近期美国网络安全政策动向及对我国的启示

摘要: 近期，特朗普政府在网络安全领域动作频繁，相继发布多份重磅文件，以美国优先、防御前置等为关键词，明确网络威慑的路径和战略对手，大肆渲染网络威慑意图，同时，提出优先保护、风险管理、信息共享相结合的关键信息基础设施保护新理念，通过完善机制、审查评估、政企协作等方式改进和增强供应链安全管理，推动新一代网络安全关键技术和系统平台建设，着力打造领先的网络空间安全防御能力，谋求塑造以美为主的网络空间治理格局。为应对美高压威慑，我宜加快建立完善关键信息基础设施安全风险管理体系，强化供应链安全管理，增强网络威胁预警防御能力，争取网络空间治理竞争的主动权。

一、网络进攻倾向显著，以新理念诠释威慑与防御

特朗普政府在沿承奥巴马时期网络威慑战略基础上，将治网理念“主动防御”更新为“防御前置”，并在法律制度、组织授权、反击机制等方面进行了针对性设计。

（一）密集发布多份国家战略文件，营造威慑氛围。特朗普政府网络安全领域战略政策发布异常频繁。2017年5月特朗普签署《增强联邦政府网络与关键性基础设施网络安全》行政令；12月白宫发布《国家安全战略》；2018年5月国土安全部发布《网络安全战略》；8月特朗普签署《2019财年国防授权法案》（以下简称《NDAA 2019》）；9月白宫发布《国家网络战略》、国防部发布《2018网络战略》。这些层层迭代的“顶层”文件，反复宣誓美网络主张，进攻反制色彩浓厚，震慑力空前。

（二）推行“以实力求和平”，给予网络空间军事行动明确授权。2017年8月，美国将网络司令部升格为一级作战司令部，目前其下属的133支网络任务部队已具备作战能力。《NDAA 2019》给予美国防部发起网络空间军事行动（包括秘密行动）授权，针对俄罗斯、中国、朝鲜、伊朗“活跃的、持续的”网络攻击行动，可采取适当网络行动并配合传统军事活动，破坏、挫败和慑止对手的攻击行为。

（三）提高对网络攻击行为的实施成本和惩罚力度。执行成本增加策略（Cost Imposition Strategies），对网络入侵等攻击行为及危害进行分级界定，通过揭露对美网络攻击或恶意网络活动证据、征收赔偿费用、国家权力工具施压等方式让攻击者承受“反应快速、代价巨大、清晰可见的后果”。

二、建立优先保护、风险管理、信息共享相结合的关键信息基础设施保护新思路

针对关键基础设施保护，特朗普政府按照优先保护、风险管理、信息共享三大理念，出台了一系列新举措。

（一）坚持“优先保护”原则，针对网络安全的“重中之重”采取优先行动。明确优先保护领域。在奥巴马政府颁布的16个关键基础设施领域基础上，特朗普政府进一步聚焦国家安全、通信、能源与电力、银行与金融、卫生与安全、信息技术和交通运输7大关键领域，优先开展风险消除行动，给予优先保障措施。在人员方面，借助“黑客马拉松”项目，将国防部有关部队资源暂时分配给国土安全部，为航空等关键基础设施提供技术支持和保障；在工具方面，国土安全部推出网络安全工具共享计划，与医院、机场等共享网络安全工具；在协同方面，国土安全部将调动资源，联合多方力量共同保护关键基础设施。

（二）践行以风险管理为核心保护思路。一是通过反复强调将“风险管理”上升为网络安全保护的核心理念。《国家网络战略》提出国家基础设施保护遵循风险管理原则与“结果导向”的方法。国土安全部《网络安全战略》将风险识别作为五大战略方向之首，提出要“持续评估网络安全风险，确定优先级，为风险管理活动提供指引”。二是打造网络安全风险登记平台。美国国土安全部成立国家风险管理中心，组织16个关键基础设施保护部门对国家重要数字资产进行登记，并开展风险识别行动，确定风险等级，掌握风险态势。三是持续推动《关键基础设施网络安全框架》（以下简称《框架》）实施和完善。通信、金融、能源等部门制定专项保护计划，促进《框架》落地应用。2014年至今，美国标准化研究院（NIST）结合实践持续更新完善《框架》内容，确保与时俱进。四是注重风险管理措施有效性衡量，构建风险管理闭环。能源、IT等领域依托网络安全成熟度模型（C2M2），建立评价指标体系，衡量有关单位安全政策、实践和防护措施采用情况及成效。

（三）进一步深化网络安全威胁信息共享。一是打造威胁信息共享新枢纽。美国土安全部国家保护和计划局组织成管理国家风险管理中心，整合美基础设施协调中心等的网络安全监测预警能力，以及企业掌握的网络威胁信息，打造网络安全威胁全景视图，借助企业专业技能还原网络威胁全貌。目前，美国政府正与关键基础设施合作伙伴等对接信息共享需求，减少共享障碍。二是在安全建设、风险通报、防御能力等方面提供支持。美国政府将加强公私部门风险管理决策指导，激励网络安全投入并促进投入效率提升；为关键基础设施运营单位和保护团队提供必要的权限、信息和能力。

三、切实改进和增强供应链安全管理

近年来，美国对供应链的完整性及脆弱性表示出了越来越多的担忧，认为供应链安全问题对于美国技术领先以及美国的经济和国家安全的未来至关重要，不断强化供应链安全管理。

（一）推动供应链安全风险管理机制完善及相关立法。一是优化供应链风险管理机制。美政府将推动供应链风险管理与政府采购、网络安全风险管理的流程整合；创建供应链风险评估共享服务，强化供应链安全风险信息共享；在特定情况下排除有风险的供应商、产品和服务，确保信息系统安全可靠；要求在产品交付时内置安全能力，开展产品和系统网络安全和弹性定期测试，促进产品全生命周期网络安全。二是加大外资安全审查力度。2018年8月，美出台《外国投资风险审查现代化法案（FIRRMA）》，扩大投资审查类型，重新界定“关键技术”范围，大幅增加网络安全考量因素，强化美国对关键基础设施与关键技术全球供应链安全的管控。

（二）开展ICT供应商网络安全能力评估。在政府领域，对联邦政府信息系统供应商开展风险管理实践审查，评估其网络安全和数据安全保护能力。在重点行业，制定跨部门的供应链安全解决方案，构建行业驱动的供应链安全认证机制。在国防领域，开展关键系统软件安全性评估，为国防工业供应链中的小型制造商、大学等提供安全协助，举措包括：开发自我评估机制、共享技术和威胁信息等。

（三）加强政企供应链安全交流协作。一是增进供应链安全交流协作。国土安全部、国防部、NIST、总务局（GSA）共同制定了供应链保证计划（SSCA），并建立工作小组。工作小组汇集了供应链安全利益攸关方，通过定期举办论坛、工作组会议等方式促进供应链安全管理实践交流。二是引导信息和通信技术供应商成为网络安全推动者。发挥供应商在发现、预防和消减风险上的重要作用，建立一个适应性强、可持续且安全的技术供应链。

四、加快推动新一代网络安全关键技术和系统平台建设

为保持美国在新信息时代领导地位，美国政府积极推动网络攻防技术、大型武器系统平台、攻防模拟环境等的建设。

（一）着力打造网络攻击归因溯源等关键能力。《NDAA 2019》提出要加快推进归因溯源技术、内部安全威胁识别、用户行为监控、战场空间感知、人工智能分析等关键技术研发应用。此外，美政府也将加大对技术创新奖励和推广力度,支持创新安全技术的发展、采用和演进。

（二）推进大型网络武器系统平台项目研发应用。2018年7月，美国国防部发布4580万美元采购计划，拟开发武器系统“网络航母”，辅助情报侦察、网络攻击等行动执行。8月，国防信息系统局将承接国安局高级威胁检测项目“Sharkseer”，防范基于Web的恶意软件、零日漏洞和高级持续威胁。

（三）推动网络攻防模拟环境建设完善。2018年2月，美陆军司令部委托洛克希德·马丁公司开展针对国家网络靶场的能力提升项目，旨在使国家网络靶场具备测试和验证更先进的网络战技术能力。《NDAA 2019》也提出创建网络安全试点项目，包括关键基础设施网络攻击的建模与仿真试点项目等。

五、对策建议

为应对美网络安全威慑，建议我国从以下五方面入手，切实加强网络安全保障能力：

（一）紧密跟踪美网络安全政策动向，积极防范美渲染“中国网络威胁论”。紧密跟踪美战略落实举措，开展关联研判，把握政策走向和要点，汲取美治网新理念和实践经验，推动纳入我治网体系。高度警惕美借中期选举、中美贸易摩擦契机，炒作“中国网络威胁论”，以舆论攻击攫取政治利益或抬高贸易谈判要价。我宜主动发声，有力回击美不实指控，同时，进一步借助多边平台宣传倡导我网络空间治理主张，争取国际舆论支持。

（二）加快开展重点领域基础设施风险管理实践，打造风险管理闭环。根据《网络安全法》《关键信息基础设施安全保护条例（征求意见稿）》确立的关键信息基础设施重点领域和工作格局，加快推进保护工作落地,建立网络风险管理框架及效果评估体系，明确风险识别、评估、应对、效果检验等关键流程及要求，推进关键信息基础设施安全风险综合防御能力建设。推动财政、监管等部门加强考核、奖惩等引导，促进风险管理措施落地。

（三）建立全周期、可追溯的供应链管理机制，推动实施关键环节检测评估。在我国激发创新活力、深化对外开放的大背景下，如云计算服务、互联网金融等关键领域开放程度越来越高，供应链安全风险日益突出、潜在危害日渐加剧。建议加快建立供应链安全管理机制，构建监测、识别、分析、预警、治理等多层次供应链风险管控能力，系统提升ICT供应链安全可控水平。尽快实施供应链关键环节安全检测，建立供应商可信度跟踪与评估机制，开展供应商网络安全能力检测，有效防范关键产品和服务在研发、生产、交付、运营等各个阶段安全风险。

（四）加快推动网络安全态势感知能力建设，积极应对美网络武器装备威胁。根据国家有关部署，基础电信企业、互联网企业、安全企业等正加紧打造自身网络安全态势感知能力。建议电信、金融、能源等重点行业在现有能力基础上，推进能力聚合，打造网络安全感知平台，建立威胁感知、风险预警、攻击溯源等关键能力。加紧研究网络威慑应对措施，推动形成包括防御、举证、警告、反制等在内的必要手段和能力。

（五）打造国家级网络威胁情报交换枢纽，促进情报高效共享。以工信部网络安全威胁信息共享平台为基础，畅通网络威胁信息共享机制和接口，扩大威胁情报收集服务范围，提升情报分析管理能力，服务国家网络安全保障需求。建立更为紧密的政企合作联络机制，通过政策研讨、实战演习、模拟推演等方式强化实质性交流协作，汇聚多方力量，筑牢安全防线。

（作者：中国信息通信研究院 安全研究所 孟楠 赵爽 樊晓贺 谢玮 魏亮）

声明：本文来自互联网新技术新业务安全评估中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。