2023年5月15日第15期总第594期 美国国家网络安全战略(2023版) 【译者按】今年3月,美国白宫发布近五年来的首份《国家网络安全战略》(以下简称“《战略》”),《战略》详细阐述了美国政府改善数 字安全的系统性方法,旨在帮助美国准备和应对新出现的网络威胁。报告围绕建🖂“可防御、有韧性的数字生态系统”,给出了保护关键基础设施、破坏和摧毁威胁行为者、塑造市场力量、投资于有韧性的未来、建�国际伙伴关系等五大支柱共27项举措。赛迪智库网络安全研究所对该报告进行了编译,期望对我国有关部门有所帮助。 【关键词】网络安全美国可防御有韧性支柱举措 一、背景概述 互联网繁荣互联的未来愿景能否实现,将取决于各种基础技术和系统的网络安全与韧性。网络安全对于国家经济关键功能、关键基础设施的正常运行、民主制度的力量建设、数据和通信隐私保护,以及国防安全保障都至关重要。因此,自拜登政府成立之初,美国就果断采取多项行动加强网络安全,包括任命白宫高级网络安全官员、签署旨在改善国家网络安全的行政命令、与私营部门和盟友密切合作等,来提高美国抵御和应对专制国家网络威胁的能力,保护美国国家利益。整体来看,通过吸取过往经验教训,近些年美国在数字生态体系协同防御方面取得了重大进展。 然而,美国数字生态体系基础架构的不稳定性减弱了这些工作成效,数字生态体系的组成部分仍然容易被破坏和利用,且常常为恶意行为体所利用。因此,美国必须从根�上改变数字生态体系基础的不稳定性,将优势转化给生态体系的保卫者,并不断挫败威胁它的力量。为建立一个可防御、有韧性的数字生态体系,攻击者将付出比防御者更高的代价,敏感或私人信息将得到安全保护,不会因某些事件或错误引发灾难性、系统性的后果。�《战略》将使美国及其盟友和伙伴得以共同构建这一安全可信的数字 生态体系,使之先天就更容易防御、更具韧性,且契合美国的价值观。美国预计利用十年的时间实现这些成果。 《战略》从两方面着手建立制度机制,一方面,建立强有力的合作,特别是公共和私营部门之间的合作,对于保护网络空间至关重要。合作还有助于应对系统性挑战,可为个人用户和小型机构分担部分网络安全责任。通过与产业、民间团体以及州、地方、部落和属地政府合作,美国将重新平衡网络安全的责任,使之更加有效和公平。另一方面,重新调整激励机制,鼓励对安全、韧性和有前景的新技术的长期投资。美国将与盟友和伙伴合作,推行负责任的国家行为规范,追究各国在网络空间中不负责任的行为,并斩断全球危险网络攻击背后的罪犯链条。美国将提供必要的资源和工具,以确保在最关键的基础设施中实施有效的网络安全措施。 (一)《战略》发布的宏观环境 1、新兴趋势 在新兴技术和日益复杂且相互依存的系统的发展推动下,未来10年将成倍增加因不安全信息系统所衍生的系统性风险。 一是,世界正在进入到一个对数字化更加依赖的新阶段,各 种软件和系统变得越来越复杂,在为企业和消费者提供价值的同时,也增加了美国国家层面的不安全感。美国常常以牺牲安全性 和韧性为代价,将新的功能和技术叠加到�已错综复杂而脆弱的系统上。尤其是人工智能系统(这些系统能够以自身开发者意想不到的方式行事)的广泛应用,正在加剧美国许多重要技术系统的复杂性和风险。 二是,数字技术越来越多地触及美国人生活中的敏感地带, 技术在提供便利的同时,也带来了新的、往往不可预见的风险。随着人们的生活与视频/音频流、可穿戴设备和生物识别技术交织在一起,所收集个人数据的数量和私密性呈指数级增长,而对这些数据的窃取行动也在迅速增加,这为各种恶意行为体提供了对个人实施监视、操纵和勒索的新载体。 三是,互联网不断通过各种共享平台将个人、企业、社区和 国家连接起来,使规模化的商业解决方案和国际交流成为可能。但这种全球互联互通的加快也带来了网络安全风险,如对某一机构、行业或国家的攻击可以迅速蔓延至其他行业和地区。就像2017年俄罗斯对乌克兰实施的“非佩提亚”(NotPetya)网络攻击,最终就波及到了欧洲、亚洲和美洲,造成了数十亿美元的损失。随着世界系统网络相互依存度的提高,这类攻击的潜在破坏性会继续加大。 四是,下一代互联互通正在打破数字和物理世界之间的界限, 使美国一些最重要的系统正面临着被破坏的风险。美国的工厂、 电网和水处理设施,以及其他重要的基础设施,正越来越多地淘汰旧的模拟控制系统,并迅速引入数字运营技术(OT)。先进的无线技术、物联网和太空资产,包括民用和军用的定位、导航和授时,环境和气象监测,以及从银行到远程医疗的日常互联网活动,将加速这一趋势,迫使美国将许多基础系统联网,这会使网络攻击能够对人们的日常生活造成更大的破坏和影响。 2、恶意行为体 恶意的网络活动已经从蓄意破坏,发展到了间谍活动与窃取知识产权、针对关键基础设施的破坏性攻击、勒索软件攻击,以及旨在破坏公众对美国民主基础信任的网络影响活动。攻击性黑客工具和服务(包括外国商业间谍软件)曾经仅有少数资源丰富的国家能够获取,而现在却严重泛滥。在这些工具和服务的支持下,犯罪集团的网络行动已经对美国及其盟友和合作伙伴的国家安全、公共安全和经济繁荣构成了威胁。尤其是勒索软件攻击已经扰乱了从能源管道和食品企业到学校和医院等美国和世界各地的关键服务和运营。近些年,勒索软件攻击造成的经济损失持续攀升,每年高达数十亿美元。 (二)《战略》以“通向具有韧性的网络空间之路”为目标 整个数字生态体系的利益相关方之间开展深入而持久的合作,是实现生态体系可防御、更具韧性且契合美国价值观的基础。 �《战略》旨在围绕以下五个支柱建立和加强合作: (1)保卫关键基础设施; (2)瓦解和摧毁威胁行为体; (3)造市场力量以推动安全性和韧性; (4)加大投入,打造有韧性的未来; (5)建立国际伙伴关系以追求共同目标。 上述每项工作都需要各个利益相关群体开展前所未有的合作,包括公共部门、私营企业、民间团体以及国际盟友和合作伙伴。�《战略》围绕五大支柱阐明了各方的共同目标和优先事项愿景,重点阐述了在实现该愿景的过程中将面临的挑战,并确定了各机构工作的具体战略目标。 为了实现上述支柱提出的愿景,�《战略》将就美国的网络空间作用、责任和资源的分配方式做出两项根�性转变。在实现这些转变的过程中,美国渴望的不仅仅是提高自身的防御能力,而且要应对那些目前与美国利益相悖的基础的不稳定性。 1、重新平衡保护网络空间安全的责任 网络空间中最具能力和条件的参与者必须更好地管理数字生态体系。目前,降低网络风险的重任更多是落在终端用户侧。某 个人一时的判断失误,使用了过期的密码,或错误点击了某个可疑链接,不应该影响到国家安全。美国的总体网络韧性不能依赖最小的机构和公民个人的持续警惕。相反,无论在公共或私营部门,美国必须对最具能力和条件的参与者提出更高要求,以确保美国数字生态体系的安全性和韧性。在一个自由和互联互通的社会中,美国的数据会被各种系统所掌握并依赖其运行,而保护数据并确保关键系统的可靠性,是各系统所有者、运营商及相关技术供应商的责任。政府的作用包括:保护自身的系统;确保私人实体(特别是关键基础设施实体)保护他们的系统;履行政府的核心职能,比如从事外交、收集情报、征收经济成�、执法,以及采取打击行动来应对网络威胁。产业和政府必须共同推动有效和公平的合作,纠正市场失灵,最大限度地减少网络事件对社会最弱势群体的伤害,并保护美国共享的数字生态体系。 2、重新调整激励机制以鼓励长期投资 美国有必要重新平衡必要的激励机制,为构建未来的数字生态体系奠定更强大、更具韧性的基础。�《战略》概述了联邦政府将如何利用一切可用的工具来重塑激励机制,并以合作、公平和互利的方式来实现共同目标。美国必须确保市场力量和公共计划均鼓励安全性和韧性,打造一支强大且多元化的网络人才队伍,通过设计追求安全性和韧性,战略性地协调网络安全的研发 投入,并促进美国数字生态体系的合作管理。为实现这些目标,联邦政府将着力于平衡和协调上,以最小的代价实现最大的防御能力和系统韧性。事实上,联邦政府正在不断加大投入,如更新维护美国的基础设施、对美国的能源系统进行数字化转型并实现脱碳、保护美国的半导体供应链、使美国的加密技术现代化,以及重振美国的外交和国内政策重点。 (三)《战略》内容依据现行政策制定 �《战略》是在过往塑造美国战略环境和数字生态体系的重大成就的基础之上,为美国网络安全管理制定的全新方法。《战略》是基于第13800号行政命令《加强联邦网络和关键基础设施 的网络安全》、第13691号行政命令《促进私营部门网络安全信 息共享》、第13636号行政命令《改善关键基础设施网络安全》、 第21号总统政策指令《关键基础设施安全性和韧性》和第41号总统政策指令《美国网络事件协调》所建立的框架,目标是确保联邦系统的安全和与私营部门的合作。 �《战略》取代了2018年的《国家网络战略》,但保留了包括数字生态体系的协同防御等诸多优先事项,《战略》还延续了第14028号行政命令(EO)《改善国家网络安全》、《第5号国家安全备忘录》(NSM)“改善关键基础设施控制系统的网络安全”、《第8号国家安全备忘录》“改善国家安全机构、国防部 和情报系统的网络安全”、《2008年国家网络安全综合计划》等行政措施的基�方向。�《战略》与《国家安全战略》和《国防战略》均是由一支跨部门团队制定的,其经过了与私营部门和民间团体长达数月的磋商。 二、支柱一:保护关键基础设施 美国致力于建立持久有效的协同防御模式,公平分配风险和责任,为数字生态系统提供基�的安全和韧性,具体包括五项举措。 (一)战略目标1.1:制定支持国家安全和公共安全的网络安全要求 目前,美国政府已在多个关键行业建立了网络安全自律要求, 包括运输安全管理局牵头的石油和天然气管道、航空和铁路,以及环境保护署牵头的供水系统等,旨在确保关键基础设施安全和有韧性地运营。但目前美国缺乏统筹性的、强制性的监管要求,导致关键基础设施安全管理出现了诸多不一致和不充分的效果。当下,美国的战略环境需要现代和灵活的网络安全监管框架,可针对不同行业的风险特征,通过统筹协调来避免监管重复,同时顾及到实施成�。事实上,最有效的监管框架是那些在危机发生前就已到位的框架,而不是在危机发生后出台紧急法规。 1、制定网络安全法规 在制定关键基础设施的网络安全法规时:一是应以绩效为基础,利用现有的网络安全框架、自愿一致的标准和指南,包括网络安全和基础设施安全局(CISA)的网络安全绩效目标和国家标准与技术研究院(NIST)的改善关键基础设施网络安全的框架。二是具有一定的灵活性,在对手提高能力和改变战术时有足够的敏捷性来调整应对。三是鼓励监管机构推动采用安全设计原则,优先考虑基�服务的可用性,确保系统设计能够应对安全故障并快速恢复。法规将界定最低预期网络安全做法或目标,但�届政府鼓励并将支持各实体进一步努力超越这些要求。四是�届政府将审视各机构的权力差距,并通过与行业、国会和监管机构的合作来弥补这些差距,以更好地在云计算和其他重要第三方服务行业中推进网络安全实践。 2、理顺和精简新的和现行的法规 有效的法规可以最大限度地降低合规成�和负担,使各机构能够投入资源来建立韧性并保卫其系统和资产。通过以符合现行政策和法律的方式利用现有的国际标准,监管机构可以最大限度地减少独特要求的负担,并减少对监管协调的需求。此外,在联邦法规存在冲突、重复或过于繁琐的情况下,各监管机构必须携手合作,尽量降低这些危害。必要时,美国将寻求跨境监管协调, 以防止网络安全要求阻碍数字贸易往来。在可行的情况下,监管机构不仅要努力协调法规和细则,还要协调对受监管实体的评估和审计。 3、使受监管实体能够承受安全成� 不同的关键基础设施行业承受网络安全成�的能力各不相同,包括不加干预就不会轻易增加投资的低利润行业,以及可以承受改善网络安全的边际成�的行业等。在某些行业,监管可能是必要的,可以创造一个公平的竞争环境,使企业不会在网络安全方面竞相比烂。