2024年以来,美西方国家发布具有顶层指导性、军事规范性、专业操作性和国际合作性的网络空间战略、政策和指令文件,谋求提升国家整体和军事体系的网络安全弹性,加快军事网络和信息技术的现代化建设进程,促进新兴前沿技术对联合军事作战能力的赋能,通过顶层战略设计打造全球竞争、军事作战和霸权威慑优势。
01 发布顶层战略法令,完善整体网络安全体系
美国、英国、加拿大、澳大利亚、日本、韩国等国以及欧盟发布网络安全战略、法令和行政命令,完善网络安全政策法规体系,设定积极主动的防御基调,加强工作指导和统筹协调,强调打击网络安全紧迫威胁,着力通过顶层战略设计牵引网络和信息安全防御能力提升。
美国总统拜登2月签发《关于修订与保护美国船舶、港湾、港口和海滨设施有关法规的行政命令》,通过制定加强该领域网络防御的新要求来改善海事安全,同时扩大美国海岸警卫队应对网络安全事件的权限。该行政命令增强了美国土安全部直接应对海上网络威胁的权力,包括通过网络安全标准确保美国港口网络和系统的安全。拜登4月签发《关于关键基础设施安全和弹性的国家安全备忘录》,以取代2013年2月发布的第21号总统行政命令,并发起全面行动,保护美基础设施免受当前和未来的所有威胁和危害。该备忘录主要包括4方面内容:一是授权国土安全部领导整个政府的工作以确保美国关键基础设施的安全;二是指导美国情报界根据2023年国家情报战略中概述的目标,收集、制作并与联邦部门和机构、州和地方合作伙伴以及关键基础设施所有者和运营商共享情报和信息;三是重申指定16个关键基础设施领域,并指定一个联邦部门或机构作为每个部门的部门风险管理机构。
美国国家情报总监办公室8月公布《国家反情报战略》,提出3大支柱和9项目标,其中包括打击外国网络情报活动。该战略提出,为实现打击外国网络情报活动,美政府应采取以下3方面措施:一是应在联邦、州和地方政府、私营部门、学术界以及外国合作伙伴间建立强有力的伙伴关系,以共享信息、提高透明度和建立信任,从而深入了解外国情报实体网络活动并确定反情报界解决方案的机会;二是应与联邦合作伙伴合作并改善跨学科的协作和协调,以增加对反情报权力和能力的了解,并在可行的范围内开发可共享和可互操作的工具和基础设施;三是应与合作伙伴和盟友合作开展综合、可扩展、优先、主动的反情报活动,以对抗外国情报实体网络行动,引入不确定性并增加其成本。
韩国政府2月公布《韩国国家网络安全战略》,呼吁加强该国的进攻性网络防御行动,并与国际社会建立合作机制,同时重点关注朝鲜的网络威胁。该战略提出的愿景是成为“一个履行国际角色和责任,同时捍卫网络空间自由、人权和法治价值观的全球关键国家”。为实现这一愿景,该战略要求实施5项重点任务,包括:一是加强进攻性网络防御行动;二是建立全球合作机制;三是增强国家关键基础设施的网络韧性;四是确保新兴技术竞争领先地位;五是增强国家综合应对能力。韩国政府9月又发布了由韩国国家情报院、外交部、国防部、科学技术信息通信部、大检察厅和警察厅等14个政府部门和机构联合制定的《韩国国家网络安全基本计划》。该计划是《韩国国家网络安全战略》的后续措施,包括落实该战略五大战略任务的具体实施措施。
荷兰参议院3月通过一项相关法案,授权荷兰民事情报机构AIVD及其军事情报机构MIVD更快地对钱外国发动的网络攻击做出反应。此前,荷兰情报机构在开始调查前必须获得主管许可,监管机构也将评估情报部门是否遵守规则,是否冒了任何不必要的风险,但现在可以在行动期间来获得许可。根据AIVD和MIVD的说法,这一变化缩短了情报部门获得许可的时间。
加拿大政府5月发布政府首个《体系网络安全战略》。同时,该战略得到2024年预算支持,将在5年内获得1110万美元的投资。该战略概述了一种积极主动的全政府方法,以确保政府能够快速有效地打击网络威胁,并解决政府数字资产中的漏洞。该战略旨在帮助保护政府系统,保护加拿大民众的信息并增强数字政府的弹性,以确保持续提供安全可靠的数字服务。为实现这一目标,该战略概述了四大主要事项:一是阐明网络安全风险及其影响;二是更有效地预防和抵御网络攻击;三是增强整个政府的能力和恢复能力,积极准备、应对网络安全事件并从中恢复;四是吸引拥有适当网络安全技能和知识的多元化政府员工。
英国政府9月表示,政府即将出台的《网络安全和弹性法案》将改善英国的网络防御以及保护基本公共服务,并将对英国网络安全监管框架进行3项重要更新:一是扩大法规的职权范围,以保护更多的数字服务和供应链;二是为监管机构提供强有力的保障,确保必要的网络安全措施得到实施;三是要求增加事件报告,以便政府更好地了解网络攻击,包括公司被勒索的情况。
澳大利亚国会11月通过了政府提出的《2024年网络安全法案》。该法案是澳大利亚首部独立网络安全法案,旨在实施《2023-2030年澳大利亚网络安全战略》提出的措施。新法案推进了《2018年关键基础设施安全法案》(SOCI法案)下的改革,包括:明确与保存业务关键数据的系统有关的现有义务;扩大现有的最后手段权力,使政府能协助管理所有灾害事件对关键基础设施的影响;简化行业和政府间的信息共享;使政府能够指示实体解决其风险管理计划中的严重缺陷;将电信安全法规整合到SOCI法案中。新法律包含诸多新的网络安全条款,例如:授权网络安全部长为智能设备制定强制性的网络安全标准;要求某些企业报告赎金支付情况;建立网络事件审查委员会。
日本政府专家组11月呼吁通过立法允许政府监控通信等措施,以开展“主动网络防御”或采取先发制人的行动防止网络攻击,旨在落实日本《2022年国家安全战略》中引入的“主动网络防御”能力。专家组提出,有必要监控通过日本进行的外国通信,以及日本与外国间的通信,因为日本境内受恶意软件感染的服务器可能被用于进行网络攻击,且监视“需要在攻击变得明显前进行”;日政府还必须有权访问攻击者的服务器以消除威胁,并采取“国际法可接受的”措施来处理可能影响其他国家主权的案件;宪法第21条规定的通信保密性可以为了公共利益而妥协,但第三方的监督至关重要,应寻求建立一个独立机构来监督政府;能成为网络攻击目标的关键基础设施运营商与政府合作,例如提供对通信数据的访问权限,也包括强报告网络攻击事件;警方应主要负责消除威胁的行动,而自卫队则应在特别需要维护公共秩序时发挥作用。
欧盟理事会12月宣布通过《网络团结法》和《网络安全法》修正案两项新法律,为欧盟建立了“网络安全屏障”,有助于提高欧盟整体网络安全。其中,《网络团结法》引入了欧洲网络安全警报系统,这是一个泛欧网络中心网,旨在创建协调检测和态势感知能力,加强联盟的威胁检测和信息共享能力。该警报系统的基础设施包括跨境网络中心,以汇集国家网络中心,并协调与其他成员国的网络威胁检测和行动活动。《网络安全法》修正案通过采用托管安全服务认证计划修订了联盟的网络弹性,这些认证计划在预防、检测、应对和恢复网络攻击方面发挥着至关重要的作用。
02 颁布军事方针指令,加强国防网络安全防御
美国防部及各军种出台新的网络安全战略指令,寻求设计和完善网络安全战略方针、规则计划和操作程序,加强军队以及国防工业基础的网络安全防御,打造安全有弹性的作战体系和军事供应链,打击和削弱潜在对手的网络安全威胁,利用国防网络安全建设保持和塑造军事作战优势。
美国防部首席信息官办公室1月发布《美国防部第8585.01指示:国防部网络红队》,概述了美国防部网络红队(DCRT)总体政策、各军事领导人相应职责以及有关程序。该指示文件对DCRT作出了明确定义:DCRT是国防部网络评估团队的一种特殊类型,为美国防部执行大量网络任务;DCRT操作须经国防部组成机构指定的授权官员授权才能访问特定事件的飞地和系统;DCRT是一个由多学科人员组成的团队,包括军事人员、文职人员或合同制人员;DCRT被组织和授权的目的包括两项,一是模拟潜在对手针对目标任务或能力的利用或攻击能力,二是突出脆弱性并展示对改善网络空间联合作战和美军网络安全态势的作战影响;DCRT可以支持网络、系统或资源的运行和开发测试,以查找内外部行为者可能利用来影响美军信息或系统机密性、完整性和可用性的漏洞;DCRT操作涉及所有数据格式,包括互联网协议和其他数据格式,以及专门技术和能力,如射频、控制系统、跨域解决方案、武器系统、非互联网协议数据格式和数据链路;DCRT主要负责履行采购测试、漏洞评估和网络对抗三项职能。
美国防部3月发布《2024年国防工业基础(DIB)网络安全战略》,旨在加强美国防部与DIB合作,进一步协调和统筹资源,以提高美国国防供应商和生产商的网络安全。该战略旨在通过涵盖2024财年至2027财年的总体愿景和使命来增强DIB的网络安全和网络弹性,即“安全、有弹性、技术先进的国防工业基础”和“通过保护敏感信息、作战能力和产品完整性,确保美国作战能力的生成、可靠性和维持”。该战略概述了四项主要目标及十二项细分目的。具体包括:一是加强美国防部DIB网络安全治理结构。分项目的包括:加强跨领域网络安全问题的跨部门合作;推进DIB承包商和分包商网络安全责任法规的制定。二是增强DIB的网络安全态势。分项目的包括:评估DIB是否符合国防部的网络安全要求;改善与DIB的威胁、漏洞和网络相关情报的共享;识别DIB信息技术网络安全生态系统中的漏洞;从恶意网络活动中恢复;评估网络安全法规、政策和要求的有效性。三是在网络竞争环境中保持关键DIB功能的弹性。分期目的包括:优先考虑关键DIB生产能力的网络弹性;在政策中优先关注关键供应商和设施的网络安全。四是改善与DIB的网络安全合作。分项目的包括:利用与商业互联网、云和网络安全服务提供商的合作来增强DIB网络威胁意识;与DIB领域协调委员会合作以改善与DIB的沟通与协作。改善与DIB的双向沟通并扩大公私网络安全合作。
美国防部3月发布国防工业基础(DIB)网络安全计划最终规则,修订了参与DIB网络安全计划的资格标准,增加了可参与计划的DIB公司数量。以往DIB网络安全计划仅限于拥有有效设施安全许可和美国防部批准的中等保证证书的国防承包商,而此次发布的最终规则将允许更多承包商参与DIB网络安全计划。其中规定,将允许所有“拥有或运营处理、存储或传输所涵盖国防信息的非机密信息系统的国防承包商”从威胁信息共享中受益。美国防部估计,通过取消对参与者必须是拥有主动设施安全许可的国防承包商要求,将使得有资格参与该计划的国防承包商数量大幅增加,从2012年实施初的2700名合格承包商,增加约6.8万名有资格参与者。美国防部表示,修改资格标准能够减少网络威胁活动对DIB网络和信息系统的影响,从而保持其技术优势并保护国防部信息和作战能力。
美国防部10月发布了2025财年《国防工业战略实施计划》,其中网络安全是一项重要优先事项。文件提出,工业网络安全是“生产和供应链”举措的重要焦点,如果没有强大的工业网络安全,就不可能实现安全、可靠的国防技术研发和工业基础生产;美国防部网络安全环境中的利益相关者数量和工作复杂性就构成了挑战,为降低这种风险,国防部采用多管齐下的方法来划分各个组成部分的网络安全角色和职责;通过与国家安全工业基础共享机密信息,可减轻外国所有权、控制权或影响力风险,同时增强和系统化行业保护机密信息的标准。
美国空军部7月发布《美国空军部零信任战略》,概述了其利用基于云的身份、凭证和访问管理解决方案实施网络安全框架的计划。该战略旨在加强美国空军部的网络安全态势,并以战争速度为作战人员提供有保障的安全数据访问,同时阻止对手实现信息主导地位。该战略将通过简化美国空军和太空军的数字访问,以及对美竞争对手和敌人施加更高的成本,使空军部需要进行的作战变革成为可能。该战略提出安全模式要从“以网络为中心”转向“以数据为中心”,指挥官和个人可以选择如何以及在何处进行连接,以实现更高效的日常业务和作战行动。
美国防部5月签发题为“解决风险管理框架(RMF)和网络安全互惠问题”的备忘录,旨在通过重复使用国防部各机构的风险管理评估,加快操作授权(ATO)流程,以解决业界对风险管理和网络安全互惠挑战的持续呼吁。该备忘录提出,美国防部必须加速并简化向作战人员提供能力的过程,维护自身网络安全标准并利用系统所有者和授权官员间的互惠对于实现这一目标至关重要。
美国防部指令8520.04《美国防部信息系统的访问管理》9月生效,旨在增强安全性、简化访问管理,同时确保国防部的IT系统尽可能高效且具有互操作性。文件概述了美国防部首席信息官(CIO)和其他部门负责人的职责,以简化部门IT系统的访问管理,还要求首席数据和人工智能官(CDAO)加强数据和人工智能工作,支持动态访问。根据这项新指令,美国防部CIO将简化访问管理程序,并与国防部其他部门合作开发和维护身份、凭证和访问管理平台要求。
美国防部10月发布“网络安全成熟度模型认证”(CMMC)计划最终规则。最终规则使CMMC计划与《联邦采购条例》第52.204-21部分和NIST特别出版物(SP) 800-171 Rev 2和800-172中概述的网络安全要求保持一致,还指定了CMMC 3级认证所要求强制性的24项NIST SP 800-172要求。随着最终CMMC规则的发布,美国防部发布了随附的行动计划和里程碑,其中针对规则中概述的特定要求授予180天的有条件认证,让企业有时间努力满足NIST标准。
美国防部4月发布《2024年国防部商业太空整合战略》,其中强调了网络安全等要求,并将网络空间行动视为一项国家安全太空任务。在四项原则里,“弹性原则”要求国防部利用的商业解决方案本身必须具有弹性,特别是针对网络威胁的弹性。在四个顶级优先事项里中的三项提出:将通过合同和其他协议解决商业实体和美国防部合作所需满足的网络、数据和供应链安全要求;将把商业太空解决方案纳入兵棋推演、桌面演习和训练演习中,这些活动将有助于商业能力采用强有力的网络、数据和供应链安全措施,以降低风险和漏洞,遵循和加强太空行动规范,并与美国防部共享信息;将通过规范和标准、威胁信息共享以及财务保护机制来推动商业解决方案的安全性,其中威胁信息共享要求涵盖多个分类级别的太空领域感知和网络安全威胁信息。在13项国家安全太空任务中,明确提出了网络空间行动,并将其与情监侦、太空域感知等一并划入混合任务领域范畴。
美国太空军4月发布《美国太空军商业太空战略》。在网络空间行动方面,该战略指出,太空行动在很大程度上依赖于网络空间行动,并与网络空间行动融为一体;太空军通过网络领域投射战斗力,创造太空进攻或防御行动效果,以实现指挥官目标;美太空军网络空间力量通过开展防御性网络空间行动和国防部信息网络行动来支持这些目标;网络空间行动还包括为保护、配置、操作、扩展、维护和维持太空系统的完整性而采取的行动,这些行动创建和维护太空系统数据的机密性、完整性和可用性。
在网络安全方面,该战略认同弹性原则,要求选用的商业解决方案本身必须具有弹性,特别是针对网络威胁的弹性;同时指出网络安全是太空军及其商业合作伙伴的责任,是任何考虑参与太空军整合的商业方案提供商的基本要求。该战略指出,为确保网络风险得到适当考虑,将根据国家安全局、国家标准与技术研究所和国防信息系统局的标准对提供商进行评估;美太空军寻求进一步增强其数字能力,包括使数据可见、可访问、可理解、链接、可信、可互操作和安全,这需要大胆的变革和符合美国防部零信任框架;美太空军将寻求持久的伙伴关系和能力,以实现与盟友和合作伙伴提高对未来网络空间领域的认识和保护。
03 推出数字愿景规划,加强信息技术能力建设
美国、澳大利亚国防部和军事机构更新和推出愿景规划文件,确定信息技术、数字建设、安全运营等方面的发展目标、重点目标和实施路径,谋求加快推进军事信息基础设施现代化建设,实现网络信息和与联合作战的融合促进式发展,为军队在未来体系化作战中夺取信息优势和决策优势提供技术保障。
美国防部6月发布《支点:美国防部信息技术推进战略》,旨在利用技术力量推动变革并催化作战人员数字化现代化,为更好地协调信息技术运用以推进美国防部优先事项提供路线图。该战略提出概述了由四条努力方向指导的愿景,以确保美国防部能够继续为国家的作战人员及其支持人员提供联系、保护并执行任务。具体包括:一是提供联合作战IT能力,以扩大美国军队和任务伙伴的战略优势;二是实现信息网络和计算的现代化,以快速满足任务和业务需求;三是优化 IT 治理,提高能力交付效率并节省成本;四是四是培养一支优秀的数字化劳动力队伍,随时准备为作战人员部署新兴技术。
美国国防信息系统局(DISA)5月发布2025年至2029年战略,概述该机构未来五年的四项战略性要务、六项作战性要务以及八项转型目标。该战略提出的四项战略性要务和六项作战性包括:一是运营和保护国防部信息网络的DISA部分。具体涉及的作战性要务包括:提供相关的现代体系和业务工具;提供弹性和冗余的国防信息系统网络主干;管理机构以满足所有监管和法定要求并确保能够履行核心职能。二是支持战略性指挥、控制和通信。具体涉及的作战性要务是使云可操作化,即提供安全的云环境,以便作战人员能够以现代作战行动的广度、宽度和速度访问数据。三是优化网络。具体涉及的作战性要务包括:将作战司令部以及国防和外勤机构整合到统一的网络环境;剥离技术债务,即停止运营次优解决方案。四是使数据可操作化。即主动收集、存储、关联和解释数据,以生成信息和知识,使作战人员能够做出相关且及时的决策,从而夺取、保留和利用相对位置优势。
八项目标包括:一是拥有一个全球可访问的、软件定义的传输环环境,该环境不受带宽的限制;二是运营一个有弹性、全球可访问的混合云环境;三是对国家领导指挥能力结构部分进行现代化改造;四是提供实现联合和联盟作战所需的正确能力套件和数据标准;五是将国防和外勤机构以及作战司令部整合到一个通用IT环境中;六是确保DISA的国防部信息网络组成部分符合零信任参考架构;七是拥有用于防御网络和网络运营数据的现代化数据平台;八是确保员工队伍具备卓越能力并经过优化组织以满足国防部需求。
美国防部11月发布《美国防部专用5G战略》,为在军事设施实施和运营专用5G网络提供指导,同时最大限度地利用开放式无线接入网络生态系统,从而利用商用和专用5G网络为美军提供无处不在的高速连接。该战略确立了三大战略目标:一是确保军事设施的专用5G网络考虑任务、安全、操作环境、性能要求和采购可行性;二是加速5G的采购、开发和安全部署;三是扩大开放式无线接入网络生态系统的使用。
美国海军部8月发布《美国海军部信息优势愿景2.0》,对2020年发布的首个信息优势愿景进行更新,强调向“以数据为中心”、“数据优先”机构的转变,并明确数据管理的重要性。新的愿景文件旨在紧急解决任务问题、加速新兴技术发展以及提高IT业务水平,从而使美国海军和海军陆战队能够在当今和未来的竞争激烈信息环境中作战并制胜;延续了“信息优势愿景1.0”所期望的最终状态,即以安全且经济的方式随时随地提供所需信息从而以执行任务的速度支持作战人员;将三大支柱由原先的“现代化、创新和防御”转变为“优化、保护和决策”。其中,“优化”支柱旨在实现优先、灵活、有弹性且相关的海军信息环境;“保护”支柱旨在确保网络、平台、系统和数据在设计上具有可防御性和可生存性;“决策”支柱旨在利用准备好的、可操作的数据来推动决策优势。
澳大利亚国防部10月发布《2024年国防数字战略和路线图》,其中概述了澳国防部为支持国家利益提供信息和通信技术(ICT)的方法。该文件定义了澳国防部提供安全、集成和可扩展的数字环境以在数字时代作战并致胜的方法;明确指出要恢复和增强国防部内部能力,并依托内部能力更新该国最大、最复杂的IT资产,以及在2027年前废除所有剩余的遗留系统;确定了国防部将优先考虑和紧急解决的ICT能力,包括人工智能、超大规模计算和生产力平台。
04 制订运营操作指南,规范软件和数据研管用
美国防部及美国陆军、空军发布数据和软件运营操作指南,为数据的生成、分类、交换、存储和管理,以及软件的研发和管理指供指导,以推进数据和软件管理现代化,通过快速、安全和有效地持续交付数字利用能力为军队赋能。
美国防部首席信息官4月发布《DevSecOps 持续授权实施指南》,旨在指导美国国防机构实现持续授权操作(cATO),以操作由软件工厂生产的DevSecOps平台和其他应用程序,从而对抗网络威胁。该文件指出,美国防部必须使其软件开发和交付方法现代化,以跟上不断变化的威胁,从而能够以相关的速度提供弹性软件功能;这种敏捷现代化的一个不可或缺的方面是能够通过持续集成和提供网络安全、弹性和生存能力来快速响应不断变化的威胁;当前的网络安全环境要求美国防部摒弃时间点评估和授权,转向持续监控和评估风险,使用安全自动化和安全态势仪表板来帮助管理近乎实时的网络安全风险;快速交付新功能需要一个能够跟上开发能力的持续变化的授权流程cATO,cATO不再采用控制评估时间点方法,而是通过经过论证的持续评估、监控和风险管理来专注于持续风险确定和授权;该文件重点关注对由包含DevSecOps平台的软件工厂生产的应用程序软件进行持续评估和授权,确定了持续授权的关键实践,并提供了评估组织进入持续授权的方法。
美国陆军3月发布了一项规范开发和管理软件的方式新指令。美国陆军表示,从俄乌冲突等当前冲突中了解到,陆军在未来战场上的成功将取决于快速更新软件并将其传递给作战部队的能力;软件开发必须成为美军事优势的源泉,陆军的新软件政策将确保该军种拥有正确的流程来快速注入创新,并实现陆军作战能力的数字化转型;基于软件的系统将不再遵循开发完成后系统过渡到维持的传统流程,而是将根据行业最佳实践在整个生命周期内规划持续改进和开发;陆军还将简化新功能和网络安全验证流程的测试,包括获得在军种网络上运行的授权。
美国陆军3月正式推出了“统一数据参考架构”(UDRA)1.0,旨在专注于简化陆军的数据架构并简化跨任务伙伴关系的数据产品。该文件主要指导原则包括:一是信息和数据以与VAULTIS目标(可见、可访问、易于理解、相互关联、值得信赖、具有互操作性、安全)一致的可发现数据产品的形式在整个陆军体系中生成、交换和使用;二是数据产品可供用户自助使用;三是数据产品生产和托管是去中心化而非中心化的;四是数据产品设计和模式由生产数据产品的数据域拥有和控制;五是数据产品元数据与数据产品紧密耦合,包括发现、选择、检索以及有效消费和使用数据产品所需的所有信息;六是根据用户需求和反馈来生成和改进数据产品;七是用户不会保留、复制或共享其收到的数据产品,而数据域可创建来自源数据和上游数据产品的聚合数据产品;八是计算治理将实现数据治理策略的自动执行。
美国陆军首席信息官4月发布题为“2024财年陆军数据管理角色和职责”的备忘录。该政策的核心原则是在数据生成者和陆军数据使用者间建立更好的反馈循环,以改善数据供需间的联系。该文件编纂了各方职责,以便陆军能为相关任务提速。其中,顶层是“任务区数据官”,“任务区数据官”监督和任命“数据管理员”,后者为任务区的各个方面制定政策,如谁可以访问给定类型的数据、数据应保留多久,以及数据应如何生成;“数据管理员”监督并任命“职能数据管理者”,后者通常是项目执行官、项目管理官和其他现有官员,现在被赋予管理其系统产生的数据的新职责。
美国空军部首席信息官7月22日发布应用程序编程接口(API)平台的参考架构和路线图1.0版,以简化整个军种的软件融合和数据访问。API参考架构概述了空军旨在确保系统间弹性和互操作性的技术框架,详细说明了军种部门在开发体系API工具时将采取的方法,还特别解释了API-first方法的实现旨在增强安全数据访问并促进软件接口共享。API路线图概述了空军计划在2024财年至2026财年间分5个阶段逐步推进这一新生态系统的实施。
05 擘划人工智能蓝图,奠定军事作战赋能基础
美国、日本、北约等发布聚焦人工智能技术应用的战略文件和行动蓝图,规范人工智能技术的开发和治理,指导加快和扩大人工智能技术在军事领域的应用,抢占人工智能技术的军事竞争先机和国际治理高地。
美国政府10月发布《关于提升美国在人工智能领域的领导地位、利用人工智能实现国家安全目标以及促进人工智能安全性、保障性和可信度的备忘录》。该文件是美国政府首份关于人工智能的国家安全备忘录,旨在确保美国在抓住人工智能的前景和管理人工智能风险方面发挥领军作用,鼓励联邦政府采用人工智能来推进国家安全使命,并寻求塑造围绕人工智能使用的国际规范。该备忘录指示采取以下三项关键行动:一是确保美国引领世界安全、保障、可信的人工智能发展;二是利用尖端人工智能技术推进美国国家安全使命;三是推进围绕人工智能的国际共识和治理。
该备忘录在网络安全方面值得关注的要点包括:备忘录的机密附件涉及其他敏感的国家安全问题,包括打击对美国国家安全构成威胁的对手使用人工智能;作为美国政府与私营部门人工智能开发商的主要联络点,人工智能安全研究所将负责促进对前沿人工智能模型的安全性、保障性和可信度进行自愿的公开部署前和部署后测试,其中涉及对网络安全的风险评估,如评估人工智能模型协助进攻性网络行动的能力;美国国家安全局将通过其人工智能安全中心并与人工智能安全研究所协调,开发对人工智能模型检测、生成和/或加剧攻击性网络威胁的能力进行快速系统分类测试的能力;美政府机构将优先开展人工智能安全性、保障性和可信度研究,其中涉及对利用人工智能技术生成深度造假内容的研究;在适当情况下,美国防部、国土安全部、联邦调查局和国家安全局将发布关于已知人工智能网络安全漏洞和威胁的非机密指导;美国国家安全局将针对用作国家安全系统组成部分的人工智能发布最低网络安全指南。
美国海军陆战队7月发布《美海军陆战队人工智能战略》,用于指导该部队在从后台到战场的整个体系范围内整合AI技术的努力。该战略是美国海军陆战队在数字现代化道路上的一个重要里程碑。该战略提出,海军陆战队争夺信息的斗争现在需要AI,俄乌战争证明了AI能够帮助实现更快决策;该战略为提供现代AI能力创造了条件,以支持在竞争性环境中的远征先进基地作战和沿海作战中的决策优势。根据该战略,美海军陆战队面临与AI相关的挑战,包括技术与任务目标不一致、能力差距、难以大规模部署能力、阻碍创新的治理框架以及合作障碍。同时,该战略列出了改善海军陆战队态势的5个主要目标,即AI任务协调、胜任AI的劳动力、大规模部署AI、AI治理以及伙伴关系与合作。
美国网络司令部9月公布了将人工智能融入军事网络行动的五年路线图。该路线图旨在提高分析能力、扩大行动规模并增强对抗对手的能力,使该美国网络司令部处于技术创新和网络防御的前沿。该路线图概述了安全、对抗性后勤和国防等任务领域的100多项活动;提出要加强与业界的合作、开发可持续技术以及设计一支满足未来需求的部队侧重于与美国国家安全局合作,以提高计算和人工智能能力;将采用分阶段的方式,首先推出60多个试点项目和26项整合人工智能的新举措。
日本防卫省7月推出了其首个促进人工智能应用的政策《日本防卫省促进人工智能应用基本方针》,以应对技术进步推动的国防行动变革。该文件提出,外国一直在致力于利用人工智能,并认为该技术“可以在不久的将来决定冲突的局势”;人工智能的使用还将提高作战行动的速度,减少人为错误,通过自动化节省劳动力,并在信息收集和分析、无人防御资产、网络安全和工作效率等领域发挥作用。日本防卫相木原稔表示,日本能否适应利用人工智能和网络技术的“新形式战斗”,已成为日本建设防卫能力的一大挑战;防卫省将积极宣传自身观点,深化与私营部门和外国相关机构合作,同时也要准确认识人工智能应用的风险,并采取措施弥补其不足。
北约7月发布了修订版《北约人工智能战略》,对2021年版战略进行更新,并重点考虑了AI技术的最新进展,如生成式人工智能和AI驱动的信息工具。新战略提出4大目标:一是为北约及其盟国树立榜样奠定基础,并鼓励以负责任的方式为盟国的国防和安全目的开发和使用AI;二是加速并推动AI在能力开发和交付中的主流应用,增强互操作性作为联盟内的关键要素,包括通过提供AI用例;三是保护和监控北约的AI技术,管理相关风险,保护创新能力,解决安全政策考虑;四是识别并防范对抗性使用AI的威胁。新战略还提出四方面愿景:一是将负责任的AI融入北约;二是确保高质量数据和技术推动;三是最大限度减少对抗干扰并防止对抗性使用AI;四是与合作伙伴、联盟业界和其他参与者开展合作。
全球61国9月在首尔举行的“2024年军事领域负责任人工智能峰会”上通过了不具有法律约束力的文件《军事领域负责任人工智能行动蓝图》。该文件概述了20个条款,分为3个部分:人工智能对国际和平与安全的影响;在军事领域实施负责任的人工智能;展望未来军事领域的人工智能治理。该文件承认,军事领域的人工智能能力必须根据适用的国家和国际法应用,并强调在军事领域人工智能的开发、部署和使用中,需要保持适当的人类参与,包括与人类判断和对武力使用控制有关的适当措施。同时,文件还包括风险评估、建立信任措施以及防止人工智能被用于大规模杀伤性武器的扩散或被恐怖组织利用等内容。
06 公布国际政策文件,抢战全球网络竞赛高地
美国、北约、欧盟发布网络空间安全国际战略和立场文件,推进与盟友国和伙伴国的网络安全合作,提高数字和网络能力的互操作性,打造具有地缘政治意义和意识形态色彩的网络空间利益共同体,遏制和威慑竞争对手,巩固网络空间霸权。
美国防部首席信息官2月发布《外国合作伙伴标准指南》,旨在通过提供关于信息共享、最佳实践和培训的新网络安全指南,为寻求制定网络安全标准和程序的国际合作伙伴提供帮助。美国防部表示,该指南迈出了关键一步,有助于与多国国防机构、盟国和新兴合作伙伴接触,以实现无缝数字互操作性,最大限度提高杀伤力,并补充了能力,以实现联合安全目标,同时确保共享的国防信息优势和作战优势。
美国国务院5月正式发布《美国国际网络空间和数字政策战略:迈向创新、安全和尊重权利的数字未来》,旨在指导国际社会参与技术外交并推动《美国国家安全战略》和《美国国家网络安全战略》。该战略重点提出名为“数字团结”的概念,即“愿意为共同目标而共同努力、站在一起、帮助合作伙伴建设能力并提供相互支持”,而该战略提出的行动和努力旨在展示并与全球合作伙伴建立“数字团结”。该战略的重点是通过未来三到五年优先考虑的三项指导原则和四个行动领域,来建立广泛的“数字团结”。其中三项指导原则包括:一是以国际法(包括国际人权法)为基础的安全和包容性网络空间的积极愿景;二是网络安全、可持续发展和技术创新的融合;三是在整个数字生态系统中利用适当的外交工具和国际治国手段的全面政策方法。四个行动领域包括:一是促进、建立和维护开放、包容、安全和有弹性的数字生态系统;二是与国际合作伙伴协调数字和数据治理的尊重权利的方法;三是推动网络空间中负责任的国家行为,并通过建立联盟和吸引合作伙伴来应对网络空间和关键基础设施面临的威胁;四是加强和建设国际合作伙伴的数字和网络能力,包括打击网络犯罪的能力。
美国网络安全和基础设施安全局(CISA)10月发布《2025至2026财年美国CISA国际战略计划》。该计划是CISA首部国际战略计划,旨在将加强国际伙伴关系作为全球竞争的“力量倍增器”,使美国能够在当前和未来竞争并战胜全球范围内的威胁和挑战,实现该机构为美国民众提供安全和有弹性的基础设施的愿景。该战略计划重点关注CISA如何积极与国际合作伙伴合作,以加强美国关键基础设施的安全性和弹性,目标是塑造国际环境,以降低关键依赖的风险,并为合作、竞争和冲突的成功创造条件。
该战略计划列出了CISA必须实现的三项目标,以应对美国及其国际伙伴面临的不断变化和动态的挑战,包括:一是增强美国所依赖的外国基础设施的弹性。确定并优先考虑国家所依赖的外国关键基础设施,并加强其安全性和弹性;加强国际伙伴关系,促进美国关键基础设施的优先发展和海外利益;制定操作和技术全球标准、法规、政策、指南和最佳实践,以提高安全性。二是加强综合网络防御。与合作伙伴共同实施网络防御,降低集体风险;大规模推动标准和安全,以提高网络安全;提高主要合作伙伴的网络和物理弹性能力。三是统一国际活动的机构协调。加强和制度化CISA对国际活动的治理;协调和同步CISA的国际职能、能力和资源;通过培训和教育装备CISA的员工队伍,提升CISA在全球舞台上的能力。
北约各国首脑7月联合发布《华盛顿峰会宣言》,其中提出并强调网络安全问题。宣言指出,战略竞争、普遍的不稳定和反复的冲击决定了北约的安全环境,而北约面临着来自国家和非国家行为者的混合、网络、太空和其他威胁和恶意活动;北约已开展了一代人以来最大规模的集体防御强化措施,包括建立北约综合网络防御中心,加强网络保护、态势感知以及在和平、危机和冲突期间将网络空间作为作战领域的实施,并制定专门政策来增强北约网络的安全性;北约的威慑和防御态势以核武器、常规武器和导弹防御能力的适当组合为基础,并辅以太空和网络能力。
欧盟理事会11月发布《欧盟及其成员国关于国际法适用于网络空间的共识的宣言》,首次就国际法在网络空间的适用问题发布官方立场。宣言提出,欧盟及其成员国重申全力支持联合国大会一致通过的《联合国网络空间负责任国家行为框架》,并强调全面执行该框架的重要性;该框架确认国际法完全适用于网络空间,特别是《联合国宪章》、国际人权法和国际人道主义法,该以国际法应用为基础的框架应继续成为国际社会努力的核心;欧盟将继续与国际伙伴合作,建立一个单一、永久、包容、定期和以行动为导向的联合国机制,以实施和推进负责任的国家网络行为;欧盟支持网络行动纲领倡议,这将进一步加强全球对《联合国网络空间负责任国家行为框架》的共识,建设全球能力,并加强该领域的国际和多利益攸关方合作;欧盟及其成员国继续通过培训和能力建设支持第三国实施《联合国网络空间负责任国家行为框架》,包括如何就国际法在网络空间的应用制定国家立场;全球就适用于网络空间的一系列国际法基本原则和规则达成共识是可能的,包括国家主权、不干涉原则、尽职调查、禁止使用武力,以及遵守国际人道主义法、国际人权法、国家责任法和合法的国家反应规则;承认国际人道主义法在网络空间的适用不会导致或鼓励网络空间军事化,也不会使网络战合法化。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
