解读:美国国家网络安全战略的根本变化
本文4198字 阅读约需 14分钟
编者按
美国政府3月2日发布新版《美国国家网络安全战略》,详细阐述了拜登政府网络安全政策将采取的全方位措施。其中,围绕建立“可防御、有韧性的数字生态系统”的内容,具体涉及5大支柱共27项举措。
新战略意味着美国政府应对网络安全方式的重大转变:从对信息共享和协作的重视转向更严格的监管。
新战略战略要求关键基础设施所有者和运营商达到最低安全标准,并将维护计算机系统安全的责任从消费者和小企业转移到大型软件制造商身上,推动软件商遵循安全从设计开始的原则。此外,新战略还要求动用美国国家力量在网络攻击发生之前加以阻止,这表明拜登政府打算继续执行美国网络司令部的“防御前置”战略,即采取进攻行动来追捕独立和国家黑客。
新战略还将软件勒索攻击视为国家安全问题而不是犯罪活动,认为“勒索软件是对美国国家安全、公共安全以及经济繁荣的严重威胁。”
新战略围绕五大支柱展开:一是保护关键基础设施,重点包括强制实施最低网络安全要求、扩大公私合作、更新联邦事件响应计划和政策等。二是打击和摧毁威胁行为者,重点包括战略性使用所有国家力量工具、让私营部门参与到相关打击机制中、提高威胁情报共享速度、打击网络犯罪和勒索软件。三是塑造市场力量以推动安全和韧性,重点包括促进隐私和个人数据的安全、促进安全开发实践、通过联邦拨款促进安全且有韧性的新基础设施。四是加强对未来韧性的投资,重点包括减少互联网基础和整个数字生态系统中的系统性技术漏洞、优先考虑下一代技术的网络安全研发、培养多元化和强大的国家网络劳动力。五是发展网络空间国际伙伴关系,促进网络空间负责任的国家行为,重点包括共同应对对数字生态系统的威胁、提高合作伙伴抵御网络威胁的能力、打造安全可靠和值得信赖的全球供应链。
美国白宫3月2日发布情况说明书称,美国政府当日发布新版国家网络安全战略,以确保所有美国民众都能从安全可靠的数字生态系统中获益。该文件为未来几年的新法律法规提供了路线图,旨在帮助美国准备和应对新出现的网络威胁。
两大根本变化
美国代理国家网络总监肯巴·瓦尔登(Kemba Walden)认为,新国家网络安全战略为网络空间和更广泛的数字生态系统未来提出了大胆的新愿景,“从根本上重新构想了美国的网络社会契约。”将把管理网络风险的责任重新分配给最有能力承担的人。”
肯巴·瓦尔登强度:数字生态系统中最大、最有能力和最有利地位的参与者可以而且应该承担更大的责任来管理网络风险并确保我们所有人的安全。
美国国务院在国家网络安全战略的发布稿件中指出,美国国家网络安全战略要求进行两个根本性转变:重新平衡保卫网络空间的责任和重新调整激励措施以支持长期投资。
为实现“经济安全和繁荣、尊重人权和基本自由、相信民主和民主制度、公平和多元化的社会的愿景,美国必须从根本上改变在网络空间分配角色、责任和资源的方式。
必须重新平衡保卫网络空间的责任,将网络安全的负担从个人、小企业和地方政府转移到最有能力、最适合为所有民众降低风险的组织身上。
必须在抵御当今的紧迫威胁与同时为有韧性的未来进行战略规划和投资间取得谨慎平衡,从而重新调整激励措施以支持长期投资。
白宫表示,网络空间是一种以反映美国价值观的方式实现自身目标的工具,必须从根本上改变在网络空间分配角色、责任和资源的方式;世界需要一种更有意识、更协调、资源更充足的网络防御方法,美国将与盟友和合作伙伴共同打造“可防御”“韧性”“符合价值观的”数字生态系统。
美国总统拜登在文件所附的一份声明中表示,美国必须“重新平衡网络安全责任,使其更加有效和公平。”拜登称,“我们将重新调整激励措施,以支持对安全、韧性和有前途的新技术的长期投资。我们将与我们的盟友和伙伴合作,加强负责任的国家行为规范,追究各国对网络空间不负责任行为的责任,并破坏全球危险网络攻击背后的犯罪网络。我们将与国会合作,提供必要的资源和工具,以确保在我们最关键的基础设施中实施有效的网络安全实践。”
数字生态愿景
白宫在发布中强调,快速发展的世界需要一种更有意识、更协调、资源更充足的网络防御方法。美国面临着复杂的威胁环境,国家和非国家行为者开展和执行新的活动来威胁美国利益。与此同时,下一代技术正在加速走向成熟,在为创新开辟新途径的同时增强了数字化相互依赖性。
新国家网络安全战略试图通过对网络基础设施的“代际投资”、增加数字外交和私营部门伙伴关系、对关键行业加强监管以及让软件公司承担责任,来建立“更具防御性和韧性的数字生态系统”。
新战略的实施将旨在保护美国在重建基础设施、发展清洁能源领域以及重新支持技术和制造基地方面的投资。美国将与盟友和合作伙伴一道,打造数字生态系统:
● 可防御 网络防御更容易、更经济、更有效;
● 网络韧性 网络事件和过失并不会造成广泛或持久影响;
● 价值观一致 美国最珍视的价值观所塑造的数字世界,进一步强化这种价值观。
美国政府已经采取措施保护网络空间和数字生态系统,包括国家安全战略、第14028号行政命令(改善国家网络安全)、第5号国家安全备忘录(改善关键基础设施控制系统的网络安全)、M-22-09(使美国政府转向零信任网络安全原则)和第10号国家安全备忘录(促进美国在量子计算方面的领导地位,同时降低易受攻击的密码系统的风险)。在这些努力的基础上,新战略认识到网络空间的存在并不是为了其自身目的,而是作为一种工具来实现美国的最高愿望。
五大支柱
新战略包括五个支柱:保卫关键基础设施、破坏威胁行为者、促进技术开发阶段的数据隐私、增加联邦对网络研发的投资,以及促进更多的国际伙伴关系以促进全球网络防御。
其中,最大的重点是保护关键基础设施系统。这些系统一直是攻击者的主要目标。
新战略旨在围绕五大支柱建立和加强合作:
支柱一:保护关键基础设施——使美国民众对关键基础设施的可用性和韧性及其提供的基本服务充满信心,包括:
● 在关键领域扩大使用最低网络安全要求,以确保国家安全和公共安全,并协调法规以减轻合规负担;
● 以保护关键基础设施和基本服务所需的速度和规模实现公私合作;
● 保护联邦网络和推动现代化,并更新联邦应急响应政策。
支柱二:破坏和瓦解威胁行为者——使用国家权力的所有工具使恶意网络行为者无法威胁美国的国家安全或公共安全,包括:
● 战略性地使用国家力量的所有工具来破坏对手;
● 通过可扩展的机制让私营部门参与破坏活动;
● 通过全面的联邦方法并与国际合作伙伴保持同步来应对勒索软件威胁。
战略提出,美国防部“前沿防御”战略方法帮助获取有关威胁行为者的见解、识别和曝光恶意软件并在恶意活动影响目标前予以破坏。吸取经验教训并了解快速演变的威胁环境,美国防部将制订与《美国国家安全战略》、《美国国防战略》及《美国国家网络安全战略》相协调的网络战略。美国防部的新战略将澄清美国网络司令部和其他国防部组成机构将如何将网络空间行动整合到防范能够对美国利益构成战略级威胁的国家和非国家行为者,同时继续加强其与平民、执法和情报合作伙伴的行动整合和协调,以大规模破坏敌对行动。
支柱三:塑造市场力量以推动安全和韧性——美国将通过塑造市场力量让数字生态系统中最有能力降低风险的人承担责任,使数字生态系统更值得信赖,包括:
● 让数据管理者负起责任,促进隐私和个人数据的安全;
● 让提供不安全软件产品和服务的实体承担责任;
● 利用联邦拨款和其他激励措施加强安全投入。
支柱四:投资于韧性的未来——通过战略投资和协调、协作行动,继续在安全和有韧性的下一代技术和基础设施的创新方面引领世界,包括:
● 减少互联网基础和整个数字生态系统中的系统性技术漏洞,同时使其更能抵御跨国数字压制;
● 为后量子时代的未来做好准备,鼓励并支持投资强大的、可验证的数字身份解决方案优和清洁能源基础设施等下一代技术的网络安全研发;
● 培养多元化和强大的国家网络劳动力。
支柱五:建立国际伙伴关系以追求共同目标——建立广泛联盟,维护开放、自由、全球、可互操作、可靠和安全的互联网,包括:
● 利用志同道合的国家间的国际联盟和伙伴关系,建立有效的检测和响应能力,共享网络威胁信息应对数字生态系统的威胁;
● 加强国际合作伙伴的能力,提高合作伙伴在和平时期和危机中抵御网络威胁的能力;
● 与美国盟友和合作伙伴合作,为信息、通信和运营技术产品和服务提供安全的全球供应链。
更激进的策略
新国家网络安全战略重申了拜登政府在网络安全方面的多项主张,包括实施阻吓、增加投资和改进隐私。
为了应对勒索软件的危害,美国政府试图从源头上瓦解网络犯罪组织,包括在外国计算机基础设施上开展行动。新国家网络安全战略要求加强这方面的努力。
新战略指出:“瓦解对手的活动必须持续和有针对性,以使犯罪网络活动变得无利可图,从事恶意网络活动的外国政府组织不再将其视为实现其目标的有效手段。”
在特朗普政府期间,美军网络司令部在对外国计算机系统开展行动方面获得了更自由的控制权,拜登政府在很大程度上保持了这种激进的做法。新战略文件明确表示这些努力将继续下去。
根据新战略,勒索软件威胁将被视为国家安全问题而不是犯罪活动来处理,这为联邦政府(包括执法部门和军事当局)采取更激进的措施打下基础,以破坏恶意网络活动并追捕肇事者。一位美国高级政府官员说:“我们处于更加前沿的位置,以确保可以保护美国人民免受这些威胁。”他补充说,政府将在必要时采取外交和情报行动,以及金融制裁。
新战略还要求更好地整合信息共享工作,呼吁更新联邦政府的网络攻击应对计划,并对防御措施进行现代化改造。其中包括必须提高情报共享的速度,加强公私合作。
新战略能否让美国更安全?
国家网络战略是新的国家网络总监办公室发布的最新监管文件,建立在乔·拜登总统之前的行政命令之上。
网络安全战略中有 30 页内容涉及针对关键基础设施的防护。其中的重大变化是保护这些重要部门成为强制性。
此前,关键基础设施主要依靠自愿准则来制定其网络安全防护标准。新战略呼吁基础设施所有者和运营商基于现有框架制定“最低安全标准”。但专家指出,新战略的安全红利完全取决于实施,其中存在诸多不确定性。
国家网络总监办公室将在国家安全委员会的监督下协调国家网络安全战略的实施,并与跨部门合作伙伴合作制定和发布实施计划。
但美国将在没有国家网络总监的情况下实施该战略。领导国家网络总监办公室的克里斯托弗·英格利斯已于 2 月中旬卸任。他的副手肯巴·瓦尔登 (Kemba Walden) 目前代理国家网络总监,直到任命获得参议院批准。
END