伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。
本栏目基于团队在网络安全政策法规方面的日常跟踪,筛选国内外近期热点政策法规文件,并重点结合网络安全产业发展,对其内容和影响等进行分析。本期选取并分析2023年5月国外发布的热点政策法规。
|
美国国防部提交非公开版《2023年国防部网络战略》,彰显“以攻为守”军事网络思想
|
|
美国NIST发布《对联邦漏洞披露指南的建议》,推进漏洞披露体系化建设
|
|
美国白宫科技政策办公室发布2023版《国家人工智能研发战略计划》,优化AI研发方向
|
|
美国白宫发布《关键和新兴技术的国家标准战略》,巩固和加强技术竞争力
|
1.美国国防部提交非公开版《2023年国防部网络战略》,彰显“以攻为守”军事网络思想
【内容概述】2023年5月26日,美国国防部向国会提交非公开版的《2023年国防部网络战略》(2023 DoD Cyber Strategy)(以下简称《2023网络战略》),该战略强调美军将继续利用网络能力在网络空间开展行动,主动打击对手构成的网络威胁,同时明确了美军新的网络空间重点任务,包括提高国家弹性、开展网络作战、加强国际合作以及强化网军建设等。
《2023网络战略》提出3项网络领域指导原则:一是美军将最大限度地发挥其网络能力,以支持综合威慑,并与其他国家力量工具协同运用网络空间行动;二是美军将在低于武装冲突水平情况下在网络空间中和通过网络空间开展活动,以加强威慑和挫败对手;三是确保美国全球盟友和合作伙伴的网络领域基础优势。
《2023网络战略》明确美国将开展以下4项工作:一是保卫国家,美军将深入了解恶意网络行为者,开展“前出防御”(Defend Forward)以破坏和削弱这些行为者的能力和支持生态系统,并与跨部门伙伴合作以加强美国关键基础设施的网络弹性和应对战备威胁;二是投入战斗准备并以赢得战争为目标,美军确保军事信息网络的网络安全以及联合部队的网络弹性,并利用网络空间作战产生非对称优势以支持联合部队的计划和行动;三是与盟友和合作伙伴合作保护网络领域,美军将协助盟友和合作伙伴建设其网络能力和实力,扩大潜在网络合作途径,继续开展“前出狩猎”(Hunt Forward)行动,通过鼓励遵守国际法和国际公认的网络空间规范来加强负责任的国家行为;四是在网络空间建立持久优势,美军将优化网络作战部队和现役网络部队的组织、训练和装备,同时为网络空间作战的推动因素投资,包括情报、科学技术、网络安全和文化。
【导读分析】根据美国国防部《情况说明书:2023年国防部网络战略》(Fact Sheet: 2023 DoD Cyber Strategy)(以下简称《情况说明书》)显示,《2023网络战略》隶属于《2022年国家安全战略》和《2022年国防战略》,基于并取代了2018年国防部《网络空间战略》,同时对《2023年国家网络空间安全战略》中关于“国防部将制定一项与国家安全战略相一致的新版国防部网络战略”等政策进行了补充。由此不难看出,《2023网络战略》既延续了美国总体国家和网络安全战略的思路,包括综合威慑、国际合作、投资等;又针对国防领域的具体网络行动进行了细化,如开展前出防御、前出狩猎等行动。
《2023网络战略》虽未发布最终公开版本,但从《情况说明书》中提出的内容,也可反映出美国国防部未来的网络安全治理思路,其对于美国防领域网络安全发展至少会产生以下两方面影响。一方面,进一步强化“以攻为守”的网络安全策略。《2023网络战略》体现出更强的“进攻性防御”属性,后续或将对美国国防领域网络安全的监管方式、合作路径等方面产生影响。另一方面,对产业、外交等领域的溢出效应将持续显现。《2023网络战略》所涉及的网络安全重点领域建设方向、管理思路等,也极有可能启发其他国家,而在网络安全建设管理模式、路线和重点等方面的趋同,反过来也会强化当前的网络空间生态,进而潜移默化地强化以美国为首的国防、技术、研究乃至外交领域同盟、联盟的发展。
2.美国NIST发布《对联邦漏洞披露指南的建议》,推进漏洞披露体系化建设
【内容概述】2023年5月24日,美国国家标准与技术研究院(NIST)发布《对联邦漏洞披露的建议指南》(Recommendations for Federal Vulnerability Disclosure Guidelines)(以下简称《建议指南》),《建议指南》为美国联邦政府机构管理内部信息系统的漏洞披露提供了指南,并定义了联邦漏洞披露框架(Federal Vulnerability Disclosure Framework)(以下简称“披露框架”),可供美国政府建立和维护统一的漏洞披露管理流程。
《建议指南》分别就披露框架涉及的两个主要政府实体的职责和能力要求进行了阐述。一是要求联邦协调机构(Federal Coordination Body,FCB)[1]的成员具备:接收源漏洞报告、协同调查以确定易受攻击的系统、将调查结果报告发送给有关实体、以及生成有关漏洞的建议等能力;二是要求漏洞披露项目办公室(Vulnerability Disclosure Program Office,VDPO)[2]具备:制定源漏洞报告接受政策和接收源漏洞报告、对源漏洞报告的监控、处理和解决源漏洞报告以及漏洞披露处理程序的开发等能力。
【导读分析】近年来,以“Log4j2事件”为代表的网络安全产品漏洞事件频发,且其波及范围和危害程度日益提高,各国纷纷出台政策标准加强对网络与信息系统的漏洞管理。《建议指南》旨在落实《2020年提升物联网网络安全法案》(IoT Cybersecurity Improvement Act of 2020)第5章的要求,由NIST制定“与信息系统(包括物联网设备)相关的安全漏洞的披露流程指南”,以帮助美国联邦政府机构建立标准化的漏洞披露流程。
我国目前已发布了一些针对网络产品安全漏洞管理的政策文件和标准规范。在政策法规方面主要包括:工信部等三部门2021年7月发布的《网络产品安全漏洞管理规定》、工信部2022年10月发布的《网络产品安全漏洞收集平台备案管理办法》等。在标准规范方面主要涵盖漏洞管理规范、标识与描述规范、分级分类指南等。
美国此次发布的《建议指南》,对于我国健全漏洞管理标准规范而言,有两方面的参考意义。一是以“框架”的模式,推动加强网络产品和系统漏洞相关标准的体系化发展,提升标准间的衔接与协同;二是以指南建议的方式,加强对网络产品和系统漏洞的披露规范化,确保不同部门、行业间相关漏洞披露机制、披露信息的权威性、准确性和及时性。
3.美国白宫科技政策办公室发布2023版《国家人工智能研发战略计划》,优化AI研发方向
【内容概述】2023年5月23日,美国白宫科技政策办公室(National Science and Technology Council)发布了2023版《国家人工智能研发战略计划》(以下简称2023版《战略计划》)(National Artificial Intelligence Research and Development Strategic Plan 2023 Update)。该计划旨在确保美国在开发和使用可信人工智能系统方面继续处于领先地位,并为整合所有联邦部门的AI系统进行人才储备,同时协调所有联邦机构正在进行的AI活动。2023版《战略计划》还明确了人工智能领域主要的研究挑战,这些挑战或成为美国联邦政府重点协调和投资的方向。
2023版《战略计划》制定了9项策略,包括:对基础和负责任的人工智能研究进行长期投资、确保人工智能系统的安全、通过标准和基准衡量和评估人工智能系统、更好地了解国家人工智能研发人才的需求、扩大公私伙伴关系、建立有原则和协调的人工智能研究国际合作方法(新增)等。其中,在确保人工智能安全方面,2023版《战略计划》提出人工智能安全研发“两步走”计划:一是构建安全的人工智能(Building Safe AI),包括研发一种方式用于创建、评估、部署和监控聚焦于安全的AI系统等;二是保护人工智能安全(Securing AI),包括对政府机构人员进行培训、保护AI开发系统供应链安全、解决AI系统漏洞等。
【导读分析】从纵向的发展演变来看,2023版《战略计划》是对2016、2019年版《国家人工智能研发战略计划》的再次更新,重申了之前的8项战略目标并对各战略的具体优先事项进行了调整和完善,并增加了新的第9项战略以强调国际合作。本次更新版本的发布,既是延续每三年定期评估和调整美国人工智能战略的惯例,也反映了美国政府对于人工智能技术的最新要求和发展重点。
从横向部门政策对比来看,近期美国政府各部门纷纷发布一系列人工智能相关政策和行动,但侧重方向有所不同。如标准建设方面,美国NIST发布《人工智能风险管理框架》;AI工具审查方面,美国国家电信和信息管理局发布《人工智能问责政策(征求意见稿)》;机构设置方面,美国国土安全部宣布成立首个人工智能工作组、美国国家科学基金会将拨款1.4亿美元建设7个新的人工智能研究中心;AI培训方面,美国教育部发布报告研究AI在教育和学习中面临的风险和机遇,等等。
伴随ChatGPT的爆红网络,生成式人工智能(AGI)技术及其安全性问题,日益成为全球关注的焦点。我国也发布了《生成式人工智能服务管理办法(征求意见稿)》等法规政策,提前部署和规范引导AI技术服务的健康发展。
美国2023版《战略计划》及美国其他相关部门的一系列AI政策,对完善我国AI管理的政策法规体系也有其参考借鉴意义,主要表现为其“分工协同”的管理思路,即以战略规划的方式明确AI研发方向,其他各部门也结合职能定位从不同方面做作各自安排,形成合力。此外,在该战略所列明的关于AI安全的技术保护措施方面,如对抗AI数据操纵、红蓝对抗、漏洞挖掘等,对于我国开展AI网络安全的技术创新演进,也具有一定的选型思路等方面的参考价值。
4.美国白宫发布《关键和新兴技术的国家标准战略》,巩固和加强技术竞争力
【内容概述】2023年5月4日,美国白宫发布了《关键和新兴技术的国家标准战略》(National Standards Strategy for Critical and Emerging Technology)(以下简称《战略》)。《战略》旨在加强美国在对国家安全和经济发展至关重要的先进技术的领导地位,提升在国际标准制定中的竞争力。《战略》提出了需要重点关注的技术领域,如:通信和网络技术、先进计算、半导体和微电子、人工智能、先进网络传感与签名管理、量子信息技术等。
《战略》设立了四个关键目标以加强关键和新兴技术标准的制定:一是投资(Investment),该战略将增加研发资金以确保为未来的标准开发奠定基础,并推动美国在国际标准制定方面的领导地位;二是参与(Participation),美国将与更多的企业、学术界和其他主要利益攸关方(包括外国合作伙伴)合作,弥补差距,加强美国对标准制定活动的参与;三是劳动力(Workforce),美国将加强教育和培训新的标准工作队伍;四是完整性和包容性(Integrity and Inclusivity),美国必须确保标准制定过程在技术上合理、独立,响应共享市场和社会需求;美国将联合世界各地志同道合的盟国和伙伴,促进国际标准体系的完整性。
【导读分析】总体来看,《战略》提出的目标行动符合美国《国家安全战略》《国家网络安全战略》《美国标准战略》等设定的基本原则,如投资、合作、人才培养等。自拜登政府上任以来,高度重视国际标准体系建设,尤其是在新兴技术等领域,并试图借此削弱其他国家在该领域的影响力,以维护美国在全球科技创新领域的领导地位。
从《战略》中,我们可以得到3个方面的思考启示。一是,标准不仅是规范和促进技术发展的手段,更是开展技术竞争的重要阵地,技术标准领域的国际话语权,已经成为当前反映各国技术创新竞争力的核心指标之一。二是,标准战略并非仅限于技术本身,而是涵盖与技术相关的诸多关键要素,并且这些要素对于标准的发展往往具有更加重要的决定作用,例如《战略》所强调的投资、合作、人才等等。三是,美国作为全球领先的技术强国,其技术标准战略对我国有重要参考意义,如《战略》所提出的重点技术框架及其关键技术方向,包括半导体和微电子、人工智能等,已经或正在引领着全球技术创新和变革的方向。对此,我们不仅需要加强布局和储备,更可以从中寻求可以实现换道超车的潜在机会。
1)联邦协调机构,是由与联邦一级开展合作的政府实体组成的团体,以确保为所有政府机构提供漏洞披露协调服务,并可为非政府行业部门(如医疗保健)提供服务。
2)漏洞披露项目办公室,是信息技术安全办公室的一个关键单位,主要负责漏洞报告管理,由执行协调和监督职责的工作人员、面向技术的开发人员或具有安全专业知识的系统管理员组成。
[1] 美国国防部提交非公开版《2023年国防部网络战略》
https://media.defense.gov/2023/May/26/2003231006/-1/-1/1/2023-DOD-CYBER-STRATEGY-FACT-SHEET.PDF
[2] 美国NIST发布《对联邦漏洞披露指南的建议》
https://csrc.nist.gov/publications/detail/sp/800-216/final
[3] 美国白宫科技政策办公室发布2023版《国家人工智能研发战略计划》
https://www.whitehouse.gov/wp-content/uploads/2023/05/National-Artificial-Intelligence-Research-and-Development-Strategic-Plan-2023-Update.pdf
[4] 美国白宫发布《关键和新兴技术的国家标准战略》
https://www.whitehouse.gov/briefing-room/statements-releases/2023/05/04/fact-sheet-biden-harris-administration-announces-national-standards-strategy-for-critical-and-emerging-technology/