美頻繁發(fā)布政策爭奪網(wǎng)絡(luò)安全主動(dòng)權(quán)

黃 鋒 樊 偉

拜登執(zhí)政以來，美頻繁出臺(tái)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)供應(yīng)鏈等方面政策文件，以確保本土關(guān)鍵設(shè)施網(wǎng)絡(luò)安全，預(yù)防網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)，重奪網(wǎng)絡(luò)安全主動(dòng)權(quán)。美相關(guān)措施將加劇網(wǎng)絡(luò)供應(yīng)鏈逆全球化，將深刻影響全球網(wǎng)絡(luò)安全形勢和大國競爭格局，值得高度警惕。

基本情況

美國為鞏固網(wǎng)絡(luò)安全主導(dǎo)權(quán)，頻繁頒布行政命令、配套文件、法案、實(shí)體清單等，構(gòu)建網(wǎng)絡(luò)安全政策體系。

美國頒布政令加強(qiáng)網(wǎng)絡(luò)安全頂層指導(dǎo)。一是提出網(wǎng)絡(luò)安全務(wù)實(shí)措施，統(tǒng)籌網(wǎng)絡(luò)安全重點(diǎn)工作。2021年5月，拜登簽署《關(guān)于改善國家網(wǎng)絡(luò)安全》行政令，要求加強(qiáng)網(wǎng)絡(luò)安全政策指導(dǎo)，增加政府與私營機(jī)構(gòu)合作；加強(qiáng)網(wǎng)絡(luò)空間威脅信息共享，防范網(wǎng)絡(luò)安全事件；實(shí)施零信任架構(gòu)，加快云服務(wù)安全化，推進(jìn)網(wǎng)絡(luò)安全方法現(xiàn)代化；增加商業(yè)軟件開發(fā)透明度，加強(qiáng)網(wǎng)絡(luò)供應(yīng)鏈安全；設(shè)立網(wǎng)絡(luò)安全審查委員會(huì)，加強(qiáng)對重大網(wǎng)絡(luò)事件、威脅活動(dòng)、漏洞修復(fù)和機(jī)構(gòu)響應(yīng)等活動(dòng)的審查和評估；制定網(wǎng)絡(luò)事件響應(yīng)流程，加強(qiáng)網(wǎng)絡(luò)安全事件響應(yīng)流程標(biāo)準(zhǔn)化；加強(qiáng)網(wǎng)絡(luò)安全漏洞檢測，提高聯(lián)邦政府對網(wǎng)絡(luò)漏洞和網(wǎng)絡(luò)威脅的認(rèn)識(shí)與檢測能力；加強(qiáng)網(wǎng)絡(luò)安全事件調(diào)查和系統(tǒng)修復(fù)能力；加強(qiáng)國家安全系統(tǒng)網(wǎng)絡(luò)安全。

美白宮發(fā)布的《關(guān)于改善國家網(wǎng)絡(luò)安全》行政令

二是首次提出“國家安全系統(tǒng)”網(wǎng)絡(luò)安全要求，填補(bǔ)政策空白。2022年1月，美白宮發(fā)布《關(guān)于改善國家安全、國防和情報(bào)系統(tǒng)網(wǎng)絡(luò)安全》備忘錄，明確國家安全系統(tǒng)網(wǎng)絡(luò)防護(hù)要求；授權(quán)國家安全局制定相關(guān)標(biāo)準(zhǔn)，制定相關(guān)操作指令；加強(qiáng)國家安全系統(tǒng)風(fēng)險(xiǎn)感知能力；制定云系統(tǒng)網(wǎng)絡(luò)事件響應(yīng)框架，規(guī)范網(wǎng)絡(luò)安全事件處理流程；發(fā)布新版網(wǎng)絡(luò)安全政策；并列出相關(guān)豁免情況。

美國細(xì)化實(shí)操文件推動(dòng)網(wǎng)絡(luò)安全政策執(zhí)行。一是制定國防領(lǐng)域網(wǎng)絡(luò)安全管理相關(guān)標(biāo)準(zhǔn)，推動(dòng)頂層政策落地。2021年11月，美國防部發(fā)布“網(wǎng)絡(luò)安全成熟度模型認(rèn)證”2.0版。該模型是國防工業(yè)基地承包商培訓(xùn)、認(rèn)證和第三方評估的框架，旨在建立國防工業(yè)承包商必須執(zhí)行的網(wǎng)絡(luò)安全要求及標(biāo)準(zhǔn)。模型2.0版本提出了國防部對最高優(yōu)先事項(xiàng)項(xiàng)目供應(yīng)商的評估要求，明確了“網(wǎng)絡(luò)生態(tài)系統(tǒng)”的評估標(biāo)準(zhǔn)，最小化安全合規(guī)的障礙，提高項(xiàng)目執(zhí)行層面的整體操作性。

2022年7月，美數(shù)字制造與網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布“網(wǎng)絡(luò)安全成熟度模型認(rèn)證”2.0版手冊，提供網(wǎng)絡(luò)安全實(shí)踐入門指南，指導(dǎo)國防領(lǐng)域網(wǎng)絡(luò)供應(yīng)商遵守相關(guān)要求。該手冊圍繞訪問控制、身份認(rèn)證、介質(zhì)保護(hù)、物理保護(hù)、系統(tǒng)與通信保護(hù)、系統(tǒng)與信息完整性等6個(gè)領(lǐng)域，列出了17項(xiàng)網(wǎng)絡(luò)安全實(shí)踐并標(biāo)定了相關(guān)難度，為國防承包商年度自我評估提供指導(dǎo)，以保護(hù)聯(lián)邦合同信息安全和網(wǎng)絡(luò)安全。

二是加強(qiáng)網(wǎng)絡(luò)安全分段管理，避免網(wǎng)絡(luò)風(fēng)險(xiǎn)沿供應(yīng)鏈擴(kuò)散。2022年5月，美國家標(biāo)準(zhǔn)技術(shù)研究院發(fā)布《系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐》，指導(dǎo)政府機(jī)構(gòu)和供應(yīng)商，針對網(wǎng)絡(luò)供應(yīng)鏈的設(shè)計(jì)、研發(fā)、維護(hù)等環(huán)節(jié)，實(shí)施有效風(fēng)險(xiǎn)管理。該文件聚焦網(wǎng)絡(luò)供應(yīng)鏈安全問題，為各類組織提供了識(shí)別、評估和緩解其各級網(wǎng)絡(luò)供應(yīng)鏈中安全風(fēng)險(xiǎn)的具體操作指南，概括了網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理的層次及操作方法，并要求將其整合到企業(yè)風(fēng)險(xiǎn)管理過程中，包括制定網(wǎng)絡(luò)供應(yīng)鏈安全戰(zhàn)略實(shí)施計(jì)劃、網(wǎng)絡(luò)供應(yīng)鏈安全策略、網(wǎng)絡(luò)供應(yīng)鏈安全計(jì)劃以及產(chǎn)品和服務(wù)的網(wǎng)絡(luò)供應(yīng)鏈安全風(fēng)險(xiǎn)評估等。該文件在具體過程上給出了明確的方法及文檔化工具，具備很強(qiáng)的可操作性及參考性。

美國出臺(tái)法案促進(jìn)網(wǎng)絡(luò)供應(yīng)鏈安全。一是加大半導(dǎo)體產(chǎn)業(yè)資金支持力度，推動(dòng)網(wǎng)絡(luò)供應(yīng)鏈回歸本土。2022年8月，拜登簽署《芯片與科學(xué)法案》。該法案分為兩部分。第一部分圍繞芯片與半導(dǎo)體，提出向本土半導(dǎo)體研發(fā)與制造企業(yè)提供約527億美元補(bǔ)貼，并向在美投資半導(dǎo)體行業(yè)提供25%稅收抵免，以推動(dòng)核心網(wǎng)絡(luò)組件供應(yīng)鏈重回本土，進(jìn)一步強(qiáng)化本土網(wǎng)絡(luò)安全。第二部分圍繞關(guān)鍵技術(shù)和新興技術(shù)研發(fā)，為國家科學(xué)基金會(huì)、國家標(biāo)準(zhǔn)與技術(shù)研究院和能源部科學(xué)辦公室等設(shè)定科研目標(biāo)，以推動(dòng)半導(dǎo)體、量子計(jì)算、人工智能等創(chuàng)新與發(fā)展。

《關(guān)于改善國家安全、國防和情報(bào)系統(tǒng)網(wǎng)絡(luò)安全》備忘錄封面

二是發(fā)布半導(dǎo)體領(lǐng)域?qū)嶓w清單，限制對華半導(dǎo)體出口，在網(wǎng)絡(luò)供應(yīng)鏈中推行去中國化。2021年11月，美商務(wù)部修訂“軍事最終用戶”實(shí)體清單，將中芯國際、中科微電子等12家中企列入，遏制中國半導(dǎo)體產(chǎn)業(yè)發(fā)展，以提高美國在全球半導(dǎo)體市場占有率，確保美本土網(wǎng)絡(luò)安全。

幾點(diǎn)認(rèn)識(shí)

美國逐步修正“重攻輕防”網(wǎng)絡(luò)策略，轉(zhuǎn)向“攻守平衡”。特朗普執(zhí)政時(shí)期，美在網(wǎng)絡(luò)空間領(lǐng)域提倡“以攻為守”，網(wǎng)絡(luò)司令部更是提出了“持續(xù)交鋒”“前出防御”等作戰(zhàn)概念。2020年以來，“太陽風(fēng)”“科洛尼爾輸油管”等網(wǎng)絡(luò)安全事件頻發(fā)，讓白宮重新審視“重攻輕防”的網(wǎng)絡(luò)策略。拜登政府持續(xù)強(qiáng)調(diào)網(wǎng)絡(luò)安全，通過推行更全面的政策與標(biāo)準(zhǔn)，建立網(wǎng)絡(luò)安全事件標(biāo)準(zhǔn)化響應(yīng)流程等，加強(qiáng)網(wǎng)絡(luò)安全管理，尋求網(wǎng)絡(luò)空間“攻守平衡”。

美國防部發(fā)布“網(wǎng)絡(luò)安全成熟度模型認(rèn)證”

美白宮發(fā)布的《芯片與科學(xué)法案》

美國加快完善政策體系，補(bǔ)齊網(wǎng)絡(luò)安全短板。美頻繁出臺(tái)網(wǎng)絡(luò)安全政策文件，已基本覆蓋非國家安全系統(tǒng)、國家安全系統(tǒng)和網(wǎng)絡(luò)供應(yīng)鏈等網(wǎng)絡(luò)安全領(lǐng)域。此外，美政府還陸續(xù)出臺(tái)操作層面的配套指南、手冊等，建立起一套全面、實(shí)用的網(wǎng)絡(luò)安全工具箱。在政策指導(dǎo)下，美重點(diǎn)加強(qiáng)網(wǎng)絡(luò)組件供應(yīng)、網(wǎng)絡(luò)漏洞檢測等網(wǎng)絡(luò)安全工作，提前在網(wǎng)絡(luò)安全薄弱環(huán)節(jié)部署防御措施，能夠有效補(bǔ)齊網(wǎng)絡(luò)安全短板。

美國加強(qiáng)私營企業(yè)管控，提高網(wǎng)絡(luò)事件應(yīng)對能力。美更加重視私營企業(yè)管控，加強(qiáng)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。美國大部分關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)系統(tǒng)由私營企業(yè)負(fù)責(zé)運(yùn)營，而政府發(fā)揮輔助作用，這導(dǎo)致網(wǎng)絡(luò)事件突發(fā)時(shí)，政府難以及時(shí)獲取事態(tài)信息，削弱了關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防護(hù)能力。美頻繁出臺(tái)政策文件，通過推行標(biāo)準(zhǔn)合同、建立網(wǎng)絡(luò)安全事件標(biāo)準(zhǔn)化響應(yīng)流程等手段，加強(qiáng)對私營企業(yè)的管控，能夠確保政府相關(guān)網(wǎng)絡(luò)安全管理舉措和機(jī)制的落地。

美國積極搶占網(wǎng)絡(luò)安全主導(dǎo)權(quán)，旨在備戰(zhàn)大國競爭。當(dāng)前，網(wǎng)絡(luò)作戰(zhàn)已成為現(xiàn)代戰(zhàn)爭重要作戰(zhàn)方式。網(wǎng)絡(luò)空間作戰(zhàn)具備成本低、隱蔽性強(qiáng)、效果顯著等特點(diǎn)，能夠有效致癱敵方關(guān)鍵基礎(chǔ)設(shè)施和軍事設(shè)施網(wǎng)絡(luò)，延緩敵方軍事部署。為此，美國將網(wǎng)絡(luò)安全作為優(yōu)先事項(xiàng)，積極搶占網(wǎng)絡(luò)安全主導(dǎo)權(quán)，以備戰(zhàn)大國高端戰(zhàn)爭。

結(jié)語

在復(fù)雜網(wǎng)絡(luò)安全形勢下，應(yīng)加快健全網(wǎng)絡(luò)安全政策與標(biāo)準(zhǔn)體系，持續(xù)加強(qiáng)軍事系統(tǒng)網(wǎng)絡(luò)安全防護(hù)，不斷強(qiáng)化平戰(zhàn)一體的網(wǎng)絡(luò)演訓(xùn)能力，應(yīng)對可能出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

完善網(wǎng)絡(luò)空間政策與標(biāo)準(zhǔn)體系。一是持續(xù)健全政策法規(guī)體系，強(qiáng)化網(wǎng)絡(luò)空間頂層指導(dǎo)。系統(tǒng)篩查國防領(lǐng)域網(wǎng)絡(luò)安全管理薄弱點(diǎn)，持續(xù)深化軍事網(wǎng)絡(luò)在研發(fā)、生產(chǎn)、采購、維護(hù)等環(huán)節(jié)的安全治理研究，建立更加全面的政策法規(guī)體系。二是強(qiáng)化標(biāo)準(zhǔn)支撐，加快構(gòu)建軍事網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。聚焦國防電子元器件等關(guān)鍵領(lǐng)域，推動(dòng)設(shè)立國防供應(yīng)商網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)體系，并加強(qiáng)跨行業(yè)通用標(biāo)準(zhǔn)整合修訂。

加強(qiáng)軍事系統(tǒng)網(wǎng)絡(luò)安全防護(hù)。軍事系統(tǒng)網(wǎng)絡(luò)安全防護(hù)是國家網(wǎng)絡(luò)空間防護(hù)的核心，是懾止對手對關(guān)鍵基礎(chǔ)設(shè)施采取冒險(xiǎn)行動(dòng)的關(guān)鍵。其中，指揮系統(tǒng)、武器系統(tǒng)和作戰(zhàn)流程中的網(wǎng)絡(luò)安全防護(hù)尤其重要。大國競爭背景下，對手前沿部署網(wǎng)絡(luò)力量，正在實(shí)施持續(xù)交鋒作戰(zhàn)行動(dòng)。應(yīng)基于“敵已進(jìn)入、敵正進(jìn)入”的前提假設(shè)，不斷加強(qiáng)軍事網(wǎng)絡(luò)與系統(tǒng)的檢查評估、監(jiān)測預(yù)警和應(yīng)急響應(yīng)，確保軍事系統(tǒng)網(wǎng)絡(luò)安全。

強(qiáng)化平戰(zhàn)一體的網(wǎng)絡(luò)演訓(xùn)能力。應(yīng)深刻體察網(wǎng)絡(luò)空間攻防無時(shí)空拘束、破壞力巨大等特點(diǎn)，高度重視網(wǎng)絡(luò)攻防作戰(zhàn)演訓(xùn)能力建設(shè)。結(jié)合典型作戰(zhàn)場景，持續(xù)建設(shè)大型網(wǎng)絡(luò)靶場，設(shè)置不同階段的網(wǎng)絡(luò)培訓(xùn)課程，開展不同環(huán)境下的網(wǎng)絡(luò)攻防演訓(xùn)，不斷強(qiáng)化網(wǎng)絡(luò)部隊(duì)網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)機(jī)動(dòng)、網(wǎng)絡(luò)攻擊溯源、網(wǎng)絡(luò)防御等方面的作戰(zhàn)能力，加快形成網(wǎng)絡(luò)空間領(lǐng)域?qū)痴饝亓Α?/p>