近日,美国白宫发布《国家网络安全战略实施计划》(National Cybersecurity Strategy Implementation Plan)(以下简称《实施计划》)。《实施计划》为实现美国2023版《国家网络安全战略》(以下简称2023版《战略》)的战略目标提供了一份详细的“路线图”,并鼓励各政府机构建立新型合作伙伴关系。本文概述了《实施计划》的出台背景、对相关内容要点进行梳理,总结归纳其主要特点,并分析其带来的影响。
2023版《国家网络安全战略》和《国家网络安全战略实施计划》均由美国国家网络总监办公室(ONCD)制定发布。2021年,美国国会根据《2021财年国防授权法案》设立了ONCD,该机构隶属于美国总统行政办公室,主要负责就网络安全政策和战略相关事务向美国总统提供建议。据ONCD介绍,本次为该机构发布的首份《实施计划》,该计划将根据网络威胁形势的变化完善对应举措,并以年度为单位进行更新。
《实施计划》总体延续了美国2023版《战略》的战略支柱及实施原则脉络。战略支柱包括:关键基础设施防护、破坏和摧毁威胁行为者、塑造市场力量以推动安全和弹性、投资有弹性的未来和建立国际伙伴合作关系以实现共同目标等五方面。实施原则包括:要求网络空间中有实力的参与者承担更多保护责任、增加有利于长期投资的激励措施等两方面。
《实施计划》的主要内容包括引言、战略支柱和实施要点等,其中“战略支柱”部分详细介绍了美国在网络空间安全方面的具体建设举措、负责机构以及时间节点等。从美国历届《战略》文本来看,涉及网络安全建设举措的相关篇章向来是《战略》的重头戏。我们对《实施计划》的“战略支柱”内容进行概括分析,梳理5大战略支柱25项战略目标下共66项倡议举措,包括以下方面。(具体内容详见表1)
一是强化关键基础设施防护。美国网络安全和基础设施安全局(CISA)将与ONCD合作,更新国家网络事件响应计划(NCIRP),以更好地实现“一呼百应”(A call to one is a call to all)的事件响应政策。更新后的NCIRP还包括向外部合作伙伴提供指导建议,明确联邦机构在事件响应与恢复中的作用和能力等。
二是加强威胁行为体应对。美国联邦政府将依托由CISA和联邦调查局(FBI)共同主持的联合勒索软件工作组(JRTF),继续开展打击勒索软件和其他网络犯罪活动。同时,CISA还将主导一项补充计划,为勒索软件高风险组织提供培训、网络安全服务、技术评估、事前规划和事后响应,以降低网络攻击的影响等。
三是推动市场力量塑造。CISA将继续与相关机构合作,以推动软件物料清单(SBOM)的落实,并采取措施减少在关键基础设施中使用不再更新/不被支持的软件的风险。CISA还将组建国际SBOM工作组,探讨全球可访问不再更新的软件数据库的要求等。
四是强调技术标准把控。美国国家标准与技术研究院(NIST)将召集跨部门国际网络安全标准化工作组,就国际网络安全标准化的主要问题进行协调,并加强美国联邦机构的参与。NIST还将完成抗量子公钥加密算法等多项标准等。
五是加深国际合作。美国国务院将发布《国际网络空间和数字政策战略》,并培养相关工作人员在网络空间和数字政策方面的知识和技能,以创建国家和地区机构间网络团队,促进与合作国家间的协同工作等。
自拜登政府上任以来,加紧制定一系列网络安全相关战略,如《国家网络安全战略》(美国白宫)、《国家网络安全战略实施计划》(美国白宫)、《2023年国防部网络战略》(美国国防部)等,这些战略文件名称近似但侧重点有所不同。本次发布的《实施计划》与上述政策文件相比,具有以下特点。
一是强调具体举措的可操作性。一方面,划定相关部门具体时间表,《实施计划》举措涵盖了美国19个政府机构,并为每项举措明确规定了负责机构、参与实体和截止日期等,极大地促进了各主管机构的具体职责落实;另一方面,突出了目标的短期可实现性,从《实施计划》截止时间来看,大部分举措集中在2025年底完成,如美国白宫发布的《2025财年网络安全投资优先事项备忘录》和国防部发布的《2023年国防部网络战略》都是《实施计划》划定的具体目标。
第二,注重修复和强化网络安全联盟生态。面对网络安全威胁和风险的日益全球化发展,以往美等国家奉行的“退群”策略逐渐失去市场,取而代之的是对合作与联合的认同。正如前文分析,这一特点在美国本次颁布的《实施计划》中也得到进一步印证。如在关键基础设施领域扩大公私合作规模、加强公私部门实操合作以破坏对手以及加强与盟友和合作伙伴的联邦执法合作机制等。当然,因受传统阵营意识等因素影响,网络安全领域的合作也势必会是相对曲折的过程。
第三,突出网络安全监管中的企业主体责任。长期以来,美国在网络安全方面的监管大多以企业自愿原则为主,这就导致中小企业与个人承担了大量网络风险造成的后果。而真正有能力承担风险的大型公司与政府机构并未得到有效监管。鉴于此类现状,《实施计划》提出将网络安全保护责任转移到软件产品和服务提供商中,如通过立法明确软件产品和服务提供商的责任、推动相关软件开发安全框架以及鼓励采用安全软件开发实践等。
《实施计划》提出的建设内容反映了拜登政府网络安全治理思路,并且从《实施计划》目前未覆盖的内容也可研判其后续工作抓手,如数据隐私保护、数字身份发展等。总体来看,本次《实施计划》对美国网络安全发展将至少产生以下三方面影响。
一是技术标准在争夺国际话语权中的作用将持续加强。自拜登政府上任以来,高度重视国际标准体系建设,尤其是在新兴技术等领域,并试图借此削弱其他国家在该领域的影响力,以维护美国在全球科技创新领域的领导地位。《实施计划》更加明确提出了“要根据《关键和新兴技术的国家标准战略》加强美国联邦机构对国际网络安全标准化进程的参与”。由此我们不难判断,美国不仅将标准作为规范和促进技术发展的手段,更将其作为维护其国际技术竞争格局的重要阵地,未来也将在标准化领域采取更多举措。
二是带动网络安全技术和应用的市场发展。美国在信息技术的诸多领域长期保持全球领先,其技术和应用布局也无疑会对网络安全市场产生示范引领。《实施计划》明确提出了零信任、量子计算、开源软件安全等相关技术部署,并强调了信息基础设施、能源网络、半导体供应链等重点领域的战略意义。这些技术和应用,对其国内乃至国外网络安全相关领域的市场发展都会起到重要的风向标作用。
三是对产业、外交等领域的溢出效应将持续显现。美国发布《实施计划》所涉及的网络安全重点领域建设方向、管理思路等,也极有可能会引发相关国家的模仿借鉴,启发其他国家完善自身相应领域的网络安全建设管理。而在网络安全重点领域的建设管理模式、路线和重点等方面的趋同,反过来也会在一定程度上强化当前的网络空间生态,进而潜移默化地强化了以美国为首的产业、技术、研究乃至外交领域同盟、联盟的发展。
