子信息系统和人工智能;生物技术和生物制造;清洁能源技术。这一努力将有助于积极主动地查明潜在的脆弱性,并开展研究以减轻这些漏洞。它还将支持一项更大的现代工业和创新战略,通过综合利用联邦投资工具、联邦购买力和联邦法规,促进协调和战略性创新,并为可信赖的产品和服务创造市场。
5.3 战略目标三:让美国为后量子时代做好准备
强加密是网络安全和全球商业的基础。这是在线保护数据、验证终端用户、验证签名和验证信息准确性的主要方式。但量子计算有可能打破目前使用的一些最普遍的加密标准。为此,必须优先考虑并加快投资,广泛更换容易被量子计算机破坏的硬件、软件和服务,从而保护信息免受未来的攻击。
为了平衡量子计算的推广和进步与数字系统所面临的威胁,10 号国家安全备忘录《促进美国在量子计算方面的领导地位,同时降低易受攻击的密码系统的风险》建立了一个将国家密码系统及时过渡到可互操作的抗量子密码系统的过程。联邦政府将优先考虑将脆弱的公共网络和系统过渡到基于量子密码的环境,并制定补充缓解策略,以在面对未知的未来风险时提供加密的灵活性。私营部门应遵循政府的模式,为未来的后量子时代做好网络和系统的准备。
5.4 战略目标四:保护美国未来的清洁能源
我们正在加速向未来的清洁能源转型,这将带来新一代互联的硬件和软件系统,这些系统有可能加强美国电网的弹性、安全性和效率。这些技术,包括分布式能源、智能能源生产和存储设备、先进的基于云的电网管理平台,以及为高容量可控负荷而设计的传输和配电网络,都比前几代电网系统更加复杂、自动化和数字互联。
5.5 战略目标五:支持数字身份生态体系的发展
增强的数字身份解决方案和基础设施可以实现更创新、更公平、更安全和更高效的数字经济。这些解决方案可以更容易和更安全地获得政府福利和服务、可信的通信和社交网络,以及数字合同和支付系统的新可能性。
联邦政府将鼓励并支持投资强大的、可验证的数字身份解决方案,以促进安全性、可访问性和互操作性、消费者隐私和经济增长。基于《芯片和科学法案》授权的,由 NIST 领导的数字身份研究计划,将包括加强数字证书的安全性;提供属性和凭证验证服务;开展基础研究;更新标准、指南和治理流程,以支持统一使用和互操作性;开发促进透明度和测量的数字身份平台。当前,各州正在试点移动驾驶执照,并鼓励将重点放在隐私、安全、公民自由、公平、可访问性和互操作性上。
在发展这些能力时,我们的数字身份政策和技术将保护和加强个人隐私、公民权利和公民自由;防止意外后果、偏见和潜在的滥用;允许个人选择供应商和自愿使用;提高安全性和互操作性;促进包容性和可及性;提高技术和个人数据使用的透明度和问责制。
5.6 战略目标六:制定国家战略以充实美国的网络劳动力
这一战略将采取全面和协调一致的办法,扩大国家网络劳动力队伍,提高其多样性,并增加利用网络教育和培训途径的机会。该战略将解决所有经济部门对网络安全专门知识的需求,特别关注关键基础设施,并将使美国劳动力能够继续在安全和富有弹性的下一代技术方面进行创新。该战略将加强联邦网络劳动力并使其多样化,应对公共部门在招聘、保留和发展保护联邦数据和信息技术基础设施所需的人才和能力方面面临的独特挑战。该战略将在现有努力的基础上发展网络安全工作人员队伍,包括国家网络安全教育倡议(NICE)、网络军团:服务奖学金项目、国家网络安全卓越学术中心计划、网络安全教育培训和援助计划以及注册学徒计划。该战略还将利用国家科学基金会(NSF)和其他科学机构正在进行的劳动力展计划来加强联邦政府的项目。
6
建立国际伙伴关系以实现共同目标
为了应对 共 同 威 胁, 维 护 和 加 强 全 球 互联网自由,防止跨国数字压制,并建立一个更具内在弹性和防御性的共享数字生态系统,美国将努力扩大国家网络安全利益相关者与国际社会合作的新模式。我们将扩大联盟,协同打击跨国犯罪分子和其他恶意网络行为者,建设国际盟友和合作伙伴的能力,加强现有国际法对网络空间国家行为的适用性,维护和平时期全球公认和自愿的负责任国家行为准则,惩罚那些从事破坏性或破坏稳定的恶意网络活动的人。
6.1 战略目标一:建立联盟以打击美国数字生态体系面临的威胁
通过美国、印度、日本和澳大利亚之间的四方安全对话等机制,美国及国际盟友和伙伴正在推进这些网络空间的共同目标。这包括改进计算机应急小组之间的信息共享以及基于共享价值观的数字生态体系的开发。印度 - 太平洋繁荣经济框架(IPEF)和美洲经济繁荣伙伴关系(APEP)为美国和区域政府创造了机会,各国政府应合作共同制定数字经济的道路规则,包括促进技术标准的制定,建立机制,使跨境数据流能够确保隐私安全,同时避免严格的数据本地化要求,并采取行动促进供应链安全和弹性机制。通过美国 - 欧盟贸易和技术理事会(TTC),我们正在大西洋彼岸进行协调,以应对共同的威胁,并展示在数字贸易、技术和创新方面的市场方法,从而改善公民生活,并成为促进更大繁荣的一股力量。美国还通过三边安全和技术协定(AUKUS)与澳大利亚和英国密切合作,以确保关键技术的安全、改进网络协调和共享先进技术能力。
6.2 战略目标二:加强国际合作伙伴的能力
为了实现这一目标,美国将在各机构、公共和私营部门以及先进的区域伙伴之间汇集专门知识,以开展协调和有效的国际网络能力建设和业务合作。在执法界,司法部将继续通过双边和多边接触和协议、正式和非正式合作,并提供国际和区域领导,加强网络犯罪法律、政策和作战纲要,以建立一个更强有力的网络犯罪合作模式。国防部将继续加强其军事关系,利用盟国和合作伙伴的独特技能和理念,同时提升能力,为我们的全局网络安全态势做出贡献。国务院将继续协调整个政府,确保联邦能力建设优先事项在战略上保持一致,并进一步促进美国、盟国和合作伙伴的利益。
6.3 战略目标三:提升美国协助盟友和合作伙伴的能力
正如最近针对哥斯达黎加、阿尔巴尼亚和黑山的网络攻击所表明的那样,遭受重大网络攻击的盟友和伙伴可能寻求美国、盟国和伙伴国的支持,以便对此类事件进行调查、应对和恢复。提供这种支持不仅将有助于合作伙伴的网络能力恢复和响应,而且还将推进美国的外交政策和网络安全目标。与受影响的盟友或合作伙伴的密切合作表明,面对对手活动团结一致,能够加速揭露反规范国家行为和施加后果的严重性。
政 府 将 制 定 政 策, 以 确 定 何 时 提 供 此 类支持符合国家利益。建立机制,在这些工作中确定和部署部门和机构资源,并在需要时迅速消除现有的财务和程序障碍,以提供此类业务支持。例如,美国正在领导北大西洋公约组织建立虚拟网络事件支持能力,使盟国能够在应对重大恶意网络活动时更加有效和高效地相互支持。
6.4 战略目标四:建立联盟以推行关于负责任国家行为的全球规范
虽然我们的对手知道这种承诺并不是自我执行的,但这种框架的日益增长的影响力已经导致各国将那些违背这一框架的国家拒之门外。国际社会越来越多地合作制定协调一致的归属声明,同时对许多国家政府进行外交谴责,并致力于建立一个稳定的网络空间的联盟。
作为新的积极外交的核心部分,美国将在不负责任的国家不履行其承诺时追究他们的责任。为了有效地限制我们的对手并打击武装冲突门槛以下的恶意活动,我们将与盟国和合作伙伴合作,将谴责声明与施加有意义的后果结合起来。这将需要合作使用所有的治国手段,包括外交孤立、经济成本、反网络和执法行动或法律制裁等。
6.5 战略目标五:保护信息、通信和运营技术类产品与服务的全球供应链
复杂且全球互联的供应链产生了为美国经济提供动力的信息、通信和运营技术产品及服务。从原材料和基本组件到成品和服务,无论是虚拟的还是物理的,我们都依赖于不断增长的外国供应商网络。这种对不受信任供应商的关键外国产品和服务的依赖给我们的数字生态系统带来了多个系统性风险来源。缓解这种风险需要国内外公共和私营部门之间的长期战略合作,以重新平衡全球供应链,使其更加透明、安全、有弹性和可信赖。
美国将与盟国和合作伙伴合作,包括通过IPEF、四方关键和新兴技术工作组以及 TTC 等区域伙伴关系,确定和实施跨界供应链风险管理方面的最佳做法,并努力使供应链通过伙伴国家和受信任的供应商流动。这一行动将优先考虑各种因素,以促进更高水平的合作,以确保数字技术能够按预期运行,并吸引各国支持开放、自由、全球、可互操作、可靠和安全互联网的共同愿景。美国将通过新的国际技术安全和创新基金进一步加快这一进程,以支持建立安全多样的半导体和电信供应链。最后,通过实施第 13873 号行政令《保障信息和通信技术及服务供应链》以及第 14034 号行政令《保护美国人的敏感数据不受外国对手攻击》,我们将努力防止信息和通信技术及受敌对政府控制或影响的服务给我们的国家安全带来不可接受和不当的风险。
7
结 语
拜登政府发布的 2023 版《国家网络安全战略》,建立在目前已有政策的基础上,完善了美国网络安全治理体系,同时,该战略提出了改善全国数字安全的整体方法,旨在帮助美国准备和应对新出现的网络威胁。
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):译文|2023 年美国《国家网络安全战略》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论