美国频繁发布政策争夺网络安全主动权

拜登执政以来，美频繁出台网络安全、网络供应链等方面政策文件，以确保本土关键设施网络安全，预防网络安全事件风险，重夺网络安全主动权。美相关措施将加剧网络供应链逆全球化，将深刻影响全球网络安全形势和大国竞争格局，值得高度警惕。

基本情况

美国为巩固网络安全主导权，频繁颁布行政命令、配套文件、法案、实体清单等，构建网络安全政策体系。

美国颁布政令加强网络安全顶层指导。一是提出网络安全务实措施，统筹网络安全重点工作。2021年5月，拜登签署《关于改善国家网络安全》行政令，要求加强网络安全政策指导，增加政府与私营机构合作；加强网络空间威胁信息共享，防范网络安全事件；实施零信任架构，加快云服务安全化，推进网络安全方法现代化；增加商业软件开发透明度，加强网络供应链安全；设立网络安全审查委员会，加强对重大网络事件、威胁活动、漏洞修复和机构响应等活动的审查和评估；制定网络事件响应流程，加强网络安全事件响应流程标准化；加强网络安全漏洞检测，提高联邦政府对网络漏洞和网络威胁的认识与检测能力；加强网络安全事件调查和系统修复能力；加强国家安全系统网络安全。

美白宫发布《关于改善国家网络安全》行政令

二是首次提出“国家安全系统”网络安全要求，填补政策空白。2022年1月，美白宫发布《关于改善国家安全、国防和情报系统网络安全》备忘录，明确国家安全系统网络防护要求；授权国家安全局制定相关标准，制定相关操作指令；加强国家安全系统风险感知能力；制定云系统网络事件响应框架，规范网络安全事件处理流程；发布新版网络安全政策；并列出相关豁免情况。

美国细化实操文件推动网络安全政策执行。一是制定国防领域网络安全管理相关标准，推动顶层政策落地。2021年11月，美国防部发布“网络安全成熟度模型认证”2.0版。该模型是国防工业基地承包商培训、认证和第三方评估的框架，旨在建立国防工业承包商必须执行的网络安全要求及标准。模型2.0版本提出了国防部对最高优先事项项目供应商的评估要求，明确了“网络生态系统”的评估标准，最小化安全合规的障碍，提高项目执行层面的整体操作性。

《关于改善国家安全、国防和情报系统网络安全》

备忘录封面

2022年7月，美数字制造与网络安全机构发布“网络安全成熟度模型认证”2.0版手册，提供网络安全实践入门指南，指导国防领域网络供应商遵守相关要求。该手册围绕访问控制、身份认证、介质保护、物理保护、系统与通信保护、系统与信息完整性等6个领域，列出了17项网络安全实践并标定了相关难度，为国防承包商年度自我评估提供指导，以保护联邦合同信息安全和网络安全。

二是加强网络安全分段管理，避免网络风险沿供应链扩散。2022年5月，美国家标准技术研究院发布《系统和组织网络安全供应链风险管理实践》，指导政府机构和供应商，针对网络供应链的设计、研发、维护等环节，实施有效风险管理。该文件聚焦网络供应链安全问题，为各类组织提供了识别、评估和缓解其各级网络供应链中安全风险的具体操作指南，概括了网络供应链风险管理的层次及操作方法，并要求将其整合到企业风险管理过程中，包括制定网络供应链安全战略实施计划、网络供应链安全策略、网络供应链安全计划以及产品和服务的网络供应链安全风险评估等。该文件在具体过程上给出了明确的方法及文档化工具，具备很强的可操作性及参考性。

美国出台法案促进网络供应链安全。一是加大半导体产业资金支持力度，推动网络供应链回归本土。2022年8月，拜登签署《芯片与科学法案》。该法案分为两部分。第一部分围绕芯片与半导体，提出向本土半导体研发与制造企业提供约527亿美元补贴，并向在美投资半导体行业提供25%税收抵免，以推动核心网络组件供应链重回本土，进一步强化本土网络安全。第二部分围绕关键技术和新兴技术研发，为国家科学基金会、国家标准与技术研究院和能源部科学办公室等设定科研目标，以推动半导体、量子计算、人工智能等创新与发展。

二是发布半导体领域实体清单，限制对华半导体出口，在网络供应链中推行去中国化。2021年11月，美商务部修订“军事最终用户”实体清单，将中芯国际、中科微电子等12家中企列入，遏制中国半导体产业发展，以提高美国在全球半导体市场占有率，确保美本土网络安全。

几点认识

美国逐步修正“重攻轻防”网络策略，转向“攻守平衡”。特朗普执政时期，美在网络空间领域提倡“以攻为守”，网络司令部更是提出了“持续交锋”“前出防御”等作战概念。2020年以来，“太阳风”“科洛尼尔输油管”等网络安全事件频发，让白宫重新审视“重攻轻防”的网络策略。拜登政府持续强调网络安全，通过推行更全面的政策与标准，建立网络安全事件标准化响应流程等，加强网络安全管理，寻求网络空间“攻守平衡”。

美国防部发布“网络安全成熟度模型认证”

美国加快完善政策体系，补齐网络安全短板。美频繁出台网络安全政策文件，已基本覆盖非国家安全系统、国家安全系统和网络供应链等网络安全领域。此外，美政府还陆续出台操作层面的配套指南、手册等，建立起一套全面、实用的网络安全工具箱。在政策指导下，美重点加强网络组件供应、网络漏洞检测等网络安全工作，提前在网络安全薄弱环节部署防御措施，能够有效补齐网络安全短板。

美国加强私营企业管控，提高网络事件应对能力。美更加重视私营企业管控，加强基础设施网络安全。美国大部分关键基础设施网络系统由私营企业负责运营，而政府发挥辅助作用，这导致网络事件突发时，政府难以及时获取事态信息，削弱了关键基础设施网络防护能力。美频繁出台政策文件，通过推行标准合同、建立网络安全事件标准化响应流程等手段，加强对私营企业的管控，能够确保政府相关网络安全管理举措和机制的落地。

美白宫发布《芯片与科学法案》

美国积极抢占网络安全主导权，旨在备战大国竞争。当前，网络作战已成为现代战争重要作战方式。网络空间作战具备成本低、隐蔽性强、效果显著等特点，能够有效致瘫敌方关键基础设施和军事设施网络，延缓敌方军事部署。为此，美国将网络安全作为优先事项，积极抢占网络安全主导权，以备战大国高端战争。

结 语

在复杂网络安全形势下，应加快健全网络安全政策与标准体系，持续加强军事系统网络安全防护，不断强化平战一体的网络演训能力，应对可能出现的网络安全风险。

完善网络空间政策与标准体系。一是持续健全政策法规体系，强化网络空间顶层指导。系统筛查国防领域网络安全管理薄弱点，持续深化军事网络在研发、生产、采购、维护等环节的安全治理研究，建立更加全面的政策法规体系。二是强化标准支撑，加快构建军事网络安全标准体系。聚焦国防电子元器件等关键领域，推动设立国防供应商网络安全评估标准体系，并加强跨行业通用标准整合修订。

加强军事系统网络安全防护。军事系统网络安全防护是国家网络空间防护的核心，是慑止对手对关键基础设施采取冒险行动的关键。其中，指挥系统、武器系统和作战流程中的网络安全防护尤其重要。大国竞争背景下，对手前沿部署网络力量，正在实施持续交锋作战行动。应基于“敌已进入、敌正进入”的前提假设，不断加强军事网络与系统的检查评估、监测预警和应急响应，确保军事系统网络安全。

强化平战一体的网络演训能力。应深刻体察网络空间攻防无时空拘束、破坏力巨大等特点，高度重视网络攻防作战演训能力建设。结合典型作战场景，持续建设大型网络靶场，设置不同阶段的网络培训课程，开展不同环境下的网络攻防演训，不断强化网络部队网络侦察、网络机动、网络攻击溯源、网络防御等方面的作战能力，加快形成网络空间领域对敌震慑力。

版权声明：本文刊于2023年1期《军事文摘》杂志，作者：黄锋，樊伟，如需转载请务必注明“转自《军事文摘》”。

声明：本文来自军事文摘，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。