2021 年美国网络空间战略概览与分析
摘 要:
2021 年是美国特朗普和拜登两届政府换届更替的一年,虽然美国两党在执政方针上有所不同,但是对我国“长期战略竞争对手”的战略定位没有改变。宏观上,由于网络安全问题与国家安全高度关联,网络安全一直是中美关系的焦点和议题,出台的相关政策文件也都体现“大国之间竞合”。美国在 2021 年累计出台了逾二十份网络空间战略文件。首先,从不同视角简要归纳了美国 2021 年相关战略文件;其次,分析了美国联邦政府在推进关键基础设施网络安全、供应链安全、意识形态安全和关键前沿技术发展方面的行动;最后,归纳了美国国防部及各军种在多域作战、无人和反无人作战等理念方面的发展布局。
内容目录:
1 2021 年美国网络空间战略文件概览
2 拜登政府网络空间领域战略举措和布局重点
2.1 拜登政府网络空间领域战略新举措
2.2 联邦政府重点提升国家对网络威胁的整体防御能力
2.3 美国国防部和各军种重点发展提升部队作战优势的网络现代化能力
3 结 语
2021 年初,拜登政府上台后,在网络空间领域密集出台了多份战略规划文件,其中涉及网络空间安全的高达 26 份,发布机构包括联邦政府、国防部及各军种在内的 11 个机构部门。着眼国家网络空间安全统筹能力提升,拜登政府以顶层战略、机构调整、防御模式等方面为切入点,全面推进美国网络空间能力提升与发展。
1
2021 年美国网络空间战略文件概览
不同于特朗普政府在上台一年内迅速颁布新版《国家安全战略》《国家网络战略》和《国防部网络战略》等文件,拜登政府执政一年来,顶层战略层面仅出台了《国家安全战略临时指南》(以下简称“临时指南”)。
在临时指南牵引下,白宫、国土安全部、各军种出台多份子层战略文件。总体上看,所呈现特点如下文所述。
一是拜登政府的顶层战略文件在网络空间重点领域的布局与上届政府的部署具有延续性。临时指南在网络空间安全的战略地位、公私合作、关键基础设施防护、国际合作以及威慑战略等方面,与上届政府相关战略文件中的描述基本相同(如表 1 所示)。在顶层战略体系上具有延续性,例如,将解决关键基础设施网络安全风险列为重点任务,都将追究恶意网络行为者的责任并通过网络和非网络手段施加大量成本等。
表 1 拜登政府与特朗普政府网络战略延续性分析
二是联邦政府部门与国防部和各军种则各有侧重,前者聚焦关键基础设施保护和新兴技术发展,后者聚焦数字化转型和智能化技术应用。如图 1 所示,在联邦政府部门方面,美国白宫出台《关于加强国家网络安全的行政命令》等4 份战略文件;情报总监办公室(Office of the Director of National Intelligence,ODNI)颁布《美国情报界 2021 年威胁评估》;美国国家安全局与国家情报总监办公室、国土安全部等部门联合出台《5G 基础设施的潜在威胁向量》;国土安全部发布《人工智能与机器学习战略计划》,分别对联邦关键信息系统保护、威胁信息共享、5G 关键基础设施网络安全等问题进行了整体部署,不断提升联邦政府的网络安全防护能力和风险应对能力。在国防部和各军种方面,国防部出台《反小型无人机系统战略》;陆军颁布《陆军数字化转型战略》《陆军统一网络计划》;海军发布《海军智能自主系统科技战略》;空军发布 AFDP-1 条令,美国国防部和各军种加速国防部数字现代化进程,全力提升以网络攻防能力为核心的竞争优势。
图 1 美国 2021 年网络空间领域战略发布机构概览
三是以关键基础设施网络安全防护、人工智能、网络攻防、数字化转型等领域为重点,纳入政府和国防部多个战略文件中进行布局。如图 2 所示,在关键基础设施网络安全防护领域出台了《关于加强国家网络安全的行政命令》(以下简称“行政令”)《改善关键基础设施控制系统网络安全备忘录》等 6 份战略文件,重点围绕选举基础设施安全、电网基础设施网络安全等优先领域进行布局;在人工智能领域出台了《人工智能与机器学习战略计划》《反小型无人机系统战略》等 5 份战略文件,为如何有效应对基于人工智能和机器学习技术的军事应用所带来的机遇和挑战提供了可行建议;在网络攻防领域颁布了《网络空间日光浴委员会第 6 号白皮书:打击美国面临的虚假信息》《国家海上网络空间安全行动计划》等 5 份战略文件,强调增强威胁情报和信息共享,同时聚焦发展多域作战、无人和反无人作战等理念;在数字化转型领域出台了《陆军数字化转型战略》《陆军统一网络计划》等 4 份战略文件,提出通过建立赋能多域战的统一网络,使部队为多域作战做好准备。
图 2 2021 年美国网络空间战略文件技术领域分布
2
拜登政府网络空间领域战略举措和布局重点
继拜登政府在临时指南中表示“网络安全是第一要务,提升网络安全在联邦政府的重要性”之后,在行政令中再次强调“网络安全为联邦事务优先项”,从政策上明晰了网络安全的地位。美国联邦政府聚焦提升国家对网络威胁的整体防御能力,国防部和各军种重点发展提升联合作战部队竞争优势的网络现代化能力,各有侧重,全力推进网络空间能力发展。
2.1 拜登政府网络空间领域战略新举措
一是出台网络空间安全纲领性文件。虽然拜登政府暂未颁布新版国家网络战略,但在上台一年内也陆续签署了多份纲领性文件,包括《关于加强国家网络安全的行政命令》《改善关键基础设施控制系统网络安全备忘录》《关于保护美国人的敏感数据不受外国敌对势力侵害的行政命令》《确保美国供应链安全行政命令》等,明确了联邦政府在关键基础设施防护、数据安全、供应链安全等方面将加大力度,初步打造了以“行政命令”“备忘录”为核心的网络安全系列政策。
二是优化国家网络空间安全机构设置。拜登政府上台后最突出的举措就是对管理国家网络安全事务的重要机构和关键岗位进行了相应调整与改革。首先,设立了负责网络和新兴技术的国家安全顾问,代表总统负责统筹协调联邦政府各机构和部门的网络安全事务;其次,依据《2021 年国防授权法案》设立国家网络总监,担任美国总统在网络安全及相关新兴技术领域的首席顾问,统领国家网络安全战略的制定和网络空间事务的发展;最后,通过“行政令”设立网络安全审查委员会,负责审查和评估影响联邦信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、应对活动和机构响应。
三是加快构建“政府整体”的国家防御模式。强调部门协作、公私合作以及国际协同的网络空间“政府整体”模式,是拜登政府应对网络安全风险的国家防御模式。2021 年 1 月,美国网 络 空 间 日 光 浴 委 员 会(Cyberspace Solarium Commission,CSC)发布《对拜登政府的网络安全建议》,其中对拜登政府上任头 100 天优先事项建议“加强现有政府网络安全工作的一致性、影响力以及与私营部门的合作”;同年 5 月,拜登签署行政令,要求建立网络安全审查委员会,由国土安全部新设立的网络安全与关键基础 设 施 安 全 局(Cybersecurity and Infrastructure Security Agency,CISA)担任总协调的角色,联合国防部、司法部、国家安全局、联邦调查局以及私营部门评估重大网络事件,审查各机构的安全响应计划,全面打通联邦政府部门和私营部门,协同抵御网络空间威胁。
2.2 联邦政府重点提升国家对网络威胁的整体防御能力
一是高度重视关键基础设施网络安全。拜登上台之初,针对关键基础设施的供应链攻击、勒索软件攻击等威胁“轮番上演”,加之在新冠肺炎疫情的催化剂作用下,关键基础设施的网络安全问题很可能成为民众对新上任政府执政能力评估的一个重要“端口”,因此,保护关键基础设施的网络安全成为拜登政府施政网络空间的首要议题拜登政府细化了 5G 安全、工业控制系统安全、电力网安全等重点领域的防护要求。在 5G 安全防护方面,美国国家安全局与国家情报总监办公室、国土安全部等部门联合发布《5G 基础设施的潜在威胁向量》,围绕政策标准、供应链和 5G 系统架构介绍了每个主要的威胁向量的子威胁,可见,美国已启动对 5G 部署的风险评估工作,以防范 5G 基础设施在开发和部署中的国家安全风险。在工业控制系统安全防护方面,白宫发布《改善关键基础设施控制系统网络安全备忘录》,提出建立“工业控制系统网络安全倡议”,制定“关键基础设施网络安全目标基线”等要求,以显著提升关键系统的网络安全。在电力网安全防护方面,美国政府问责署发布了一份“电网网络安全”的研究报告,分析了电网配电系统面临的网络攻击风险以及此类攻击潜在的影响规模,并建议能源部与国土安全部、各州和业界协调,更全面地解决电网配电系统中面临的网络风险。
二是提升国家抵御网络空间新威胁的能力。2020 年,ODNI 发布《国家反情报战略》,重点分析了网络行动、媒体操纵、政治颠覆等网络恶意行为给国家安全带来的巨大影响。为避免“网络干预选举”事件的再次发生,美国高度重视网络空间意识形态斗争问题。在打击数字操纵方面,2021 年 4 月,ODNI 在发布的《美国情报界 2021 年威胁评估》中指出,在网络威胁方面要高度重视数字操控逐渐泛滥,尤其是利用数字工具来监视其公民、控制言论自由、信息操纵等活动。在打击虚假信息方面,CSC 在2020 年 3 月的最终报告中呼吁美国政府建立抵御外国恶意虚假信息的能力;2021 年 12 月,CSC 发布《网络空间日光浴委员会第 6 号白皮书:打击美国面临的虚假信息》,再次强调增强个人及社会对虚假信息和恶意外国影响势力的抵御能力。
三是重点聚焦核心供应链安全。供应链安全问题是美国近两届政府都密切关注的问题,拜登上台后,再次将供应链安全问题列为重中之重,尤其是软硬件供应链安全。缘由在于全球供应链体系的构建对网络安全主动权的掌握具有强相关性,本质上也是为了保持在网络空间安全领域的主导权和控制力。2021 年 2 月,拜登签署《确保美国供应链安全行政命令》,要求对几类核心产品的供应链展开为期 100 天的 风 险 审 查。同 年 4 月,CISA 和 国 家 标 准 与技 术 研 究 院(National Institute of Standards and Technology,NIST)联合发布《防御软件供应链攻击》报告,对软件供应链进行界定,并提出与软件供应链攻击相关的信息、关联风险以及缓解措施。同年 5 月,拜登签署的行政令尤其关注软件供应链安全和威胁信息共享,明确优先解决“关键软件”(即与执行信任授权等功能相关的软件)供应链安全问题;同时,要消除共享威胁信息的障碍,让公私部门迅速共享威胁情报、数据和漏洞信息等,以实现更有效的网络安全风险防御能力。四是大力推进人工智能、零信任安全、量子计算等新兴技术发展。2021 年 5 月,拜登签署的行政令中提出要加强联邦政府网络安全现代化的相关措施。同月,拜登政府公开 2022 年预算概要文件,其将网络空间事项部署在“创新和现代化”板块,重申网络空间能力建设应紧密围绕前沿技术的创新。在人工智能技术方面,2019 年,美国出台了 3 份人工智能重磅文件,全力支持和资助人工智能领域的技术创新与军事应用,2021 年,国土安全部发布《人工智能与机器学习(AI/ML)战略计划》白皮书,从先进可靠的人工智能、不断更新的人机合作以及利用 AI/ML 技术的安全网络基础设施 3 个方面,具化了推动下一代 AI/ML 技术发展的目标。在零信任安全方面,2021 年,国家安全局发布《拥抱零信任安全模型》指南,建议将零信任安全架构部署到美国国防部和与其关联组织的所有关键网络与系统中,以更高效地保护其网络和数据的安全;同时,行政令重点提出以零信任架构为基础的云计算环境作为网络安全现代化的核心,将零信任架构应用到联邦民事网络系统与基础设施中。总体来看,联邦政府首次投入大量资源发展零信任架构,并且增加了对增强网络防御能力项目的经费投入。
2.3 美国国防部和各军种重点发展提升部队作战优势的网络现代化能力
一是美国国防部发布“反无人机战略”,旨在通过创新和协作增强分层防御能力。美军认为小型无人机呈指数级增长,未来可能会导致其在全球各地遭遇先进小型无人机系统的战术攻击。2021 年 1 月,美国国防部发布《反小型无人机系统战略》,提出采用基于风险的方法开发装备型和非装备型解决方案,最大限度地提高反小型无人机能力,并通过创新和协作的方式增强联合部队能力,增加分层防御能力,以保护国防部人员、资产和设施的安全。
二是海军发布“无人作战框架”,加速交付可信可靠的无人系统。2021 年 3 月,海军部发布《无人作战框架》,该框架是无人系统领域的首个顶层发展大纲,提出了海军和海军陆战队的发展愿景,使无人系统成为海军结构中可信和可持续的一部分,快速集成以提供杀伤力、可生存和可扩展的作战效果,支持未来的海上任务。可见,伴随人工智能技术的飞速发展,美海军在面向海上与联合作战中,可以全面发展有人 / 无人编组协同作战能力;同时,要加快构建数字基础设施,实现快速和规模化集成无人系统,为部队持续打造和拓展无人系统能力。
三是陆军发布“数字化转型战略”,加快建立一支数字使能、数据驱动型陆军部队。2019年 7 月,美国国防部发布《数字现代化战略》,阐述了国防部向更加安全、高效的国防部数字化环境转型的目标和实现途径。2021 年 10 月,为进一步指导陆军的数字化转型工作,使之更好地适应数字化战争和多域作战,美陆军发布《陆军数字化转型战略》和《陆军统一网络计划》。一方面,从顶层设计上全力推进军队现代化和战备、优化和调整数字化投资结构、人才和伙伴关系等 3 个目标;另一方面,从部队建设上统一作战环境、统一服务基础设施、统一传输层、统一网络作战和统一网络防御能力,确保陆军为多域作战做好准备。
3
结 语
从系列战略中可以看出,自 2021 年 1 月拜登政府上任以来,自上而下体系性地调整了网络空间安全领域的发展,既有延续上一任政府的战略举措,也有其重点统筹发展的新举措。纵观拜登政府 2021 年全年的网络安全战略政策,在宏观层面,尤其注重“政府整体”模式的国家防御能力的提升,深化联邦政府部门之间及与私企和国际伙伴之间的合作以强化网络防御;在微观层面,尤其注重网络安全实践的操作准则和实施细节,多份颇具细粒度的细则文件从执行层面响应并细化了美国网络空间顶层战略文件。值得一提的是,根据 2019 年《国防授权法案》,美国网络空间日光浴委员会第一届任期在 2021 年 12 月底到期,这个为期两年多的组织积极促成了多项网络空间重大成果,如设立国家网络总监、扩大 CISA 的权限等。虽日光浴委员会首届到期,但日光浴委员会 2.0 计划(CSC 2.0)将在 2022 年启动,这也是以非营利性组织推动国家网络空间能力发展的新起点,我们将持续关注。
引用本文:罗仙 , 张玲 , 胡春卉 .2021 年美国网络空间战略概览与分析 [J]. 信息安全与通信保密 ,2022(3):80-87.
罗 仙,女,硕士,工程师,主要研究方向为网络安全战略研究;
张 玲,女,硕士,高级工程师,主要研究方向为网络安全战略研究;
胡春卉,女,硕士,高级工程师,主要研究方向为网络安全战略研究。
选自《信息安全与通信保密》2022年第3期(为便于排版,已省去参考文献)