美國《國家網絡安全戰略實施計劃》解讀

陳炳昊 孔勇 張昊

2023年7月13日，美國白宮發布《國家網絡安全戰略實施計劃》（以下簡稱《實施計劃》），作為推進路線圖指導美國《國家網絡安全戰略》的具體實施。今年3月份發布的美國《國家網絡安全戰略》重新分配了保護網絡空間的職責，調整激勵措施以有利于長期投資，在保護美國當下免受網絡威脅的同時，進行戰略性的規劃，實現未來具有韌性的網絡安全目標。

此次《實施計劃》的發布，明確了《國家網絡安全戰略》推進工作由國家網絡總監辦公室（ONCD）總體協調，并向總統和國會報告實施情況?！秾嵤┯媱潯诽岢?9項具體舉措，每一個舉措任務都明確了牽頭部門、參與部門以及完成時間要求，為各機構部門推進計劃提供了指導。《實施計劃》公開發布是增加國家戰略推進工作透明度的體現，作為一份動態的文件，將每年進行更新，其中的實施計劃條目與內容將根據不斷變化的網絡環境需求而增加，并在完成后刪除。

一、《實施計劃》提出69項具體舉措計劃

《實施計劃》圍繞美國《國家網絡安全戰略》的五大核心戰略支柱進行展開，詳細介紹了對應的66項聯邦政府實施計劃。同時，在評估實施舉措計劃推進的有效性方面，也明確了3項具體的舉措計劃，共計69項內容。

（一）第一支柱“關鍵基礎設施保護”舉措

圍繞關鍵基礎設施保護，《實施計劃》明確將重點建立網絡監管協調機制；制定關鍵基礎設施行業的網絡安全要求；加大網絡安全框架（CSF）、國際標準的應用以及監管協調工作；推動默認安全設計和安全技術的開發與應用；為關鍵基礎設施行業和行業風險管理機構（SRMA）提供指導建議；對美國網絡安全和基礎設施安全局（CISA）利用現有或者創新的報告機制來整合和實施SRMA的特定行業系統和流程進行評估；調查并改進信息共享的協作平臺、流程和機制等；建立SRMA支持能力；明確開展評估、改進聯邦網絡安全中心和相關網絡中心的能力；制定能夠實現快速和大規模協作的規劃；更新國家網絡事件響應計劃（NCIRP）、發布《關鍵基礎設施網絡事件報告法案》最終版本、制定演習場景以改進網絡事件響應、將網絡安全審查委員會（CSRB）與所需機構編入法典的立法草案；保護非機密聯邦民事行政部門（FCEB）系統；加強FCEB技術現代化水平；確保FCEB的國家安全系統（NSS）安全。

（二）第二支柱“破壞并摧毀威脅行為者”舉措

圍繞破壞并摧毀威脅行為者，《實施計劃》明確將更新發布國防部網絡戰略；加強國家網絡調查聯合特遣部隊（NCIJTF）的執行能力；擴大打擊網絡破壞活動的組織平臺；進行立法以抑制和阻止網絡犯罪；提升打擊網絡犯罪行動的速度與規模；通過公私運營合作機制增加對破壞活動的抵抗能力；實施特定部門的情報需求與優先事項，并加大向關鍵基礎設施所有者和運營者提供網絡威脅情報與數據；發布關于基礎設施服務提供商和經銷商的要求、標準與流程；抑制勒索軟件犯罪分子的“避風港”、破壞勒索軟件犯罪、調查勒索軟件犯罪并破壞勒索軟件生態；支持私營部門和州、地方、部落和領地（SLTT）降低勒索軟件威脅；支持其他國家對虛擬資產服務提供商采取全球反洗錢/打擊資助恐怖主義（AML/CFT）行動。

（三）第三支柱“塑造市場力量以驅動安全韌性”舉措

圍繞塑造市場力量以驅動安全韌性，《實施計劃》明確將啟動美國政府物聯網安全標簽計劃；開展探索開發長期、靈活和持久的軟件責任框架；推進軟件物料清單（SBOM）并降低軟件風險；協調漏洞披露；使用聯邦撥款和其他激勵措施來加強安全；利用聯邦撥款改善基礎設施網絡安全；優先資助網絡安全研究；優先考慮網絡安全對社會、行動和經濟影響的研究、開發與示范；實施EO14028號行政令要求的FAR變更；利用《虛假聲明法》改善供應商網絡安全；評估聯邦保險應對災難性網絡事件的必要性。

（四）第四支柱“投資于具有韌性的未來”舉措

圍繞投資于具有韌性的未來，《實施計劃》明確將引領網絡采用最佳安全的實踐；促進開源軟件安全和內存安全編程語言的采用；加速互聯網基礎設施能力和技術的開發與標準化；加速支持互聯網基礎設施技術的開發與標準化的應用；與主要利益相關者合作確保互聯網路由安全；加速內存安全編程語言的成熟度并安全應用；實施國家安全備忘錄（NSM-10）；為NSS實施NSM-10；標準化量子密碼算法并支持后量子密碼算法的開發；將網絡安全默認設計原則納入實際應用；制定計劃以確保數字生態系統能夠支持和實現美國政府的脫碳目標；為工程師和技術人員提供和完善相應的網絡信息工程培訓、工具和支撐；發布國家網絡人才和教育戰略并推進實施。

（五）第五支柱“建立國際伙伴關系實現共同目標”舉措

圍繞國際伙伴關系合作，《實施計劃》明確開展創建跨機構團隊以進行區域網絡協作和協調；發布國際網絡空間和數字政策戰略；加強與盟友及合作伙伴的聯邦執法合作機制；開展區域網絡中心的研究；加強國際合作伙伴的網絡能力；通過執法合作擴大國際合作伙伴的網絡協作能力；建立靈活的對外援助機制，快速提供網絡事件響應支持；當不負責任的國家未能履行承諾時追究其責任；促進安全可信的信息通信技術（ICT）網絡和服務的發展；促進值得信賴的ICT供應商組成的供應鏈更加多元化和有韌性；開始管理公共無線供應鏈創新基金；頒布和擴大網絡安全供應鏈風險管理（CSCRM）以及關鍵基礎設施領域內的關鍵實踐。

（六）加強實施有效性的舉措計劃

圍繞《實施計劃》實施有效性的評估工作，明確要求定期報告實施國際網絡安全戰略的進展和成效，及時總結經驗教訓應用于國家網絡安全戰略的實施，確保預算執行與國家網絡安全戰略的實施保持一致。

二、《實施計劃》各部門承擔計劃任務情況

（一）計劃任務涉及各領域共28個機構部門

對《實施計劃》進行分析，該計劃共涉及28個機構部門（將SRMA作為一個部門計算），涵蓋了網絡監管、電信、國防、標準、科技、財政、司法、情報、氣候、金融等眾多領域。對每一個部門的牽頭責任的項目數，以及協作貢獻的項目數進行統計分析，結果如表1所示。

從表1中可以看出，《實施計劃》中牽頭項目最多的部門是ONCD，總共負責牽頭14項，其次是CISA和USSD，分別是10項和8項。協作貢獻項目數最多的部門是CISA和DOJ，均是19項，其次是ONCD與FBI，分別是16項與18項，DHS也負責協助了14項目計劃。

（二）核心牽頭部門的主要任務情況

從數量統計可以看出，《實施計劃》中大部分舉措計劃由ONCD和CISA負責主體推進。ONCD牽頭的任務主要聚焦國家網絡安全的頂層設計與戰略規劃，涵蓋了建立網絡監管協調機制；評估和改進聯邦網絡安全中心和相關網絡中心的能力；確定合作機制以提高網絡事件響應能力；負責制定國家網絡人才和教育戰略；探索開發長期、靈活和持久的軟件責任框架等。作為整個戰略推進的牽頭部門，ONCD同時需要匯總報告國家網絡安全戰略的實施進展，并總結經驗，負責指導聯邦預算用于改善基礎設施網絡安全，確保預算的使用與國家網絡安全戰略保持一致。

CISA牽頭承擔了10項實施計劃，主要聚焦關鍵基礎設施安全保護，負責發布最終《關鍵基礎設施網絡事件報告法案》，為關鍵基礎設施行業和行業風險管理機構SRMA提供指導與建議，整合和實施SRMA的特定行業系統和流程，完善關鍵基礎設施信息共享的協作平臺、流程和機制等。同時，CISA還將推動默認安全設計與技術的應用，推進SBOM應用，支持私營部門和州、地方等降低勒索軟件風險，并更新國家網絡事件響應計劃。

USSD負責牽頭8項計劃，承擔的任務主要聚焦國際合作和國際政策制定，具體包括組建跨機構的團隊進行區域網絡協作及協調，加強國際合作伙伴之間的協同能力，建立靈活的對外援助機制，提供快速的網絡事件響應支持，發布國際網絡空間和數字政策戰略，打擊勒索軟件犯罪的“避風港”，促進安全可信的信息通信技術網絡和服務的發展，促進網絡和服務的供應商組成多元化、具備抗風險能力的供應鏈。

負責牽頭6項計劃的OMB聚焦于實現FCEB系統的現代化，并引領采用網絡安全的最佳實踐。負責牽頭5項計劃的NIST主要對網絡安全框架和相應標準進行推廣應用，促進互聯網基礎設施技術的研發及標準化工作，支持量子密碼算法的標準化，并支持向后量子時代的過渡。DOJ負責牽頭其中的5項計劃，主要致力于設立相關法律以阻止網絡犯罪，調查勒索軟件犯罪并破壞勒索軟件生態，通過《虛假聲明法》等相應法規改善供應商的網絡安全，并與國際伙伴進行合作，提高執法能力。FBI負責牽頭其中的4項計劃，包括加強NCIJTF建設，打擊網絡犯罪、勒索軟件犯罪，加強與盟友和合作伙伴的聯邦執法合作。NSC負責牽頭3項計劃，包括制定關鍵基礎設施行業的網絡安全要求，確定并實施特定部門的情報需求和優先事項，啟動美國政府物聯網安全標簽計劃。

NSA、UST、OSTP和DOE分別牽頭其中的2項計劃，DHS、DOD、ODNI、DOC、NSF、NTIA則分別牽頭1項計劃，具體工作任務相對較少。

三、《實施計劃》任務的年度推進情況

（一）計劃任務完成時間截至2026財年第四季度

按照《實施計劃》的描述，相關舉措計劃從2023年發布前就已經開始實施，一直持續到2026財年第四季度。將《實施計劃》中每項計劃任務要求的完成時間按照財年季度進行統計，總結出每段時間需要完成的計劃任務數如表2所示。從表中可以看出，2024財年第一季度要求完成任務最多，共14項；其次是2024財年第二季度要求完成任務11項；再次是2023年第四季度，需要完成10項計劃任務。2023財年第二季度、2025財年第三季度、2026財年第一季度和2026財年第四季度完成任務數最少，均為1項計劃任務。

（二）2024財年第四季度前需完成主要任務情況

通過對《實施計劃》任務完成時間要求的分析，可以看出眾多計劃任務聚焦于2023年至2024年第四季度。在這兩年時間內，一些關鍵詞被多次提到，相關內容則為近兩年計劃中急需解決的重要任務，主要體現在以下五個方面。

一是增強關鍵基礎設施安全。近兩年的任務計劃中，關鍵基礎設施保護仍然是高頻詞。首先，美國要發布對基礎設施服務提供商和經銷商的網絡安全要求、標準和流程規定。其次，加大向關鍵基礎設施所有者和運營者提供網絡威脅情報和數據的力度，并利用聯邦撥款改善基礎設施網絡安全，加速支持互聯網基礎設施技術的開發和標準化的應用。同時加大CISA為關鍵基礎設施行業和SRMA提供指導與建議。

二是發布多項網絡安全專項戰略計劃。在《國家網絡安全戰略》的框架下，各部門與機構需要發布相應的專項戰略，包括國防部網絡戰略、國際網絡空間和數字政策戰略、國家網絡人才和教育戰略，啟動美國政府物聯網安全標簽計劃，制定能夠實現脫碳目標的數字生態系統計劃等。

三是多方位抑制勒索軟件犯罪問題。美國是迄今為止勒索軟件事件數量最多的國家，《實施計劃》中近兩年的工作任務分別從不同部門、不同層面、不同角度圍剿打擊勒索軟件網絡犯罪問題，包括在法律層面針對網絡犯罪進行立法，從而抑制網絡犯罪、填補法律漏洞。分析勒索軟件所依賴的生態，包括服務器、網絡、技術、人員、組織、渠道等，有針對性地對其生態鏈上的各個環節進行打擊。打擊手段層面，執法部門要提高打擊勒索軟件等網絡犯罪的速度和范圍。與盟友及其他國家進行合作，共同打擊網絡犯罪，并支持其他國家對勒索軟件、全球洗錢、恐怖主義的打擊，打掉網絡犯罪分子的“避風港”。

四是加大網絡安全研究的資金投入。近兩年的實施計劃中，明確要求優先資助網絡安全方面的研究，包括先進的網絡安全技術、區域網絡中心研究、網絡安全與社會經濟發展之間關系的研究等。啟動管理公共無線供應鏈創新基金，通過基金形式加大資金投入。在資金使用的監督管理上，明確要求預算投入應與國家網絡安全戰略的實施相一致。

五是建立靈活的合作協調機制。面對不同類型與場景的網絡威脅，急需建立網絡監管協調機制，提升網絡事件的響應速度。建立靈活的對外援助機制，能夠快速提供網絡事件的響應支持。同時，進一步加強國際合作伙伴之間的網絡協作能力。

四、結語

綜上所述，《國家網絡安全戰略》及《實施計劃》為美國應對網絡威脅和確保數字未來的前景開辟了道路，美國將與盟友和合作伙伴一起，打造安全韌性的數字生態系統。《實施計劃》突出了全員參與、技術主導、管用有效等特點，為每個機構分配了有限的時間和確定的任務，對如何實現國家網絡安全戰略提供了明確指導。同時，《實施計劃》也體現了美國搶占網絡空間制高點的戰略意圖，未來的網絡空間博弈將更加激烈。