美國多措并舉構(gòu)建網(wǎng)絡(luò)安全戰(zhàn)略體系

樊 偉 劉永艷

2023年3月，美白宮發(fā)布新版《國家網(wǎng)絡(luò)安全戰(zhàn)略》；5月，國防部向國會提交了《美國防部網(wǎng)絡(luò)戰(zhàn)略》；7月，白宮發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略實施計劃》；8月，紐約州發(fā)布首個《紐約州網(wǎng)絡(luò)安全戰(zhàn)略》（以下簡稱“州戰(zhàn)略”）。美密集發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略文件，強調(diào)在國家、聯(lián)邦機構(gòu)、州政府層面加強政策指導(dǎo)，以提升網(wǎng)絡(luò)彈性、改善網(wǎng)絡(luò)安全。大國競爭背景下，此舉將加劇中美網(wǎng)絡(luò)空間戰(zhàn)略博弈，深刻影響全球網(wǎng)絡(luò)安全形勢和大國競爭格局。

政策發(fā)布背景

美國認為，世界正進入愈發(fā)依賴數(shù)字化的新階段，使軟件和系統(tǒng)變得更加復(fù)雜、更易受到網(wǎng)絡(luò)攻擊，這將引發(fā)更廣泛的惡意網(wǎng)絡(luò)行為，增加網(wǎng)絡(luò)安全系統(tǒng)性風(fēng)險。

新興技術(shù)增加網(wǎng)絡(luò)安全風(fēng)險。隨著新興網(wǎng)絡(luò)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)、軟件和系統(tǒng)正變得越來越復(fù)雜。通過互聯(lián)網(wǎng)能將個人、企業(yè)、社區(qū)和國家連接起來，使國際交流規(guī)模得以擴大。全球互聯(lián)為美國企業(yè)和消費者創(chuàng)造價值的同時，也增加了關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險。原本對一個組織、行業(yè)或國家的網(wǎng)絡(luò)攻擊可以迅速蔓延到其他行業(yè)和地區(qū)，如俄羅斯2020年對烏克蘭發(fā)動的網(wǎng)絡(luò)攻擊蔓延到美國，造成了數(shù)億美元的損失。

惡意網(wǎng)絡(luò)活動持續(xù)擴散。近年來，美國頻發(fā)網(wǎng)絡(luò)攻擊事件，包括“太陽風(fēng)”供應(yīng)鏈攻擊事件、“科洛尼爾輸油管”攻擊事件等。疊加烏克蘭危機導(dǎo)致網(wǎng)絡(luò)攻擊風(fēng)險進一步外溢，使美國政府辦公系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施面臨更多網(wǎng)絡(luò)安全威脅。以往，外國攻擊性黑客工具和服務(wù)僅由少數(shù)國家掌握，但如今已能廣泛獲取，使網(wǎng)絡(luò)犯罪集團的威脅不斷增加。

協(xié)調(diào)機制存在障礙。美國政府認為，當(dāng)前終端用戶承擔(dān)了太多緩解網(wǎng)絡(luò)風(fēng)險的負擔(dān)。個人、小企業(yè)、州政府和地方政府以及基礎(chǔ)設(shè)施運營商的資源有限，且各種優(yōu)先事項相互干擾，對維護國家網(wǎng)絡(luò)安全造成隱患。美國整體網(wǎng)絡(luò)彈性不能依賴于最小的組織機構(gòu)，應(yīng)要求能力最強、占位最優(yōu)的行為體在確保數(shù)字生態(tài)系統(tǒng)的安全和彈性方面承擔(dān)更多責(zé)任。

政策體系構(gòu)成

美網(wǎng)絡(luò)安全政策體系包括國家、聯(lián)邦機構(gòu)、州政府等層面。國家層面包括美白宮《國家網(wǎng)絡(luò)安全戰(zhàn)略》《國家網(wǎng)絡(luò)安全戰(zhàn)略實施計劃》，聯(lián)邦機構(gòu)層面包括《美國防部網(wǎng)絡(luò)戰(zhàn)略》，州政府層面包括《紐約州網(wǎng)絡(luò)安全戰(zhàn)略》等。

國家層面：《國家網(wǎng)絡(luò)安全戰(zhàn)略》。2023年3月，美白宮發(fā)布新版《國家網(wǎng)絡(luò)安全戰(zhàn)略》（以下簡稱“國家戰(zhàn)略”）。國家戰(zhàn)略明確了網(wǎng)絡(luò)安全戰(zhàn)略支柱，統(tǒng)籌安排了國家層面的重點任務(wù)。一是加強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防御。制定網(wǎng)絡(luò)安全要求，擴大公私合作范圍，整合聯(lián)邦網(wǎng)絡(luò)安全中心，優(yōu)化事件響應(yīng)流程，以提升網(wǎng)絡(luò)防御現(xiàn)代化水平。二是打擊網(wǎng)絡(luò)威脅行為。整合政府能力，加強公私協(xié)作，實現(xiàn)情報共享和威脅檢測，防止對手濫用基礎(chǔ)設(shè)施，以打擊網(wǎng)絡(luò)犯罪。三是塑造市場力量。基于聯(lián)邦采辦制度強化問責(zé)，要求數(shù)據(jù)管理者、軟件供應(yīng)商承擔(dān)安全責(zé)任，探索網(wǎng)絡(luò)安全保險新方式，以提高網(wǎng)絡(luò)彈性。四是投資未來彈性網(wǎng)絡(luò)。制定網(wǎng)絡(luò)空間人才政策，關(guān)注互聯(lián)網(wǎng)、后量子、清潔能源領(lǐng)域網(wǎng)絡(luò)安全，重振網(wǎng)絡(luò)技術(shù)研發(fā)。五是構(gòu)建國際伙伴關(guān)系。建立聯(lián)盟，深化國際合作，應(yīng)對數(shù)字生態(tài)系統(tǒng)威脅，確保信息技術(shù)產(chǎn)品與服務(wù)全球供應(yīng)鏈安全。

美國《國家網(wǎng)絡(luò)安全戰(zhàn)略》

國家戰(zhàn)略細化實施路徑，推動落實具體工作。一是明確政府責(zé)任主體。提出國家安全委員會監(jiān)督、預(yù)算管理辦公室協(xié)調(diào)、國家網(wǎng)絡(luò)總監(jiān)辦公室制定實施計劃。二是開展有效性評估。要求聯(lián)邦政府全面評估戰(zhàn)略的有效性，并每年向總統(tǒng)、國會報告，確保后續(xù)工作的有效性。三是吸取網(wǎng)絡(luò)事件經(jīng)驗教訓(xùn)。將吸取網(wǎng)絡(luò)事件經(jīng)驗教訓(xùn)作為政府優(yōu)先事項，鼓勵相關(guān)機構(gòu)把網(wǎng)絡(luò)安全事故審查流程納入監(jiān)管框架。四是引導(dǎo)網(wǎng)絡(luò)安全投資。發(fā)布年度指南等措施，確保各部門和機構(gòu)預(yù)算提案一致性，提升長期投資的針對性。

國家層面：《國家網(wǎng)絡(luò)安全戰(zhàn)略實施計劃》。2023年7月，美白宮發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略實施計劃》，以提高應(yīng)對重大網(wǎng)絡(luò)攻擊的長期防御能力。一是網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局將協(xié)調(diào)公私合作，以推動安全技術(shù)的開發(fā)與采用。二是國防部發(fā)布新版網(wǎng)絡(luò)戰(zhàn)略，重點關(guān)注惡意行為者所帶來的挑戰(zhàn)，以應(yīng)對潛在的戰(zhàn)略級威脅。三是司法部協(xié)調(diào)情報界實體機構(gòu)，牽頭制定“一系列選項”，以應(yīng)對網(wǎng)絡(luò)犯罪分子和國家對手的破壞活動。四是減輕公民網(wǎng)絡(luò)安全職責(zé)，將負擔(dān)從普通公民轉(zhuǎn)移到更有網(wǎng)絡(luò)安全能力的實體機構(gòu)，同時激勵網(wǎng)絡(luò)安全領(lǐng)域的長期投資。五是國土安全部牽頭更新國家網(wǎng)絡(luò)事件響應(yīng)計劃，要求國土安全部和聯(lián)邦調(diào)查局合作阻止勒索軟件攻擊，并為醫(yī)院和學(xué)校等高風(fēng)險目標提供響應(yīng)預(yù)案。六是廣泛關(guān)注網(wǎng)絡(luò)安全人才問題。

聯(lián)邦機構(gòu)層面：《國防部網(wǎng)絡(luò)戰(zhàn)略》。2023年5月，美國防部向國會提交了機密版《美國防部網(wǎng)絡(luò)戰(zhàn)略》（以下簡稱“國防戰(zhàn)略”）。根據(jù)戰(zhàn)略情況說明書，國防戰(zhàn)略提出了3項網(wǎng)絡(luò)領(lǐng)域指導(dǎo)原則：一是美軍將最大限度地發(fā)揮其網(wǎng)絡(luò)能力，以支持綜合威懾，并與其他國家協(xié)同開展網(wǎng)絡(luò)空間行動；二是美軍將在低武裝沖突情況下，在網(wǎng)絡(luò)空間中和通過網(wǎng)絡(luò)空間開展行動，以加強威懾和挫敗對手；三是美國聯(lián)合全球盟友和合作伙伴，鞏固和加強網(wǎng)絡(luò)領(lǐng)域優(yōu)勢。

此外，國防戰(zhàn)略還強調(diào)了美國政府和國防部長期以來所面臨的網(wǎng)絡(luò)威脅，威脅主要來自競爭國家、極端主義組織和跨國犯罪組織，并提出4項應(yīng)對措施：一是保衛(wèi)國家。美軍將開展利用網(wǎng)絡(luò)能力開展行動以深入了解惡意網(wǎng)絡(luò)行為者，開展“前沿防御”以破壞和削弱上述行為者的能力和支持生態(tài)系統(tǒng)，并與跨部門合作伙伴合作，加強美國關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)彈性，并打擊戰(zhàn)備威脅。二是準備戰(zhàn)斗并贏得戰(zhàn)爭。美軍將確保軍事信息網(wǎng)絡(luò)的網(wǎng)絡(luò)安全以及聯(lián)合部隊的網(wǎng)絡(luò)彈性，并將利用網(wǎng)絡(luò)空間作戰(zhàn)產(chǎn)生非對稱優(yōu)勢，以支持聯(lián)合部隊的計劃和行動。三是與盟友和合作伙伴合作，保護網(wǎng)絡(luò)域。美軍將協(xié)助盟友和合作伙伴建設(shè)其網(wǎng)絡(luò)能力和實力，擴大潛在網(wǎng)絡(luò)合作途徑，繼續(xù)開展“前出狩獵”行動，并將通過鼓勵遵守國際法和國際公認的網(wǎng)絡(luò)空間規(guī)范來加強負責(zé)任的國家行為。四是在網(wǎng)絡(luò)空間建立持久優(yōu)勢。美軍將優(yōu)化網(wǎng)絡(luò)作戰(zhàn)部隊和現(xiàn)役網(wǎng)絡(luò)部隊的組織、訓(xùn)練和裝備，并將投資于網(wǎng)絡(luò)空間作戰(zhàn)的推動因素，包括情報、科學(xué)技術(shù)、網(wǎng)絡(luò)安全和文化。

《紐約州網(wǎng)絡(luò)安全戰(zhàn)略》

州政府層面：《紐約州網(wǎng)絡(luò)安全戰(zhàn)略》。2023年8月，美國紐約州出臺首個州戰(zhàn)略，并任命首位首席網(wǎng)絡(luò)官。州戰(zhàn)略提出三大網(wǎng)絡(luò)安全愿景，一是統(tǒng)籌管理，加強對網(wǎng)絡(luò)信息、工具和服務(wù)的管理，使網(wǎng)絡(luò)防御措施能夠覆蓋所有實體；二是網(wǎng)絡(luò)彈性，通過擴大網(wǎng)絡(luò)安全法規(guī)、要求和建議的范圍，更好地保護紐約州關(guān)鍵設(shè)施的安全；三是充分準備，廣泛提供建議和指導(dǎo)，確保公民網(wǎng)絡(luò)安全。州戰(zhàn)略提出五大戰(zhàn)略支柱，一是構(gòu)建安全、彈性的政府網(wǎng)絡(luò)，確保紐約州政府網(wǎng)絡(luò)按照現(xiàn)代安全原則設(shè)計；二是加強與利益相關(guān)者（如地方政府、私營企業(yè)、合作伙伴、非營利組織等）合作，提供端點檢測和響應(yīng)等網(wǎng)絡(luò)安全服務(wù)；三是規(guī)范關(guān)鍵行業(yè)，確保關(guān)鍵行業(yè)基礎(chǔ)設(shè)施所有者和運營商所提供的服務(wù)達到最低安全標準；四是提倡公民參與網(wǎng)絡(luò)安全工作，強調(diào)個人在網(wǎng)絡(luò)安全中的重要性；五是發(fā)展網(wǎng)絡(luò)安全勞動力，構(gòu)建紐約州網(wǎng)絡(luò)安全人才庫，提高紐約州對網(wǎng)絡(luò)人才的吸引力。

此外，州戰(zhàn)略要求成立一個工業(yè)控制系統(tǒng)網(wǎng)絡(luò)評估團隊，幫助紐約州國土安全部門開展網(wǎng)絡(luò)事件響應(yīng)工作。州戰(zhàn)略要求，通過州衛(wèi)生保健技術(shù)資本撥款計劃，投入5億美元用于改善全州醫(yī)療保健信息技術(shù)和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施；同時，增加紐約州網(wǎng)絡(luò)安全預(yù)算，為擴大縣級和地方政府的共享服務(wù)計劃提供資金。

幾點認識

對華定位發(fā)生根本性轉(zhuǎn)變，視中國為網(wǎng)絡(luò)安全“最大威脅”。美國家戰(zhàn)略用三個“最”形容中國，提出“中國是美政府和私營部門最廣泛、最活躍和最持久的威脅，并且中國是唯一一個既有重塑國際秩序意圖，又越來越多地使用經(jīng)濟、外交、軍事和技術(shù)手段推進該意圖的國家”。而2018版戰(zhàn)略中，美將俄羅斯、中國、伊朗、朝鮮等一并視作構(gòu)成挑戰(zhàn)的“長期競爭對手”，但只強調(diào)中國能夠?qū)γ谰W(wǎng)絡(luò)空間及新興技術(shù)領(lǐng)域造成挑戰(zhàn)。新舊戰(zhàn)略對比，反映出拜登政府在網(wǎng)絡(luò)安全領(lǐng)域?qū)θA定位發(fā)生根本性轉(zhuǎn)變，中國由“競爭對手”正式轉(zhuǎn)變?yōu)椤白畲笸{”。

美軍多措并舉，以確保軍事信息網(wǎng)絡(luò)的網(wǎng)絡(luò)安全以及聯(lián)合部隊的網(wǎng)絡(luò)彈性

拜登政府網(wǎng)絡(luò)政策體系相較以往，提出的相關(guān)措施更加全面、具體

強調(diào)聯(lián)邦機構(gòu)責(zé)任下移，賦予供應(yīng)商更多網(wǎng)絡(luò)安全責(zé)任。美在網(wǎng)絡(luò)空間領(lǐng)域的國家戰(zhàn)略、國防戰(zhàn)略中，多次提到“監(jiān)管”“協(xié)調(diào)”等關(guān)鍵詞，明確聯(lián)邦政府機構(gòu)責(zé)任。一是授權(quán)國防部網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全局保護聯(lián)邦民事行政部門系統(tǒng)，并主導(dǎo)更新網(wǎng)絡(luò)事件響應(yīng)計劃；二是協(xié)調(diào)財政部、司法部、特勤局等參與勒索攻擊調(diào)查，打擊網(wǎng)絡(luò)犯罪；三是協(xié)調(diào)運輸安全管理局、環(huán)境保護局等參與能源、航空、鐵路等關(guān)鍵領(lǐng)域網(wǎng)絡(luò)安全工作。同時，美網(wǎng)絡(luò)安全政策體系重塑了美網(wǎng)絡(luò)社會契約，調(diào)整了網(wǎng)絡(luò)安全責(zé)任主體。政策體系要求，必須重新平衡網(wǎng)絡(luò)安全責(zé)任，將責(zé)任從個人、小企業(yè)和州政府轉(zhuǎn)移，移交給擁有必要資源和專業(yè)知識的大型供應(yīng)商，以更好確保網(wǎng)絡(luò)安全。

重視長期資金引導(dǎo)，鞏固和擴展網(wǎng)絡(luò)技術(shù)優(yōu)勢。美網(wǎng)絡(luò)政策體系圍繞“一個系統(tǒng)、兩個主體、三個領(lǐng)域”，重新構(gòu)建網(wǎng)絡(luò)技術(shù)長期投資機制。一是以構(gòu)建“數(shù)字生態(tài)系統(tǒng)”為一致性目標，加強美網(wǎng)絡(luò)安全彈性和防御性投資；二是以“政府機構(gòu)、私營部門”為協(xié)調(diào)主體，加強公私合作，優(yōu)化網(wǎng)絡(luò)安全投資結(jié)構(gòu)；三是以“計算技術(shù)、生物制造技術(shù)、清潔能源技術(shù)”為重點領(lǐng)域，加大網(wǎng)絡(luò)安全技術(shù)研發(fā)投入，確保美國網(wǎng)絡(luò)技術(shù)領(lǐng)導(dǎo)地位。

保護關(guān)鍵基礎(chǔ)設(shè)施是美國網(wǎng)絡(luò)安全工作重點。美網(wǎng)絡(luò)政策體系將保衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全放在首位，從政策制定、公私合作、能力整合、事件響應(yīng)等方面提出了保護關(guān)鍵基礎(chǔ)設(shè)施的各項舉措。一是完善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全法規(guī)；二是擴大公私合作，推動網(wǎng)絡(luò)防御者同步保護關(guān)鍵基礎(chǔ)設(shè)施；三是整合聯(lián)邦網(wǎng)絡(luò)安全中心，推動政府間協(xié)調(diào)；四是更新網(wǎng)絡(luò)事件響應(yīng)計劃，加強關(guān)鍵基礎(chǔ)設(shè)施安全事件應(yīng)對能力等。拜登政府網(wǎng)絡(luò)政策體系相較以往，提出的相關(guān)措施更加全面、具體，可見聯(lián)邦政府高度重視關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作，亟需重塑美國人民對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的信心。