7 月 13 日,美国白宫发布《国家网络安全战略实施计划》,作为 3 月美拜登政府 2023 版《国家网络安全战略》所设愿景的实施路线图。美政府对《国家网络安全战略实施计划》寄予厚望,确定了 5 大核心任务,拟定超过 65 个国家层面倡议,每个倡议均有专门部门负责实施并设定时间节点,而且每年进行动态更新。《国家网络安全战略实施计划》同《基础设施投资和就业法案》、《芯片与科学法案》、《通胀削减法案》一道,被美国政府视为重建美国基础设施和重振美国制造业的重要途径。
一、发布背景
美拜登政府 2023 版《国家网络安全战略》在 2023 年 3 月 2 日发布,新战略旨在为美国如何保护其数字生态系统免受犯罪和其他行为体的影响提供战略指导。《国家网络安全战略实施计划》与美国《国家网络安全战略》一脉相承,不仅体现了本届政府在网络安全领域的优先事项,也为拜登政府后半段任期中解决网络威胁的具体方式提供清晰的路线图。
1、“以攻为守”的网络安全理念进一步强化
美拜登政府 2023 版《国家网络安全战略》体现出美国在网络空间领域更强的“进攻性防御”属性,如强调美国将“结合金融、外交、军事、网络、执法和情报等一揽子举措来瓦解和摧毁网络恶意行为体”等,基本上遵循了由“防”到“攻”的发展脉络。与拜登政府以往奉行的“战略回调”思路不同,反映了拜登政府在网络安全管理方面风格的转变,后续或将对美国网络安全领域的监管方式、合作路径等方面产生深远影响。
2、建立可防御、有韧性、符合美国价值观的数字生态系统”是新时期美国网络安全愿景
美拜登政府 2023 版《国家网络安全战略》将推动数字生态由理论向实践快速过渡。它将围绕“建立可防御、有韧性、符合美国价值观的数字生态系统”愿景,从“重新平衡保卫网络空间责任”、“重新调整激励措施以进行长期投资”两方面出发,提出实现美国国家网络安全战略目标的 5 大支柱及具体 27 项举措。在新战略发布不久,美国国防信息系统局就宣布了“雷霆穹顶”项目实施方案。该方案是五角大楼“零信任”网络安全计划的子项目,旨在实现数据在军队加密网络和非加密网络间“安全、受控制的流转”,打造美军数字生态系统。美国国土安全部等部门也宣布将参与数字安全软件研发和试用。
3、保卫关键基础设施是 2023 年国家网络安全战略的核心
近几年,美国在网络空间领域面临的严峻的安全形势。太阳风(SolarWinds)供应链攻击、科洛尼尔输油管道(Colonial Pipeline)勒索软件攻击等一系列网络攻击事件,暴露出目前美国网络安全保障体系的短板,也促使美国政府加大对关键基础设施网络安全方面的监管和保障力度。保卫关键基础设施也一直是拜登政府的政策制定重心。早在 2021 年,拜登政府签署第 5 号国家安全备忘录 3,要求联邦机构制定关键基础设施的网络安全性能目标,让关键行业参与改善可能影响国家安全和经济的网络安全领域。2023 年的国家网络安全战略呼吁基础设施所有者和运营商基于现有框架制定“最低安全标准”,改变此前依靠自愿准则来制定关键基础设施网络安全防护标准的做法,即保护关键基础设施成为强制性要求。
二、主要内容
《国家网络安全战略实施计划》提出了超过 65 项旨在落实美拜登政府 2023 版《国家网络安全战略》“五个支柱”的举措。对联邦政府将如何监管数字安全问题进行重大改革,以提高应对重大网络攻击的长期防御能力。
1、与战略的五个支柱保持一致,明确未来美网络安全发展重点措施
《国家网络安全战略实施计划》与美拜登政府 2023 版《国家网络安全战略》的五个支柱相一致,明确了拜登政府计划如何将其战略变为现实的路线图。《国家网络安全战略实施计划》提出 69 项具体的落实举措,要求18 个主要政府机构主导具体措施落地,并设定完成时间表,以此推动美国家网络安全监管更加健全和简化。其中部分举措,例如发布美政府 2025 财年网络安全预算重点任务,已经提前完成。其他已完成的举措包括:5 月26 日向国会提交 2023 年美国防部网络战略,以及 6 月 20 日美司法部新成立的国家安全网络部门,美国网络安全和基础设施安全局(CISA)发布了《2024-2026 年网络安全战略计划》,提出了网络安全新愿景、目标、原则等,这些都是完成实施计划的关键步骤。后续实施计划将根据推进情况进行动态更新。同时,随着计划的完成和后续行动的开展,实施计划也会随着政府监管数字安全问题的出现而不断发展变化,后续也将不断推出新的实施计划版本。
2、强调“公私合作”和“全员参与”,全方位增强网络安全能力
《国家网络安全战略实施计划》旨在确保公共和私营部门中“规模最大、能力最强、地位最有优势的实体”承担更多责任,以降低网络风险。美国指派 CISA 牵头更新《国家网络事件响应计划》,旨在落实“对一个人的召唤就是对所有人召唤”的政策,让非政府部门和组织清楚了解参与此项计划的联邦各机构的角色和能力。《国家网络安全战略实施计划》的实施包括 18 个机构的倡议,其中国家网络主任办公室 (ONCD) 负责协调活动并与管理和预算办公室 (OMB) 合作,使资助提案与 NCSIP 倡议保持一致。美拜登政府表示,实施该计划需要与私营部门、联邦政府、民间社会、国会和国际合作伙伴合作。2024 财年 1 季度前 CISA 领导公私合作伙伴关系并扩大合作努力。与 NIST、其他联邦机构开发安全设计和默认安全原则和实践,确定采用这些原则和最佳实践的障碍,并推动集体行动,在整个私营部门采用这些原则;2024财年3季度前CISA与部门风险管理机构(SRMA)合作,了解信息共享差距及与合作伙伴间信息互操作系统需求,开发流程使能力成熟;2024 财年 2 季度前 ONCD 与跨部门和私营部门合作,确定利用现有机制改进业务协作机会,增强对抗恶意网络行为者能力;2024 财年1 季度前 FBI 配合美国联合勒索软件特别工作组(JRTF),与美国特勤局,司法部,CISA 和其他联邦、国际和私营部门合作伙伴进行中断操作的勒索软件生态系统;2024 财年 2 季度前司法部加强其与联邦、国际和私营部门合作,计划、协调和执行针对勒索软件生态系统的破坏操作。
3、重在协调美国政府和社会的具体行动,强调防御现代化
《国家网络安全战略实施计划》包含加强国家安全和提高针对重大网络攻击的长期抵御能力的具体举措和要求,每项举措和要求都分配给指定机构并设定具体时间节点,具有较强的可执行性。如 2024 财年 1 季度前国防部制定与国家安全战略、国防战略和国家网络安全战略相一致的最新的国防部网络战略,重点关注民族国家和其他恶意行为者所带来的挑战;2025财年 4 季度前美国联邦调查局(FBI)加强国家网络调查联合特别工作组(NCIJTF)能力,以更快的速度、规模和频率协调整个政府解除破坏活动能力;2024 财年 2 季度前 FBI、网络司令部、国家安全局和情报部门开发一系列协调和执行中断行动,提高中断国家和恶意行为者操作的速度和规模;
2024 财 1 季度前建立网络监管协调倡议。2025 财年 2 季度前明确关键基础设施跨部门网络安全需求。2025 财年 1 季度前增加机构对框架和国际标准使用并监管协调。2023 财年 4 季度前 ONCD 对联邦网络安全中心和相关网络中心进行审查,确定能力差距;2025 财年 1 季度前 CISA 与 ONCD协调,更新国家网络事件响应计划;2025 财年 4 季度前 CISA 发布关键基础架构法案(CIRCIA),与 SRMA、司法部和其他机构协商实施 CIRCIA,CISA 发布 CIRCIA 拟议的规则制定和最终规则的通知,推进网络事件报告行动。
4、加强国际联盟及盟友关系合作,积极应对数字生态威胁
为实现美拜登政府 2023 版《国家网络安全战略》战略目标,美国将通过国际机构努力界定和推动负责任的国家在网络空间的行为,并努力扩大国家网络安全利益相关者与国际社会合作的新模式。《国家网络安全战略实施计划》明确提出,2024 财年第一季度,国务院将发布一项包含双边和多边活动的国际网络空间和数字政策战略,国务院和其他相关的机构间利益攸关方将利用现有的机构间网络能力建设工作组来评估当前网络空间的全球和政策趋势;国务院将确定或发展一个灵活和快速的外国援助机制,以提高网络事件反应速度。2024 财年第二季度,美国国务院将通过国际技术安全和创新基金与盟友和合作伙伴合作,推动国际社会采用安全的信息和通信技术生态系统的政策和监管框架,扩大与盟友和合作伙伴的合作,以促进开放和可互操作的网络架构的开发和部署。2025 财年第一季度,美国和国际同行可以通过共享网络威胁信息、交换网络安全实践模式、以及协调政策和事件响应活动来推进共同的网络安全利益。
三、几点认识
1、开启联邦政府监管数字安全问题的“将持续多年的”重大改革
3 月,美拜登政府 2023 版《国家网络安全战略》之后,紧接着出台了第一版《国家网络安全战略实施计划》,政策制定者和业界都热切期待该实施计划,因为它列出了拜登政府计划如何将其战略变为现实。《国家网络安全战略实施计划》启动了对联邦政府如何监管数字安全问题的“将持续多年的”重大改革,《国家网络安全战略实施计划》内容“颗粒度”较细,时限要求精确到季度,主责单位明确到具体部门。无论是为了应对不断变化的威胁形势,还是为了在计划完成后筹备后续行动,这一实施计划都将不断发展。该计划中的若干方面已经完成或正在进行中,例如成立网络安全审查委员会,五角大楼更新的非机密网络实施计划,以及刚刚完成的预期国家网络劳动力和教育战略等。
2、实施计划缺乏的关键细节和漏洞值得高度关注
《国家网络安全战略实施计划》为美拜登政府 2023 版《国家网络安全战略》五个支柱进一步落地提供指导性和规范性措施,但没有将网络安全战略提及的“支持数字身份生态系统的发展”战略目标相关数字身份的行动项目添加到实施计划中。该实施计划主要将集中在 3 年内实施,但最近的国会拨款法案将新资金归零。我们应该看到,为应对不断变化的网络威胁形势和新兴技术的新进步,网络实施计划可能每年将更新,但当下工作的开展所需要的大量资金在实施计划中未提及。同时,该实施计划还缺乏急待解决的有关网络劳动力持续短缺的关键细节,除刚刚发布的国家网络劳动力和教育战略,其他在实施计划中未提及。
3、未来美国主导的网空博弈将更加激烈
从国内层面看,美国政府未来将加大与私营部门、民间社会的合作力度,推动《国家网络安全战略实施计划》有关设想落细落实。公共部门和私营部门之间的合作,能够让网络安全故障最小化,避免灾难性影响。美国国内也呼吁政府通过制定法规或设立目标明确的集体标准,更好应对网络安全威胁。从国际层面看,美国未来将继续以网络安全威胁为由,强化与盟友和伙伴在网络作战能力建设方面的合作。以“网络旗帜”多国联合网络攻防演习为例,该演习旨在增强美国同盟友和伙伴的联合网战戒备态势和伙伴关系。2023 年 7 月 17 日至 28 日的演习,除分享情报的“五眼联盟”成员外,韩国和新加坡也成为参演国。通过联合演习等路径,美国将进一步加剧“第五空间”军备竞赛,未来网空博弈将更加激烈。
四、结语
近年来,美国政府高度重视网络安全建设,并将国家网络安全战略及实施计划路线图作为政府指导开展网络安全工作的施政纲领。2023 版《国家网络安全战略》及《国家网络安全战略实施计划》反映了拜登政府下一步网络安全治理思路,进一步完善了美国网络安全总体布局设计,是拜登政府任期内国家网络安全治理体系发展的一个风向标,后续或将对美国各相关领域产生一系列的较为深远的影响。我国要完善自身相应领域的网络安全建设管理,重点在建设方向、管理思路和路线、产业和技术研究乃至外交领域同盟、联盟等领域的发展,从而强化当前的网络空间安全生态建设。
原文来源:信息安全与通信保密杂志社