在美国网络空间日光浴委员会(CSC)相继发布《疫情中吸取的关于网络安全的教训》、《网络安全劳动力发展战略框架》、《如何确保美国信息和通信技术供应链安全》等四份白皮书之后,年1月16日,CSC发布第五份白皮书《对拜登政府的网络安全建议》,这份白皮书旨在为即将上任的拜登-哈里斯政府提供网络空间安全方面的指导,明确新政府早期可能在网络空间采取的策略,并提出未来几个月和几年的行动重点。
这些建议涵盖了对外将与美国的盟国合作,建立统一的网络防线;在IT和通信技术领域形成类似北约的联盟;对内与美国的私营企业合作,加强对私营企业的监管,明确私营企业在网络安全上的义务;直接派遣外交官参与全球IT和通信技术标准的制定,力求让美国在技术标准领域拥有绝对的话语权;明确要求将中国企业封杀在关键IT和通信设备供应链之外。这份报告在编写机构,方法论,战略规划,具体实施建议等方面,与上世纪50年代启动美苏冷战战略的“日光浴计划”如出一辙,几乎拥有同等分量。目录
一、引言和背景二、优先事项:拜登政府上任头天(一)设立国家网络总监办公室(二)制定并颁布国家网络战略(三)加强现有政府网络安全工作的一致性、影响力以及与私营部门的合作1.审查联邦机构财年网络安全预算拨款2.强化CISA的综合网络中心3.在CISA内部建立联合网络规划办公室4.为行业风险管理机构确立预期和责任三、天后的优先行政举措(一)恢复美国在网络领域的国际领导地位1.组建网络空间政策与新兴技术局2.扩大美国政府在能力建设、规范和互信措施方面的支持范围3.更积极且更有效地参与国际信通技术标准讨论(二)投入更多必要人手来抵御恶意网络攻击1.建立劳动力领导与协调体制2.确保美国政府能在网络工作方面拥有特殊的招聘权限和制定灵活的付薪制度3.扩大“网络企业服务奖学金”计划范围(三)加大我国在基础设施弹性方面的投资1.启动经济延续性规划2.探索以机器速度共享信息的可行性3.改善对私营部门的情报支持(四)保护美国的高科技供应链1.制定和颁布信通技术产业基础战略(五)维护美国的军事网络优势1.对网络任务部队进行部队结构评估2.为网络司令部创建主要部队计划3.更新网络使用武力的交战规则和指南4.评估建立军事网络储备5.审查防御前沿概念和进攻性网络行动的授权(六)保护美国全方位的作战和威慑能力免受网络威胁1.制定防御核指挥、控制和通信网络攻击的计划2.要求国防工业基地参与威胁情报共享计划3.国防工业基地网络需要威胁搜索四、拜登-哈里斯政府的积极网络立法议程(一)改善政府的网络专业知识1.建立网络统计局2.将网络威胁情报整合中心纳入法律范畴并加强该中心(二)建立国际网络合作制度国际网络合作1.在国务院设立网络政策局2.最大限度地提高国际网络安全能力建设的灵活性(三)推动实现更安全的国家网络生态系统1.创建国家网络安全认证与标签管理局2.通过物联网安全法3.为州、地方、部落和属地政府制定信息技术现代化补助计划4.阐明硬件、软件和固件的最终产品组装者的法律责任5.通过《国家数据泄露通报法》(四)投资网络弹性1.将具有系统重要性的关键基础设施纳入法律2.建立国家风险管理循环(五)为网络犯罪的受害者提供支持(六)保护美国民主1.加强和改善选举协助委员会的结构2.促进数字素养、国民教育和公众意识一、引言和背景
数字互联在给美国带来经济增长、技术优势和生活质量改善的同时,也造成了战略困境。美国需要在具备数据安全性和弹性的可信网络环境下运行,但目前美国政府和私营部门都无法提供。此外,美国政府内部、公共和私营部门在灵活性、技术特长和统一行动方面的缺陷也不断凸显。
20多年来,主权国家和非国家行为体一直在利用网络空间来破坏美国的政权、安全和生活方式,这些网络攻击的实施者利用美国网络空间系统和战略的弱点,并评估如何在不引起美国报复的前提下对美国造成损害。美国的克制遭到了肆无忌惮的践踏。美国网络空间日光浴委员会是根据《财年国防授权法》由约翰?麦凯恩领导成立的,旨在应对这些挑战,并就“在网络空间保护美国免受后果严重的网络攻击的战略手段”达成共识。
为了完成这一使命,该委员会于年3月发布了一份报告,概述了美国政府的战略方针和80多项建议。在编写报告的过程中,该委员会召集了来自工业界、学术界、联邦、州级和地方政府、国际组织以及智库的多名相关人员;他们通过一系列的红队审查和基于场景的活动对上述建议进行了压力测试。在Solarium事件之后,委员会对每项战略及其支持性政策建议进行了评估,并提供了正式反馈。工作人员将这些反馈编制成册,以备今后进一步完善建议。
在报告终稿发布的几个月里,委员会和工作人员制定了立法提案,为其建议提供支持,他们还与众议院和参议院的相关委员合作,执行委员会的最初建议。此外,委员会发布了四份白皮书,其中包含新的和更新的建议,内容涉及从疫情中吸取的关于网络安全的教训、对国家网络总监建议的细节、网络安全劳动力发展战略框架,以及关于如何确保美国信息和通信技术供应链安全的建议。委员会的许多重要建议已被纳入立法,但要应对我国面临的紧迫挑战,仍有更多工作要做,相信通过协调和深思熟虑的行动后可以取得很大成就。
这份白皮书旨在为即将上任的拜登-哈里斯政府提供指导,明确新政府早期可能在网络空间采取的策略,并提出未来几个月和几年的行动重点。委员会的最终报告和附带的白皮书将更详细地讨论这本小册子中的建议。
二、优先事项:拜登政府上任头天
在上任的头天里,拜登-哈里斯政府将启动三个进程,把网络安全提升为政府的当务之急,降低美国遭受网络攻击的可能性并减轻影响力。
(一)设立国家网络总监办公室
目前很多委员会、倡议和研究都建议构建一个更加健全和制度化的国家级机制,以协调网络安全和相关新兴技术的问题,监督行政部门制定和实施综合国家网络安全战略。由于新兴技术以及网络空间相关问题变得更加复杂,对美国国家安全构成更大威胁,总统对合理建议和及时选项的需求将变得越来越重要。
为了确保白宫拥有强大、稳定和专家领导的网络安全领导能力,拜登-哈里斯政府应在头30天内提名一位参议院认可的国家网络总监,并着手建立国家网络总监办公室。《财年国防授权法》(NDAA)设立了国家网络总监职位和国家网络总监办公室。作为总统行政办公室的下设职位之一,国家网络总监是经参议院批准的总统顾问,其担任着多项重要职务,包括:
(1)担任总统在网络安全和相关新兴技术问题上的首席顾问;
(2)领导制定国家网络战略,并确保其在各部门和机构的实施,包括评估机构预算和确保机构间行动的有效整合;
(3)监督和协调联邦政府在对抗网络行动中保护美国的行动,包括作为与私营部门、州、地方、部落和属地联系的主要联络点;和
(4)经国家安全顾问或国家经济顾问同意,召集和协调内阁级或国家安全委员会主要委员会级会议及相关筹备会议。
作为建立国家网络总监办公室的一部分,拜登-哈里斯政府应明确白宫负责网络和新兴技术的国家安全副顾问和国家网络主管之间的关系、角色和责任。委员会认为,这类角色相辅相成,共同确保国家安全顾问在评估和执行支持国家安全目标的全国战略时发挥良好作用。国家安全副顾问将代表“按《美国法典》第10编和第50编开展网络行动”的各部门和机构的利益,展示这些部门和机构的能力,并在它们和国家安全委员会之间起着重要的桥梁,确保国家网络总监对这些部门的网络行动有充分了解。国家网络总监应专注于协调、支持和消除行政部门领导的国家网络安全和防御型网络行动的冲突。
在此过程中,国家网络总监应负责白宫与私营部门的接触,建立信任和推进共同利益,并应在国内外网络问题上代表政府。与此同时,拜登-哈里斯政府还应评估并更新第41号总统令,以指定国家网络总监作为联邦网络事件响应工作的主要协调人,明确国家网络总监向国家安全顾问提供综合建议政策和行动的责任。此外也应更新对网络安全有影响的其它规则制定流程,以便让国家安全总监参与进来。
(二)制定并颁布国家网络战略
一旦国家网络主管到位,拜登-哈里斯政府应开始制定和颁布新的美国国家网络战略。《年国家网络战略》是近15年来发布的第一份美国国家网络安全战略,也是美国历史上第二份。
任何有效的网络空间战略都需要联邦政府、州政府和地方政府以及私营部门等多个利益攸关方的协调努力,这些利益攸关方都有责任在这一领域保护和捍卫美国。因此,战略必须明确地调整和同步利益相关者的战略目标,确定将战略付诸实施的努力方向,明确各项工作的优先顺序,并制定共同的风险原则。此外,该战略应该将目前支撑国防部年网络战略的“前向防御”概念纳入更广泛的美国网络战略。该战略应使前向防御成为综合方法的一个组成部分,该方法不仅包括使用严格的军事能力,还包括使用所有国家权力工具:包括经济、执法、外交工具以及针对盟友和对手的手段。
新的国家网络战略应阐明一种架构,通过分层网络威慑成功地瓦解和阻止美国的对手进行重大网络攻击,并应提出以下方法和手段:(1)构建对手行为,(2)拒绝对手优势(3)增加对手成本。虽然威慑是美国持久的战略,但有两个因素使分层网络威慑变得大胆而独特。首先,这种方法优先考虑通过拒绝来威慑,特别是通过弹性和公私部门合作来增强网络空间的防御和安全,减少对手可能瞄准的漏洞。第二,该战略纳入了上文讨论的“前向防御”的概念。
最后,新战略应该纳入一个针对美国的多层级的具有标志性意义的战略和一个新的具有宣言性意义的政策。这个具有标志性意义的战略应阐明这样一种框架,即能明确传达美国政府将在何时和何种条件下自愿披露网络作战和行动,以便向各类受众传达其能力和意图。宣言性政策应明确指出美国将利用网络和非网络能力进行反击,而且针对敌方网络活动的代价必须控制在使用武力的门槛以下。从根本上说,美国政府应公开宣布它将实施前向防御,并应该将这种宣称与在国家各个权力层面实施的果断和一致的行动结合。
(三)加强现有政府网络安全工作的一致性、影响力以及与私营部门的合作
虽然各个私营实体以及州、地方、部落和区块政府负责其网络的防御和安全,但美国政府必须利用其独特的权力和资源以及外交、经济、军事、执法和情报能力来支持上述机构的防御工作。此外,正如“太阳风”(SolarWinds)事件所表明的那样,联邦政府部门和机构必须加强其能力,以防止网络事件,并在事件发生时识别、检测和有效应对它们。为了提高美国政府在网络空间保卫自己以及与私营实体和其它关键角色合作这二方面的能力,拜登-哈里斯政府应强化网络安全和基础设施安全局(CISA)内部的综合网络中心,并建立联合网络规划办公室。
1.审查联邦机构财年网络安全预算拨款
“太阳风”大规模黑客攻击暴露了迫切需要改善联邦部门和机构以及联邦网络安全中心的网络安全。通过国家网络总监,拜登-哈里斯政府应对联邦机构网络安全预算进行90天的审查。预算审查应确定联邦部门和机构内部网络安全运营和规划的现有预算,并应评估当前分配的金额与完成规定任务所需的金额之间的差距。它应该检查机构企业网络安全和《联邦信息安全管理法》的预算以及机构网络安全规划的预算。
审查范围还应包括各机构执行新任务所需的预算,包括财年NDAA对网络安全和基础设施安全局以下项目的预算,包括:(1)在联邦信息系统中寻找和识别威胁和漏洞;(2)提供服务、功能和能力以协助联邦机构;以及(3)部署、操作和维护安全的技术平台和工具,包括网络和常见的业务应用程序。此外,审查应评估行业风险管理机构的现有预算是否足够,以适应财年NDAA法规对其角色的新要求。
2.强化CISA的综合网络中心
财年NDAA要求对联邦网络中心进行审查,并加强CISA新兴的综合网络中心。为了真正落实与私营部门的网络安全合作,拜登-哈里斯政府应执行这一任务,强化CISA的综合网络中心,指定其为负责资产响应活动的网络安全中心,并改善其与其它主要联邦和私营网络和网络安全中心的联系。这样做将确保协作和整合的系统、流程和人员等各要素在关键基础设施网络安全和弹性任务的业务支持中充分发挥作用。CISA的网络任务最初是想构建一个国家网络安全和通信一体化中心,计划作为美国政府的主要协调机构,负责在网络安全行动中打造政府一体化、公私合作。然而,由于设施和人事政策不足、资源不足、缺乏其它联邦部门和机构的支持、国会对其相对于其它机构的作用和地位模糊不清以及对私营部门的支持和与私营部门的整合不一致,CISA全面执行这一任务的能力在体制上受到限制。
3.在CISA内部建立联合网络规划办公室
除了呼吁建立一个更强大的综合网络中心来进行实时网络防御,财年NDAA还要求在CISA建立“联合网络规划办公室”(JCPO),以制定计划和协调演习。在财年的国土安全部法定经费中,有.8万美元将用于此项工作。拜登-哈里斯政府应在CISA领导下建立JCPO,以协调整个联邦政府以及公共和私营部门之间的网络安全规划和准备工作,为重大网络事件和恶意网络活动做准备。从由国家网络主管监督的国家网络战略中获取战略指导,JCPO应由中央规划人员和来自综合网络中心的代表组成,以及来自拥有网络作战能力和/或负责保护关键基础设施的其它联邦机构的代表组成。联合反恐行动计划应旨在促进各机构对防御性、非情报性网络安全活动的全面规划,将这些规划工作与私营部门的规划工作相结合,并由CISA管理和主办。
4.为行业风险管理机构确立预期和责任
财年NDAA将特定行业机构从法律上归为行业风险管理机构(SRMA),并且为这些与关键基础设施部门保持联系的重要机构设定了基准预期和责任。这是建立政府结构的关键的第一步,使政府能够在网络安全方面向私营部门提供更成熟的支持。拜登-哈里斯政府应执行《财年国防授权法》中关于行业风险管理机构的规定,并通过改写总统第21号指令政策以及阐述SRMA机构的期望和责任来提高SRMA应对威胁的能力。拜登-哈里斯政府在头天内将这样做,以便SRMA可以利用这一年的剩余时间来了解他们的新职责,并提交与这些职责相一致的预算请求。
三、天后的优先行政举措
在前天内确立了白宫的领导和协调体制以及国家网络安全战略后,拜登-哈里斯政府接下来就应优先
推荐文章
热点文章
