2023年以来,美西方国家频繁发布涉网络空间战略政策指令,聚焦强化国家和军队网络安全建设、获取网络空间竞争优势、优化调整网络空间行动、加强网络人才队伍建设、推动新兴技术转化应用等方面,从全局的高度制定长远战略目标和发展方向,并配套发布相应的计划和措施,谋求塑造先发优势,抢占网络空间主导地位。

01 颁布国家级战略政策,重塑网络安全顶层设计

美国、德国、比利时、澳大利亚等国发布新版国家网络安全战略、实施计划及相关政策文件,针对网络安全威胁的新形势和新发展,调整国家网络安全整体方法,明确未来重点发展领域和方向,通过凝聚国家整体力量提升国家网络安全建设水平。

美国政府3月2日正式发布新版《美国国家网络安全战略》,提出了改善全国数字安全的整体方法,旨在帮助美国准备和应对新出现的网络威胁。新战略围绕五大支柱展开:一是捍卫关键基础设施;二是打击和瓦解威胁行为者;三是通过市场力量推动安全和弹性;四是加强对未来弹性的投资;五是发展网络空间国际伙伴关系。该战略文件较前任数位美国总统签署的类似文件存在两个方面的重大差异:一是由以自愿措施为中心转向强调政府监管。以往战略侧重于信息共享和公私伙伴关系等自愿措施,但新版战略强调政府将继续利用现有权力,并与国会合作填补监管空白,旨在利用法规来强化国家安全和公共安全。二是授权对针对美国目标的网络攻击采取“先发制人”式的攻击行动。该战略授权美国国防、情报和执法机构开展攻击性活动,入侵犯罪分子和外国政府的计算机网络,以对针对美国网络的攻击活动开展报复性或先发制人式的行动,目标是让恶意行为者无法发起威胁到美国国家安全或公共安全的持续网络活动。

美国白宫行政管理和预算局(OMB)和国家网络总监办公室6月27日联合发布主题为“2025财年网络安全预算优先事项”的备忘录,概述了美联邦政府在制定2025财年预算时,需根据国家网络安全战略的5大支柱,优先考虑落实网络安全领域的5项重点任务。根据备忘录,5项重点任务与美国家网络安全战略5大支柱保持一致。在保护关键基础设施方面,提出打造现代化的联邦防御、提高网络安全基础要求并扩大公私合作;在打击和瓦解威胁行为者方面,重点提出打击网络犯罪,尤其是勒索软件问题;在塑造市场力量以推动安全和弹性方面,提出保护软件并利用联邦采购来强化问责以及利用联邦拨款和其他激励措施建立安全保障;在投资有弹性的未来方面,提出加强网络劳动力以及为后量子时代做好准备;在打造国际伙伴关系以实现共同目标方面,提出加强国际合作伙伴的能力和美援助能力,以及确保信息、通信和运营技术产品与服务的全球供应链安全。

美国家网络总监办公室7月13日发布了全面的《美国国家网络安全战略实施计划》,为18个不同的政府机构设定了实施变革的最后期限,旨在实行更加健全和简化的网络安全监管,同时增强企业保护关键基础设施免受网络攻击的责任。该文件是实现《美国国家网络安全战略》的“路线图”,其主要关注目标为:确保公共和私营部门中“最大、最有能力、最有利的实体”承担更多降低网络风险的责任;增加对网络安全长期投资的激励措施。该文件内容完全对应《国家网络安全战略》框架,在5大支柱下将69项任务和期限分配给负责实施改革的各机构。

美国家安全委员会关键基础设施网络安全主管乔纳森·墨菲11月16日表示,涉及联邦政府如何管理16个关键基础设施部门并与之互动的第21号总统政策指令将被重新编写,其中将更明确界定政府机构的角色。乔纳森·墨菲表示,对第21号总统政策指令《网络基础设施安全与弹性》的重编将强调网络安全和基础设施安全局(CISA)日益重要的作用;修订将确保监督关键部门的行业风险管理机构积极的愿景,以及如何执行这一职责;美政府正在检查所有16个基础设施部门,以确定存在哪些杠杆,使联邦政府能够取得积极、可靠的成果,并为这些关键基础设施部门设定最低的网络安全要求;白宫正通过国家网络总监办公室和白宫行政管理和预算局,探索如何协调这16个部门的现有网络安全法规。

比利时网络安全中心(CCB)2月15日宣布,作为国家网络安全战略实施的一部分,比利时采用了新的漏洞寻找和报告法律框架。该框架允许任何自然人或法人在没有欺诈或恶意意图的情况下调查和报告位于比利时网络和信息系统中的现有漏洞,前提是严格遵守某些条件。该框架使比利时成为除荷兰、法国和立陶宛外的第四个允许网络安全研究人员向组织和政府合法报告软件和硬件漏洞的欧洲国家。CCB(比利时国家CSIRT)宣布,在搜索和报告漏洞方面必须履行的义务包括:一是不得采取超出必要和相称的行动来验证漏洞的存在;二是行为不得有欺诈意图或伤害设计;三是在发现潜在漏洞后(最迟在向CSIRT报告时),必须尽快通知负责该漏洞的系统、流程或控制的组织;四是必须尽快以书面形式向CCB报告发现的漏洞;五是未经国家CSIRT(CCB)同意,不得公开披露有关已发现漏洞的信息。

德国政府6月14日发布的战后首份《德国国家安全战略》排除将“黑客攻击”作为积极的网络防御模式,并表示“原则上拒绝将黑客攻击作为网络防御手段”。根据该战略,德国在“综合安全”理念下将内外安全威胁综合到一个整体概念中,网络安全也在其中占据重要地位。德国总理舒尔茨在新闻发布会上表示,“国家的核心任务是确保德国公民安全,这不仅事关国防和武装部队,也与网络防御和弹性密切相关”。

澳大利亚政府11月22日发布了《2023-2030年澳大利亚网络安全战略》,旨在帮助澳大利亚政府实现到2030年成为世界网络安全领导者的愿景。澳政府表示,为实现上述愿景,需要保护澳大利亚民众;通过该战略,澳政府寻求改善网络安全,管理网络风险,并更好支持公民和澳企业管理其网络环境;澳将利用6个“网络盾牌”,为抵御网络威胁提供多层防护,并将澳公民和企业置于核心地位。澳大利亚政府表示,该战略将改变“澳大利亚网络安全的游戏规则”,即:将网络从一个技术话题转变为全民努力,重点是为平民和行业提供更好支持;针对对澳大利亚社区和企业最重要的网络安全问题采取切实行动;通过更强大的公私合作伙伴关系,调动整个国家的力量来解决网络问题。该战略提出的6个“网络盾牌”包括:一是强大的企业和公民;二是安全技术;三是世界级的威胁共享和拦截;四是受保护的关键基础设施;五是主权能力;六是弹性的区域和全球领导地位。

作为对该战略的补充,澳大利亚政府还发布了《2023-2030年澳大利亚网络安全行动计划》,详细介绍了政府各部门将未来数年内启动的关键措施。根据计划,澳大利亚将分三个阶段实施网络安全战略:第一阶段(2023–2025年),将加强基础,解决“网络盾牌”中的关键漏洞,为最脆弱的公民和企业提供更好的保护,并支持地区的网络成熟度初步提升;第二阶段(2026–2028年),将扩大整个经济的网络成熟度,对更广泛的网络生态系统进行进一步投资,继续扩大网络产业并发展多元化的网络劳动力;第三阶段(2029–2030年),将推进网络安全的全球前沿,领导新兴网络技术的发展以适应网络环境中的新风险和机遇。

02 发布军事性战略指针,谋求国防网络竞争优势

美国、英国发布涉及国防网络的战略和政策,就网络作战目标、网络部队发展、网络安全建设、信息环境作战等方面进行全面部署、合理规划和精确指导,为提高军队网络作战能力和水平提供了根本遵循。

英国政府4月4日发布题为《国家网络部队:实践中负责任的网络力量》报告,阐述英国国家网络部队(NCF)的成立背景、操作环境、操作原则、操作类型及示例、操作规划要素、未来发展重点及挑战,为了解英国网络部队战略、战术和行动提供了重要参考。文件称,网络操作复杂且具有挑战性,NCF核心操作原则包括三项:一是负责的;二是精确的;三是校准的。NCF主要操作方法包括六种:一是网络行动和认知效应;二是影响活动;三是动态且有针对性的操作;四是协调行动;五是军事整合;六是能力发展。NCF的操作类型分为三大类:一是打击来自恐怖分子、罪犯和国家利用互联网跨境操作构成的威胁;二是应对破坏数据机密性、完整性和可用性以及用户有效使用系统的威胁;三是通过网络操作支持英国全方位的国防活动,并帮助实现英国的外交政策议程。NCF未来发展涉及三个关键要素:一是规模,NCF需要快速扩充人员和发展能力来满足政府目标;二是范围,NCF需要具备技术能力来应用全球对手及其所用的任何网络技术;三是整合,NCF必须与政府其他部门以及更广泛的合作伙伴和盟友有效整合。

美国网络司令部5月17日推出“掌控领域”新战略及优先事项。新战略包括三大驱动因素,即人员、伙伴关系和决定性优势。该战略的优先事项包括:一是通过战备就绪、随机应变和任务改进来增强世界级部队。通过招募、保留和装备作战人员来管理战备就绪的人才队伍;培养能够在当前冲突和未来挑战中与对手抗衡的随机应变人员队伍;提高执行任务能力并增强战斗节奏所不可或缺的能力。二是在竞争、危机和冲突中加强作战优势。通过与国家安全局合作来破坏对手计划并保卫家园;通过与作战司令部以及机构间、国际、业界和学术界伙伴合作来扩大和加强支持联合部队的优势。三是执行权力以建立和维持国家安全的决定性优势。行使网络司令部全部权力来支持任务,并发展步调一致、训练有素和战备就绪的联合网络任务部队。

美国防部9月12日正式发布非机密的《2023年美国防部网络战略摘要》。该战略从属于《2022年美国国家安全战略》和《2022年美国国防战略》,补充了《2023年美国国家网络安全战略》,继承发展并取代了《2018年美国防部网络战略》。该战略阐述了美国防部为应对当前和未来的网络威胁将采取的四项总体优先事项:一是保卫国家。美军将开展利用网络能力开展行动以深入了解恶意网络行为者,开展“前沿防御”以破坏和削弱上述行为者的能力和支持生态系统,并与跨部门合作伙伴合作加强美国关键基础设施的网络弹性并打击战备威胁。二是准备战斗并赢得战争。美军将确保军事信息网络的网络安全以及联合部队的网络弹性,并将利用网络空间作战产生非对称优势以支持联合部队的计划和行动。三是与盟友和合作伙伴合作保护网络域。美军将协助盟友和合作伙伴建设其网络能力和实力,扩大潜在网络合作途径,继续开展“前出狩猎”行动,并将通过鼓励遵守国际法和国际公认的网络空间规范来加强负责任的国家行为。四是在网络空间建立持久优势。美军将优化网络作战部队和现役网络部队的组织、训练和装备,并将投资于网络空间作战的推动因素,包括情报、科学技术、网络安全和文化。

美国防部太空政策办公室9月14日发布《太空政策审查和卫星保护战略》报告,定义了对美太空资产的威胁以及国防部计划如何使其免受损害,其中提及外国对手的网络威胁。该报告是美国防部绝密太空战略的非机密版本,“是保护太空国家安全利益的方法迄今为止最清晰、最全面的非机密表述。”报告多次提及网络问题:一是强调外国对手建设反太空网络能力的威胁;二是强调在威慑、应对和反击美国及其盟友太空行动的威胁时,美军可通过保护和防御关键系统免受太空威胁来保证任务,其中网络安全在提高美太空架构弹性方面发挥着关键作用,而强化网络以抵御敌对网络行动是一项优先工作;三是强调在与其他领域政策审查的协调中,负责太空政策的助理国防部长的职责包含国防部的综合威慑战略能力,包括核武器、网络和导弹防御;四是强调太空系统网络防御是美国太空司令部指挥官确定的五个能力优先事项之一。

美国防部11月17日发布新版《美国防部信息环境作战战略(SOIE)》,旨在提高国防部规划、资助和应用信息力量的能力,以支持2022年美国国防战略的主要目标。新版提供了国防部整体方法,以确保改进信息部队和信息能力、作战、活动、计划和技术的整合和监督,从而使国防部能够在全球范围内跨所有领域提高其在信息环境中和通过信息环境开展活动的能力,利用电磁频谱(EMS)实现持久的战略成果。新战略确定了四大工作方向,旨在在整个国防部内全面整合信息环境作战并使之现代化。包括:一是人员与组织。具体任务包括:教育和培训美国防部来领导和开展信息环境作战;培养、保留和跟踪信息部队和规划人员,以实现信息环境作战的有效运作;指定信息部队提供机构和联合信息部队训练机构。二是计划。具体任务包括:提高信息环境作战能力的发展;发展敏捷、完全集成的信息环境作战基础设施;将信息环境作战纳入规划、作战和评估;为信息环境作战提供情报支持。三是政策与治理。具体任务包括:监控和提高美国防部实施信息环境作战的能力;制定和调整信息环境作战相关概念、政策、优先事项和指南;持续评估和更新当前信息部队的流程、条令、态势以及其支持信息环境作战的有效性;制定、更新权限和许可并去冲突,以实现有效的信息环境作战;确保信息环境作战的同步和管理,以保护美国民众和利益。四是合作伙伴关系。具体任务包括:在美国防部内部以及美国政府机构间合作伙伴、适当的非美国政府实体和国际合作伙伴间建立和维持合作伙伴关系,以实现更有效的整体信息环境作战;培养和增强伙伴关系的能力。

美国海军部11月21日发布了《美国海军部网络战略》,旨在指导海军和海军陆战队加强网络态势,利用网络领域的非动能效应实现海军部任务目标。该战略指出,美国海军和海军陆战队将通过综合威慑、战役行动和建立持久优势来推进和支持国防优先事项。在综合威慑方面,将通过零信任架构、深度防御、现代加密功能和增强、内部威胁预防和防御性网络操作来保护拒止策略所需的高价值资产,并防止对手破坏海军优势;加强对优先网络、关键基础设施、武器系统和平台的网络空间防御;发展可靠的进攻性网络空间和相关的非动能能力,以在拒止和弹性策略不足时惩罚不可接受的对手行为。在战役行动方向,将派遣能够可靠地开展网络空间行动的部队,以削弱竞争对手的恶意网络活动,包括准备在危机或冲突中使用的网络能力,并根据海洋领域调整其应用。在建立持久优势方面,将关注技术现代化和创新、民用和军用网络劳动力发展、将网络安全纳入采购过程以及保护工业基础免受网络利用。该战略还设定了旨在实现信息和网络空间优势的七大努力方向,包括:一是改善和支持网络劳动力;二是从合规性转向网络战备;三是捍卫体系信息技术、数据和网络;四是保护国防关键基础设施和武器系统;五是开展和促进网络作战;六是合作确保国防工业基础;七是促进合作与协作。

美国国会12月中旬通过《2024财年美国国防授权法案》,授权为2024财年国防开支提供8660亿美元。法案的“涉网络空间相关事项”章节为与美国军事网络活动、国防部网络劳动力和网络采购相关的各种事务制定了政策。重要内容包括:

网络作战方面,要求美国防部制订与外国作战伙伴共享网络能力和相关信息试点计划的绩效指标;要求美国防部协调和澄清战略网络安全计划及相关事项;要求美国防部修改网络作战特有能力发展项目运行和维护资金的使用权限;要求美国防部每季度提供关于联合全域指挥控制工作的简报;授予美国防部打击墨西哥跨国犯罪组织在网络空间非法贩运的权限;要求美国防部开发针对地理作战司令部的网络支持机制;要求美国防部提供关于国防部网络红队的审查和计划。

网络安全方面,要求美国防部承担国防工业基础网络安全和关键基础设施保护的责任;要求美国防部增强核指挥、控制和通信网络的网络安全;要求美国防部建立半导体供应链和网络安全协作中心试点计划;要求美国防部转让增强工业控制系统的态势感知能力(MOSAICS)计划下开发的数据和技术;要求美国防部实施网络边界和跨域防御网络攻击的现代化计划;要求美国防部将某些身份、凭证和访问管理活动列为在册项目;要求美国防部建立确保为军事突发事件提供关键基础设施支持的试点计划;要求美国防部与台湾开展军事网络安全合作;要求美国防部制订关于保护武装部队实验室安全的指南。

在信息技术和数据管理方面,要求美国防部控制和管理部门数据,并成立首席数字和人工智能官理事会;要求美国防部修改国防部体系网络数据产品和服务采购;要求美国防部首席数字和人工智能官管理数据资产;要求美国防部制订关于国防部某些媒体内容的数字内容来源验证的教育课程和试点计划;要求美国防部开展商业系统现代化有奖竞赛;要求美国防部向军事设施和国防部其他设施部署第五代信息和通信能力;要求美国防部制订数据链战略所需的政策。

在人员方面,要求美国防部建立与网络活动相关的学术参与办公室;美国防部发布积极响应重大网络事件的特定预备役命令;要求网络服务学院奖学金获得者在毕业后在情报界就业;要求美国防部确定每年通过国防部网络服务学院颁发的奖学金的最低数量;要求美国防部制订加强网络任务部队战备状态和有效性的试点计划和其他措施;授权美国防部开展民用网络安全储备试点计划;要美国防部对某些人员实施用户活动监控;要求美国防部开展网络任务部队职业弹性研究。

在人工智能方面,要求美国防部修改主要负责人工智能和机器学习的高级官员的采购权限;要求美国防部开展人工智能漏洞赏金计划;要求美国防部开展检测生成人工智能的使用并为其添加水印的技术有奖竞赛;要求美国防部制订与人工智能有关的计划、战略和其他事项;要求美国防部开展分析人工智能军事应用脆弱性的研究。

美媒12月消息曝光,在2022年美国防部秘密信息行动被曝光并引发争议后,美国防部暂停了美军在线信息行动后暂停并开展审查,美国政府随后制订了针对美军信息行动的新政策。美国政府对国防部的军事信息支持行动(MISO)实施了新级别的监督,包括跨机构内部的协调,开展相关行动须首先取得美国防部高级官员、中央情报局和国务院的批准授权。目前,美军作战司令部继续使用可识别的美国军事账户开展在线信息行动,但减少了利用虚假账户试图影响海外受众的做法。由于实施了监督和更严格的审查,美军在线信息行动的数量远低于以前的水平;美军不应取消在线信息行动,只需要确保“明智、合法地”开展行动。

03 制订实战化概念条令,提供网络空间作战指导

美国、北约发布军事条令和概念,就网络空间、信息空间和电磁频谱领域的军事活动做出明确定义,敲定网络作战、信息作战和电磁频谱作战的关键要素,寻求通过运用各类非动能部队和手段,提升网络空间作战的融合性和灵活性,确保网络空间威慑和战斗效果。

美媒5月消息曝光,美军2022年12月发布的联合出版物3-12(JP3-12)《网络空间作战》修订版明确定义了“远征网络空间作战”,标志着美军网络空间行动达到新的成熟度,同时表明美军需要发展更多的战术能力来触及当前网络部队可能无法访问的目标。新条令指出,“远征网络空间作战”是“需要在物理域内部署网络空间部队的网络空间操作”;在无法或不适合获取目标的远程访问权限时,需要利用远征网络作战近距离接触目标,此类操作是应对封闭网络和其他几乎隔离系统挑战的关键;远征网络作战通常更注重区域和战术,可以包括网络任务部队(CMF)或特种作战部队的单位;如果不能或不需要直接访问目标,有时可以通过间接访问来达到类似或部分效果;应与情报界协调相关影响和行动,从而消除情报获取与损失间的冲突;在同步与实现作战指挥官目标相关的网络空间行动任务时,可能需要前沿部署远征网络空间作战能力,从而能够同时支持多个作战司令部,以在全球近乎实时地应对威胁,这包括增强已前沿部署部队的网络能力、向已前沿部署部队部署网络能力或通过部署成熟团队来开展远征网络空间作战。

美国参谋长联席会议于8月27日发布了备受期待的新条令《联合出版物1第1卷:联合作战》,提供了有关联合部队战略方向、国防部及其主要组成部分职能的基本条令,以实施美军联合作战概念。美参谋长联席会议副主席克里斯托弗·格雷迪表示,美军将《联合作战概念3.0》落实到联合出版物,将其从概念转变为条令,“这标志着一种独特的范式变化”;《联合作战概念3.0》的重点是信息优势、指挥控制、联合火力、在竞争性后勤中获胜的能力以及扩展的机动能力;为赢得“争夺优势的关键战役”,美军必须通过融合多个领域传感器的信息来感知和理解作战环境,并将这些信息快速提供给决策者。

美国陆军11月27日推出首份仅关注军事行动信息维度的条令出版物《美国陆军条令出版物3-13(ADP 3-13):信息》,向陆军部队提供了使用、保护和攻击数据和信息以实现信息优势的整体框架。该条令描述了创建和利用信息优势的框架,规定了五项与信息相关的活动,以整合所有相关军事能力。具体包括:一是旨在提高指挥控制的启用信息活动;二是旨在保护数据、信息和网络的保护信息活动;三是旨在维护信任和信心的告知信息活动;四是旨在影响外国相关行为者行为的影响信息活动;五是旨在影响威胁方指挥控制的攻击信息活动。新条令指出,获得和利用信息优势涉及四个原则,包括:一是攻击导向;二是联合兵种;三是指挥官驱动;四是士兵启用。

美国空军2023年12月14日发布《美国空军条令出版物3-85:电磁频谱作战》,概述了电磁频谱的概念、术语、角色和责任、权限、操作以及对联合行动的重要性。该条令取代了2019年7月的《美国空军条令出版物3-51:电磁战和电磁频谱作战》,并与2020年5月的《美军联合出版物3-85:联合电磁频谱作战》保持一致。该条令概述了网络作战和电磁频谱作战的一体化。该条令指出,网络空间作战(CO)需要访问电磁频谱,因此需要电磁战(EW)和美国空军信息网络操作以及美国网络司令部间进行协调和同步,以最大限度地发挥协同效应;电磁频谱作战(EMSO)和网络空间能力的集成可确保优先级、同步和去冲突;大多数电磁频谱活动发生在网络空间外,但许多作战行动需要使用电磁频谱来建立与目标的通信路径,特别是在战术层面;支持网络空间作战(CO)的电磁频谱作战(EMSO)活动示例包括识别支持威胁方网络空间作战的天线位置和电磁波形的利用能力、通过向目标传送自主或交互式可执行网络空间作战有效载荷来促进网络空间攻击目标的攻击能力、确保网络空间作战活动与电磁作战环境中的其他军事电磁频谱活动不发生冲突的管理能力;通过电磁频谱开展的网络空间攻击应消除与其他电磁攻击(EA)的冲突,以优化各类火力;为尽量减少重叠,网络空间攻击协调的主要由空中作战中心的信息战团队(IWT)和网络空间部队主管(DIRCYBERFOR)团队负责;联合电磁频谱作战单位(JEMSOC)应向网络空间作战(CO)提供批准的频率分配,联合电磁频谱作战规划人员应审查网络空间作战(CO)计划,以确保与电磁保护(EP)活动同步。

北约成员国7月在立陶宛举行的2023年维尔纽斯峰会上批准了新的网络防御概念和机制,使得军事网络防御者在和平时期发挥更大的作用,同时将私营部门的能力永久整合到联盟打击恶意国家支持的黑客行为的努力中。此次峰会产生了两个可交付成果:一是修改版《网络防御承诺》文件。此文件专注于事前预防,其内容不再仅限于要求各盟友实施的措施,还将纳入国家目标、最低要求和必备事项。该文件附加了一个成熟度模型,可用于衡量盟友网络准备情况,从而可以了解整个联盟的差距,并通过盟友互助的方式来弥补差距。二是虚拟网络事件支持能力(VCISC)。VCISC机制着眼于事后补救,旨在借助盟友以及业界的力量来帮助受影响的盟友恢复,并缓解正在发生的恶意网络活动。

04 公布综合性框架计划,夯实扩大网络人才基础

美国、乌克兰等国发布战略、框架、计划文件并提出拟议法案,定义了网络劳动力的主要种类、专业领域和工作角色,为加强网络人才的培养、发现、招聘和保留提供了路线图,旨在解决网络劳动力挑战,为国家和军队夯实和扩大网络人才基础。

美国防部2月15日发布《美国防部手册8140.03:网络空间劳动力资格和管理计划》,为实现国防部网络劳动力现代化的更有针对性和更灵活的方法提供了更多针对特定角色的要求。该计划是美国防部网络人才政策系列的第三期,提供了一种有针对性的、基于角色的方法来识别、培养和鉴定网络人员。该政策系列根据角色和熟练程度创建了基线要求,以加强整个国防部的网络空间任务准备。该计划旨在培养一支对网络空间功能的概念、原则和应用有共同理解的网络空间劳动力,以增强跨组织和任务集的互操作性。根据该计划,网络安全知识、技能和能力将纳入每个网络劳动力角色的资格要求。该计划由基础资格领域、常驻资格领域和持续专业发展构成。工作人员必须满足每个角色所需熟练程度(可分为基础、中级或高级)的基础和适用资格,并且国防部详细说明了各级别的要求。随着国防部手册8140.03的实施,美国防部各部门将有一系列广泛的选择来管理和培养信息技术、网络安全、网络效应、网络情报和网络使能领域的合格网络劳动力。

美国防部首席信息官约翰·谢尔曼2月15日发布《美国防部网络劳动力框架(DCWF)》。该框架建立在国家网络安全教育倡议(NICE)网络安全劳动力框架和美国防部的联合网络空间培训和认证标准的基础上,以建立“基于个人正在执行的工作的权威词典,而非其职位名称、职业系列或代号”。此举旨在使美国防部能够更好地跟踪其执行IT和基于网络工作的员工队伍。该框架根据最新更新的国防部手册8140中的定义描述了上述角色,涉及7大类、33个专业领域和54个工作角色。该框架还附带一个在线“工具”,以帮助利益相关者在该框架下确定网络劳动力的识别、管理和组织。各工作角色均有一个自身定义以及一份描述了执行关键职能所需条件的具有代表性的任务和知识、技能和能力列表。美国防部表示,新框架还旨在用于“支持国防部范围内的其他一些劳动力管理和规划活动。例如,它可用于促进供需分析、制定有针对性的招聘和保留策略、开发横向和纵向的职业道路以及实现制订文职职位描述的标准化。因此,DCWF是一支有能力且准备就绪的网络劳动力的重要组成部分。”

美国防部3月9日发布《美国防部2023年至2027年网络劳动力战略》,旨在提供一个通过招聘、培训和留住最优秀的人才来增加和改善其网络劳动力的路线图。美国防部8月3日还发布了网络劳动力战略实施计划,其内容与网络劳动力战略在目标和举措上保持一致,以确保成功实施该战略。该战略概述了四大人力资本支柱,包括:识别,即确定劳动力需求或要求以及满足这些需求的潜在或现有劳动力;招聘,即识别和吸引满足任务要求所需的人才;发展,即了解个人和团队的绩效要求并提供必要的机会和资源来满足上述绩效要求;保留,即采用激励计划以留住人才。新战略确定了四大劳动力目标以实现该战略的使命和愿景,包括:一是执行一致的能力评估和分析流程,以保持对部队需求的领先;二是建立整体人才管理计划,以更好地使部队能力与当前和未来的需求保持一致;三是促进文化转变,以优化国防部人事管理活动;四是促进协作和伙伴关系,以加强能力发展、操作效率和职业拓展经验。

该战略列出了四项支柱存在挑战,包括:缺乏关于网络劳动力需求的通用标准;需要根据填补能力差距的技能有针对性地识别候选人;能力评估和增强计划的可用性有限;在本已有限的人才管道中流失高技能人才。为了解决上述挑战,美国防部正在实施六项举措,从而能够应对当前和未来的网络挑战。包括:一是建立标准并分配管理网络劳动力的责任;二是使用国防部网络劳动力框架对网络劳动力职位进行编码;三是创建一个可重复的审查流程以检查网络劳动力的要求和能力;四是寻求其他权限以帮助激励和提供灵活的能力来招募和留住文职网络人员;五是通过当前和未来的计划扩大网络劳动力的发展和教育以吸引、留住和培养人才;六是整合和推进整个国防部的数据分析能力以支持高层领导重要政策和方案制定。

美国参议员杰基·罗森和玛莎·布莱克本3月提出建立平民网络安全预备队法案。该法案提议在国防部和国土安全部内建立平民网络安全预备试点计划,以帮助在全国高技能网络安全人员短缺的情况下增强联邦政府的网络弹性。该法案将使国防部和国土安全部能够招募合格的平民人员担任预备人员,以确保美国政府拥有击败、阻止或应对恶意网络活动所需的人才,尤其是在最需要的时候。参加预备役计划是自愿的,仅限受邀者,并且不包括军事选定预备队成员。

美媒3月报道,乌克兰政府正在起草一项新法律,将志愿黑客“IT军队”纳入武装部队,旨在结束其在法律灰色地带的地位不确定性。如果此项法律获得通过,乌克兰将加入以芬兰和爱沙尼亚为首的少数其他西方国家的行列,拥有一支全面的后备网络部队以增强其正规军队。乌克兰国家网络安全协调中心秘书娜塔莉亚·特卡丘克表示,应尽快通过关于在乌克兰国防部内建立和运作网络部队的法律,新法律将成为建立国家网络防御能力、让网络志愿者参与相关活动以及建立网络预备役的基础;由军方训练的民间网络专家组成的队伍可以在网络威胁增加或冲突时被动员保卫国家。乌克兰“IT军队”表示,该组织利益将在起草过程中由数字化转型部代表,完全相信为网络领域大规模斗争合法化所做的努力,对不再处于“灰色地带”持欢迎态度,相信将“IT军队”整合到网络预备役中将有助于建立更有效的网络威胁防御体系。

美国防信息系统局(DISA)6月1日发布《劳动力2025计划》,旨在调整培训、招聘和留用工作,提升人员能力,以应对外国对手构成的挑战。新版计划旨在支持2022年国防战略的劳动力需求,寻求组建一支具备知识和决策能力的员工队伍,以在复杂的全球环境中创造性地解决国家安全挑战。新版计划重点列出4项主要工作:一是为员工提供新的培训工具、活动和计划,使得员工能够访问国防部首席信息官资料库并参与基于真实事件的桌面演习;二是通过在不同领域的非正式轮换,帮助员工扩展能力,获取全新知识和特定技能,并开发结构化的人员安置流程,以快速利用员工获取的技能;三是对办公室进行现代化改造并创建免费的本地实验室环境,以进行实验和学习;四是尝试提升自身“品牌”以招募更多人才,以及充分利用外部合作伙伴关系。

美国白宫7月31日发布《美国国家网络劳动力和教育战略》(NCWES)。该战略提出4大支柱:一是让每个美国人都具备基本的网络技能。美政府的总体目标包括向所有人提供基础网络技能学习机会,促进对基础网络技能和网络职业的追求,促进基础网络技能的全球进步。二是变革网络教育。美政府呼吁全国教育系统建立和利用生态系统来改善网络教育,从K-12教育到高等教育、社区学院和技术学校;扩大基于能力的网络教育;投资教育工作者并改善网络教育系统等。三是扩大和增强美国的网络劳动力。包括通过扩散和强化生态系统来发展网络劳动力,促进基于技能的招聘和劳动力发展,利用美国的多样性来加强网络劳动力,以及加强国际参与。四是加强联邦网络工作队伍。包括吸引和雇佣合格且多样化的联邦网络劳动力,改善联邦网络劳动力的职业道路,投资于人力资源能力和人员。

05 推出前瞻性指令文件,规范网信技术转化应用

美国防部、各军种及网络司令部发布路线图、实施计划、技术指南、备忘录等指令文件,寻求通过规范标准引导网信技术的军事转化应用,为采购和采用信息技术和产品提供方法指引,为加强部队的信息化、数字化转型提供标准化支撑。

美国空军部2月公开发布了其全面的整体信息技术路线图。该计划确定了添加必要技术解决方案的具体里程碑,例如零信任和身份管理。该路线图提供了空军部计划在未来几年解决的10个核心领域,包括:零信任架构;身份、认证和访问管理(ICAM);软件定义的广域网;核心服务;混合云和边缘云;通往云的途径;数据结构;劳动力自动化。空军部将首先推进零信任和ICAM,因为这两项是最难解决的能力。对于与软件定义广域网相关的解决方案,空军部预计将在5月前确定具体计划并起草里程碑。空军部计划在6月前确定核心服务能力和任何相关的子组件,在夏季晚些时候确定通往云、数据结构、劳动力自动化以及混合云和边缘云的途径所需的首批关键能力。

美国防部3月29日发布《美国防部软件现代化实施计划概要》,以实施国防部软件现代化战略目标并开发能力以简化软件交付工作。该实施计划概述了有助于促进该机构软件现代化目标的持续规划和管理的基础,包括2023和2024财年的优先任务,具体包括:一是加速国防部整体云环境,涉及到增加整体批准云的采用、提供云边缘能力、实现安全和联网的现代化云环境;二是建立全系软件工厂生态系统,涉及优化和增加软件工厂生态系统的采用、在DevSecOps组织间实现信任和共享、推进软件功能和数据的访问和互操作性、推动软件开发创新;三是转变流程以实现弹性和速度,涉及实施持续授权、提高采办实施的敏捷性、发展和扩大数字劳动力。

美国防部4月7日发布《美国防部8310.01指示:美国防部信息技术标准》。新版标准文件共38页,较2017年旧版文件增加了约10页,并进行了多项修订、删除和添加。作为自2017年以来对这一庞大政策指令的首次更新,该标准适用于所有国家安全系统和国防业务系统。美国防部首席信息官发言人杰西卡·麦克纳尔蒂表示,更新文件更加清晰,并更加强调IT标准的价值,以提供可互操作、可重复使用、便携、安全和创新的国防部IT解决方案。

美国网络司令部5月9日发布非机密更新文件《美国网络司令部挑战问题集》,旨在促进与更广泛的合作伙伴和科技界的对接,共同努力寻找针对复杂问题的新颖解决方案。网络司令部希望利用相关挑战问题来确定和共享重新发布和更新指令的要求,以支持网络司令部的行动、工作和总体任务。相较2020年版技术挑战问题集,新版文件保持了原有的六大领域,但各领域挑战问题由41项缩减至26项,具体的内容也有较大调整。具体包括:

一是漏洞与利用。重点问题包括:以自动化或加速的方式修补新发现的漏洞;快速发现软硬件漏洞;快速准确地发现网络上的异常活动和其他恶意入侵迹象;实时识别多态恶意软件;加强SCADA和ICS网络的安全。二是网络安全、监控和可视化。重点问题包括:自动网络映射;深度网络知识和感知;通过用户活动监控检测内部威胁攻击或未经授权的活动;通过重新设计网络架构建立可防御的网络。三是建模和预测性分析。重点问题包括:理解、建模和预测信息环境;识别攻击性和防御性网络操作环境中的异常行为;利用自动化解决方案发现系统中漏洞并应用防御措施;通过识别并描述对手的行为和潜在的攻击向量支持攻防行动;通过预测性漏洞分析确保解决方案能够达成预期目的;创建可用于网络部队模拟演练和技能测试的合成和威胁代表性环境。四是角色和身份。重点问题包括:识别对手使用伪装技术和在线角色的方法及其躲避检测的机制;了解多重身份验证的漏洞;打击区块链和加密货币的敌对使用和利用;通过区块链和加密货币链接来追溯对手;识别并追溯恶意虚假角色和消息。五是跨领域的渗透性和敏捷性。重点问题包括:在共享、安全和不安全的环境中与其他政府、行业和学术实体协作;通过自动化或半自动化系统确保与外部合作伙伴的共享与协作以及机密来源和方法的保护;大规模使用网络能力来支持未来作战环境中的动能作战。六是基础设施和传输。重点问题包括:动态的、任务可配置的、匿名的数据收集和传输;网络知识存储系统;识别关键资产的自动化解决方案、工具和能力。

美国防部首席信息官约翰·谢尔曼6月1日批准《美国防部指示5000.82:数字能力采购要求》,更新了国防部关于软件和技术的采购指示,废止了名为“信息技术获取”的2020年版本文件。美国防部发言人表示,文件名称从“信息技术”替换为“数字能力”,反映出首席信息官的认知变化,表明信息技术不仅是一项后台能力,也不仅适用于网络和计算机的传统概念,还适用于涉及频谱需求、云服务和软件的业务和武器能力。该指示整合了采办工作的信息政策要求,支持了国防部自适应采办框架的政策重组,并可更好与其他政策法规更新保持一致。具体来说,该文件制定政策、分配职责并提供获取数字能力的程序;为自适应采办框架的实施路径分配有关采办数字能力的计划职责;描述了主要采购官员在采购信息技术项目时的责任和程序。新版文件增加内容涉及软件和云基础设施采购,其中包括针对美国防部组成机构的指令,希望借此充分利用云服务以符合并实现国防部数字现代化战略目标。

美国防部融合联合全域指挥控制(CJADC2)跨职能小组(CFT)主席苏珊·布赖尔乔伊纳于7月19日表示,美国防部正在更新其联合全域指挥控制(JADC2)实施计划,重点是关键的作战问题和能力差距。苏珊·布赖尔乔伊纳表示,CFT提供的需要分析的关键作战问题清单已经得到联合参谋部决策委员会的批准;CFT希望确保框架的正确性,目前正对关键作战问题进行任务主线分析,以便确定能力差距,并计划将重点放在需要改变的部分上;一个特别的挑战是找到“在杀伤链之间建立分支的方法,以传递杀伤网络”;另一个重点是JADC2需要以数据为中心,如果不能为遗留系统找到一种方法来公开和共享数据,并与以数据为中心的环境交换数据,就无法实现所需的改进和决策优势;JADC2要求美军考虑如何开发以数据为中心的能力,这些能力必须与现有系统“向后兼容”,并“以一种继续保持必要安全水平的方式”开展;一旦任务线程分析完成,CFT将向凯瑟琳·希克斯提供简报,然后根据分析结果更新实施计划。

美国防部首席信息官约翰·谢尔曼于8月2日公开一份涉及联合作战云能力(JWCC)备忘录,指示国防机构、军事部门和其他部门优先考虑利用JWCC合同来购买新的云。备忘录指出,美国防部长办公室(OSD)组成机构以及国防直属机构和外勤机构(DAFA)将使用JWCC合同工具来提供所有可用产品,以采购未来的体系云计算能力和服务;目前OSD组成机构和DAFA中合同规定的所有云功能和服务将在当前性能期到期后转移到JWCC工具;OSD组成机构和DAFA可以在适用的情况下利用本地云产品(例如Stratus);所有部门,包括军事部门(MILDEP)和作战司令部(CCMD),都将利用JWCC合同工具为秘密(影响级别6)或绝密的任何新云计算功能和服务提供所有可用产品,包括所有战术边缘和美国大陆以外(OCONUS)云计算功能和服务;MILDEP和CCMD可以继续通过MILDEP云合同工具或JWCC以外的工具采购上述未涵盖的云功能和服务,包括基础设施即服务(laaS);虽然不强制要求所有云功能和服务都使用JWCC,但鼓励MILDE和CCMD考虑使用JWCC来满足其需求。

06 构建体系化规范文件,推动人工智能技术发展

美国、欧盟、北约、七国集团等专门针对人工智能技术发布战略、规划、标准、法案等纲领性指示文件,寻求指导负责任的人工智能技术开发和使用,探索人工智能在国防、外交等领域的应用潜力,通过协调盟友间的开发和治理合作增强联动效应、获取竞争优势。

北约数据和人工智能审查委员会(DARB)2月召开会议,开始制定用户友好且负责任的人工智能认证标准,以帮助整个联盟的行业和机构确保新的人工智能和数据项目符合国际法以及北约的规范和价值观。该标准也适用于数据开发并将包括质量控制,旨在将北约2021年10月批准的负责任使用原则(北约首个人工智能战略的一部分)转化为具体的制衡,特别是在可管理性、可追溯性和可靠性方面。这将有助于在创新社区、操作性最终用户和公众间建立信任。

美国政府5月23日发布由美国白宫科技政策办公室(OSTP)制定的《美国国家人工智能研发战略计划》。该计划由数个支柱组成,用于投资可在社会环境中实施的安全设计人工智能系统,包括:优先对负责任的人工智能进行长期投资;开发增强人类与人工智能协作和理解的方法;彻底编制一份关于人工智能系统部署的道德、法律和社会风险和利益的最终清单;为广泛的人工智能算法训练开发共享的公共数据集;评估精通人工智能劳动力的需求;扩大公共和私营部门的伙伴关系;在人工智能研究方面建立国际合作。

美国防部副部长凯瑟琳·希克斯8月10日签发主题为“成立首席数字和人工智能官生成式人工智能和大语言模型工作组”的备忘录,旨在重点推进对生成式人工智能能力的探索和负责任的部署。该备忘录提出,人工智能已成为一种变革性技术,有可能彻底改变包括国防在内的各个领域;大型语言模型(LLM)等生成式人工智能 (AI) 能力在全球范围内的受欢迎程度、功能和影响力正在不断增长,既带来了新的机遇,也带来了重大的新风险;国防部迫切需要探索该技术的使用以及这些模型的规模、速度和交互能力的潜力,以提高国防部的任务效率,同时确定适当的保护措施并减轻各种相关风险;国防部必须负责任地寻求采用生成式人工智能模型,同时确定适当的保护措施并减轻可能因培训数据管理不善等问题而导致的国家安全风险;通过利用生成式人工智能模型,国防部将加强在作战、业务、健康、战备和政策等领域的运作。

利马工作组的工作目标包括:确定并盘点整个国防部正在进行的大型语言模型和生成式人工智能的研究、开发、部署和使用;通过制定定量和定性指标支持大型语言模型和基于生成式人工智能的能力和风险的评估;为大型语言模型和生成式人工智能能力制定人机协作指南和指标;识别、评估大型语言模型和生成式人工智能的任务领域、工作流程和用例;确定不建议使用大型语言模型和生成式人工智能的任务领域和工作流程;支持大型语言模型原型和基于生成人工智能的解决方案的开发和演示;制定关于将大型语言模型和生成式人工智能集成到工作流程和适当风险缓解的建议;监督大型语言模型和生成式人工智能与联合演习和实验的整合;就大型语言模型和生成式人工智能的开发和使用提出长期治理计划;评估大规模开发、实施和运作大型语言模型和生成式人工智能的资源需求;促进国防部与合作伙伴就大型语言模型和生成式人工智能的负责任开发和使用开展合作;定义大型语言模型和生成式人工智能的风险类别和相关组织风险容忍度。

七国集团(G7)领导人10月30日就广岛人工智能进程发表声明,并发布《广岛进程国际指导原则》和《广岛进程国际行为准则》。文件指出,相关原则和准则旨在为开发最先进人工智能系统的组织提供自愿指导;相关组织应根据基于风险的方法采取这些行动;这2份非详尽的行动清单作为一份动态文件进行了讨论和阐述,以现有的经合组织人工智能原则为基础,以应对先进人工智能系统的最新发展;相关组织应将这些行动应用于生命周期的所有阶段,以在适用时涵盖先进人工智能系统的设计、开发、部署和使用。相关原则和准则涉及11点框架内容,具体包括:一是在整个开发过程中采取适当的措施来识别、评估和减轻风险;二是识别并减少部署后的漏洞、事件和误用模式;三是公开报告先进人工智能系统的功能、局限性以及适当和不适当使用的领域;四是致力于在开发先进人工智能系统的组织间进行负责任的信息共享和事件报告;五是以基于风险的方法为基础来制定、实施和披露人工智能治理和风险管理政策;六是投资并实施安全控制;七是开发和部署可靠的内容身份验证和来源机制;八是优先开展研究以减轻社会、安全和安保风险并优先投资于有效的缓解措施;九是优先开发人工智能系统以应对“世界上最大的挑战”;十是推动国际技术标准的制定和采用;十一是对个人数据和知识产权实施适当的数据输入措施和保护。

美国防部领导层11月发布了新的内部临时指南,为所有美国国防和军事部门正在和即将采用的新兴和颠覆性生成式人工智能(Gen AI)技术提供建议。这一新的临时指南也标志着“利马工作组”为Gen AI治理和政策制定提供信息的迭代过程中的第一个成果。指南中包括4个值得注意的要点:一是风险评估和缓解。美国防部敦促其组成机构采用稳健的治理流程,而非彻底禁止通用人工智能工具。二是输入限制。应谨慎使用公开可用的GEN AI工具,禁止输入机密级国家安全信息或受控非机密信息,所有数据、代码、文本或媒体在用作输入前必须经批准公开发布。三是责任。所有国防部人员都对在GEN AI的协助下做出的结果和决策负责,建议用户验证并交叉检查此类工具的所有输出。四是标记。鼓励对借助Gen AI工具创建的文档进行适当的标记以提高透明度。

美国防部11月2日发布《数据、分析和人工智能采用战略》,以统一指导并同步努力,扩展整个军队的人工智能能力,使国防部能够按照建立持久决策优势所需的速度和规模采用数据、分析和人工智能能力。该战略包括重点介绍美国防部希望通过人工智能实现的新关键成果、追求的相关目标以及计划充分采用人工智能技术的高优先领域。该战略强调,美国防部将把战略工作重点放在支持国防部人工智能需求层次结构的几个相互依赖的目标上;人工智能需求层次结构是一个以高质量数据为基础的金字塔,中间层是富有洞察力的分析和指标,顶层负责任的人工智能,周围是有助于维持需求层次结构的数字人才管理等推动因素;该层次结构有助于作为评估国防部人工智能准备情况的框架,并指导国防部加速采用数据、分析和人工智能技术以建立持久的决策优势的目标。该战略提出六大战略目标,具体包括:一是改进基础数据管理;二是提供体系业务和联合作战影响能力;三是加强治理并消除政策障碍;四是投资可互操作的联合基础设施;五是推进数据、分析和人工智能生态系统;六是扩大数字人才管理。

美国务院11月9日发布了首份人工智能战略《2024-2025财年体系人工智能战略:通过负责任的人工智能增强外交能力》(EAIS),确立了通过为人工智能的负责任和道德的设计、开发、获取和适当应用,启动部门范围内的指导的人工智能(AI)创新、基础设施、政策、治理和文化的集中愿景。该战略概述了4个增强国务院人工智能能力的基本目标,每个目标都基于具体目标,涵盖了国务院人工智能领导者确定的优先事项。具体包括:一是利用安全的人工智能基础设施;二是培育拥抱人工智能技术的文化;三是确保负责任地应用人工智能;四是创新。

美国众议院军事委员会网络、信息技术和创新小组委员会主席迈克·加拉格尔和该小组委员会高阶委员罗·卡纳11月21日联合提出一项“五眼人工智能法案”,指示美国防部长成立一个工作组,在“五眼”联盟内制定和协调人工智能计划。该法案旨在推动“五眼”联盟国家加快人工智能技术进步;将指导由国防部长和国家情报总监协调的工作组对先进人工智能系统进行比较和测试;确定人工智能协作以实现情报共享的方法;制定人工智能系统的研究和使用战略;比较道德框架以加速人工智能技术的进步;并利用商用人工智能技术促进各国武装部队和情报部门间的近期联合。值得注意的是,该立法将要求工作组确定潜在的解决方案,以“推进和加速用于情报共享、战场空间感知和其他涵盖的作战用途的人工智能系统的互操作性”。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。