编者按
美国政府3月2日正式发布新版《美国国家网络安全战略》,提出了改善全国数字安全的整体方法,旨在帮助美国准备和应对新出现的网络威胁。
美国白宫表示,网络空间是一种以反映美国价值观的方式实现自身目标的工具,必须从根本上改变在网络空间分配角色、责任和资源的方式,包括“重新平衡保卫网络空间的责任”以及“重新调整激励措施以支持长期投资”;世界需要一种更有意识、更协调、资源更充足的网络防御方法,美国将与盟友和合作伙伴共同打造“可防御的”“有弹性的”“符合价值观的”数字生态系统。
新战略围绕五大支柱展开:一是捍卫关键基础设施,让美国民众相信关键基础设施的可用性和弹性及其提供的基本服务,重点包括强制实施最低网络安全要求、改善公私合作、更新联邦事件响应政策等。二是打击和瓦解威胁行为者,使用所有国家权力工具使恶意网络行为者无法威胁美国国家安全和公共安全,重点包括战略性使用所有国家力量工具、让私营部门参与到相关打击机制中、全面应对勒索软件威胁。三是通过市场力量推动安全和弹性,即重构网络社会契约,让私营部门承担更大的网络安全责任,尤其是规模更大、资源更充足的公司,以确保数据和系统免遭黑客攻击,重点包括促进隐私和个人数据的安全、促进安全开发实践、通过联邦拨款促进安全且有弹性的新基础设施。四是加强对未来弹性的投资,通过战略投资和协调协作行动,继续创新发展安全和有弹性的下一代技术和基础设施,重点包括减少互联网基础和整个数字生态系统中的系统性技术漏洞、优先考虑下一代技术的网络安全研发、培养多元化和强大的国家网络劳动力。五是发展网络空间国际伙伴关系,促进网络空间负责任的国家行为,重点包括共同应对对数字生态系统的威胁、提高合作伙伴抵御网络威胁的能力、打造安全可靠和值得信赖的全球供应链。
奇安网情局编译有关情况,供读者参考。
美国白宫3月2日发布情况说明书称,美国政府当日发布新版国家网络安全战略,以确保所有美国民众都能从安全可靠的数字生态系统中获益。该文件为未来几年的新法律法规提供了路线图,旨在帮助美国准备和应对新出现的网络威胁。
美国白宫表示,在此决定性的十年里,美国将网络空间重新构想为一种工具,以反映美国价值观的方式实现自身目标,即:经济安全和繁荣;尊重人权和基本自由;相信民主和民主制度;公平和多元化的社会。为实现这一愿景,美国必须从根本上改变在网络空间分配角色、责任和资源的方式。
必须重新平衡保卫网络空间的责任,将网络安全的负担从个人、小企业和地方政府转移到最有能力、最适合为所有民众降低风险的组织身上。
必须在抵御当今的紧迫威胁与同时为有弹性的未来进行战略规划和投资间取得谨慎平衡,从而重新调整激励措施以支持长期投资。
新战略认识到美国政府必须以协调的方式使用国家权力的所有工具来保护国家安全、公共安全和经济繁荣。
美国总统拜登在文件所附的一份声明中表示,美国必须“重新平衡网络安全责任,使其更加有效和公平。”拜登称,“我们将重新调整激励措施,以支持对安全、弹性和有前途的新技术的长期投资。我们将与我们的盟友和伙伴合作,加强负责任的国家行为规范,追究各国对网络空间不负责任行为的责任,并破坏全球危险网络攻击背后的犯罪网络。我们将与国会合作,提供必要的资源和工具,以确保在我们最关键的基础设施中实施有效的网络安全实践。”
愿景
快速发展的世界需要一种更有意识、更协调、资源更充足的网络防御方法。美国面临着复杂的威胁环境,国家和非国家行为者开展和执行新的活动来威胁美国利益。与此同时,下一代技术正在加速走向成熟,在为创新开辟新途径的同时增强了数字化相互依赖性。
新战略为应对上述威胁并确保数字化未来的承诺开辟了一条道路。该战略的实施将保护美国在重建基础设施、发展清洁能源领域以及重新支持技术和制造基地方面的投资。美国将与盟友和合作伙伴一道,打造数字生态系统:
● 可防御的,网络防御更容易、更经济、更有效;
● 有弹性的,网络事件和错误几乎没有广泛或持久的影响;
● 价值观一致的,美国最珍视的价值观塑造了数字世界,反过来又被数字世界所强化。
美国政府已经采取措施保护网络空间和数字生态系统,包括国家安全战略、第14028号行政命令(改善国家网络安全)、第5号国家安全备忘录(改善关键基础设施控制系统的网络安全)、M-22-09(使美国政府转向零信任网络安全原则)和第10号国家安全备忘录(促进美国在量子计算方面的领导地位,同时降低易受攻击的密码系统的风险)。在这些努力的基础上,新战略认识到网络空间的存在并不是为了其自身目的,而是作为一种工具来实现美国的最高愿望。
方法
新战略旨在围绕五大支柱建立和加强合作:
支柱一:捍卫关键基础设施——使美国民众对关键基础设施的可用性和弹性及其提供的基本服务充满信心,包括:
● 在关键领域扩大使用最低网络安全要求以确保国家安全和公共安全,并协调法规以减轻合规负担;
● 以保护关键基础设施和基本服务所需的速度和规模实现公私合作;
● 捍卫和现代化联邦网络并更新联邦事件响应政策。
支柱二:破坏和瓦解威胁行为者——使用国家权力的所有工具使恶意网络行为者无法威胁美国的国家安全或公共安全,包括:
● 战略性地使用国家力量的所有工具来破坏对手;
● 通过可扩展的机制让私营部门参与破坏活动;
● 通过全面的联邦方法并与国际合作伙伴保持同步来应对勒索软件威胁。
战略提出,美国防部“前沿防御”战略方法帮助获取有关威胁行为者的见解、识别和曝光恶意软件并在恶意活动影响目标前予以破坏。吸取经验教训并了解快速演变的威胁环境,美国防部将制订与《美国国家安全战略》、《美国国防战略》及《美国国家网络安全战略》相协调的网络战略。美国防部的新战略将澄清美国网络司令部和其他国防部组成机构将如何将网络空间行动整合到防范能够对美国利益构成战略级威胁的国家和非国家行为者,同时继续加强其与平民、执法和情报合作伙伴的行动整合和协调,以大规模破坏敌对行动。
支柱三:塑造市场力量以推动安全和弹性——将把责任放在数字生态系统中最有能力降低风险并将不良网络安全的后果从最脆弱的人群转移出去的人身上,从而使数字生态系统更值得信赖,包括:
● 促进隐私和个人数据的安全;
● 转移软件产品和服务的责任以促进安全开发实践;
● 确保联邦拨款计划促进对安全且有弹性的新基础设施的投资。
支柱四:投资于有弹性的未来——通过战略投资和协调、协作行动,继续在安全和有弹性的下一代技术和基础设施的创新方面引领世界,包括:
● 减少互联网基础和整个数字生态系统中的系统性技术漏洞,同时使其更能抵御跨国数字压制;
● 优先考虑后量子加密、数字身份解决方案和清洁能源基础设施等下一代技术的网络安全研发;
● 培养多元化和强大的国家网络劳动力。
支柱五:建立国际伙伴关系以追求共同目标——负责任的国家行为在网络空间得到期待和加强,不负责任的行为是孤立的和代价高昂的,包括:
● 利用志同道合的国家间的国际联盟和伙伴关系,通过联合准备、响应和成本施加来应对对数字生态系统的威胁;
● 提高美国合作伙伴在和平时期和危机中抵御网络威胁的能力;
● 与美国盟友和合作伙伴合作,为信息和通信技术以及运营技术产品和服务打造安全、可靠和值得信赖的全球供应链。
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局