热点！美国2023年版《国家网络安全战略》概述

文 | 中国信息安全测评中心 桂畅旎

(相关资料图)

2023年3月2日，美国正式发布发新版《国家网络安全战略》（以下简称“战略”）详细阐述了拜登政府网络安全政策将采取的全方位措施。其中，围绕建立“可防御、有韧性的数字生态系统”的内容，具体涉及5大支柱共27项举措。

支柱一：保护关键基础设施

美国致力于建立持久有效的协同防御模式，公平分配风险和责任，为数字生态系统提供基本的安全和韧性，具体包括五项举措。

1.要求建立网络安全要求，支持国家安全和公共安全

包括建立网络安全法规，确保关键基础设施的安全；协调和精简新的和现有的法规；使受监管实体能够提供安全保障。

2.扩大公私合作

创建一个基于信任的“网络中的网络”，建立态势感知，并推动网络防御者采取集体同步行动，保护关键基础设施。特别是要加强网络安全与基础设施局（CISA）与行业风险管理机构（SRMAs）协调，使联邦政府能够扩大与美国各地关键基础设施所有者和运营商的协调。

3.整合联邦网络安全中心

联邦网络安全中心作为协作节点，将国土防御、执法、情报、外交、经济和军事任务的政府能力融合在一起，推动政府间的协调，并使联邦政府能够有效和果断地支持非联邦伙伴。目前，本届政府已朝这一目标取得进展，在CISA建立了联合网络防御协作（JCDC），整合整个联邦政府、私营部门和国际合作伙伴的网络防御规划和行动；加强国家网络调查联合任务小组（NCIJTF）协调执法和其他干扰行动的能力；重振网络威胁情报整合中心（CTIIC）在协调情报收集、分析和伙伴关系方面的作用。

4.更新联邦事件响应计划和过程

联邦政府必须就私营部门合作伙伴在网络事件期间如何向联邦机构寻求支持以及联邦政府可能提供何种形式的支持提供明确指导。CISA将牵头国家网络事件响应计划（NCIRP），加强流程、程序和系统，以更充分地实现“求助于一人就是求助于所有人”的政策。

5.实现联邦防御现代化

美国管理和预算办公室（OMB）将与CISA合作制定一项行动计划，通过集体作战防御、扩大集中式共享服务的可用性和软件供应链风险缓解来确保联邦系统的安全，更换或更新无法抵御复杂网络威胁的IT和OT系统。

支柱二：破坏和摧毁威胁行为者

美国将动用包括外交、信息、军事、金融、情报和执法能力在内的一切国家力量，瓦解威胁美国利益的威胁行为者，具体包括五项举措。

1.整合联邦政府的打击活动

打击活动必须具有持续性和针对性，使网络犯罪活动无利可图，让从事恶意网络活动的外国政府行为者不再将其视为实现其目标的有效手段。必须整合美国司法部、国防部、情报部门现有的打击活动，进一步开发技术和组织平台，以实现持续、协调的行动。美国国家网络调查联合任务部队（NCIJTF）作为协调整个政府破坏行动的多机构协调中心，将以更快的速度、规模和频率协调这些行动。

2.加强公私作战合作，扰乱对手

鼓励私营部门合作伙伴通过一个或多个非营利组织（如国家网络取证和培训联盟）团结起来，协调努力。针对特定威胁的协作，应该采取灵活的临时单元的形式，由少量可信的操作员组成，由相关枢纽托管和支持。利用虚拟协作平台，小组成员可以双向共享信息，并迅速开展工作以破坏对手。

3.提高情报共享和通报的速度、规模

联邦政府将加快和扩大网络威胁情报共享的速度和规模，以便在政府掌握某个组织正在成为积极攻击目标或可能已经被入侵的信息时，主动警告网络防御者并通知受害者。

4.防止滥用美国网络基础设施

联邦政府将与云和其他互联网基础设施提供商合作，快速识别对美国基础设施的恶意使用，与政府共享恶意使用的报告，使受害者更容易报告这些系统的滥用，并使恶意行为者从一开始就难以获得这些资源。

5.打击网络犯罪和勒索软件

鉴于勒索软件对关键基础设施服务的影响，美国将利用国家力量采取四方面举措：利用国际合作，破坏勒索软件生态系统，孤立那些为犯罪分子提供安全避风港的国家；调查勒索软件犯罪，并利用执法部门和其他部门破坏勒索软件基础设施和行为者；增强关键基础设施抵御勒索软件攻击的能力；解决滥用虚拟货币洗钱的问题。

支柱三：塑造市场力量以推动安全和韧性

美国将通过塑造市场力量让数字生态系统中最有能力降低风险的人承担责任，具体包括六项举措。

1.让数据管理者负起责任

政府支持立法努力，对收集、使用、转移和维护个人数据的能力施加强有力的、明确的限制，并为地理位置和健康信息等敏感数据提供强有力的保护。

2.推动安全物联网设备的发展

政府将继续根据《2020年物联网网络安全改进法案》的指导，通过联邦研发（R&D）、采购和风险管理工作改善物联网网络安全。此外，政府将继续推进物联网安全标签项目的发展，根据EO14028“改善国家网络安全”的指导。通过扩大物联网安全标签，消费者将能够比较不同物联网产品提供的网络安全保护，从而在整个物联网生态系统创造更高安全性的市场激励。

3.让提供不安全软件产品和服务的实体承担责任

政府将与国会和私营部门合作，制定法律，规定软件产品和服务的责任。任何此类立法都应防止具有市场影响力的制造商和软件出版商通过合同完全免除责任，并为特定高风险场景下的软件建立更高的护理标准。为了开始制定安全软件开发的照顾标准，政府将推动开发一个适应性强的安全港框架，保护安全开发和维护其软件产品和服务的责任公司。这个“安全港”将借鉴当前安全软件开发的最佳实践，例如NIST安全软件开发框架，且必须随着时间的推移而发展，为安全软件开发、软件透明性和漏洞发现整合新的工具。

4.利用联邦拨款和其他激励措施加强安全投入

政府将与SLTT实体、私营部门和其他合作伙伴合作，通过技术援助和其他形式的支持平衡申请人的网络安全需求。推动对设计上具有安全性和韧性的关键产品和服务的投资，并在关键基础设施的整个生命周期维持和激励安全性和韧性。联邦政府还将优先为旨在加强关键基础设施网络安全和韧性的网络安全研究、开发和演示（RD&D）项目提供资金。

5.利用联邦采购来提高问责制

第14028条行政令“改善国家网络安全”要求加强和标准化联邦机构的网络安全合同要求。通过采购继续试点设置、执行和测试网络安全要求的新概念，产生新颖且可扩展的方法。

6.制定灾难性事件应急处理预案，探索网络安全保险支持

在灾难性事件发生之前构建应对机制，而不是在事件发生后匆忙制定一揽子援助计划，可以为市场提供确定性，并使国家更具韧性。政府将评估联邦保险应对灾难性网络事件的需求和可能的结构，支持现有的网络保险市场。

支柱四：投资于韧性未来

美国将通过战略投资和协调合作的行动，建立一个更安全、更有韧性、更保护隐私、更公平的数字生态系统，具体包括六项举措。

1.保护互联网的技术基础

维护和扩展开放、自由、全球、互操作、可靠和安全的互联网，政府将持续参与标准制定过程，灌输美国的价值观，并确保技术标准产生更安全、更有韧性的技术。

2.重振联邦网络安全研发

联邦政府将确定研究、开发和演示社区，确定优先级并促进其积极预防和减轻现有和下一代技术的网络安全风险。各部门和机构将指导研发项目，推进人工智能、运营技术和工业控制系统、云基础设施、电信、加密、系统透明度和关键基础设施使用的数据分析等领域的网络安全和韧性。

3.为后量子时代的未来做好准备

联邦政府将优先考虑脆弱的公共网络和系统向基于量子抗密码学的环境过渡，并制定互补的缓解策略，在面对未知的未来风险时提供加密的灵活性。私营部门应该效仿政府的模式，为后量子时代的未来准备自己的网络和系统。

4.保障清洁能源的未来

政府正在加速向清洁能源的未来过渡，新一代互联的硬件和软件系统正在投入使用，这些系统有可能加强美国电网的韧性、安全性和效率。这些技术包括分布式能源、“智能”能源生产和存储设备、先进的基于云的电网管理平台，以及为高容量可控负荷设计的输配电网络，比前几代电网系统更加复杂、自动化和数字化互联。

5.支持发展数字身份生态系统

联邦政府将鼓励并支持投资强大的、可验证的数字身份解决方案，促进安全性、可访问性和互操作性、金融和社会包容、消费者隐私和经济增长。

6.制定国家战略，加强网络安全人才储备

采取全面和协调的方法，扩大国家网络安全人才储备，提高其多样性，并增加获得网络教育和培训途径的机会。

支柱五：建立国际伙伴关系以追求共同目标

美国将致力于建立一个由各国组成的广泛联盟，维护一个所谓的开放、自由、全球、可互操作、可靠和安全的互联网，具体包括五项举措。

1.建立联盟来对抗对数字生态系统的威胁

美国将召集志同道合的国家、国际商界和其他利益攸关方，推进对互联网未来的愿景，促进安全和可信的数据流动，尊重隐私，促进人权，并推动在更广泛的挑战方面取得进展。

2.加强国际合作伙伴的能力

能够帮助盟友和伙伴确保关键基础设施网络的安全，建立有效的事件检测和响应能力，共享网络威胁信息，寻求外交合作，通过行动合作建立执法能力和有效性，并通过遵守国际法和加强负责任的国家行为准则支持在网络空间的共同利益。

3.扩大美国协助盟友和合作伙伴的能力

推动美国与遭受重大网络攻击的盟国和合作伙伴合作，帮助其调查、应对和从此类事件中恢复过来。

4.建立联盟，以加强负责任的国家行为的全球规范

与盟友和伙伴合作，发表协调一致的声明，对违反规定的政府进行外交谴责，并加强致力于稳定网络空间的联盟。

5.为信息、通信和运营技术产品和服务提供安全的全球供应链

美国将与盟友和伙伴合作，包括通过IPEF、四方关键和新兴技术工作组以及TTC等区域伙伴关系，确定并实施跨境供应链风险管理的最佳做法，并努力将供应链转移到伙伴国家和值得信赖的供应商。

标签： 网络安全 基础设施 生态系统