序
数字技术当下几乎触及到美国人生活的方方面面,互联网的开放和连接则为全球各地带来了颠覆性的变化,对此美国人民在新冠肺炎疫情期间应深有体会。正因如此,本届政府才会根据《两党基础设施法》投资650亿美元,以确保所有美国人都能接入可靠的高速互联网。当美国人民拿起智能手机与所爱之人保持联系时,或登录社交媒体与他人分享想法时,又或通过互联网来经营一家企业或满足任何基本需求时,政府有责任让他们相信支撑这一切的数字生态体系是安全、可靠且有保障的。本战略将详细说明本届政府采取了哪些措施政来更好地保护网络空间,以及如何尽最大努力来确保美国获得“数字未来”愿景中的所有好处和潜力。
网络安全对美国经济的基本功能、关键基础设施的运作、美国民主体制和机构的力量、数据与通信的隐私性以及国防都至关重要。在上台之初,本届政府就已果断采取行动加强网络安全:拜登总统在白宫任命了高级别的网络安全官员,并发布了《改善国家网络安全的行政命令》。此外通过与私营部门的密切合作,本届政府已采取措施来保护美国人民免遭黑客威胁,对恶意行为体和网络罪犯进行追责,以及抵挡日益严峻、“旨在破坏美国的安全和隐私”的恶意网络活动。本届政府还与世界各地的盟友和合作伙伴展开合作,以增强各方的能力,共同防御和应对来自专制国家并有损各方国家利益的网络威胁。
在本战略看来,强有力的合作(特别是公共部门与私营部门之间的合作)对确保网络空间的安全至关重要。不过美国的网络安全还面临着一项系统性挑战,即个人用户和小型组织承担了过多的网络安全责任。通过与工业界、民间社团以及州级、地方、部落和属地政府的合作,我们将更加有效、公平且平衡地划分网络安全责任。本届政府将重新调整激励措施,以推动各方长期投资那些安全、富有弹性且前景良好的新技术。本届政府也将与盟国和合作伙伴合作,以推行关于负责任国家行为的规范,对在网络空间内作出不负责任行为的国家进行追责,并瓦解在全球范围内实施危险网络攻击的犯罪网络。本届政府还与国会共同提供必要的资源和工具,以确保对美国最关键基础设施采取行之有效的网络安全措施。
正如拜登总统常说的那样,包括数字世界在内,整个世界正处于拐点,而如今美国所采取的措施和作出的选择,将决定世界未来数十年的走向。在制定和执行网络空间规则和行为规范方面,这句话更是显得尤为正确。美国必须以尊重人权和基本自由的普世价值为抓手,始终确保互联网的开放、自由、可靠、安全、全球化和互操作性。
数字联通应当是一种提升和增强所有人力量的工具,而不是用于镇压和胁迫的工具。美国将按照本战略的指导,凭借自身的实力地位迎接这一挑战。美国还将与最亲密的盟友们同策同力,与世界各地的合作伙伴密切合作,以共同开创一个更加光明的数字未来。
目 录
引言
支柱一:保卫关键基础设施
支柱二:打击和摧毁威胁行为体
支柱三:塑造市场力量以推动安全和弹性
支柱四:以投资打造富有弹性的未来
支柱五:建立国际伙伴关系以实现共同目标
实施要点
一、引 言
互联网已改变世界。在一代人的时间里,它就彻底改变了各国人民创新、交流和分享信息的方式,并将人类的繁荣、平等和互联互通推向了前所未有的高度。以互联网为骨干,美国已建立起一套发达的数字生态体系,从而将各种系统和技术与美国的经济、社会和人民结合到一起。
数字生态体系会体现出其构建者和用户的价值观。毕竟除了促进民主、言论自由、创新和平等外,数字技术也被用于实施跨国镇压,建立数字威权主义,窃取数据和知识产权,散布虚假信息,破坏关键基础设施,催生网络骚扰、剥削和虐待,助长犯罪和暴力极端主义,以及威胁和平与稳定。人与技术之间的联系越发紧密,这种变化既激发了人性中最好的一面,也激发了最坏的一面。
未来十年将是决定性的十年。在这十年内,美国将以价值观为推动力,发展出一套更具雄心壮志的数字生态体系。美国正在建设以分布式可再生电力为动力、以各种智能系统实现平衡的智慧电网,希望能以此开创拥有充沛能源且富有弹性的光明未来。美国已提出了一种仍在完善中的物联网构想,这种物联网将涵盖从消费品到数字化工业控制装置、再到卫星星座的一切,从而一方面提高效率和安全性,另一方面颠覆人们关于美国环境和经济的旧有观念。美国正在利用海量的数据和强大的计算能力为实时的全球合作打下基础,而这将促成各种科学发现以及其它超乎想象的公共产品。
至于能否实现这一繁荣且互联互通的愿景,则将取决于各种基础技术与系统的网络安全和弹性水平。美国已吸取了惨痛的教训,并在共同保卫数字生态体系方面取得了重大进展。美国的网络卫士们每天都在阻止由外国支持的网络攻击,并在世界各地阻止各种犯罪阴谋,但是从结构上看,驱使美国数字生态体系的基本动力却在阻碍他们的工作:该生态体系的一些组成部分仍然容易被破坏和利用,甚至被恶意行为体掌控的组件所取代。
美国必须从根本上改变驱使数字生态体系的基本动力,以便让网络卫士们能够占据优势,并始终挫败数字生态体系面临的种种威胁。美国的目标是建立一种可防御且富有弹性的数字生态体系,这种新体系能让攻击方付出比防御方更高的代价,能充分保护敏感信息和私人信息,且不会因某些事件和错误就引发危及整套系统的灾难性后果。此外正如《互联网未来宣言》(DFI)和“自由在线联盟”所倡导的那样,在建设这一生态体系的同时,美国能够也必须抓住机会,将其最珍视的价值观融入其中。
本战略将力促美国与其盟友和合作伙伴共同建设这一新的数字生态体系,使其既先天就更容易形成防御能力和网络弹性,又契合美国的价值观。美国将在十年后取得这些成果,从此意气风发地阔步迈向造福万众的数字化未来。
(一)战略环境
在拜登总统提出关于数字化未来的良好愿景后,美国已在这方面取得了重大进展,同时一些新兴趋势也为相关发展带来了新的机遇和挑战。举例来说,各类恶意行为体就在阻止美国建设包容、公平、能促进繁荣且符合美国民主价值观的数字生态体系。
1.新兴趋势
世界正在进入一个对数字化愈发依赖的新阶段,各种新兴技术以及更加复杂且彼此依存的种种系统将为未来十年带来巨大变化。这一方面将为人类的繁荣昌盛提供新的机遇,另一方面也将成倍增加不安全系统所造成的系统性风险。
如今各种软件和系统正变得越来越复杂,它们为公司和消费者创造价值的同时,也增加了美国社会的不安全感。美国人常常以牺牲安全性和弹性为代价,将新的功能和技术叠加到已经相当复杂而脆弱的系统上。而随着人工智能系统(这些系统的行为方式甚至可能超出其开发者的预料)的广泛应用,美国许多最重要的技术系统都将面临更加复杂和危险的局面。
互联网继续通过各种共享平台将个人、企业、社区和国家连接起来,从而使各种商业解决方案得以扩展,国际交流规模得以扩大。不过越来越快的全球互联也同样带来了风险,原本针对某一组织、行业或国家的攻击可能会迅速蔓延到其它行业和地区。举例来说,俄罗斯于2017年利用恶意软件NotPetya对乌克兰发动网络攻击,结果波及欧洲、亚洲和美洲,造成了数十亿美元的损失。随着相互依存程度的加深,这种攻击所造成的损失只会越来越大。
数字技术正越来越深地触及美国人生活中最敏感的方面,这些技术一方面提供了便利,另一方面也经常会带来难以预料的新风险。新冠肺炎疫情促使数字世界进一步融入美国人的生活,视频流/音频流、可穿戴设备和生物识别技术俨然成为了美国人生活的一部分。在此背景下,所收集个人数据的数量和私密程度呈指数级增长,盗窃这些数据的行为也在迅速增多,进而为各种恶意行为体提供了监视、操纵和敲诈人们的途径。
下一代互联理念正在消解数字世界与物理世界之间的界限,并使美国最基础的一些系统面临着被破坏的风险。美国的工厂、电网、水处理设施及其它重要的基础设施正在逐步淘汰老旧的模拟控制系统,并用在线数字运营技术(OT)取而代之。先进的无线技术、物联网和天基资产(包括民用和军用的定位、导航及授时技术/资产,环境与气象监测技术/资产,以及从银行业务到远程医疗的各种日常互联网活动)将加快这种“使基础系统联网”的趋势,而这客观上将加剧网络攻击对美国人日常生活造成的破坏和影响。
2.恶意行为体
恶意网络活动早已不再是小打小闹,而是演变成了网络间谍活动、知识产权盗窃活动、针对关键基础设施的破坏性攻击、勒索软件攻击乃至削弱美国民主公信力基础的网络影响力活动。曾几何时,只有少数技术高超的国家才拥有攻击性的黑客工具和能力(包括外国出售的商业间谍软件),如今则有不少国家或组织都掌握了这些工具和能力。有了这些工具和能力,一些此前不足为虑的国家已能通过网络空间损害美国的利益,有组织犯罪集团的涉网活动也日趋猖獗。
俄罗斯、伊朗、朝鲜和及其它试图颠覆现有世界秩序的专制国家正在积极利用先进的网络能力来达成各自目的,这不但有悖于美国的利益,也违反了被广泛接受的国际准则。这些国家全然不顾网络空间的法治和人权,因此威胁到了美国的国家安全和经济繁荣。
就目前而言,某大国对美国政府和私营机构的网络构成了最广泛、最活跃和最持久的威胁。该国是唯一既有意愿重塑国际秩序,又越来越多地利用经济、外交、军事和技术实力推动这一目标的国家。过去十年来,该国已从最初通过网络盗窃知识产权,发展为美国最先进的战略竞争对手,其现有的能力足以威胁美国的利益,并主导对全球发展至关重要的种种新兴技术。该国已成功以互联网为骨干,开展各种监视和宣传行动,传播其数字威权主义的愿景,在全球互联网中塑造国家形象,以及在其境外损害人权。
20多年来,俄罗斯政府一直在利用其网络能力破坏邻国的稳定,并干涉全球民主国家的国内政治。作为长期存在的网络威胁,俄罗斯仍在不断完善其网络间谍、网络攻击、网络影响力和虚假信息方面的能力,试图以此胁迫主权国家,窝藏跨国犯罪组织,削弱美国的联盟和伙伴关系,并颠覆以规则为基础的国际体系。正如其在2017年发动的NotPetya攻击一样,为配合对乌“特别军事行动”,俄罗斯在2022年也发动了多次网络攻击。这些攻击不但影响到了乌克兰,也不负责任地外溢到其它欧洲国家,对这些国家的民用关键基础设施造成了负面影响。
至于伊朗政府和朝鲜政府,它们在网络空间内开展恶意行动的复杂程度和意愿也有所增长。伊朗在利用网络能力威胁中东和其它地区的美国盟友,朝鲜则通过网络犯罪活动(比如盗窃加密货币、投放勒索软件和派出掌握信息技术(IT)的秘密特工)获取收益,以用于发展其核事业。如果伊朗和朝鲜继续发展这些网络能力,就可能会对美国及其盟友和合作伙伴的利益产生重大影响。
犯罪集团的网络活动如今已威胁到美国及其盟友和合作伙伴的国家安全、公共安全和经济繁荣。近年来,美国乃至世界各国的能源管道公司、食品公司、学校和医院等机构纷纷遭到勒索软件攻击,这些事件已扰乱了各国的关键服务和商业。勒索软件攻击造成的经济损失持续攀升,如今已达到每年数十亿美元。这些犯罪集团通常躲藏在未与美国执法部门建立合作关系的国家,而这些国家也经常鼓励、窝藏或容忍此类活动。勒索软件及其它恶意网络活动还将继续威胁整个美国社会,而其中不少受害者都没有必要的资源来保护自己、恢复数据或寻求帮助。
(二)我们的做法:通向弹性网络空间之路
对美国的数字生态体系而言,若能在各利益攸关方之间推动深入而持久的合作,就能使该体系先天具有更强的防御能力和弹性以及契合美国的价值观。本战略旨在围绕以下五大支柱来建立和加强合作:(1)保卫关键基础设施;(2)打击和摧毁威胁行为体;(3)塑造市场力量以推动安全和弹性;(4)以投资打造富有弹性的未来;(5)建立国际伙伴关系以实现共同目标。其中每一项工作都需要在各自的利益攸关群体(包括公共部门、私营行业、民间社团以及国际盟友和合作伙伴等)内部开展空前的合作。在下文中,本战略将围绕五大支柱分别阐述对应群体关于共同目标和优先事项的愿景,重点说明这些群体在实现各自愿景方面面临的挑战,并指明用于组织相关工作的具体战略目标。
为了实现这些支柱提出的愿景,我们将对美国在网络空间内分配角色、责任和资源的方式进行两个根本性的转变。在实现这些转变的过程中,我们不仅希望提高我们的防御能力,而且希望改变目前与我们利益相违背的潜在动力。
1.使保卫网络空间的责任变得更加平衡
网络空间内最有能力、最有地位的参与者必须更好地管理数字生态体系。如今,终端用户承担着减轻网络风险的沉重负担。个人、小型企业、州和地方政府以及基础设施运营商的资源有限且优先事项相互竞争,但这些参与者的选择可能对我们的国家网络安全产生重大影响。一个人一时的判断失误,使用过时的密码或错误地点击可疑链接都会对国家安全产生不好的后果。我们的集体网络弹性不能依靠最小的组织和公民个人的持续警惕状态。
相反,无论是在公共部门还是在私营部门,我们都必须要求更多最有能力、最具权威的执行机构来确保美国的数字生态体系的安全和弹性。在一个自由和相互关联的社会中,保护数据和确保关键系统的可靠性必须是持有数据和运转社会职能的那些系统所有者和操作者的责任,同时也是建立和服务这些系统的技术提供方的责任。政府的作用是保护自己的系统、确保私营实体,特别是关键基础设施能保护其系统、履行政府的核心职能,如从事外交、收集情报工作、征收经济成本、执法和采取破坏性行动来应对网络威胁。工业界和政府必须共同推动有效和公平的合作,以纠正市场失灵,尽量减少网络事件对社会最脆弱群体的危害,并保护美国共享的数字生态体系。
2.调整有利于长期投资的激励措施
美国的经济和社会必须具有使网络空间具有更强的抵御能力和长期的防御能力的激励决策。短期需求和长期愿景之间不容易平衡。美国必须保护现有的系统,同时投资和建设未来的数字生态体系,这种生态体系具有更强的内在抵抗力和抗御能力。
本战略概述了联邦政府将如何利用现有的所有工具,以协作、公平和互利的方式重塑激励机制并实现团结一致。美国必须确保市场力量和公共项目对安全和弹性也有同样的激励政策,建立一支强大和多样化的网络劳动力队伍,通过设计来拥抱安全和弹性,并在战略上协调网络安全方面的研究和开发投资,并促进对数字生态体系的协调管理。为了实现这些目标,联邦政府将把重点放在平衡协调上,以最小的代价实现防御和系统弹性能力的最大化。
联邦政府正在进行代际投资,以更新美国的基础设施,使美国的能源系统数字化并实现脱碳,保护美国的半导体供应链,使美国的密码技术现代化,并提振外交和国内政策优先事项。美国有机会重新平衡必要的激励措施,为建设数字生态体系的未来奠定更强大、更富有弹性的基础。
(三)立足现行政策
本战略,是为美国的网络安全制定新方法,同时,它也是建立在已经形成的战略环境和数字生态体系的重大成就的基础之上。在早些时候,拜登政府负责处理俄罗斯对SolarWinds Orion平台的破坏和中国对运行微软Exchange的服务器的破坏事件。总统提升了白宫在网络安全方面的领导地位,任命经验丰富的高级领导人担任国家安全委员会(NSC)和国家网络主任办公室(ONCD)的新职位,并迅速采取行动,将这些事件和其它事件中吸取的经验教训转化为执行行动。
前期的这些工作奠定了本战略的基础。它遵循了国家安全战略和国防战略,通过一支广泛的机构间团队以及与私营部门和民间社会长达数月的协作而形成。它了解并执行DFI、自由在线联盟和其它长期形成的价值观,以实现美国的数字生态体系的民主愿景。它继承了14028号行政令《改善国家网络安全》、国家安全备忘录《改善关键基础设施控制系统的网络安全》、第8号国家安全备忘录《改进国家安全、国防部(DoD)和情报部门系统的网络安全》和其它执行行动的基本方向。它将网络安全纳入由两党合作的基础设施法、降低通货膨胀法案、创造生产半导体(芯片)和科学法案的有益激励措施以及14017号行政令《美国的供应链》规定的一代仅有一次的新投资。
本战略还以历届政府的工作为基础。它取代了2018年国家网络战略,但继续保持了许多优先事项,包括对数字生态体系的协同防御。拜登政府继续致力于加强美国空间系统的安全和弹性,包括执行第5号空间政策令《空间系统的网络安全原则》。拜登政府还继续努力确保下一代技术的安全,包括通过国家人工情报工作倡议和确保5G安全的国家战略倡议和其它现有政策和倡议。
本战略的目标是保护联邦系统并与私营部门合作,其基础是13800号行政令《加强联邦网络和关键基础设施的网络安全》,13691号行政令《促进私营部门网络安全信息共享和13636号行政令《改进关键基础设施网络安全》,并符合第21号总统政策令《关键基础设施安全和弹性》和第41号总统政策令《美国网络事件协调》建立的框架。它继承和发展了最初由2008年“国家网络安全综合倡议”发起的许多战略举措。
二、支柱一:保卫关键基础设施
保护构成关键基础设施的系统和资产对美国的国家安全、公共安全和经济繁荣至关重要。美国人民必须对这类基础设施及其提供的基本服务的可用性和弹性有信心。美国的目标是运作一个持久和有效的协作防御模式,公平地分配风险和责任,并为美国的数字生态体系提供基本的安全和弹性。
只有当关键基础设施的所有者和运营商具备网络安全保护措施,使对手更难破坏这些威胁时,才能有效地应对高级威胁。拜登政府在某些关键部门制定了新的网络安全要求。在其它部门,将要求新的主管部门制定能够推动更好的大规模网络安全做法的条例。拜登政府与工业界进行了具体接触,以建立一致、可预测的网络安全监管框架,重点是要达成安全目标,并使之能够发挥行动连续性和功能,同时促进协作和创新。
私营部门已做出重大承诺,参与合作防御工作。在2022年俄罗斯对乌克兰发动残酷和无端战争之前,私营部门开展的“盾牌”行动,旨在积极加强准备和促进有效措施打击恶意活动,就是公私合作的一个例子,必须加以扩大和复制。
美国必须建立新的创新能力,使关键基础设施的所有者和经营者、联邦机构、产品供应商和服务供应商以及其它利益攸关方能够在速度和规模上有效地相互协作。支持关键基础设施提供商的联邦机构必须加强自己的能力和与其它联邦实体合作的能力。网络安全事件发生时,必须与私营部门和州、地方、部落和领地(SLTT)合作伙伴协调,并密切结合联邦政府的应对举措。
最后,联邦政府可以更好地支持保卫关键基础设施,使自己的系统更易于防御和更有弹性。本届政府致力于改善联邦网络安全,通过长期努力实施零信任架构战略,并使IT和OT基础设施现代化。在此过程中,联邦网络安全可以成为美国各地关键基础设施的典范,以便成功地建立和运行安全和富有弹性的系统。
(一)战略目标1.1:制定支持国家安全和公共安全的网络安全要求
美国人民必须对支撑他们的生活和国家经济的关键服务有信心。虽然对关键基础设施网络安全采取自愿做法带来了有意义的改进,但缺乏强制性要求导致结果不充分和不一致。今天的市场回报不足——而且往往不利——关键基础设施的所有者和经营者投资于预防性措施,以防止或减轻网络事件的影响。
监管可以在公平的环境下进行,在不牺牲网络安全或运行弹性的情况下促进健康的竞争。我们的战略环境需要现代化和灵活的网络安全监管框架,为每个部门的风险简介量身定做,协调以减少重复,补充公私合作,并认识到执行成本。必须调整新的和更新的网络安全条例,以满足国家安全和公共安全的需要,以及个人、受管制实体及其雇员、客户、作战纲要和数据的安保和安全。
行政当局在这一领域取得了进展,在石油和天然气管道、航空和铁路等关键部门确立了网络安全要求,由环境保护局领导的运输安全局和供水系统牵头。行业和监管机构之间的协作过程将产生运营和商业上可行的监管要求,并将确保关键基础设施的安全和弹性作战行动。
最有效和最有效的监管框架将是那些早在危机发生之前就建立起来的监管框架,而不是在危机发生后实施紧急条例。
1.制定网络安全条例以保护关键基础设施
联邦政府将利用现有机构在关键部门制定必要的网络安全要求。如果联邦部门和机构在执行最低限度的网络安全要求或减少相关市场失灵时,与执法当局存在不同之处,拜登政府将与国会合作剔除这些要求。如果各州或独立监管机构拥有制定网络安全要求的权力机构,政府将鼓励它们以审慎和协调的方式使用这些权力。
制定的条例应以业绩为基础,利用现有的网络安全框架、自愿协商一致的标准和指导,包括网络安全和基础设施安全局(CISA)的网络安全绩效目标和改善关键基础设施网络安全的国家标准和技术研究所(国家情报支援组)框架,并针对对手能力的提高和战术变化灵活应用。在为关键基础设施制定网络安全条例时,鼓励监管机构推动采用设计原则,优先考虑基本服务的可用性,并确保系统具有安全和快速恢复的设计。条例将界定最低限度的预期网络安全做法或目标,但联邦政府鼓励并将支持各实体进一步实现以超越这些要求。
此外,这些和其它关键部门依赖于其第三方服务提供商的网络安全和弹性。基于云的服务能够在规模上提供更好、更经济的网络安全实践,但它们对于许多关键基础设施部门的业务弹性也是必不可少的。政府将找出当局在推动云计算行业和其它必要的第三方服务方面更好的网络安全实践方面的差距,并与业界、国会和监管机构合作来消除这些漏洞。
2.理顺和精简现行条例和新增条例
有效的法规最大限度地降低合规成本和负担,使组织能够投入资源建设弹性并保护自身系统和资产。通过以符合现行政策和法律的方式利用现有国际标准,监管机构可以最大限度减少独特要求的负担并减少监管协调的需要。
在联邦法规相互冲突、重复或过于繁重的情况下,监管机构必须共同努力,尽量减少这些危害。必要时,美国将寻求跨境监管协调,以防止网络安全要求阻碍数字贸易流动。在可行的情况下,监管机构不仅应努力协调法规和细则,还应协调对受监管实体的评估和审计。国家网络主任办公室将与管理和预算办公室(OMB)协调,领导行政当局协调网络安全监管方面的工作。网络事件报告委员会将协调、解除和统一联邦事件报告要求。
3.使受监管的实体能够承担安全成本
不同的关键基础设施部门承担网络安全成本的能力各不相同,从无法在没有干预的情况下轻易增加投资的低利润率部门,到可以吸收改善网络安全边际成本的部门。在某些部门,监管可能是必要的,以创造一个公平的竞争环境,使公司不陷入竞争,以减少同行在网络安全方面的支出。在其它部门,鼓励监管机构确保通过利率制定程序、税收结构或其它机制来激励对网络安全的必要投资。在制定新的网络安全要求时,鼓励监管机构与受监管实体协商,以了解如何为这些要求提供资源。在寻求新的监管机构时,政府将与国会合作制定监管框架,并会考虑到执行这些权力所需的资源。
(二)战略目标1.2:扩大公私合作
保护关键基础设施免受敌对活动和其他威胁的侵害需要一种模仿互联网分布式结构的网络防御模式。我们将通过结构化的作用和责任,数据、信息和知识的自动交换所实现的增强连通性来发展和加强捍卫者之间的协作,从而实现这一分布式的网络化模式。将组织协作和技术支持的连接结合起来,将创建一个基于信任的“网络中的网络”,构建态势感知并推动保护我们关键基础设施的网络防御采取集体和同步行动。
CISA是关键基础设施安全和弹性的国家机构。在这方面,CISA与部门风险管理机构(SRMA)进行协调,使联邦政府能够扩大与全美关键基础设施所有者和运营商的协调。SRMA具有日常责任和特定部门的专业知识,以提高其部门内的安全和弹性。而SRMA则支持各自部门中负责保护其运营的系统和资产的个人所有者和经营者。信息共享和分析组织(ISAO)、以部门为重点的信息共享和分析中心(ISACS)以及类似的组织促进了庞大且复杂的部门网络防御行动。
联邦政府将继续加强CISA与其它SRMA之间的协调,投资于SRMA能力的发展,并以其它方式使SRMA能够积极响应其行业关键基础设施所有者和运营商的需求。联邦政府将与工业界合作,逐个确定行业需求,并评估当前SRMA能力方面的差距。联邦政府在建设SRMA能力方面的投资将使关键基础设施的安全和弹性得到改善。SRMA将与CISA协调,以提高其主动应对行业需求的能力。SRMA还必须继续支持第三方协作机制的成熟。在数十年在ISAC和ISAO合作的经验,联邦政府将与以上及其他团体组织合作,就这一模式应如何发展制定共同愿景。
加快作战协作将需要使用技术解决方案来共享信息和协调防御工作。我们必须通过机器对机器的数据共享和安全编排来补充人与人之间的协作。实现该模型将使实现实时、可操作和多向共享,以机器速度驱动威胁响应。在与私营部门的合作下,CISA和SRMA将探索技术和组织机制,以加强和发展机器对机器的数据共享。联邦政府还将深化与软件、硬件和管理服务提供商的作战和战略合作,以重塑网络格局,增强安全和弹性。
(三)战略目标1.3:整合各联邦网络安全中心
联邦政府必须协调各部门和机构的权力和能力,共同支持关键基础设施的防御。联邦网络安全中心作为协作节点,整合了政府在国土防御、执法、情报、外交、经济和军事任务方面的能力。一旦成功整合,其将推动政府内部的协调,并使联邦政府能够有效和果断地支持非联邦伙伴。
政府在实现这一目标方面取得了进展,在CISA建立了联合网络防御合作组织(JCDC),以整合整个联邦政府、私营部门和国际合作伙伴的网络防御规划和作战;加强国家网络调查联合特遣部队(NCIJTF)的能力,以协调执法和其它破坏行动;重振网络威胁情报集成中心(CTIIC)在协调情报收集、分析和合作方面的作用。
SRMA的作战协作模型提供了可以直接与行业私营合作伙伴进行共享及时、可操作及相关信息的机会,例如能源部(DOE)的能源威胁分析中心(ETAC)试点、国防部的国防工业基地协作信息共享环境(DCISE)和国家安全局(NSA)的网络安全协作中心。
还需要进一步努力,加强和整合联邦政府的行动能力,并改善联邦网络安全中心的整合。ONCD将领导政府努力加强中心整合,找出能力差距,并制定实施计划以实现迅速和大规模的合作。
(四)战略目标1.4:更新联邦事件响应计划及进程
私营部门有能力在没有联邦政府直接援助的情况下缓解大多数网络事件。当需要联邦援助时,联邦政府必须提出统一、协调、全政府间的对策。受到网络威胁的组织必须知道为了什么目的要联系哪些政府机构。联邦政府必须提供明确的指导,说明私营部门合作伙伴如何在网络事件期间向联邦机构寻求支持,以及联邦政府可以提供何种形式的支持。
与41号总统政策令《美国网络事件协调》一致,该指令规定了司法部(DOJ)、国土安全部(DHS)和国家情报总监办公室在威胁、资产和情报响应工作中的领导角色,CISA将牵头更新下属的“国家网络事件应对计划”(NCIRP),以加强流程、程序和系统,以更充分地实现“对一个人的呼唤就是对所有人的呼吁”的政策。当任一联邦机构收到援助请求时,该机构将知道更广泛的联邦政府可以提供哪些支持,如何与能够提供这种支持的恰当的联邦机构联系,并能够利用有效的信息共享机制。由于大多数联邦响应都是通过外地办事处作出的,因此NCIRP将加强地方一级的协调,从反恐联合工作组的成功中吸取经验教训。
当事件确实发生时,2022年《关键基础设施网络事件报告法》(CIRCIA)将提高我们的意识和有效应对能力。CIRCIA要求关键基础设施行业的相关实体在数小时内向CISA报告发生的网络事故。这些及时的通知以及CISA与司法部和其它事件响应相关组织迅速共享相关信息,这将加强我们的集体防御,改进确定事故根源工作,并向政府内部关于如何响应的决策提供信息。在制定CIRCIA规则和执行过程中,CISA将与SRMA、司法部和其它联邦机构协商,以整合事件报告系统,并确保所有相关事件信息的实时共享和行动。
在发生重大事件后,我们将确保网络安全界从网络安全审查委员会(CSRB)吸取的经验教训受益。由14028号行政令《改善国家的网络安全》建立,CSRB汇集了公共和私营部门的网络安全领导人,以审查重大网络事件,进行权威的事实调查,产生为行业补救提供信息和指导的见解,并为改善国家未来的网络安全态势提供建议。政府将与国会合作立法,将CSRB编入国土安全部,并向其提供对重大事件进行全面审查所需的权力。
(五)战略目标1.5:发展现代化的联邦防御能力
联邦政府需要安全和弹性的信息、通信和作战技术和服务来履行其职责。在最初的几个月里,本届政府为联邦网络安全制定了一个新的战略方向,发布了14028号行政令《改进国家的网络安全》,并据此发布了8号国家安全备忘录《改善国家安全、国防部和情报部门系统的网络安全》以及OMB《联邦零信任架构》战略。
在这一趋势下,政府将根据承认必须在传统边界内外应对威胁的零信任原则,推动长期努力捍卫联邦企业并使得联邦系统现代化。通过使自己的网络更具防御性和弹性,联邦政府将成为私营部门效仿的典范。
1.共同保卫联邦民事行政机构
联邦民事行政部门(FCEB)机构负责管理和保护自己的IT和OT系统。由于机构结构、任务、能力和资源的不同,FCEB网络安全成果各不相同。我们必须继续建立联邦网络安全模式,在各机构的权力和能力与通过集体防御办法实现的安全利益之间取得平衡。
我们将继续通过联邦政府的集中行动来建立联邦凝聚力。OMB将与CISA协调制定行动计划,通过集体作战防御、扩大集中式共享服务的可用性和软件供应链风险缓解来保护FCEB系统。这些工作将以先前的方案为基础,并优先采取行动,推动政府采取全面的办法来保护FCEB信息系统。与NIST协调开发的软件供应链风险缓解目标将建立在14028号行政令《改进国家的网络安全》的基础上,包括软件材料清单(SBOM)、NIST的安全软件开发框架以及提高开源软件安全性的相关工作。
2.对联邦系统进行现代化改造
联邦政府必须更换或更新无法抵御复杂网络威胁的IT和OT系统。OMB零信任架构战略指导FCEB机构实施多因素身份验证、加密数据、了解整个攻击面、管理授权和访问,并采用云安全工具。除非联邦IT和OT系统实现现代化,从而能够利用关键的安全技术,否则上述和其它网络安全目标是无法实现的。OMB将领导开发一项多年生命周期计划,以加速FCEB技术现代化,优先考虑联邦努力消除维护成本昂贵和难以维护的遗留系统。该计划将确定里程碑,以在十年内移除所有无法实施零信任架构战略的遗留系统,或者减轻那些在该时间段内无法替换的系统的风险。以更安全的技术取代遗留系统,包括加速向基于云的服务的迁移,将提升整个联邦政府的网络安全态势,进而提高它向美国人民提供数字服务的安全和弹性。
3.保卫国家安全系统
国家安全系统(NSS)存储和处理联邦政府的一些最敏感的数据,必须保护其免受广泛的网络和物理威胁,包括内部威胁、网络罪犯和最复杂的民族国家对手。NSA局长作为NSS的负责人,将与OMB协调为FCEB各机构的NSS制定计划,以确保执行8号国家安全备忘录的强化网络安全要求。
三、支柱二:打击和摧毁威胁行为体
美国将动用一切国家力量来瓦解和摧毁那些威胁我们利益的威胁分子。这些努力可以结合外交、信息、军事(包括动能和网络)、金融、情报和执法能力。我们的目标是使恶意行为体无法发动持续的网络活动,从而威胁美国的国家安全或公共安全。
事实证明,联邦和非联邦实体的协调努力可以有效阻止外国政府、犯罪分子和其它威胁行为者的恶意网络活动。联邦政府提高了应对网络事件的能力;逮捕并成功起诉了跨国网络罪犯和国家支持的行为体;对恶意网络行为体实施了制裁,包括旅行禁令和拒绝接触货币服务提供商;剥夺威胁行为者访问数字基础设施和受害者网络的权限。联邦政府还还针对用于非法活动的金融基础设施;制定了新的外交举措,将摧毁性、破坏性或以其它方式破坏稳定的网络活动归咎于恶意行为者;并追回了价值数十亿美元的非法资产。
我们将在这些成功的基础上再接再厉,以更持久、更有效地破坏对手。我们的努力将需要公共和私营部门合作伙伴加强合作,以改善情报共享,大规模开展破坏活动,阻止对手使用美国基础设施,并挫败全球勒索软件活动。
(一)战略目标2.1:统一联邦政府的打击行动
打击行动必须如此持续和有针对性,以致犯罪网络活动无利可图,从事恶意网络活动的外国政府行为体不再将其视为实现其目标的有效手段。司法部和其它联邦执法机构率先将国内法律机构与私营企业和国际盟国及合作伙伴整合部署,以破坏网上犯罪基础设施和资源,从摧毁臭名昭著的僵尸网络到没收从勒索软件和欺诈活动中收集到的加密货币。这些调查产生的信息有助于其它努力,如通知受害者、发布网络安全咨询、私营部门行动、制裁指认、外交行动和情报活动。
国防部的前置防御策略有助于我们了解威胁行为体,识别和公布恶意软件,并在可能对目标造成影响之前破坏恶意活动。根据经验教训和迅速变化的威胁环境,国防部将制定一项与国家安全战略相一致的新版国防部网络战略。国防部的新战略将阐明美国网络司令部和国防部其它机构如何将网络行动整合到他们的行动中,以抵御能够对美国利益构成战略层面威胁的国家和非国家组织,同时继续加强与民用、执法和情报部门、工作合作伙伴的整合和协调,破坏有规模的恶意行动。
为了加强、加速统一的破坏行动,联邦政府必须进一步发展技术和组织平台,使之能够支持持续、协调的行动。NCIJTF作为破坏行动的协调中心,将提升其能力,从而能够更快、更大规模和更频繁地协调破坏活动。同样,国防部和情报部门将致力于充分发挥其对破坏行动的支持作用。
(二)战略目标2.2:通过公共、私营部门间的业务合作来打击敌手
私营部门能够详细地了解对手的活动,其洞察力往往比联邦政府更宽泛、更详细,部分原因是私营部门的庞大规模及其威胁狩猎行动,而且其工具和能力创新的速度很快。对恶意网络活动的有效破坏需要具备独特洞察力和行动能力的私营部门与有能力采取行动的联邦机构之间开展更多的合作。2021年打击埃莫泰僵尸网络的行动就显示了这种合作方式的潜力,联邦机构、国际盟国和合作伙伴以及私营行业的通力合作破坏了僵尸网络。鉴于网络安全界和数字基础设施的所有者以及经营者对继续采用这一办法的兴趣,我们必须维持和扩大这一模式,以便能够持续地进行协作性破坏行动。
鼓励私营部门伙伴的合作,成立一个或多个非营利组织,作为联邦政府展开行动的中心,如国家网络取证和培训联盟(NCFTA)。针对威胁的协作应采取灵活、临时的组织形式,由少数可信任的人员组成,并得到相关中心的支持。使用虚拟协作平台,组织机构的成员将双向共享信息、协同工作,迅速干扰对手。联邦政府将迅速消除这一协作模式的障碍,例如安全要求和记录管理政策。
(三)战略目标2.3:加快情报共享与信息通报的速度并扩大规模
联邦和非联邦合作伙伴之间及时共享威胁情报,可以强化破坏和摧毁对手的协作行动。开源网络安全情报和私营部门情报工作提供商将极大提高网络威胁的集体意识,但政府收集的情报依然非常宝贵。例如,国家安全局网络安全协作中心与工业部门的行动在破坏对手以国防工业基地为目标的行动方面非常有效。例如,CISA通过JCDC与私营部门进行持续的、多向的威胁信息共享,并与联邦调查局协调使用这些信息,以尽快通知受害者并减少入侵行动的影响。
联邦政府将提高网络威胁情报共享的速度和规模,主动向网络防御方告警,并将政府掌握的某一组织被攻击或可能已经遭到破坏的信息通知给受害方。SRMA将与CISA、执法机构和CTIIC协调,确定情报工作需求和优先事项,并制定与政府和非政府组织共享报警、技术指标、威胁背景以及其它相关信息的程序。这些进程提供的机制必须使私营部门能够及时地向联邦政府提供反馈和它们自身的威胁情报工作,以改进网络威胁的目标选择和进一步的情报收集工作。联邦政府还将审查解密政策和程序,以确定在何种条件下扩大保密准入和扩大许可范围,以便向关键基础设施的所有者和经营者提供可采取行动的情报。
(四)战略目标2.4:防止美国境内的基础设施遭到滥用
恶意网络行为体利用美国的云基础设施、域名注册、主机和电子邮件提供商以及其它数字服务来开展犯罪活动、制造恶意影响以及针对美国和国外的个人、企业、政府和其它组织的间谍活动。这些服务通常是通过外国转售商租用的,且与美国供应商实施多级隔离,因此约束了这些供应商解决滥用投诉或对美国当局法律程序作出反应的能力。联邦政府将与云和其它互联网基础设施提供商合作,迅速查明对基于美国的基础设施的恶意使用,与政府共享恶意使用报告,使受害者更容易报告滥用这些系统的行为,并使恶意行为体一开始就难以获得这些资源。
所有服务提供者都必须确保其基础设施的使用不受滥用或受其它犯罪行为之害。行政当局将优先采取和执行一种基于风险的方法来解决基础设施即服务提供商的网络安全问题,解决已知的恶意活动方法,包括通过实施EO13984,“采取进一步措施处理国家紧急状态,应对重大的恶意网络行动”。执行这一命令将使对手在保护个人隐私的同时,更难滥用基于美国的基础设施。
(五)战略目标2.5:打击网络犯罪和挫败勒索软件
勒索软件是对国家安全、公共安全和经济繁荣的威胁。勒索软件扰乱了医院、学校、补给管线、政府服务以及其它重要的基础设施和基本服务。在俄罗斯、伊朗和朝鲜这样的避风港开展业务,勒索软件行为体利用网络安全措施的不完善性,控制受害者网络,并依靠加密货币收取敲诈勒索款项,回收其收益。
鉴于勒索软件对关键基础设施服务的影响,美国将利用国家权力从以下四个方面应对威胁:(1)利用国际合作破坏勒索软件生态体系,孤立那些为罪犯提供安全避难所的国家;(2)调查勒索软件犯罪,利用执法部门和其它权力机构破坏勒索软件基础设施和行为体;(3)加强关键的基础设施弹性,以防御勒索软件攻击;(4)解决滥用虚拟货币进行勒索软件支付的问题。
由于勒索软件是一项无国界的挑战,需要国际合作,白宫提出了反勒索软件倡议(CRI),将来自30多个国家的代表聚集起来。CRI进行了全球演习,以建立复原力,并于2023年1月启动了一个由澳大利亚牵头的国际反勒索软件特遣部队,分享有关实施勒索软件攻击的行为体和基础设施的信息,这些攻击将支持和进一步加快CRI成员国现有的、协调一致的破坏行动。CRI还将推动各成员国的政策和外交努力。
机构将致力于持续、协调和有针对性地开展破坏行动,使勒索软件不再有利可图。由CISA和联邦调查局共同领导的联合勒索软件特遣部队(JRTF)将协调、同步现有机构间破坏勒索软件的行动,并向私营部门和SLTT提供支持,加强对勒索软件的保护。
我们的方法还将包括打击勒索软件经营者所依赖的非法加密货币交易所,以及加强打击虚拟资产非法融资标准。
美国将提供加密货币服务的金融机构纳入反洗钱和打击恐怖主义融资(AML/CFT)控制之下,财政部、特勤局、司法部、联邦调查局和私营部门合作伙伴正在合作追踪和拦截勒索软件支付。CRI已获得成员的承诺,将实施国际AML/CFT标准,包括了解你的客户(KYC)规则,以使勒索软件行动者更难从攻击中洗钱加密货币收益。从长远来看,美国将支持在全球实施国际AML/CFT标准,以减少将加密货币用于破坏国家利益的非法活动,以此作为努力实施14067号行政令《确保负责任的数字资产发展》的一部分。
最终,削弱这些犯罪集团动机的最有效办法是减少获利的可能性。因此,政府强烈反对支付勒索软件。同时,勒索软件的受害者(无论是否愿意支付勒索软件)应向执法部门和其它有关机构上报这一事件。这些上报将增强联邦政府为受害者提供支持的能力,以防止进一步使用加密货币来逃避“反洗钱/打击资助恐怖主义”的管制,并降低未来勒索软件攻击获得成功的可能性。
四、支柱三:塑造市场力量以推动安全和弹性
为了建设我们希望的安全和富有弹性的未来,我们必须塑造市场力量,将责任寄托在我们的数字生态系统中,而这些生态体系最有能力降低风险。我们将使网络安全不良的后果远离最脆弱的群体,使我们的数字生态系统更值得信任。在这努力过程中,我们不会取代或削弱市场的作用,而是将市场力量有效地引导到保持我们国家的弹性和安全上。我们的目标是建立现代数字经济,促进增强数字生态系统安全性和弹性,同时保持创新和竞争。
关键基础设施的持续中断和个人数据的盗窃清楚地表明,仅靠市场力量还不足以推动广泛采用网络安全和弹性方面的最佳做法。在太多情况下,大多数情况下,那些选择不投资网络安全的组织会对选择投资的组织产生负面和不公平的影响,往往会对小企业和我们最脆弱的社区产生更大的影响。虽然市场力量仍然是实现敏捷和有效创新的最好选择,但它没有充分调动行业来优先考虑我们的核心经济利益和国家安全利益。
为了应对这些挑战,政府将塑造数字生态系统的长期安全和弹性,以应对当前和未来的挑战。我们必须追究我们的数据管理员保护个人数据的责任;推动开发更安全的联网设备;重新制定因网络安全错误、软件漏洞、软件和数字技术造成的或者其他风险造成的数据损失和损害的法律责任。我们将利用联邦购买力和赠款来激励安全。我们将探讨政府如何稳定保证市场以抵御灾难性风险,推动更好的网络安全实践,并在发生灾难性事件时提供市场确定性。
(一)战略目标3.1:让管理方对我们的数据负责
未来数字经济时代,保护个人数据的安全是保护消费者隐私的一个基本方面。数据驱动技术已经改变了我们的经济,为消费者提供了便利。但是,个人信息的急剧扩散扩大了威胁环境,增加了数据泄露对消费者的影响。当拥有个人数据的组织不能为这些数据充当负责任的管理者时,他们就会将成本外化到普通美国人身上。最严重的伤害往往落在弱势群体身上,对他们个人数据的风险可能造成更大的伤害。
行政当局支持立法对收集、使用、转移和保存个人数据的能力施加强有力和明确的限制,并为地理位置和健康信息等敏感数据提供强有力的保护。这一立法还应制定国家要求,以确保个人数据的安全符合美国国家标准与技术研究所(NIST)制定的标准和准则。通过提供随着威胁而变化的隐私保护要求,美国可以为更安全的未来铺平道路。
(二)战略目标3.2:推动安全物联网设备的发展
物联网(IoT)设备,包括健身追踪器和婴儿监视器等消费品,以及工业控制系统和传感器,都为我们的家庭和企业引入了新的连接来源。然而,今天部署的许多物联网设备没有得到足够的保护,以抵御网络安全威胁。它们往往被部署在不适当的默认设置中,可能很难或不可能修补或升级,或者配备了高级(有时是不必要的)功能,从而能够在关键的物理和数字系统上进行恶意的网络活动。最近的物联网漏洞表明,恶意行为者利用这些设备构建僵尸网络和进行监视是多么容易的事。
行政当局将按照《2020年网络安全改进法》的指示,通过联邦研究与发展、采购和风险管理的努力,继续改善物联网网络安全。此外,政府还将按照14028号行政令《改善国家的网络安全》的指示,继续推进物联网安全标签项目的发展。通过扩大物联网安全标签,消费者将能够比较不同物联网产品提供的网络安全保护,从而为整个物联网生态系统提供更大的安全性创造市场动力。
(三)战略目标3.3:调整不安全软件产品和服务的责任方
市场让那些向我们的数字生态系统中引入易受攻击的产品或服务的企业承担了更少的成本,而且往往会得到更多的回报。太多的供应商忽略了安全开发的最佳实践,发布了不安全的默认配置或已知漏洞的产品,并集成了未经审查或未知来源的第三方软件。软件开发公司能够利用其市场地位,通过合同完全免除责任,从而进一步降低他们遵循安全设计原则或执行发布前测试的动机。糟糕的软件安全大大增加了整个数字生态系统的系统性风险,让美国公民承担最终的代价。
我们必须开始将责任转移到那些未能采取合理预防措施保护其软件安全的供应商身上,同时认识到即使是最先进的软件安全程序也不能防止所有漏洞。软件开发公司有其创新的自由,但如果他们未能履行对消费者、企业或关键基础设施提供商的责任,他们也必须承担责任。必须把责任放在最有能力采取行动防止不良后果的利益攸关方身上,而不是那些经常承受不安全软件后果的最终用户身上,也不应由集成到商业产品中的组件的开源开发人员负责。这样做将推动市场生产更安全的产品和服务,同时保持创新以及初创企业、其它中小型企业与市场领导型企业竞争的能力。
政府将与国会和私营部门合作,制定立法,确定软件产品和服务的责任。任何此类立法都应防止具有市场力的制造商和软件发布商通过合同完全免除责任,并在特定的高风险情况下建立更高的软件保护标准。为了制定安全软件开发的标准,政府将推动开发一个适应性强的安全框架,以保护那些安全地开发和维护其软件产品和服务的责任公司。这个安全框架将借鉴当前安全软件开发的最佳实践,例如:NIST发布的《安全软件开发框架》。它还必须与时俱进,不断发展,包括用于安全软件开发、软件透明度和漏洞挖掘的新工具。
为进一步鼓励采用安全软件开发实践,政府将鼓励在所有技术类型和行业中进行协调的漏洞披露;促进SBOM的进一步发展;并制定一个流程以识别和减轻因关键基础设施广泛使用不安全软件而带来的风险。联邦政府还将与私营部门和开源软件社区合作,继续投资于安全软件的开发,包括内存安全语言和软件开发技术、框架和测试工具。
(四)战略目标3.4:通过联邦补助金及其它激励措施来强化安全
联邦拨款计划为关键基础设施的投资提供了战略机遇,这些基础设施的设计、开发、部署和维护都考虑到了网络安全和所有风险的抵御能力。通过两党基础设施法、《降低通货膨胀法》、《芯片与科学法案》资助的项目,美国正在对我们的基础设施和支持它的数字生态体系进行千载难逢的投资。本届政府致力于以增强我们集体系统复原力的方式进行投资。
联邦政府将与SLTT实体、私营部门和其它合作伙伴合作,在申请者的网络安全要求与技术援助和其它形式的支持之间取得平衡。我们可以共同推动对关键产品和服务的设计安全和弹性的投资,并在关键基础设施的整个生命周期内维持和激励安全性和弹性。联邦政府还将优先为旨在加强关键基础设施网络安全和弹性的网络安全研究、开发和示范(RD&D)计划提供资金。此外,政府将与国会合作制定其它激励机制,以大规模推动更好的网络安全实践。
(五)战略目标3.5:利用联邦采购机制来加强问责制度
对向联邦政府销售产品的供应商的合同要求一直是改善网络安全的有效工具。第14028号行政命令“改善国家的网络安全”扩展了这种方法,确保联邦机构加强和标准化网络安全的合同要求。通过采购继续试行制定、执行和测试网络安全要求的新概念,可以带来新颖且可扩展的方法。
当公司向联邦政府做出遵循网络安全最佳实践的合同承诺时,他们必须履行这些承诺。民事网络欺诈倡议(CCFI)根据《虚假索赔法》规定的司法部权限,对未履行网络安全义务的政府受赠方和承包商提起民事诉讼。CCFI将追究那些通过故意提供有缺陷的网络安全产品或服务,故意歪曲其网络安全实践或协议,或故意违反监控和报告网络事件和违规行为的义务而使美国信息或系统面临风险的实体或个人的责任。
(六)战略目标3.6:探索以联邦网络保险为后盾的新机制
当发生灾难性事件时,政府有责任在不确定的时期稳定经济并提供确定性。如果发生灾难性的网络事件,可以要求联邦政府稳定经济并帮助复苏。在灾难性事件发生之前构建这种反应——而不是在事实发生后匆忙制定一揽子援助计划——可以为市场提供确定性,并使国家更具弹性。政府将评估联邦保险对灾难性网络事件做出反应的必要性和可能的结构,以支持现有的网络保险市场。在制定此评估时,政府将征求国会、州监管机构和行业利益相关者的意见并与之协商。
五、支柱四:以投资打造富有弹性的未来
一个有弹性和蓬勃发展的明天的数字未来始于今天的投资。我们可以通过战略投资和协调的协作行动,建立一个更安全、更有弹性、保护隐私和更公平的数字生态系统。通过这样做,美国将保持其作为世界上安全和有弹性的下一代技术和基础设施方面最重要的创新者的领导作用。
我们的数字生态系统的基本要素,如互联网,是公共和私营部门实体持续和相互支持的投资的产物。然而,对网络安全的公共和私人投资长期以来一直落后于我们面临的威胁和挑战。随着我们建设新一代数字基础设施,从下一代电信和物联网到分布式能源,并为人工智能和量子计算带来的技术面貌的革命性变化做准备,解决这一投资缺口的需求变得更加迫切。
联邦政府必须利用对创新、研发和教育的战略性公共投资,推动经济上可持续并符合国家利益的成果。我们将利用美国国家科学基金会(NSF)的区域创新引擎计划、长期的安全和值得信赖的网络空间计划;在两党基础设施法、通货膨胀降低法和 芯片与科学法案中建立的新赠款计划和资助机会;制造机构;以及联邦研发企业的其他要素。
这些投资将确保美国在技术和创新方面继续保持领导地位,这是现代工业和创新战略的一部分。几十年来,对手和恶意行为者将我们的技术和创新武器化,窃取我们的知识产权,干扰或影响我们的选举进程,削弱我们的国防,这表明,在没有安全的情况下,光有创新的领导是不够的。我们将通过集中、协调的行动来补充我们的努力,以优化开发和部署的关键和新兴网络安全技术,从而在创新上超越其他国家。我们将确保弹性不是新技术能力的任意要素,而是创新和部署过程中商业上可行的要素。
(一)战略目标4.1:保护互联网的技术基础
互联网对我们的未来至关重要,但它保留了过去的基本结构。数字生态体系的许多技术基础本质上是脆弱的。每次我们在这个基础上建立新的东西,我们都会增加新的漏洞,增加我们的集体风险。我们必须采取措施缓解这些普遍存在的最紧迫的问题,例如边界网关协议漏洞、未加密的域名系统请求以及IPv6的缓慢采用。这种降低系统性风险的“清理”工作需要确定这些安全挑战中最紧迫的问题,进一步制定有效的安全措施,并在公共和私营部门之间密切合作,以减少我们的风险敞口,同时不会破坏在此基础设施上构建的平台和服务。联邦政府将发挥领导作用,确保其网络实施这些措施和其它安全措施,同时与利益攸关方合作,制定和推动采取解决办法,改善互联网生态体系的安全,并支持开展研究,以了解和解决采用缓慢的原因。
维护和扩展开放、自由、全球、可互操作、可靠和安全的互联网需要持续参与标准制定进程,以灌输我们的价值观,并确保技术标准产生更安全和更具弹性的技术。随着专制政权寻求改变互联网及其多方利益攸关方的基础,以实现政府的控制、审查和监督,美国及其外国和私营部门伙伴将实施一项多管齐下的战略,以保持技术卓越,保护我们的安全,提高经济竞争力,促进数字贸易,并确保技术标准的“道路规则”有利于透明度、公开性、共识、相关性和一致性原则。通过支持非政府标准制定组织(SDO),美国将与行业领袖、国际盟国、学术机构、专业协会、消费者团体和非营利组织合作,以确保新兴技术的安全,促进互操作能力,促进全球市场竞争,保护我们的国家安全和经济优势。
(二)战略目标4.2:重振联邦层面的网络安全研发
通过联邦政府努力优先考虑可防御和弹性架构的研发,并减少底层技术的漏洞,我们可以确保未来的技术比今天的技术更安全。
作为联邦网络安全研究与开发战略计划更新的一部分,联邦政府将确定研究、开发和示范(R&D)社区,并将其列为优先事项并加以促进,以主动预防和减轻现有和下一代技术中的网络安全风险。各部门和机构将指导研发项目,以推进人工智能、运营技术和工业控制系统、云基础设施、电信、加密、系统透明度和关键基础设施中使用的数据分析等领域的网络安全和弹性。这些努力将得到联邦研发企业的支持,包括NSF、DOE国家实验室和其他联邦资助的研发中心(FFRDC),并通过与学术界、制造商、技术公司以及所有者和运营商的伙伴关系得到支持。
这些研发投资将集中在以下三个系列的技术上:计算机相关技术,包括微电子、量子信息系统和人工智能;生物技术和生物制造;以及清洁能源技术。这一努力将有助于积极主动地查明潜在的脆弱性,并开展研究以减轻这些漏洞。它还将支持一项更大的现代工业和创新战略,通过综合利用联邦投资工具、联邦购买力和联邦法规,促进协调和战略性创新,并为可信赖的产品和服务创造市场。
(三)战略目标4.3:让美国为后量子时代做好准备
强加密是网络安全和全球商业的基础。这是在线保护数据、验证终端用户、验证签名和验证信息准确性的主要方式。但量子计算有可能打破目前使用的一些最普遍的加密标准。为此,必须优先考虑并加快投资,广泛更换容易被量子计算机破坏的硬件、软件和服务,从而保护信息免受未来的攻击。
为了平衡量子计算的推广和进步与数字系统所面临的威胁,国家安全备忘录 10的《促进美国在量子计算方面的领导地位,同时降低易受攻击的密码系统的风险》,建立了一个将国家密码系统及时过渡到可互操作的抗量子密码系统的过程。联邦政府将优先考虑将脆弱的公共网络和系统过渡到基于量子密码的环境,并制定补充缓解策略,以在面对未知的未来风险时提供加密的灵活性。私营部门应遵循政府的模式,为未来的后量子时代做好网络和系统的准备。
(四)战略目标4.4:保护美国未来的清洁能源
我们正在加速向清洁能源未来转型,这将带来新一代互联的硬件和软件系统,这些系统有可能加强美国电网的弹性、安全性和效率。这些技术,包括分布式能源、“智能”能源生产和存储设备、先进的基于云的电网管理平台,以及为高容量可控负荷而设计的传输和配电网络,都比前几代电网系统更加复杂、自动化和数字互联。
在美国对新能源基础设施进行大力投资之际,政府将抓住这一战略机遇,通过实施国会指导的《国家网络信息工程战略》,积极构建网络安全,而不是在这些互联设备广泛部署后,制定一系列安全控制措施。政府正在与联邦政府、工业界和SLTT的利益相关者进行协调,以部署一个安全、可互操作的电动汽车充电器、零排放燃料基础设施以及零排放公交和校车网络。能源部(DOE)通过清洁能源网络安全加速器(CECA),以及两党基础设施法指导的能源网络感知计划等,以及国家实验室正在领导政府确保未来清洁能源电网的安全,并制定安全最佳实践,以推广到其他关键基础设施部门。能源部还将继续与工业界、各州、联邦监管机构、国会和其他机构合作,促进配电和分布式能源的网络安全。
(五)战略目标4.5:支持数字身份生态体系的发展
增强的数字身份解决方案和基础设施可以实现更创新、更公平、更安全和更高效的数字经济。这些解决方案可以更容易和更安全地获得政府福利和服务、可信的通信和社交网络,以及数字合同和支付系统的新可能性。
当今,由于缺乏安全、隐私保护和基于同意的数字身份解决方案,使得欺诈行为猖獗,排斥和不平等现象长期存在,并使我们的金融活动和日常生活效率低下。身份盗窃呈上升趋势,2021数据泄露影响了近3亿受害者,恶意行为者通过欺诈手段获得了数十亿美元的新冠肺炎疫情救济金,这些资金本用于有需要的小企业和个人。这种恶意活动影响到我们所有人,给企业造成重大损失,并对公共福利项目和受益于这些项目的美国人产生影响。独立运作的私营部门和公共部门都未能解决这一问题。
联邦政府将鼓励并支持投资强大的、可验证的数字身份解决方案,以促进安全性、可访问性和互操作性、消费者隐私和经济增长。基于《芯片和科学法案》授权的NIST领导的数字身份研究计划,将包括加强数字证书的安全性;提供属性和凭证验证服务;开展基础研究;更新标准、指南和治理流程,以支持统一使用和互操作性;以及开发促进透明度和测量的数字身份平台。我们承认各州正在试点移动驾驶执照,并鼓励将重点放在隐私、安全、公民自由、公平、可访问性和互操作性上。
在发展这些能力时,我们的数字身份政策和技术将保护和加强个人隐私、公民权利和公民自由;防止意外后果、偏见和潜在的滥用;允许个人选择供应商和自愿使用;提高安全性和互操作性;促进包容性和可及性;提高技术和个人数据使用的透明度和问责制。
(六)战略目标4.6:制定国家战略以充实美国的网络劳动力
当今,美全国范围内有数十万个网络安全职位空缺,而且空缺还在扩大。私营和公共部门在招聘、雇佣和留住专业人员以填补这些空缺方面都面临挑战。为了应对这一挑战,ONCD将负责制定并监督《国家网络劳动力和教育战略》的实施。
这一战略将采取全面和协调一致的办法,扩大国家网络劳动力队伍,提高其多样性,并增加利用网络教育和培训途径的机会。该战略将解决所有经济部门对网络安全专门知识的需求,特别关注关键基础设施,并将使美国劳动力能够继续在安全和富有弹性的下一代技术方面进行创新。该战略将加强联邦网络劳动力并使其多样化,应对公共部门在招聘、保留和发展保护联邦数据和信息技术基础设施所需的人才和能力方面面临的独特挑战。此外,该战略将认识到网络劳动力的挑战并非美国所独有,它将扩大并从其他国家正在进行的努力中汲取灵感。
该战略将在现有努力的基础上发展我国的网络安全工作人员队伍,包括国家网络安全教育倡议(NICE)、网络军团:服务奖学金项目、国家网络安全卓越学术中心计划、网络安全教育培训和援助计划以及注册学徒计划。该战略还将利用国家科学基金会(NSF)和其它科学机构正在进行的劳动力发展计划来加强联邦政府的项目。
它将解决网络劳动力缺乏多样性的问题。雇主从人才库和专业网络中招聘,而这些人才库和网络无法从国家的全面多样性中汲取人才。女性、有色人种、第一代专业人士和移民、残疾人和LGBTQI+(男同性恋、女同性恋、双性恋)个体都是该领域代表性不足的群体。解决系统的不平等问题,克服阻碍网络劳动力多样性的障碍,既是道义上的必要,也是战略上的当务之急。
为了招募和培训下一代网络安全专业人员来保护我们的数字生态系统,需要联邦政府的领导和公共及私营部门之间长期合作。除非任何有能力的美国人都有机会从事网络安全职业,并且每个有空缺职位的组织都在培养下一代网络安全人才方面发挥作用,否则就不可能建立和维持强大的网络安全劳动力。
六、支柱五:建立国际伙伴关系以实现共同目标
美国寻求的是这样一个世界:在网络空间中负责任的国家行为被期待和受到奖励,而不负责任的行为受到孤立和付出高昂代价。为了实现这一目标,我们将继续与在共同问题上反对我们更大议程的国家保持接触,同时将建立一个广泛的国家联盟,致力于维护一个开放、自由、全球、可互操作、可靠和安全的互联网。
几十年来,我们通过国际机构努力界定和推动负责任的国家在网络空间的行为。我们利用联合国政府专家组和不限成员名额工作组等多边机制,建立了包括和平时期准则和建立信任措施在内的框架,并得到联合国全体会员国在大会上的肯定。我们支持扩大《打击网络犯罪布达佩斯公约》,支持其他加强网络空间安全的国际努力。我们将继续这些努力,同时认识到有必要与合作伙伴合作,以挫败中国和其他专制政府对互联网未来的黑暗愿景。为此,我们将向各经济体和社会展示开放的价值,并对违反公认的国家行为准则的行为共同施加影响。
为了应对共同威胁,维护和加强全球互联网自由,防止跨国数字压制,并建立一个更具内在弹性和防御性的共享数字生态系统,美国将努力扩大国家网络安全利益相关者与国际社会合作的新模式。我们将扩大联盟,协同打击跨国犯罪分子和其他恶意网络行为者,建设我们的国际盟友和合作伙伴的能力,加强现有国际法对网络空间国家行为的适用性,维护和平时期全球公认和自愿的负责任国家行为准则,惩罚那些从事破坏性或破坏稳定的恶意网络活动的人。
(一)战略目标5.1:建立联盟以打击美国数字生态体系面临的威胁
2022年4月,美国和60个国家发起了“互联网未来宣言”(DFI),围绕着一个开放、自由、全球、可互操作、可靠和安全的数字未来的共同民主愿景,汇集了广泛、多样的合作伙伴联盟——这是同类中最大的伙伴联盟。通过DFI、自由在线联盟以及其它伙伴关系和机制,美国正在召集志同道合的国家、国际商业界和其它利益攸关方,推动我们对互联网未来的展望。同时,促进安全可信的数据流,尊重隐私,促进人权,并在更广泛的挑战上取得进展。
通过美国、印度、日本和澳大利亚之间的四方安全对话等机制,美国及国际盟友和伙伴正在推进这些网络空间的共同目标。这包括改进计算机应急小组之间的信息共享以及基于共享价值观的数字生态体系的开发。印度-太平洋繁荣经济框架(IPEF)和美洲经济繁荣伙伴关系(APEP)为美国和区域政府创造了机会,各国政府应合作共同制定数字经济的道路规则,包括促进技术标准的制定,建立机制,使跨境数据流能够确保隐私安全,同时避免严格的数据本地化要求,并采取行动促进供应链安全和弹性机制。通过美国-欧盟贸易和技术理事会(TTC),我们正在大西洋彼岸进行协调,以应对共同的威胁,并展示在数字贸易、技术和创新方面的市场方法从而能够改善我们公民的生活,并成为促进更大繁荣的一股力量。美国还通过三边安全和技术协定(AUKUS)与澳大利亚和英国密切合作,以确保关键技术的安全、改进网络协调和共享先进技术能力。
通过这些伙伴关系和其它伙伴关系,美国和国际对应方可以通过共享网络威胁信息、交流网络安全实践模型、比较特定行业部门的专业知识、推动设计安全原则以及协调政策和事件应对活动,促进共同的网络安全利益。此外,还包括私营部门和民间社会组织的多方利益攸关方伙伴关系和联盟,如“克赖斯特彻奇行动呼吁”“网上消除恐怖主义和暴力极端主义内容”“在线自由联盟”和“基于性别的在线骚扰和虐待问题全球行动伙伴关系”,对于解决系统性问题至关重要。我们将利用这些伙伴关系,开展有效的业务合作,以保护我们共享的数字生态体系。我们还将根据需要支持和帮助建立新的和创新伙伴关系如国际反勒索软件倡议,该倡议汇集了独特的利益相关者,以应对新的和新出现的网络安全挑战。
由于大多数针对美国的恶意网络活动是由外国行为体或利用外国计算机基础设施进行的,我们必须加强与我们的盟国和合作伙伴合作机制,使任何对手都不能逃避法治。美国将与其盟友和合作伙伴合作,为数字时代建立新的合作执法机制。例如,欧洲网络犯罪中心在更新法律框架、培训执法、改进归因、与私营部门合作伙伴合作以及应对欧洲恶意网络活动方面发挥了重要作用。为了推广这一模式,我们将支持与其他地区的合作伙伴建立有效的中心。
(二)战略目标5.2:加强国际合作伙伴的能力
随着我们建立一个联盟,推进共同的网络安全优先事项,并促进数字生态体系的共同愿景,美国将加强世界各地志同道合的国家支持这些目标的能力。我们必须使我们的盟友和伙伴能够保障关键基础设施网络的安全,建立有效的事件检测和反应能力,共享网络威胁信息,开展外交合作,通过业务合作建立执法能力和效力,并通过遵守国际法和加强负责任的国家行为准则,支持我们在网络空间的共同利益。
为了实现这一目标,美国将在各机构、公共和私营部门以及先进的区域伙伴之间汇集专门知识,以开展协调和有效的国际网络能力建设和业务合作。在执法界,司法部将继续通过双边和多边接触和协议、正式和非正式合作,并提供国际和区域领导,加强网络犯罪法律、政策和作战纲要,以建立一个更强有力的网络犯罪合作模式。国防部将继续加强其军事关系,利用盟国和合作伙伴的独特技能和理念,同时提升能力,为我们的全局网络安全态势作出贡献。国务院将继续协调整个政府,确保联邦能力建设优先事项在战略上保持一致,并进一步促进美国、盟国和合作伙伴的利益。
(三)战略目标5.3:提升美国协助盟友和合作伙伴的能力
正如最近针对哥斯达黎加、阿尔巴尼亚和黑山的网络攻击所表明的那样,遭受重大网络攻击的盟友和伙伴可能寻求美国、盟国和伙伴国的支持,以便对此类事件进行调查、应对和恢复。提供这种支持不仅将有助于合作伙伴的网络能力恢复和响应,而且还将推进美国的外交政策和网络安全目标。与受影响的盟友或合作伙伴的密切合作表明,面对对手活动团结一致,能够加速揭露反规范国家行为和施加后果的严重性。
政府将制定政策,以确定何时提供此类支持符合国家利益。建立机制,在这些工作中确定和部署部门和机构资源,并在需要时迅速消除现有的财务和程序障碍,以提供此类业务支持。例如,美国正在领导北大西洋公约组织建立虚拟网络事件支持能力,使盟国能够在应对重大恶意网络活动时更加有效和高效地相互支持。
(四)战略目标5.4:建立联盟以推行关于负责任国家行为的全球规范
联合国的每一个成员国都作出了政治承诺,支持和平时期负责任的国家在网络空间行为准则,其中包括避免进行违反国际法义务而故意破坏关键基础设施的网络行动。
虽然我们的对手知道这种承诺并不是自我执行的,但这种框架的日益增长的影响力已经导致各国将那些违背这一框架的国家拒之门外。国际社会越来越多地合作制定协调一致的归属声明,同时对许多国家政府进行外交谴责,并加强致力于建立一个稳定的网络空间的联盟。
作为新的积极外交的核心部分,美国将在不负责任的国家不履行其承诺时追究它们的责任。为了有效地限制我们的对手并打击武装冲突门槛以下的恶意活动,我们将与我们的盟国和合作伙伴合作,将谴责声明与施加有意义的后果结合起来。这将需要合作使用所有的治国手段,包括外交孤立、经济成本、反网络和执法行动或法律制裁等。
(五)战略目标5.5:保护信息、通信和运营技术类产品与服务的全球供应链
复杂且全球互联的供应链产生了为美国经济提供动力的信息、通信和运营技术产品和服务。从原材料和基本组件到成品和服务,无论是虚拟的还是物理的,我们都依赖于不断增长的外国供应商网络。这种对不受信任供应商的关键外国产品和服务的依赖给我们的数字生态系统带来了多个系统性风险来源。缓解这种风险需要国内外公共和私营部门之间的长期战略合作,以重新平衡全球供应链,使其更加透明、安全、有弹性和可信赖。
关键的输入、组件和系统必须越来越多地在国内开发,或者与盟国以及与我们共享开放、自由、全球、可互操作、可靠和安全的互联网的合作伙伴密切协调开发。在国家5G安全战略的基础上,我们正与我们的合作伙伴合作,为5G和下一代无线网络开发安全、可靠和可信赖的供应链。包括通过开放无线接入网(OpenRAN)和合作举措实现供应商多样化。这些努力包括:国防部通过数百万美元的智能仓库和物流项目,对多个基地的开放式RAN实施进行测试,以及国家电信和信息管理局(NTIA)通过公共无线供应链创新基金促进开放、互操作和基于标准的网络的开发和采用。将这一模式扩展到其他关键技术将需要国内外公共和私营部门之间的长期战略合作,以重新平衡全球供应链,使其更安全、更具弹性和更值得信赖。两党基础设施法规定,联邦资助的项目,包括数字基础设施项目,必须“建设美国,购买美国”。通过14017号行政令、“美国的供应链”、《芯片和科学法案》和《通胀削减法案》,联邦政府引入了新的工业和创新战略工具,以帮助恢复美国及其亲密伙伴的关键产品生产,同时确保我们的信息技术和先进制造业供应链的安全。
美国将与我们的盟国和合作伙伴合作,包括通过IPEF、四方关键和新兴技术工作组和TTC等区域伙伴关系,确定和实施跨界供应链风险管理方面的最佳做法,并努力使供应链通过伙伴国家和受信任的供应商流动。这一行动将优先考虑各种因素,以促进更高水平的合作,以确保数字技术能够按预期运行,并吸引各国支持开放、自由、全球、可互操作、可靠和安全互联网的共同愿景。国务院将通过新的国际技术安全和创新基金进一步加快这一进程,以支持建立安全多样的半导体和电信供应链。最后,通过实施13873号行政令,“保障信息和通信技术及服务供应链”以及14034号行政令《保护美国人的敏感数据不受外国对手攻击》,我们将努力防止信息和通信技术及受敌对政府控制或影响的服务给我们的国家安全带来不可接受和不当的风险。
七、实施要点
要实现本战略中概述的战略目标,需要高度重视实施。在NSC工作人员的监督下,ONCD将与OMB协调实施这一战略。ONCD将与机构间合作伙伴合作,制定并发布实施计划,以确定实施该战略所需的联邦工作路线。如果实施该战略需要审查现有政策或制定新政策,国家安全委员会工作人员将通过国家安全备忘录-2“更新国家安全委员会系统”中所述的过程来领导这项工作。
(一)评估成效
在实施这一战略时,联邦政府将采取数据驱动的方法。我们将衡量所做的投资、我们在实施方面的进展以及这些努力的最终结果和成效。ONCD将与NSC工作人员、OMB以及各部门和机构协调,评估该战略的有效性,并每年向总统、总统国家安全事务助理和国会报告该战略、相关政策的有效性以及实现其目标的后续行动。
(二)吸取经验教训
联邦政府将优先考虑从网络事件中吸取经验教训,并将这些经验教训应用于该战略的实施。CSRB于2022年夏天完成了对Log4j漏洞的第一次审查,在此期间,CSRB汇编了一份关于所发生事件的权威报告,从发现漏洞到历史上最大规模网络事件响应的进展。CSRB还根据审查发现的内容向行业、联邦机构和软件开发社区提供了明确、可操作的建议,以便社区在未来得到更好的保护。
当委员会审查结束时,联邦政府将在可能的情况下通过行政行动改进其自己的作战纲要建议,并将与国会合作,在必要时加强权力。联邦机构还将促进和扩大CSRB针对私营部门网络维护者的建议。除了CSRB之外,还需要更广泛的国家努力,从网络事件中吸取教训。鼓励监管机构将事故审查程序纳入其监管框架。还鼓励CISA和执法机构建立程序,定期从其调查和事件响应活动中吸取经验教训。同样,鼓励私营公司进行这些审查,并分享其努力的结果,以告知这一战略的实施情况。
(三)推动投资
维护一个开放、自由、全球、可互操作、可靠和安全的互联网,建设一个更具防御力和韧性的数字生态系统,需要联邦政府、盟友和合作伙伴以及私营部门进行世代投资。该战略中包含的许多联邦行动旨在增加私营部门在安全、复原力、改进合作以及研发方面的投资。为了让联邦机构支持其私营部门合作伙伴并提高其执行基本联邦任务的能力,这将需要有针对性的投资。为指导这项投资,ONCD和OMB将联合向各部门和机构发布网络安全预算优先事项年度指南,以推进政府的战略方针。ONCD将与OMB合作,确保部门和机构预算提案的一致性,以实现本战略中规定的目标。政府将与国会合作,资助网络安全活动,以跟上网络生态系统固有的变化速度。
供稿:三十所信息中心
关注公众号,回复关键词“美国网络安全战略”,获取中英文报告全文
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
