面向拜登政府的過渡期網絡安全建議

美國網絡空間日光浴委員會

0 引 言

數字互聯既給美國帶來了經濟增長、技術優勢和更好的生活質量，也催生了戰略困境。

美國需要數據足夠安全、可恢復（亦稱“彈性”）且可信的網絡環境，但美國政府和私營部門目前都無力達成這一目標，同時網絡靈活性、網絡技術專長和網絡協調（不論是美國政府內部的協調還是公共與私營部門之間的協調）方面的問題也日趨嚴重。20 多年來，各路主權國家和非國家行為體一直在利用網絡空間來破壞美國的國力、安全和生活方式，這些網絡攻擊者利用了美國在體制和戰略上的弱點，并評估了如何在不引起美國嚴厲報復的前提下傷害美國，以至于美國的克制遭到了肆無忌憚的踐踏。美國網絡空間日光浴委員會（CSC，以下簡稱“日光委”）由約翰·S·麥凱恩（John S. McCain）按照《2019 財年國防授權法》（National Defense Authorization Act for Fiscal Year 2019）組建而成，其宗旨是應對上述挑戰，并就“在網絡空間保護美國免受重大網絡攻擊的種種戰略手段”達成共識。

為履行其使命，“日光委”于2020 年3 月發布了一份報告，其中概述了面向美國政府的戰略方針和80 多項建議。在編寫終版報告的過程中，“日光委”召集了來自工業界、學術界、聯邦、州級和地方政府、國際組織以及智庫的300 多名利益攸關者，并請這些人員通過一系列紅隊審查和情景化事件對報告中的建議做了壓力測試。自成立以來，“日光委”評估了每一項戰略以及配套的政策建議，并由此得到相應的正式反饋。“日光委”的工作人員將這些反饋編制成冊，并參考其中的見解和指導來進一步完善建議。

在發布終版報告后的幾個月內，“日光委”及下屬工作人員酌情制定了有助于促成“日光委”建議的立法提案，并與眾議院和參議院的相關委員合作執行了許多由“日光委”提出的建議。此外“日光委”還發布了四份白皮書（其中包含了當時的最新建議），內容分別涵蓋以下方面：從疫情中吸取的網絡安全教訓；關于國家網絡總監的詳細建議；網絡安全勞動力發展戰略框架；關于如何保護美國信息與通信技術（ICT）供應鏈安全的建議。“日光委”的許多重要建議已被納入立法，不過美國仍面臨著各種緊迫挑戰。盡管如此，若能采取協調一致且深思熟慮的行政舉措，則可使局面大為改觀。

本白皮書旨在為新上任的拜登-哈里斯政府（以下簡稱“拜登政府”）提供指導，指出或可在新政府前期出臺的策略，并就未來數月乃至數年的優先工作提出建議。“日光委”的終版報告和隨附的白皮書將更詳細地討論本文中的建議。

1 前期優先事項：頭100 天

拜登政府可在上任頭100 天內啟動三項流程，從而把改善網絡安全作為政府的當務之急，并努力減輕美國遭受網絡攻擊的可能性及其影響。

1.1 組建國家網絡總監辦公室

目前很多委員會的倡議和研究都建議建立更加健全和制度化的國家級機制，以協調網絡安全問題及相關的新興技術問題，并監督行政部門制定和實施一體化的國家網絡安全戰略。鑒于與新興技術和網絡空間有關的問題正變得更加復雜，并因此對美國國家安全構成更大的威脅，美國總統比以往更加迫切需要合理的建議和及時的方案。

為確保白宮擁有強大、穩定且由專家牽頭的網絡安全領導力，拜登政府應在頭30 天內提名一位國家網絡總監并交由參議院批準，然后著手組建國家網絡總監辦公室。《2021 財年國防授權法》（FY2021 NDAA）已規定設立國家網絡總監一職和國家網絡總監辦公室。作為總統行政辦公室的下設職位之一，國家網絡總監是經參議院批準的總統顧問，其擔任著多項重要職務，其中包括：

（1）擔任總統在網絡安全問題及相關新興技術問題上的首席顧問；

（2）牽頭制定國家網絡戰略，并確保各部門／機構貫徹這些戰略（包括評估機構預算和確保有效整合各機構的工作）；

（3）監督和協調聯邦政府為了在敵對網絡作戰中保護美國而開展的種種行動（包括充當公共部門與私營部門之間以及與州級、地方、部落和屬地機構之間的主要聯絡點）；

（4）經國家安全顧問或國家經濟顧問同意，召集和協調內閣（或國家安全委員會的主要成員）層級的會議及相關預備會議。

在組建國家網絡總監辦公室的同時，拜登政府還應規定分管網絡與新興技術的國家安全副顧問和國家網絡總監之間的關系、角色和責任。在“日光委”看來，這些官員的職責是相輔相成的，他們要共同幫助國家安全顧問考量和執行那些旨在支持國家安全目標的全國性戰略。國家安全副顧問應代表“按《美國法典》第10 編和第50 編開展網絡行動”的各部門／機構的利益，展示這些部門／機構的能力，并在它們和國家安全委員會之間充當重要的橋梁，以確保國家網絡總監充分了解這些部門／機構的網絡行動。國家網絡總監應專注于協調、支持和理順行政部門牽頭的全國性網絡安全工作和網絡防御工作，這意味著國家網絡總監應主導白宮與私營部門之間的接觸，建立互信和推進共同利益，并應在國內外的網絡問題上代表美國政府。與此同時，拜登政府還應評估并更新第41 號總統令，以便將國家網絡總監指定為聯邦網絡事件響應工作的主要協調人，并規定國家網絡總監有責任向國家安全顧問提出綜合性的政策與行動建議。此外還應更新對網絡安全有影響的其它規則制定流程，以便把國家網絡總監也納入其中。

1.2 制定并頒布國家網絡戰略

國家網絡總監一旦到任，拜登政府就應開始制定和頒布新的美國國家網絡戰略。《2018 年國家網絡戰略》（2018 National Cyber Strategy）是近15 年來發布的第一份美國國家網絡安全戰略，也是美國歷史上的第二份此類戰略。

任何有效的網絡空間戰略都離不開聯邦、州級和地方政府以及私營部門的通力合作，而這些利益攸關方也都有責任捍衛美國的網絡安全。出于這一緣故，此類戰略必須與各利益攸關方的戰略目標保持高度一致，明確如何將戰略付諸實施，澄清各項工作的優先順序，并闡明共同的風險原則。此類戰略還應將“前沿防御”概念（此概念目前與國防部的2018 年網絡戰略相掛鉤）整合到更寬泛的美國網絡戰略中。除此之外，此類戰略應將“前沿防御”納入一套綜合方法中，而該方法不僅要闡明如何動用純軍事能力，還要闡明如何動用所有國家級手段，比如經濟工作、執法活動、外交工具以及傳達給盟友和對手的信號等。

新的國家網絡戰略應闡明一種框架，而該框架要能利用多層網絡威懾來成功挫敗和嚇阻對手發起的重大網絡攻擊。該戰略還應規定實現以下目標的具體方法和手段：（1）約束對手的行為；（2）使對手無法從網絡攻擊中漁利；（3）迫使對手付出更大代價。縱使美國一直堅持威懾戰略，多層網絡威懾戰略的兩大特性也仍使其顯得大膽而獨特。首先，此戰略將優先以拒止手段來實現威懾（特別是依托恢復能力和公私部門間的合作來提升網絡空間的防御和安全水平），以減少可能被對手利用的薄弱環節；其次，此戰略吸收了前述“前沿防御”概念。

最后要指出的是，此戰略應為美國提出一種多層級的信息傳達策略和一種新的宣示性政策。這種信息傳達策略所闡明的框架應滿足以下要求：能夠明確傳達美國政府將于何時和何種條件下自愿披露其網絡作戰和網絡行動，以便將美國的能力和意圖告知各類受眾。而宣示性政策則應明確指出，美國將動用網絡和非網絡能力來反擊敵方的網絡行動（但反擊力度不會達到“促使對手動用武力”的程度），并使敵方付出代價。從本質上講，就是美國政府應公開宣布其將實施前沿防御，并同時在各個方面采取果斷且始終如一的行動來配合這一宣示。

1.3 加強現政府網絡安全工作的條理性、影響力和與私營部門的合作

雖然各私營機構以及州級、地方、部落和屬地政府會分別負責各自網絡的防御和安全，但美國政府必須利用其獨有的權力和資源以及外交、經濟、軍事、執法和情報能力來支持這些機構的網絡防御工作。此外正如“太陽風”（SolarWinds）事件所表明的那樣，聯邦政府的各部門／機構必須加強其能力，以防止發生網絡事件，并在事發時能發現、檢測和有效應對此類事件。為改善美國政府的網絡防御能力及其與私營機構和其它關鍵涉事方的合作，拜登政府應加強網絡安全與基礎設施安全局（CISA，以下簡稱“網安局”）下屬的綜合網絡中心，并設立“聯合網絡規劃辦公室”（JCPO）。

1.3.1 審查2022 財年撥款中的聯邦機構網絡安全預算

從“太陽風”大規模黑客攻擊來看，聯邦的各部門、機構和網絡安全中心的網絡安全均亟待改善。拜登政府應指示國家網絡總監對聯邦機構網絡安全預算進行為期90 天的審查。在此項審查中，應確定聯邦各部門／機構用于網絡安全運營和規劃的現有預算，并評估當前分配的金額與完成法定任務所需金額之間的差距。同時也應考察各機構的企業網絡安全預算、《聯邦信息安全管理法》（Federal Information Security Management Act）規定預算以及各機構用于規劃網絡安全的預算。此外還應審查各機構執行新命令所需的預算，包括2021 財年NDAA中為“網安局”的以下工作劃撥的預算：（1）在各種聯邦信息系統中搜尋和識別各類威脅和漏洞；（2）依靠自身的服務、功能和能力來協助各類聯邦機構；（3）部署、運行和維護各種安全的技術平臺和工具（包括各類網絡和常見的業務應用程序）。最后亦應評估各類行業風險管理機構（Sector Risk Management Agencies）的現有預算是否足以實現2021 財年NDAA 對它們提出的要求。

1.3.2 加強“網安局”的綜合網絡中心

2021 財年NDAA 要求審查各類聯邦網絡中心，并加強“網安局”新設的綜合網絡中心。為了真正落實與私營部門之間的網絡安全合作，拜登政府應按這一要求加強“網安局”的綜合網絡中心，要求該中心牽頭開展各種資產響應活動，并改善該中心與聯邦政府及私營部門的其它關鍵性網絡中心和網絡安全中心之間的聯系。此舉將確保各種系統、流程和人員要素能夠緊密協作，從而支持關鍵基礎設施的網絡安全任務和網絡恢復任務。在網絡方面，“網安局”的任務是充當美國政府的主要協調機構（最初的設想是通過某種國家網絡安全與通信整合中心來開展協調），以負責打造整體型政府和推動網絡安全行動中的公私合作。然而由于設施不足、人事政策不力、資源匱乏、缺乏其它聯邦部門／機構的支持、國會未明確界定“網安局”的作用及其在聯邦體系中的地位、對私營部門的支持力度不足以及未能與私營部門充分協作等原因，“網安局”在現有體制下難以充分執行這一任務。

1.3.3 在“網安局”內設立聯合網絡規劃辦公室

除了呼吁建立更強大的綜合網絡中心來開展實時網絡防御外，2021 財年NDAA 還要求在“網安局”內設立“聯合網絡規劃辦公室”（JCPO），以便由該辦公室來制定計劃和協調演習。拜登政府應在“網安局”領導下組建JCPO，以協調整個聯邦政府以及公共和私營部門之間的網絡安全規劃和準備工作，從而作好應對重大網絡

事件和惡意網絡活動的準備。按照國家網絡戰略（國家網絡總監將監督這一戰略）的指導意見，JCPO 應由以下各方組成：中央規劃人員，來自綜合網絡中心的代表，以及有網絡能力／權限來保護關鍵基礎設施的其它聯邦機構的代表。“網安局”轄下的JCPO 應協助各機構全面規劃各類與情報工作無關的防御性網絡安全活動，并在這些規劃中考慮到私營部門的同類需求。

1.3.4 明確對行業風險管理機構的期望及其責任

2021 財年NDAA 從法律上將一些行業機構認定為“行業風險管理機構”（SRMA），并明確了這些關鍵機構至少應實現哪些期望和承擔哪些責任（畢竟這些機構與各類關鍵基礎設施保持著聯絡）。政府需要向私營部門提供更成熟的支持，而明確SRMA 的期望和責任便是實現這一目標的第一個關鍵步驟。拜登政府應執行《2021 財年國防授權法》中關于SRMA 的規定，并通過改寫第21 號總統政策令以及闡述SRMA的期望和責任的方式，來提高各SRMA 應對威脅的能力。很重要的一點就是拜登政府需要在頭100 天內完成此項工作，這樣各SRMA 才能在本年度的剩余時間內了解其新職責，并提交與這些職責相稱的預算請求。

2 100 天后的優先行政舉措

在頭100 天內確立了白宮的領導和協調體制以及國家網絡安全戰略后，拜登政府接下來就應優先關注七個方面的網絡安全問題。

2.1 恢復美國在網絡領域的國際領導地位

有目共睹的是，美國在網絡安全問題上的國際領導地位正日益衰弱。盡管美國的外交官一直在按部就班地與世界各地的其它政府和組織接觸，但除非為他們提供足夠的資源并優先考慮此類事項，否則這些接觸工作的效果就不盡如人意。若要形成穩定的全球體系，并讓對手和盟友都在網絡空間內規矩行事，那么國際合作就必不可少；而要切實且持續做到這兩點，則還必須建立覆蓋全球的網絡安全能力。為此美國可以加強與美國站在同一陣線的民主聯盟，并與盟友和志同道合者組成新的聯盟，從而在網絡空間內激勵各國作出負責任的行為，讓惡意攻擊者付出沉重代價，并動員各國共同應對全球網絡威脅。

2.1.1 組建網絡空間政策與新興技術局

既然拜登政府將網絡安全視為首要的國際政策問題之一，就應為此組建網絡空間政策與新興技術局（CPET）。CPET 的機制和資源應滿足領導國際聯盟的需要，并由其負責實施美國的各種網絡安全戰略。按照2019 年提出的《網絡外交法》（Cyber Diplomacy Act）所述的結構和責任，CPET 必須有權在諸多問題上發揮領導作用，包括倡導負責任的網絡空間國家行為規范，加強互信措施，通過外交手段與國際社會一同應對網絡威脅，推動建立由多個利益攸關方共同治理、開放且可互操作的互聯網模式，通過國際合作來確保數字經濟安全，培養合作方／盟友在提升網絡安全和打擊網絡犯罪方面的能力，以及承擔國務卿下達的其它任何任務。

2.1.2 擴大美國政府在能力建設、規范和互信措施方面的支持范圍

一旦組建CPET，拜登政府就應借助該局來擴大美國政府在能力建設、規范和互信措施的支持范圍。國際社會已在聯合國等場合表態同意制定網絡規范，但這些規范的實施力度各不相同。在CPET 牽頭下，美國政府應在照顧到多個利益攸關方的前提下，逐行業地實施規范，主導各國元首之間關于網絡安全規范的討論，并在聯合國及其它場合參與各類廣泛性論壇和專業性論壇。拜登政府應與國會合作，確保CPET擁有必要的人力、資源和權限來開展能力建設，從而激勵和支持各國在網絡空間內作出負責任的行為。此外國務院應繼續制定和實施地區層面和全球層面的網絡互信措施，并籍此與私營機構等非國家的利益攸關方進行接觸。在建設國際網絡安全能力的同時，美國政府還應確保這種能力建設工作會在美國的對外政策中發揮不可或缺的作用。美國將以建立國際伙伴關系和國際聯盟的方式開展能力建設和拓寬國際合作，進而向恢復美國的領導地位邁出關鍵一步。

2.1.3 更積極且更有效地參與國際信通技術標準討論

除了進一步圍繞規范和互信措施來開展工作外，美國政府還必須更積極且更有效地參與關于國際信通技術（ICT）標準的討論。拜登政府應為此與國會合作，以確保聯邦部門／機構擁有所需的資源和權力，從而促使來自聯邦政府、學術界、專業協會和工業界的人士深度參與關于制定信通技術標準的討論。為提高參與效果，美國政府還應在討論信通技術標準之前和期間主動與各行各業的利益攸關方接觸。此外行政部門的領導人不僅應派出技術專家和標準專家參與各類信通技術標準論壇，還應派出外交官參與此類論壇。

2.2 投入更多人員來抵御惡意網絡攻擊

目前公共部門的網絡安全職位缺口多達37000 多人。鑒于公共部門已雇傭了56000 多名網絡安全專業人員，這一缺口意味著公共部門還缺少約三分之一的網絡安全人員。另一方面，企業的網絡安全職位缺口更是接近50 萬人。在2009 年時，為填補聯邦政府的網絡職位缺口，有專家呼吁白宮網絡安全協調員制定聯邦級的網絡勞動力戰略；然而12 年后，美國聯邦政府仍既未制定有效的網絡勞動力戰略，也未明確由誰負責制定和實施此類戰略。

2.2.1 建立勞動力領導與協調體制

美國政府中的許多部門／機構都在采取措施招募網絡工作人員，但并沒有中央層面的領導或戰略來協調這些工作。為此拜登政府應組建兩個聯邦網絡勞動力開發機構，并與這些機構合作起草一項聯邦網絡勞動力戰略。首先，美國政府應組建“網絡勞動力指導委員會”（CW-SC），由國家網絡總監擔任該委員會主席，其成員則應包括來自管理與預算辦公室（OMB）、人事管理局（OPM）、“國家網絡安全教育倡議”組織、國家科學基金會、網安局和國防部的代表。CW-SC 應提供來自領導層的戰略指導和直接資源，以確保整個聯邦政府協調一致地開發網絡勞動力。除此之外，對所有部門／機構開放的“網絡勞動力協調工作組”則應負責解決各種項目的日常開發和運營問題，同時確保這些項目既獲得特許和資源，又遵循指導委員會確立的戰略方向。國家網絡總監應與這兩個機構及教育部（教育部在加強全美的網絡勞動力開發方面也發揮著重要作用）等其它聯邦部門／機構合作制定一項網絡勞動力戰略，以減少重復工作，確保從戰略角度分配資源，以及減輕各機構對人才的爭奪程度。在設立這些機構并制定勞動力戰略后，國家網絡總監便可在有效整合勞動力開發工作方面發揮核心作用。

2.2.2 確保美國政府能在網絡工作方面擁有特殊的招聘權限和制定靈活的付薪制度

在使用網絡人才方面，不同聯邦機構有著不同的招聘權限和付薪制度。許多部門／機構費盡心思制定和使用了一套復雜的職業編碼與權限制度，另一些部門則完全拋棄了這一套，轉而建立了其特有的人事管理制度。為了形成開發未來聯邦網絡勞動力所需的靈活性和創新性，拜登政府應致力于消除既有障礙，使所有聯邦部門都能擁有特殊的招聘權限和制定靈活的付薪制度。在2018 年和2019 年發布的報告中，政府問責局（GAO）概述了聯邦網絡崗位定密方面的挑戰，而正是這些挑戰妨礙了各部門擁有特殊的招聘權限和制定靈活的付薪制度。OPM后來提供了一些信息，以幫助聯邦管理人員利用這些報告開展工作。拜登政府應評價OPM 的工作，以判斷現有制度是否能有效管理網絡人才。如果不能，美國政府就應指示OPM 設置一系列網絡職位，以更好地運用特殊的招聘權限和靈活的付薪制度。

2.2.3 擴大“網絡企業服務獎學金”項目范圍

“網絡企業服務獎學金”（SFS）項目是一項實惠且可擴大規模的網絡人才培養項目，其立足于現有學院和大學的教育基礎設施，不過近年來的項目預算始終沒有增長，以至于阻礙了其最大限度地發揮潛力。在向國會提交的預算申請中，拜登政府應優先考慮該“服務獎學金”的需求，以便（1）增加參與該項目的學院和大學的數量，以及（2）增加參與機構所授獎學金的獎項數量。受現實條件的限制，美國政府只能逐步擴大該項目的范圍：在10 年時間內，其預算的年均增幅應比通貨膨脹率高出20%到30%，這意味著該項目在2022 財年的預算將達到8000 萬美元。為推動網絡勞動力的多元化（目前多元化明顯不足），美國政府還應盡量努力鼓勵以少數族裔為主的機構參與該項目。

2.3 加大美國在基礎設施彈性方面的投資

可能遭受網絡攻擊的資產、功能和實體大多歸私營部門所有和運營，因此雖然公共部門承擔著網絡防御的責任，但防御效果很大程度上取決于私營網絡和基礎設施的所有者和運營方所做的基礎工作。

2.3.1 啟動“經濟延續性”規劃

2021 財年NDAA 要求總統“制定一項計劃來維持和恢復美國發生重大事件時的經濟”，為此拜登政府應開始制定“經濟延續性”計劃。美國政府已制定了“持續運作”計劃和“政府存續”計劃，然而盡管經濟是美國國力的關鍵來源之一，卻沒有任何計劃來確保美國經濟能夠延續下去。國土安全部、國防部、商務部、財政部、能源部、衛生與公眾服務部（Department of Health and Human Services）、小企業管理局（Small Business Administration）以及美國總統確定的其它任何部門或機構都應參與制定這一計劃。

在制定這一計劃的過程中，行政部門應確定各方所需的一切額外權限或資源，以便各方能執行既定計劃，或是建立各種項目來支撐和維持各部門／機構的“經濟延續性”規劃能力。同時也應分析各項國家關鍵職能（重點關注如何在國家層面上合理分配各種貨物和服務，從而使美國經濟可靠地運轉下去），并將關鍵的私營機構（即那些構成或融入相關分配機制、并對“維持和運作特定行業或區域或整個經濟所需的此類機制”負有主要責任的私營機構）納入規劃。此外這一計劃還應確定關鍵的物資、貨物和服務，響應與恢復的優先順序，網絡彈性的投資領域，以及必須保存數據的領域。

2.3.2 探索以機器速度共享信息的可行性

拜登政府應責成國土安全部部長和國家情報總監起草一份報告，以說明建立一種聯合云基信息共享環境的可行性和合理性。該環境理應匯聚聯邦政府的保密和非保密網絡威脅情報、惡意軟件取證信息以及來自監控程序的網絡數據，以供各方查詢和分析之用。

2.3.3 改善對私營部門的情報支持

雖然美國情報界可為美國政府提供強有力的信息安全支持，但其缺乏恰當的政策和措施來應對“網絡防御的主要責任方并非美國政府”的情形。歸私營部門所有和運營的數字基礎設施亟需依托美國情報界收集的獨家情報來開展防御，外國的惡意行為體也比過去更加詭計多端，然而情報界的現行政策和程序卻并未考慮到這些問題，以至于情報界很大程度上仍只能對不斷演變的網絡威脅保持警覺，并向成為網絡攻擊目標的美國機構發出基本的警告。為了能向所有涉事的私營部門和相關組織（如各類信息共享與分析中心以及“系統風險分析與彈性中心”）提供情報支持，美國政府必須放寬對相關能力的限制。

為此，拜登政府應對情報界的政策、程序和資源進行為期六個月的全面審查，以確定和解決情報界向私營部門提供情報支持時面臨的關鍵能力限制。當此項審查結束后，行政部門應向國會報告審查結果，并應就如何克服報告所述挑戰提出具體的建議或計劃。拜登政府應在此項審查中完成以下工作：考察情報機構，以確定當前支持涉事私營部門時面臨的種種限制；審查情報界與涉事私營部門共享情報時面臨的能力限制；審查向下級傳達和解密網絡威脅情報的程序；審查與網絡有關的信息共享放行流程。此外拜登政府還應制定征集和整理私營部門意見的正式流程，以便更好地確定國家情報優先級、情報收集需求以及更側重于私營部門網絡安全行動的情報支持工作。

2.4 保障美國的高科技供應鏈

“日光委”在其于2020 年10 月發布的白皮書中指出，“美國的信通技術供應鏈存在著‘中國問題’”。“日光委”聲稱，在中國政府的干預下，關鍵技術方面的國際商業體系既不自由也不公平，導致美國及其伙伴的公司更難以占據全球市場份額和建立安全可靠的供應鏈。不過正如“太陽風”事件所凸顯的那樣，盡管中國對美國的供應鏈構成了重大風險，但中國并非唯一的威脅。美國必須開展更多工作來找出其信通技術供應鏈中的風險，并投入資源來管理這些風險。

2.4.1 制定和頒布信通技術產業基礎戰略

2021 財年NDAA 啟動了多項舉措，以此來幫助美國了解信通技術問題的范圍，開放一些公共投資載體，并更積極地參與那些制定各項標準的關鍵性論壇。然而美國仍缺乏保障信通技術供應鏈的綜合性總體戰略。美國需通過此類戰略來確保相關規則有益于美國的工人和經濟，以及幫助美國及其伙伴和盟友的公司在中國政府的不當干預下仍能贏得全球市場。拜登政府應制定并頒布一項產業戰略，以保障美國的高科技發展。該戰略應依托于堅實的伙伴關系（即與美國工業界、盟友政府以及盟友和伙伴國的公司之間的關系），并立足于以下五大支柱之上。這五大支柱分別為：

（1）通過政府審查和行業咨詢來確定關鍵的技術、設備和原材料；

（2）使私人投資與關鍵的制造業需求相匹配，向必不可少的領域提供政府投資，并以投資與經濟保護相結合的方式援助各經濟群，以確保在各關鍵領域具備最起碼的制造能力；

（3）改善聯邦政府層面的協調工作，增強對私營部門的情報支持，并對各項關鍵技術開展更嚴格的薄弱點測試，以保護美國的供應鏈安全；

（4）開放更多中頻譜帶，并將美國政府今后對信通技術的投資與開放且可互操作的標準相掛鉤，以扶持美國國內的信通技術市場；

（5）從戰略角度運用美國進出口銀行（Export-Import Bank of the United States）、美國國際開發金融公司（U.S. International Development Finance Corporation）、 美 國 貿 易發 展 署（U.S. Trade Development Agency） 和美國國際開發署（U.S. Agency for International Development）現有的工具，以增強美國及其伙伴的公司的全球競爭力。

2.5 維持美國的軍事網絡優勢

美國擁有世界上最成熟、最先進的軍事網絡，然而除非加大關注、評估和投資力度，否則這種軍事網絡優勢就可能縮小甚至消失。2021 財年NDAA 已提出了包括下文在內的許多建議，而這些建議則需要得到行政部門的關注和采納。

2.5.1 對網絡任務部隊進行軍力結構評估

網絡任務部隊（CMF）目前據信具備全面作戰能力，其分為133 支隊伍，共約6200 人。不過對CMF 的要求是在2013 年確定的，當時一些“促使美國政府意識到各路對手構成了緊迫而顯著的網絡威脅”的關鍵事件還未發生，美國國防部也尚未提出前沿防御戰略。如今屬于CMF 范疇的各部隊承擔著形形色色的國防部網絡任務，其中包括保護國防部信息網絡（DoDIN），按照戰區作戰司令部的要求為軍事行動提供支持，以及在日常較量中保護美國免遭惡意攻擊。從這些活動來看，盡管CMF 的軍力結構目標沒有變化，但其任務范圍（并不局限于DoDIN）和行動規模（加大行動力度以應對更危險的威脅環境）均有所擴大。拜登政府的國防部應對美國網絡司令部的網絡任務部隊進行軍力結構評估，以呈現出范圍和規模均與日俱增的任務需求和外部期望。

2.5.2 單獨列出網絡司令部的主要軍力項目

拜登政府的國防部應提交一份預算說明，其中應單獨列出美國網絡司令部在訓練、人力和裝備方面的主要軍力項目（MFP）。按照《美國法典》第10 編第238 條的規定，國防部需要向國會提交一份預算說明，其中應單獨列出網絡任務部隊的MFP。不過這條法律是在2014 年頒布的，當時美國網絡司令部還沒有被提升為統一作戰司令部，因此還需在新的預算說明中單獨列出美國網絡司令部的MFP。若有了MFP 的單列經費，美國網絡司令部就有權采辦其所需的專用貨物和服務。正如國防部第5100.03.17 號指令所要求的那樣，MFP 還應提供一套迅速解決作戰指揮／勤務經費爭端的流程。雖然2021財年NDAA 確實納入了一些改進建議（最突出的一點是建議讓網絡司令部能提出超出現有限制的預算和采辦要求，并取消7500 萬美元的年度支出上限），但并未在預算中單獨列出網絡司令部的主要軍力項目。

2.5.3 更新適用于網絡的交戰規則和動武指導

“常規交戰規則”（SROE）和“常規動武規則”（SRUF）均制定于十多年前，因此在下一次網絡態勢評估中，拜登政府的國防部應編寫一份研究報告，以評估美國軍隊的SROE 和SRUF，并視為需要提出修正建議。開展此項研究時應考慮到具體的大背景和部隊承擔的任務。鑒于網絡空間行動的獨特性（特別是此類行動很難達到動武門檻），SROE／SRUF 必須指導如何在網絡空間內和通過網絡空間采取行動。

2.5.4 評估是否組建軍事網絡預備役

2021 財年NDAA 要求行政部門審查是否需要組建軍事網絡預備役。拜登政府的國防部應評估軍事網絡預備役的需求和要求以及可能的組成和結構（即留守人員模式、非傳統預備役、戰略技術預備役或其它模式）。在評估軍事網絡預備役時，應探討不同類型的預備役模式將如何解決更寬泛的人才管理問題，考慮網絡預備役將如何定向招募關鍵私營部門的人員，研究如何有效招募和留住原本沒有軍事專長但有意服役的文職人才，以及評測網絡預備役在“從私營部門和非國防部政府工作人員中吸引文職人才”方面可能產生的影響。最后評估時還應提出國防部如何在必要時利用現有機制引進技術專長，并找出“或可通過更有針對性的招聘方式”來加以彌補的網絡專長短板。

2.5.5 審查前沿防御概念和進攻性網絡行動授權

美國國防部在繼續穩步增強其進攻性網絡能力。在《2018 年國防網絡戰略》中，為了從源頭上破壞或削弱惡意網絡活動，美國國防部明確提出了“前沿防御”戰略。這一攻勢概念借助了美國網絡司令部的“持續交戰”概念，并由此改善了美國在網絡戰場中的地位。這一新戰略還得到了2019 財年NDAA 中三項關鍵條款（這些條款對現有進攻性網絡行動的框架作出了授權）的支持：第1632 條授權國防部像傳統軍事活動那樣開展網絡監視和網絡偵察；第1636 條確立了美國應對外國勢力進行的網絡攻擊及其它惡意網絡活動時所采取的政策；第1642 條授權國防部回擊來自俄羅斯、中國、朝鮮或伊朗的惡意網絡活動。行政部門隨后制定了“第13 號國家安全總統備忘錄”（National Security Presidential Memorandum 13），以授權各項進攻性網絡行動。盡管需要在不屬于美國的網絡中開展行動，但顧名思義，“前沿防御”仍是一項以防御為導向的戰略，旨在于對方發起攻擊前就搶先消除迫在眉睫的威脅。這些工作是特朗普政府網絡政策的亮點之一，但拜登政府應審查和完善前沿防御概念和進攻性網絡行動授權，以確保充分評估相應的風險和收益，并對快速行動保持必要的關注。

2.6 保護美國的全頻譜作戰與威懾能力免受網絡威脅

美國的全頻譜作戰與威懾能力不但是持續保障國家安全的關鍵一環，也為網絡威懾奠定了堅實的基礎。如果失去這些能力，多層網絡威懾就無從談起，因此美國必須保護這些能力免受網絡威脅。2021 財年NDAA 已提出了以下所有建議，而這些建議則亟需得到行政部門的關注和采納。

2.6.1 制定保護核指揮、控制與通信免受網絡攻擊的計劃

美國的核能力是其整個威懾態勢的基石。如果沒有核作戰能力，美國就無力嚇阻對手的任何行動（包括網絡攻擊）。為確保美國核武器體系的持續運作并減少其弱點，拜登政府應按照《2021 財年國防授權法》的要求，制定一項旨在保護核指揮、控制與通信系統免受網絡攻擊的作戰理念。

2.6.2 要求國防工業基礎參與威脅情報共享項目

按照2021 財年NDAA 的規定，國防部長需提交一份關于威脅情報共享項目（該項目要求在國防工業基礎（DIB）內部以及DIB 與國防部之間共享威脅情報）的可行性和適用性的報告。這是一個良好的開端，但除了發布該報告外，拜登政府還應頒布一項政策令，以要求屬于國防工業基礎之列的公司參與一項由國防部主管部門主導的威脅情報共享計劃，并將此要求納入這些公司與國防部簽訂的合同條款之中。

2.6.3 要求搜尋國防工業基礎網絡中的威脅

按照2021 財年NDAA 的規定，國防部長需提交一份關于威脅搜尋項目（該項目要求搜尋各類DIB 網絡中的威脅）的可行性和適用性的報告。除了發布該報告外，拜登政府還應頒布一項政策令，以要求屬于國防工業基礎之列的公司制定一項允許依規搜尋DIB 網絡威脅的機制，并將此要求納入這些公司與國防部簽訂的合同條款之中。

3 拜登政府的積極網絡立法議程

利用現有的權限和撥款，行政部門可在重建美國網絡安全方面取得巨大進展；但沒有國會的支持和批準，“日光委”的一些建議就無法付諸實施。

拜登政府應與國會合作，以確保美國能以最佳狀態防范、抵御和應對重大網絡事件，并最終從中恢復過來。在積極制定網絡安全立法時，美國政府應側重于改善政府的網絡專長，建立國際網絡合作制度，推動實現更安全的國家網絡生態系統，通過投資加強網絡彈性，為網絡犯罪受害者提供支持，以及保護美國的民主。

3.1 改善政府的網絡專長

若能改善網絡政策專長并使指標與數據變得更加穩健，則將有助于聯邦政府的行政和立法部門更好地實施網絡政策。拜登政府應與國會合作，實施“日光委”最終報告中旨在發展這一能力的兩項建議：（1）在行政部門中組建“網絡統計局”；（2）將“網絡威脅情報整合中心”作為法定機構并加強該中心。

3.1.1 組建網絡統計局

雖然人們普遍認為針對美國公民和企業的網絡攻擊正變得越來越頻繁和嚴重，但美國政府及其它市場主體需要進一步了解這些攻擊的性質和范圍，以便制定細致的有效對策。為了填補其它政策領域的類似空白，美國組建了經濟分析局、勞工統計局和人口普查局等統計機構，以便為公共部門和私人提供決策所需的信息。拜登政府應與國會合作，在商務部或其它部門或機構內部設立網絡統計局。作為政府機構，該局將收集、處理和分析關于網絡安全、網絡事件和網絡生態系統的基礎統計數據，并向美國公眾、國會、其它聯邦、州級和地方政府以及私營部門發布這些數據。

3.1.2 將網絡威脅情報整合中心作為法定機構并加強該中心

美國政府需要對影響美國的重大網絡威脅形成整體認識，而“網絡威脅情報整合中心”（CTIIC）便在這方面發揮著關鍵作用。此外CTIIC 還可通過必要的分析和協調來協助實現快速準確的溯源。然而要想使CTIIC 全面完成任務，就需要為其提供充足的資源（包括充足的資金、人力和分析資源），這樣CTIIC 才能充分支持聯邦各部門／機構開展工作，并向私營部門和國際伙伴提供情報。拜登政府應與國會合作，以立法形式組建“網絡威脅情報整合中心”，并確保為其提供充足的資源。

3.2 建立國際網絡合作制度

雖然拜登政府可通過國務院重新安排國際網絡合作的優先順序，但為了切實加強國際網絡合作并使其制度化，拜登政府必須組建一個新的部門，并任命一名分管網絡空間政策與新興技術的無任所大使（級別相當于助理部長）。此外還應修改《1961 年對外援助法》（Foreign Assistance Act of 1961）第二篇，從而為世界范圍內的重要網絡安全能力建設項目提供更有效的結構性支持。

3.2.1 在國務院內部設立網絡政策局

拜登政府應與國會合作，在國務院內部設立一個專門負責網絡空間政策的法定部門。該部門應由一名分管網絡空間政策的無任所大使領導（級別相當于助理部長），而該大使應向分管政務的副部長或更高級別的官員匯報工作。擬議的《2019 年網絡外交法》將為此項立法奠定基礎。除了指導志同道合的伙伴和盟友組成聯盟外，該局還應負責一系列任務，包括倡導負責任的網絡空間國家行為規范和國家間互信措施，通過外交手段與國際社會一同應對網絡威脅，倡導互聯網自由，確保數字經濟安全，培養合作方／盟友在提升網絡安全和打擊網絡犯罪方面的能力，以及承擔國務卿下達的其它任何任務。拜登政府應與國會合作，以便為這一新機構提供額外的資金，以及為其提供執行國際網絡任務（特別是建立強大聯盟的任務）所需的人員和項目。

3.2.2 盡量改善國際網絡安全能力建設的靈活性

網絡安全能力建設的宗旨，是通過“向遵守既定規范的國家提供資源和專長”的方式來激勵負責任的國家行為。此外這種能力建設也為志同道合的外國政府提供了一條培育本國網絡安全企業的可行途徑。對那些希望遏制源自其境內的網絡犯罪和其它惡意活動、但又無處著手的國家而言，提供這種支持將有助于改善全球的網絡安全。雖然美國政府會通過各種各樣的機制參與網絡能力建設，但作為美國主要的對外援助資源之一，“經濟支持基金”卻只能用來支持“軍事或準軍事之外”的活動。然而許多外國政府將私營部門的民用網絡安全基礎設施安排在軍事或準軍事機構內，此舉使美國難以向那些對民用網絡安全至關重要的對象提供支持。既然接受資助的網絡安全機構位于特定機構內，拜登政府就應與國會合作，允許不受限制地為旨在加強外國民用網絡安全性的項目撥發資金。

3.3 著力增強國家網絡生態系統的安全性

如今的網絡生態系統不僅僅是互聯網技術（即信息、網絡和運行技術），也包括采用這些技術的人、流程、組織以及由此產生的數據。這一生態系統改善了美國的通信速度、效率、功能和經濟。盡管這一生態系統對國家的運作至關重要，但也給美國帶來了重大挑戰和潛在危害。各路對手會利用該系統的漏洞及其對美國社會的廣泛影響來獲得不對稱優勢，發展出威脅美國關鍵基礎設施的能力，破壞美國的選舉，并窺探和危害美國人民的數據、系統和恢復能力。拜登政府應采取措施，將安全重任從最終用戶轉移到“能更有效地采取適當規模的安全解決方案”的所有者、運營方、開發人員和制造商身上，從而鞏固整個生態系統。

3.3.1 創建國家網絡安全認證與標簽管理處

雖然統一的安全標準和最佳做法有助于減少信息技術產品中的薄弱環節，但如果產品開發人員將安全性視為產品的一個獨到之處，就能更有效地發揮這些標準和做法的價值。如果沒有證書和標簽等透明機制，使得購買者難以比較不同產品的安全等級，關鍵基礎設施的所有者和運營方就難以在作出購買決策時摸清安全性的價值。拜登政府應與國會合作，通過立法授予商務部相應的資金和權限（并由國土安全部和國防部配合商務部的工作），使其以競標的方式組建名為“國家網絡安全認證與標簽管理處”的非營利非政府組織，并為該處提供資金。

3.3.2 通過物聯網安全法

在新冠疫情期間，美國相當一部分人都在家工作，這使家庭物聯網設備（尤其是家庭路由器）成為了國家網絡生態系統中一個重要而脆弱的部分，而美國的對手會通過這些設備發起網絡攻擊。第116 屆國會通過了《2020 年物聯網網絡安全改進法》（IoT Cybersecurity Improvement Act of 2020），該法規定了聯邦政府購買物聯網設備的基本安全要求，從而在改善美國物聯網生態系統安全的道路上邁出了重要的第一步。拜登政府應與國會合作通過一項物聯網安全法，以確保在美國市場上銷售的物聯網產品均采取了基本的安全措施。該法應側重于目前已知的挑戰（如無線路由器的安全問題），并要求物聯網設備采取合理的安全措施，比如美國國家標準與技術研究所（NIST）近期發布的“面向物聯網設備制造商的基礎網絡安全活動建議”等。

3.3.3 為州級、地方、部落和屬地政府制定信息技術現代化補助項目

新冠肺炎疫情改變了當今社會，并顯露了關鍵服務數字化的重要意義。在疫情爆發期間，美國人越來越依賴聯邦和州級的援助項目，然而這些項目所依靠的老舊系統現已瀕臨崩潰。為了能挺過將來的流行病或災難性的網絡事件，美國需要安全可靠的遠程數字服務。雖然現代化和數字化改革在短期內成本不菲，但從長期來看，此類改革可以改善服務的效率和靈活性，減少支出，提高生產率，并縮小掌握數字技術者和未掌握數字技術者之間的經濟差距。盡管如此，州級、地方、部落和屬地政府及小企業通常會優先考慮短期內的資金需求，以至于推遲其數字化進程。這種以短期為重的思路會帶來破壞性的長期后果，而美國便在為幾十年來的短視付出沉重代價。拜登政府有意投資美國的實體基礎設施，為此拜登政府應與國會合作，通過未來的新冠疫情刺激立法向州級、地方、部落和屬地政府提供補助，以便這些機構能夠更快地向云端遷移，并對各自的數字基礎設施進行現代化改造。擬議的《州級和地方信息技術現代化網絡安全法》（State and Local IT Modernization Cybersecurity Act）將為此項立法奠定基礎。

3.3.4 闡明硬件、軟件和固件的最終產品組裝者的法律責任

美國的對手會試圖利用軟件漏洞，而若能及時創建和安裝補丁程序，就能縮短漏洞的存在時間，從而使對手難以放開手腳利用這些漏洞，抬升對手的行動成本，并使對手無法從中漁利。為了鞭策硬件、軟件和固件的最終產品組裝者更快開發和發布補丁程序，從而縮短漏洞的存在時間，拜登政府應與國會一同盡職盡責地制定相關法律，規定如果交付時已知存在漏洞或事后發現漏洞、且并未及時加以修復，那么一旦有人利用這些漏洞造成損失，軟件、硬件和固件的最終產品組裝者就要對此負責。

3.3.5 通過《國家數據泄露通報法》

美國的各項數據泄露通報法律均要求數據泄露方（無論泄露原因如何）通知其消費者和其他相關方，并采取措施來彌補泄露造成的傷害。盡管所有50 個州、哥倫比亞特區、關島、波多黎各和維爾京群島都以種種形式實施了此類法律，但尚無關于此類通報的國家標準，以至于無法按統一標準來保護美國人的數據。美國需要根據消費者的期望來建立一種國家框架，并以明確的方式來監管從事州際和全球貿易的美國企業。拜登政府應與國會合作通過一項國家數據泄露通報法，以便為美國制定標準化的數據泄露通報要求，并用該法來取代54 個州、地區和屬地現有的各項數據泄露通報法律。

3.4 通過投資加強網絡彈性

美國政府應加強對私營部門網絡防御行動的支持力度，不過由于資源和能力有限，聯邦政府應優先保護那些具有系統重要性的關鍵基礎設施，即管理那些“一旦中斷，就可能對美國的國家安全、經濟安全或公共健康和安全產生連鎖負面影響”的系統和資產的關鍵基礎設施機構。

3.4.1 將具有系統重要性的關鍵基礎設施納入法律

從第13636 號行政令的第9 條可以看出，奧巴馬政府已認識到一個關鍵問題：在維護公共健康和安全、經濟安全或國家安全方面，并非所有關鍵基礎設施都發揮著同等重要的作用。盡管該行政令認為需要在網絡安全方面建立共擔責任和相互合作的社會契約關系，但其既未將這種契約關系編撰成法，也未全面建立這種關系。此外該行政令的第9 條既未允許美國政府借助任何新的要求、資源或權限來支持具有系統重要性的關鍵基礎設施，也未對受該條款約束的機構提出任何額外的期望。拜登政府應與國會合作，在第13636 號行政令的基礎上通過一項法案，從而將“具有系統重要性的關鍵基礎設施”這一概念納入法律之中。該法應確保負責“具有系統關鍵性的系統和資產”的機構獲得美國政府的特別援助，并要求這些機構履行與其獨特地位和重要性相稱的額外安全與信息共享要求。

3.4.2 建立國家風險管理循環

拜登政府應與國會合作通過一項法案，以建立國家風險管理循環和國家關鍵基礎設施彈性策略，從而協調和簡化國家風險管理工作。應由國土安全部主導這一循環，但所有行業風險管理機構（SRMA）也都應參與其中；在規定了識別、評估和區分風險優先級的程序后，該循環應將這種認知轉化為相關部門／機構的戰略、預算和計劃性優先事項。應與關鍵基礎設施的所有者和運營方協商制定該循環的流程和程序，然后公開對外發布，并向公眾征求意見。此外這些流程和程序還應具備適應性和迭代性，以便能吸取前一循環的經驗教訓。應通過此類循環中的風險識別和評估來直接得出“關鍵基礎設施彈性策略”（Critical Infrastructure Resilience Strategy），從而為各SRMA 規定將在下一個“五年國家風險管理循環”中優先執行的項目和預算事項。

3.5 為網絡犯罪的受害者提供支持

欺詐和其它惡意活動在新冠肺炎疫情期間激增，這表明犯罪分子在重大緊急事件中有更多空子可鉆，從而使本就處境艱難的公共服務部門和美國人民陷入更大的困境。拜登政府應與國會合作，通過創建“國家網絡犯罪受害者援助與恢復中心”等機構來向網絡犯罪受害者提供支持，并制定一項補助項目來幫助那些撫慰網絡犯罪受害者的非營利機構。

3.6 保護美國的民主

美國政府應確保其選舉安全和民主韌性。美國人民對其民主制度的信任和信心仍是國家恢復能力的基本要素，同時也是各種惡意行為體極力破壞的目標。美國的選舉制度其實是一種由各種制度、工具和人員構成的網絡，這種網絡依賴于互聯互通和數據，而這為破壞美國的政治體制（不論是投票還是其它方面）提供了可乘之機。為確保各州以及美國政治體系中的其它參與方（包括政黨和競選團隊）能夠改善和維持它們的網絡安全能力，負責保護美國選舉進程的聯邦機構需要在組織上進行改革、獲得持續不斷的經費并及時得到授權。此外美國人還必須有更好的設備來識別那些利用網絡開展的信息戰行動，這樣才能將其造成的損害降至最低。需要指出的是，這些信息戰行動可能會削弱各方對美國民主及其制度（包括選舉及其它方面的民主和制度）的信任和信心，從而危及國家安全。

3.6.1 加強和改善助選委員會的結構

為確保各州和美國政治體系中的其它參與方能夠改善和維持它們的網絡安全能力，包括助選委員會（Election Assistance Commission）在內，負責保護美國選舉進程的各種聯邦機構皆需在組織上進行改革、獲得持續不斷的經費并及時得到授權。拜登政府應與國會合作加強助選委員會的能力，以保護美國的民主。

3.6.2 促進數字素養、公民教育和公眾意識

美國的對手會利用網絡發起信息戰行動，以破壞公眾對民主制度的信任，進而危害美國的民主。對手會通過這些行動來傳播各種壞事，以便讓受眾對某種看法深信不疑，并認為體制正在不可逆轉地惡化，同時加劇國民之間的分歧。要想讓公眾抵制這些不良信息，首先就要重新重視公民教育，以此來提醒美國人民主的內涵：民主并非天賜，而是必須為之奮斗；美國擁抱民主并非因為其完美無缺，而是因為其能帶來積極的變化；每位美國人都必須通過合法手段來有效推動這種變化。拜登政府應與國會合作，為振興美國的數字素養和公民教育提供支持。

4 結 語

網絡空間日光浴委員會是由美國國會議員和政府官員組成的國家級網絡安全建議與咨詢團隊，其建議對美國的網絡安全政策具有重要影響。鑒于拜登政府與特朗普政府在諸多問題上均存在顯著分歧，因此有必要密切關注該委員會為新任美國政府提出的網絡安全建議。