美國多措并舉構建網絡安全戰略體系

樊 偉 劉永艷

2023年3月，美白宮發布新版《國家網絡安全戰略》；5月，國防部向國會提交了《美國防部網絡戰略》；7月，白宮發布《國家網絡安全戰略實施計劃》；8月，紐約州發布首個《紐約州網絡安全戰略》（以下簡稱“州戰略”）。美密集發布網絡安全戰略文件，強調在國家、聯邦機構、州政府層面加強政策指導，以提升網絡彈性、改善網絡安全。大國競爭背景下，此舉將加劇中美網絡空間戰略博弈，深刻影響全球網絡安全形勢和大國競爭格局。

政策發布背景

美國認為，世界正進入愈發依賴數字化的新階段，使軟件和系統變得更加復雜、更易受到網絡攻擊，這將引發更廣泛的惡意網絡行為，增加網絡安全系統性風險。

新興技術增加網絡安全風險。隨著新興網絡技術的快速發展，互聯網、軟件和系統正變得越來越復雜。通過互聯網能將個人、企業、社區和國家連接起來，使國際交流規模得以擴大。全球互聯為美國企業和消費者創造價值的同時，也增加了關鍵系統的網絡安全風險。原本對一個組織、行業或國家的網絡攻擊可以迅速蔓延到其他行業和地區，如俄羅斯2020年對烏克蘭發動的網絡攻擊蔓延到美國，造成了數億美元的損失。

惡意網絡活動持續擴散。近年來，美國頻發網絡攻擊事件，包括“太陽風”供應鏈攻擊事件、“科洛尼爾輸油管”攻擊事件等。疊加烏克蘭危機導致網絡攻擊風險進一步外溢，使美國政府辦公系統、關鍵基礎設施面臨更多網絡安全威脅。以往，外國攻擊性黑客工具和服務僅由少數國家掌握，但如今已能廣泛獲取，使網絡犯罪集團的威脅不斷增加。

協調機制存在障礙。美國政府認為，當前終端用戶承擔了太多緩解網絡風險的負擔。個人、小企業、州政府和地方政府以及基礎設施運營商的資源有限，且各種優先事項相互干擾，對維護國家網絡安全造成隱患。美國整體網絡彈性不能依賴于最小的組織機構，應要求能力最強、占位最優的行為體在確保數字生態系統的安全和彈性方面承擔更多責任。

政策體系構成

美網絡安全政策體系包括國家、聯邦機構、州政府等層面。國家層面包括美白宮《國家網絡安全戰略》《國家網絡安全戰略實施計劃》，聯邦機構層面包括《美國防部網絡戰略》，州政府層面包括《紐約州網絡安全戰略》等。

國家層面：《國家網絡安全戰略》。2023年3月，美白宮發布新版《國家網絡安全戰略》（以下簡稱“國家戰略”）。國家戰略明確了網絡安全戰略支柱，統籌安排了國家層面的重點任務。一是加強關鍵基礎設施網絡防御。制定網絡安全要求，擴大公私合作范圍，整合聯邦網絡安全中心，優化事件響應流程，以提升網絡防御現代化水平。二是打擊網絡威脅行為。整合政府能力，加強公私協作，實現情報共享和威脅檢測，防止對手濫用基礎設施，以打擊網絡犯罪。三是塑造市場力量。基于聯邦采辦制度強化問責，要求數據管理者、軟件供應商承擔安全責任，探索網絡安全保險新方式，以提高網絡彈性。四是投資未來彈性網絡。制定網絡空間人才政策，關注互聯網、后量子、清潔能源領域網絡安全，重振網絡技術研發。五是構建國際伙伴關系。建立聯盟，深化國際合作，應對數字生態系統威脅，確保信息技術產品與服務全球供應鏈安全。

美國《國家網絡安全戰略》

國家戰略細化實施路徑，推動落實具體工作。一是明確政府責任主體。提出國家安全委員會監督、預算管理辦公室協調、國家網絡總監辦公室制定實施計劃。二是開展有效性評估。要求聯邦政府全面評估戰略的有效性，并每年向總統、國會報告，確保后續工作的有效性。三是吸取網絡事件經驗教訓。將吸取網絡事件經驗教訓作為政府優先事項，鼓勵相關機構把網絡安全事故審查流程納入監管框架。四是引導網絡安全投資。發布年度指南等措施，確保各部門和機構預算提案一致性，提升長期投資的針對性。

國家層面：《國家網絡安全戰略實施計劃》。2023年7月，美白宮發布《國家網絡安全戰略實施計劃》，以提高應對重大網絡攻擊的長期防御能力。一是網絡安全和基礎設施安全局將協調公私合作，以推動安全技術的開發與采用。二是國防部發布新版網絡戰略，重點關注惡意行為者所帶來的挑戰，以應對潛在的戰略級威脅。三是司法部協調情報界實體機構，牽頭制定“一系列選項”，以應對網絡犯罪分子和國家對手的破壞活動。四是減輕公民網絡安全職責，將負擔從普通公民轉移到更有網絡安全能力的實體機構，同時激勵網絡安全領域的長期投資。五是國土安全部牽頭更新國家網絡事件響應計劃，要求國土安全部和聯邦調查局合作阻止勒索軟件攻擊，并為醫院和學校等高風險目標提供響應預案。六是廣泛關注網絡安全人才問題。

聯邦機構層面：《國防部網絡戰略》。2023年5月，美國防部向國會提交了機密版《美國防部網絡戰略》（以下簡稱“國防戰略”）。根據戰略情況說明書，國防戰略提出了3項網絡領域指導原則：一是美軍將最大限度地發揮其網絡能力，以支持綜合威懾，并與其他國家協同開展網絡空間行動；二是美軍將在低武裝沖突情況下，在網絡空間中和通過網絡空間開展行動，以加強威懾和挫敗對手；三是美國聯合全球盟友和合作伙伴，鞏固和加強網絡領域優勢。

此外，國防戰略還強調了美國政府和國防部長期以來所面臨的網絡威脅，威脅主要來自競爭國家、極端主義組織和跨國犯罪組織，并提出4項應對措施：一是保衛國家。美軍將開展利用網絡能力開展行動以深入了解惡意網絡行為者，開展“前沿防御”以破壞和削弱上述行為者的能力和支持生態系統，并與跨部門合作伙伴合作，加強美國關鍵基礎設施的網絡彈性，并打擊戰備威脅。二是準備戰斗并贏得戰爭。美軍將確保軍事信息網絡的網絡安全以及聯合部隊的網絡彈性，并將利用網絡空間作戰產生非對稱優勢，以支持聯合部隊的計劃和行動。三是與盟友和合作伙伴合作，保護網絡域。美軍將協助盟友和合作伙伴建設其網絡能力和實力，擴大潛在網絡合作途徑，繼續開展“前出狩獵”行動，并將通過鼓勵遵守國際法和國際公認的網絡空間規范來加強負責任的國家行為。四是在網絡空間建立持久優勢。美軍將優化網絡作戰部隊和現役網絡部隊的組織、訓練和裝備，并將投資于網絡空間作戰的推動因素，包括情報、科學技術、網絡安全和文化。

《紐約州網絡安全戰略》

州政府層面：《紐約州網絡安全戰略》。2023年8月，美國紐約州出臺首個州戰略，并任命首位首席網絡官。州戰略提出三大網絡安全愿景，一是統籌管理，加強對網絡信息、工具和服務的管理，使網絡防御措施能夠覆蓋所有實體；二是網絡彈性，通過擴大網絡安全法規、要求和建議的范圍，更好地保護紐約州關鍵設施的安全；三是充分準備，廣泛提供建議和指導，確保公民網絡安全。州戰略提出五大戰略支柱，一是構建安全、彈性的政府網絡，確保紐約州政府網絡按照現代安全原則設計；二是加強與利益相關者（如地方政府、私營企業、合作伙伴、非營利組織等）合作，提供端點檢測和響應等網絡安全服務；三是規范關鍵行業，確保關鍵行業基礎設施所有者和運營商所提供的服務達到最低安全標準；四是提倡公民參與網絡安全工作，強調個人在網絡安全中的重要性；五是發展網絡安全勞動力，構建紐約州網絡安全人才庫，提高紐約州對網絡人才的吸引力。

此外，州戰略要求成立一個工業控制系統網絡評估團隊，幫助紐約州國土安全部門開展網絡事件響應工作。州戰略要求，通過州衛生保健技術資本撥款計劃，投入5億美元用于改善全州醫療保健信息技術和網絡安全基礎設施；同時，增加紐約州網絡安全預算，為擴大縣級和地方政府的共享服務計劃提供資金。

幾點認識

對華定位發生根本性轉變，視中國為網絡安全“最大威脅”。美國家戰略用三個“最”形容中國，提出“中國是美政府和私營部門最廣泛、最活躍和最持久的威脅，并且中國是唯一一個既有重塑國際秩序意圖，又越來越多地使用經濟、外交、軍事和技術手段推進該意圖的國家”。而2018版戰略中，美將俄羅斯、中國、伊朗、朝鮮等一并視作構成挑戰的“長期競爭對手”，但只強調中國能夠對美網絡空間及新興技術領域造成挑戰。新舊戰略對比，反映出拜登政府在網絡安全領域對華定位發生根本性轉變，中國由“競爭對手”正式轉變為“最大威脅”。

美軍多措并舉，以確保軍事信息網絡的網絡安全以及聯合部隊的網絡彈性

拜登政府網絡政策體系相較以往，提出的相關措施更加全面、具體

強調聯邦機構責任下移，賦予供應商更多網絡安全責任。美在網絡空間領域的國家戰略、國防戰略中，多次提到“監管”“協調”等關鍵詞，明確聯邦政府機構責任。一是授權國防部網絡和基礎設施安全局保護聯邦民事行政部門系統，并主導更新網絡事件響應計劃；二是協調財政部、司法部、特勤局等參與勒索攻擊調查，打擊網絡犯罪；三是協調運輸安全管理局、環境保護局等參與能源、航空、鐵路等關鍵領域網絡安全工作。同時，美網絡安全政策體系重塑了美網絡社會契約，調整了網絡安全責任主體。政策體系要求，必須重新平衡網絡安全責任，將責任從個人、小企業和州政府轉移，移交給擁有必要資源和專業知識的大型供應商，以更好確保網絡安全。

重視長期資金引導，鞏固和擴展網絡技術優勢。美網絡政策體系圍繞“一個系統、兩個主體、三個領域”，重新構建網絡技術長期投資機制。一是以構建“數字生態系統”為一致性目標，加強美網絡安全彈性和防御性投資；二是以“政府機構、私營部門”為協調主體，加強公私合作，優化網絡安全投資結構；三是以“計算技術、生物制造技術、清潔能源技術”為重點領域，加大網絡安全技術研發投入，確保美國網絡技術領導地位。

保護關鍵基礎設施是美國網絡安全工作重點。美網絡政策體系將保衛關鍵基礎設施網絡安全放在首位，從政策制定、公私合作、能力整合、事件響應等方面提出了保護關鍵基礎設施的各項舉措。一是完善關鍵基礎設施網絡安全法規；二是擴大公私合作，推動網絡防御者同步保護關鍵基礎設施；三是整合聯邦網絡安全中心，推動政府間協調；四是更新網絡事件響應計劃，加強關鍵基礎設施安全事件應對能力等。拜登政府網絡政策體系相較以往，提出的相關措施更加全面、具體，可見聯邦政府高度重視關鍵基礎設施網絡安全工作，亟需重塑美國人民對關鍵基礎設施網絡安全的信心。