拜登政府《国家网络安全战略》分析及其影响思考
日期:2023年04月24日 阅:80
近日,美国白宫发布《国家网络安全战略》(National Cybersecurity Strategy)(以下简称2023版《战略》)。2023版《战略》详细阐述了拜登政府对于美国网络安全的顶层规划和全面部署,旨在建立一个“可防御、有弹性的数字生态系统”。本文概述了2023版《战略》的出台背景、对相关内容要点进行梳理,总结分析其主要特点,并思考其带来的影响。
一
背景概述
近年来,美国政府高度重视网络安全建设,并将国家网络安全战略作为政府指导开展网络安全工作的施政纲领。美国首份国家层面的网络安全战略是小布什执政时期发布的《保护网络空间的国家战略》(The National Strategy to Secure Cyberspace)(以下简称2003版《战略》),其中明确提出“保护网络空间是一个持续的过程,各部门应当不断更新网络安全规划”。此后,各届政府延续了制定国家网络安全战略的惯例,如特朗普时期发布的《美国国家网络战略》(National Cyber Strategy of the United States of America)(以下简称2018版《战略》)以及拜登政府发布的2023版《战略》等。
此外,美国在网络空间面临的严峻形势也是制定2023版《战略》的现实需求。如太阳风(SolarWinds)供应链攻击、科洛尼尔输油管道(Colonial Pipeline)勒索软件攻击等一系列网络攻击事件的发生,暴露出目前美国网络安全保障体系的短板,也促使美国政府加大对网络安全方面的监管力度。
二
要点梳理
2023版《战略》主要包括引言、战略支柱和实施要点等内容,其中“战略支柱”部分详细介绍了美国在网络空间安全方面的建设重点。从美国历届《战略》文本来看,涉及网络安全建设重点的相关篇章向来是《战略》的重头戏,如2003版《战略》提出响应体系建设、减少威胁与漏洞计划、安全意识与培训计划、保护政府网络安全、国际合作等5个优先事项;2018版《战略》提出保护美国关键基础设施、促进美国繁荣、以实力维护和平和提升美国影响力等4大战略支柱。因此,我们重点关注2023版《战略》的“战略支柱”部分,梳理5大战略支柱共27项举措,作为理解该《战略》的核心依据。
支柱1:关键基础设施防护
第一,建立网络安全要求,以支持国家安全和公共安全。主要措施包括:一是在关键部门制定网络安全规则以保护关键基础设施;二是协调和简化现有规则及新增规则;三是使得受监管主体能够承担安全成本。
第二,扩大公私合作规模。主要措施包括:要求美国网络和基础设施安全局(CISA)加强与部门风险管理机构(SRMAs)协调,以使得美国联邦政府机构扩大和全美关键基础设施所有者与运营商的合作。
第三,整合美国联邦网络安全中心(Federal Cybersecurity Centers)。主要措施包括:明确联邦网络安全中心作为协作节点,整合全部政府机构在国土安全、执法、情报、外交、经济以及军事任务等方面的职能。
第四,更新美国联邦事件响应计划及进程。主要措施包括:一是由CISA牵头更新《国家网络事件响应计划》(National Cyber Incident Response Plan, NCIRP);二是要求美国联邦政府与国会合作立法,将网络安全审查委员会(Cyber Safety Review Board, CSRB)纳入国土安全部,并赋予CSRB对重大事件进行全面审查的权力。
第五,实现美国联邦防御能力现代化。主要措施包括:一是协调保护联邦民事行政机构的信息系统;二是实现联邦系统现代化改造;三是保护国家安全系统。
支柱2:破坏和摧毁威胁行为者
第一,整合美国联邦政府的打击活动。主要措施包括:一是美国司法部及其他执法部门将率先整合国内法律机构、私营企业及国际合作伙伴,以破坏网络犯罪基础设施及资源;二是美国国防部将制定遵循国家安全战略的新版国防部网络战略;三是国家网络调查联合特遣部队(National Cyber Investigative Joint Task Force, NCIJTF)作为摧毁行动的协调中心,将提升其能力。
第二,加强公私部门实操合作以破坏对手。主要措施包括:一是维持和扩大政府联邦机构和私营部门间合作;二是鼓励私营部门合作成立非营利组织作为联邦政府开展行动的作战中心等。
第三,提升情报共享和受害者通报的速度和规模。主要措施包括:一是SRMAs将与CISA、执法机构及网络威胁情报集成中心(Cyber Threat Intelligence Integration Center, CTIIC)合作确定情报工作需求和优先事项;二是联邦政府将审查解密政策和程序等。
第四,防止美国境内的网络基础设施被滥用。主要措施包括:一是美国联邦政府将与云及其他互联网基础设施提供商合作以查明美国基础设施的恶意使用行为;二是政府通过实施相关行政令以解决基础设施提供商的网络安全问题。
第五,应对网络犯罪及挫败勒索软件。主要措施包括:一是利用国际合作破坏勒索软件生态体系,孤立为犯罪分子提供安全避难所的国家;二是调查勒索软件犯罪,并利用执法部门及其它机构破坏勒索软件基础设施和行为者;三是加强关键基础设施弹性,以防御勒索软件攻击;四是解决滥用虚拟货币进行勒索软件支付的问题。
支柱3:塑造市场力量以推动安全和弹性
第一,让管理者为数据负责。主要措施包括:美国政府机构将立法强制及明确限制个人数据的收集、使用、传输和存储,同时该立法还将确保个人数据安全满足美国国家标准与技术研究院(NIST)的相关标准。
第二,推动物联网(IoT)设备的安全发展。主要措施包括:一是遵循《2020年物联网安全改进法案》(IoT Cybersecurity Improvement Act of 2020),通过联邦研究与发展、采购,以及风险管理等方式持续改善IoT安全;二是遵循《关于改善国家网络安全的行政令》,继续推进物联网安全标签项目的发展。
第三,将责任转移到不安全软件产品和服务提供商中。主要措施包括:一是政府机构将通过立法明确软件产品和服务提供商的责任;二是政府机构将推动相关软件开发安全框架;三是政府机构将采取协调漏洞披露、促进软件物料清单(SBOM)发展等手段鼓励采用安全软件开发实践。
第四,利用美国联邦补助和其他激励措施来强化安全。主要措施包括:一是推动对设计出安全和弹性的关键产品和服务的投资;二是优先为旨在加强关键基础设施网络安全和弹性的研究、开发及示范计划提供资金等。
第五,充分利用美国联邦采购来加强问责制度。主要措施包括:继续通过采购来试行制定、执行和测试网络安全的新要求,并规定有关司法权限以防止违规行为等。
第六,探索美国联邦网络安全保险保障机制。主要措施包括:政府机构将评估联邦保险对于灾难性网络事件的必要性和可能的架构,以扩充当前网络安全保险市场等。
支柱4:投资下一代技术
第一,保护互联网的技术基础。主要措施包括:一是持续参与标准制定以确保技术具备安全性和有弹性;二是美国及外国盟友和私营部门伙伴将实施多重战略以促进技术领先;三是美国政府将支持非政府标准制定组织(SDO)发展,包括与行业领军者、学术机构、专业协会等组织合作来确保新兴技术发展等。
第二,重振美国联邦网络安全研究与开发。主要措施包括:一是美国联邦政府将促进研究、开发和示范(research, development, and demonstration (RD &D))组织,以主动预防和减轻现有和下一代技术中的网络安全风险;二是对RD &D进行以下三方面的投资,包括:计算机相关技术,包括半导体、量子信息系统和人工智能;生物技术和生物制造;以及清洁能源技术等。
第三,为美国后量子未来做好准备。主要措施包括:一是优先考虑并加快投资,大规模更换易受量子计算机攻击的硬件、软件和服务;二是美国联邦政府将优先考虑将脆弱的公共网络和系统过渡到基于量子密码的环境,并制定补充缓解策略等。
第四,保护美国清洁能源未来。主要措施包括:一是联邦政府计划部署一个安全、可互操作的网络,包含电动车充电、零排放燃料基础设施和零排放公交和校车等场景;二是能源部正努力推动一系列计划以保证未来清洁能源网的安全,并制定最佳安全实践以推广到其他关键基础设施部门,如清洁能源网络加速行动(CECA)等。
第五,支持数字身份生态系统的发展。主要措施包括:美国联邦政府将支持对于强大的、可验证的数字身份解决方案方面的投资,如NIST主导的基于《芯片和科学法案》授权的数字身份研究计划、各州移动驾照试点计划等。
第六,制定国家战略以提升美国网络劳动力。主要措施包括:国家网络总监办公室(ONCD)将负责制定并监督实施《国家网络劳动力和教育战略》(National Cyber Workforce and Education Strategy),该战略将扩大国家网络劳动力队伍,并解决网络劳动力缺乏多样性的问题。
支柱5:建立国际伙伴合作关系
第一,建立联盟以对抗对数字生态系统的威胁。主要措施包括:美国与国际盟友建立一系列合作组织,实现所谓安全、开放、民主的数字未来,如美国、印度、日本和澳大利亚的四方安全对话(the Quad);美国-欧盟贸易和技术理事会(TTC);美国、澳大利亚和英国的三边安全和技术协定(AUKUS)以及国际反勒索软件倡议等。
第二,提升国际合作伙伴能力。主要措施包括:一是美国司法部将继续建立一个更加强有力的网络犯罪合作模式;二是美国国防部将继续加强其军事伙伴关系以为全体网络安全态势做出贡献;三是美国国务院将继续协调整个政府,确保联邦能力建设优先事项在战略上保持一致,并进一步促进美国、盟国和合作伙伴的利益等。
第三,提升美国协助盟友和合作伙伴的能力。主要措施包括:一是制定政策,以决定何时提供支持可以符合国家利益;二是建立机制,以提供相关业务支持,如在工作中确定和部署部门和机构资源、并在需要时迅速消除现有的财务和程序障碍等。
第四,建立联盟以推动负责任国家行为的全球规范。主要措施包括:美国联邦政府将与盟友及合作伙伴协作,对恶意行为者施加手段,包含外交孤立、经济制裁、法律强制执行等。
第五,保护信息、通信以及运营技术产品和服务的全球供应链安全。主要措施包括:一是逐步增加关键输入、组件与系统的国内开发,或与可信任的合作伙伴协调开发;二是确定和实施跨区域供应链风险管理方面的最佳实践,并通过受信任的伙伴实现供应链流动;三是通过推动有关行政令的实施,包含《保障信息和通信技术及服务供应链》、《保护美国人的敏感数据不受外国对手攻击》等,以努力防止信息通信技术和服务被敌对政府控制,从而对国家安全造成风险等。
三
特点分析
2023版《战略》体现出以下4方面特点尤其值得我们关注。
第一,2023版《战略》是美国承前启后推进网络安全战略思路的重要一环。拜登政府发布的2023版《战略》,建立在目前已有政策的基础上,完善了美国网络安全治理体系。如在互联网民主意识形态方面,遵循了《国家安全战略》、《国家国防战略》等;在网络安全建设思路方面,延续了《关于改善国家网络安全行政令》、《关于改善关键基础设施控制系统网络安全的国家安全备忘录》、《关于改善国家安全、国防部和情报界系统网络安全的备忘录》等。
此外,2023版《战略》还继承和发展了历届美国政府的战略举措,如在关键基础设施领域促进公私部门合作方面,是基于《关于加强联邦网络和关键基础设施的网络安全的行政令》、《关于促进私营部门网络安全信息共享的行政令》、《关于改善关键基础设施网络安全的行政令等》以及第21号总统令《关键基础设施安全和弹性》等政策建立的框架。表 1 美国国家网络安全战略政策演进
第二,持续强化重点领域战略投资举措。自拜登上任以来,持续加大网络安全与新兴技术方面的投资,如《2023年综合拨款法案》与《2023财年国防授权法案》明确美国政府预计2023财年在网络空间安全方面投入近32亿美元的资金;《芯片与科学法案》授权2800亿美元用于半导体、先进计算和下一代通信等关键技术领域投资等。2023版《战略》也重点强调要“投资和建设未来的数字生态系统”,具体投资方向包括:增强关键产品与服务设计的安全与弹性,加强关键基础设施网络研究和开发的安全与弹性,以及强化半导体、量子信息系统、人工智能等方面的安全建设等。
第三,以联合手段逐步增强网络安全联盟生态。面对网络安全威胁和风险的日益全球化发展,以往美等国家奉行的“退群”策略逐渐失去市场,取而代之的是对合作与联合的认同。正如前文分析,这一特点在美国本次颁布的2023版《战略》中也得到进一步印证。如在关键基础设施领域扩大公私合作规模、加强公私部门实操合作以破坏对手以及建立联盟以对抗对数字生态系统的威胁等。当然,因受传统阵营意识等因素影响,网络安全领域的合作也势必会是一个相对曲折的过程。
第四,优化网络安全监管原则压实主体责任。长期以来,美国在网络安全方面的监管大多以企业自愿原则为主,这就导致中小企业与个人承担了大量网络风险造成的后果。而真正有能力承担风险的大型公司与政府机构并未得到有效监管。鉴于此类现状,2023版《战略》提出强化网络安全监管,主要包括以下两方面:一方面,让管理者为数据负责,如加强立法强制对个人数据安全保护提出要求、确保个人数据安全满足NIST相关标准等;另一方面,将网络安全保护责任转移到软件产品和服务提供商中,如通过立法明确软件产品和服务提供商的责任、推动相关软件开发安全框架以及鼓励采用安全软件开发实践等。
四
影响思考
2023版《战略》提出的建设内容反映了拜登政府下一步网络安全治理思路,其对美国网络安全发展至少会产生以下三方面影响。
一是进一步强化“以攻为守”的网络安全策略。自克林顿时代起,网络安全逐渐被纳入美国的国家战略体系中,并在不同总统执政时期呈现出不同的发展风格,基本上遵循了由“防”到“攻”的发展脉络。特朗普执政时期,美国“以攻为守”的网络安全策略在立法、政策、外交等诸多领域得到推行。与拜登政府以往奉行的“战略回调”思路不同,2023版《战略》体现出更强的“进攻性防御”属性,如强调美国将“结合金融、外交、军事、网络、执法和情报等一揽子举措来瓦解和摧毁网络恶意行为体”等。这也反映了拜登政府在网络安全管理方面风格的转变,后续或将对美国网络安全领域的监管方式、合作路径等方面产生影响。
二是带动网络安全技术和应用的市场发展。美国在信息技术的诸多领域长期保持全球领先,其技术和应用布局也无疑会对网络安全市场产生示范引领。2023版《战略》明确提出了零信任、人工智能、量子计算、数字身份等相关技术部署,并强调了信息基础设施、能源网络、半导体供应链等重点领域的战略意义。相信这些技术和应用,对其国内乃至国外网络安全相关领域的市场发展都会起到重要的风向标作用。
三是对产业、外交等领域的溢出效应将持续显现。美国发布2023版《战略》所涉及的网络安全重点领域建设方向、管理思路等,也极有可能会引发相关国家的模仿借鉴,启发其他国家完善自身相应领域的网络安全建设管理。而在网络安全重点领域的建设管理模式、路线和重点等方面的趋同,反过来也会在一定程度上强化当前的网络空间生态,进而潜移默化地强化了以美国为首的产业、技术、研究乃至外交领域同盟、联盟的发展。
《国家网络安全战略》的发布,进一步完善了美国网络安全总体布局设计,是拜登政府任期内国家网络安全治理体系发展的一个风向标,后续或将对美国各相关领域产生一系列的较为深远的影响。
文章来源:绿盟