2023年3月,美白宮發(fā)布新版《國家網絡安全戰(zhàn)略》;5月,國防部向國會提交了《美國防部網絡戰(zhàn)略》;7月,白宮發(fā)布《國家網絡安全戰(zhàn)略實施計劃》;8月,紐約州發(fā)布首個《紐約州網絡安全戰(zhàn)略》(以下簡稱“州戰(zhàn)略”)。美密集發(fā)布網絡安全戰(zhàn)略文件,強調在國家、聯(lián)邦機構、州政府層面加強政策指導,以提升網絡彈性、改善網絡安全。大國競爭背景下,此舉將加劇中美網絡空間戰(zhàn)略博弈,深刻影響全球網絡安全形勢和大國競爭格局。
政策發(fā)布背景
美國認為,世界正進入愈發(fā)依賴數字化的新階段,使軟件和系統(tǒng)變得更加復雜、更易受到網絡攻擊,這將引發(fā)更廣泛的惡意網絡行為,增加網絡安全系統(tǒng)性風險。
新興技術增加網絡安全風險。隨著新興網絡技術的快速發(fā)展,互聯(lián)網、軟件和系統(tǒng)正變得越來越復雜。通過互聯(lián)網能將個人、企業(yè)、社區(qū)和國家連接起來,使國際交流規(guī)模得以擴大。全球互聯(lián)為美國企業(yè)和消費者創(chuàng)造價值的同時,也增加了關鍵系統(tǒng)的網絡安全風險。原本對一個組織、行業(yè)或國家的網絡攻擊可以迅速蔓延到其他行業(yè)和地區(qū),如俄羅斯2020年對烏克蘭發(fā)動的網絡攻擊蔓延到美國,造成了數億美元的損失。
惡意網絡活動持續(xù)擴散。近年來,美國頻發(fā)網絡攻擊事件,包括“太陽風”供應鏈攻擊事件、“科洛尼爾輸油管”攻擊事件等。疊加烏克蘭危機導致網絡攻擊風險進一步外溢,使美國政府辦公系統(tǒng)、關鍵基礎設施面臨更多網絡安全威脅。以往,外國攻擊性黑客工具和服務僅由少數國家掌握,但如今已能廣泛獲取,使網絡犯罪集團的威脅不斷增加。
協(xié)調機制存在障礙。美國政府認為,當前終端用戶承擔了太多緩解網絡風險的負擔。個人、小企業(yè)、州政府和地方政府以及基礎設施運營商的資源有限,且各種優(yōu)先事項相互干擾,對維護國家網絡安全造成隱患。美國整體網絡彈性不能依賴于最小的組織機構,應要求能力最強、占位最優(yōu)的行為體在確保數字生態(tài)系統(tǒng)的安全和彈性方面承擔更多責任。
政策體系構成
美網絡安全政策體系包括國家、聯(lián)邦機構、州政府等層面。國家層面包括美白宮《國家網絡安全戰(zhàn)略》《國家網絡安全戰(zhàn)略實施計劃》,聯(lián)邦機構層面包括《美國防部網絡戰(zhàn)略》,州政府層面包括《紐約州網絡安全戰(zhàn)略》等。
國家層面:《國家網絡安全戰(zhàn)略》。2023年3月,美白宮發(fā)布新版《國家網絡安全戰(zhàn)略》(以下簡稱“國家戰(zhàn)略”)。國家戰(zhàn)略明確了網絡安全戰(zhàn)略支柱,統(tǒng)籌安排了國家層面的重點任務。一是加強關鍵基礎設施網絡防御。制定網絡安全要求,擴大公私合作范圍,整合聯(lián)邦網絡安全中心,優(yōu)化事件響應流程,以提升網絡防御現代化水平。二是打擊網絡威脅行為。整合政府能力,加強公私協(xié)作,實現情報共享和威脅檢測,防止對手濫用基礎設施,以打擊網絡犯罪。三是塑造市場力量。基于聯(lián)邦采辦制度強化問責,要求數據管理者、軟件供應商承擔安全責任,探索網絡安全保險新方式,以提高網絡彈性。四是投資未來彈性網絡。制定網絡空間人才政策,關注互聯(lián)網、后量子、清潔能源領域網絡安全,重振網絡技術研發(fā)。五是構建國際伙伴關系。建立聯(lián)盟,深化國際合作,應對數字生態(tài)系統(tǒng)威脅,確保信息技術產品與服務全球供應鏈安全。
美國《國家網絡安全戰(zhàn)略》
國家戰(zhàn)略細化實施路徑,推動落實具體工作。一是明確政府責任主體。提出國家安全委員會監(jiān)督、預算管理辦公室協(xié)調、國家網絡總監(jiān)辦公室制定實施計劃。二是開展有效性評估。要求聯(lián)邦政府全面評估戰(zhàn)略的有效性,并每年向總統(tǒng)、國會報告,確保后續(xù)工作的有效性。三是吸取網絡事件經驗教訓。將吸取網絡事件經驗教訓作為政府優(yōu)先事項,鼓勵相關機構把網絡安全事故審查流程納入監(jiān)管框架。四是引導網絡安全投資。發(fā)布年度指南等措施,確保各部門和機構預算提案一致性,提升長期投資的針對性。
國家層面:《國家網絡安全戰(zhàn)略實施計劃》。2023年7月,美白宮發(fā)布《國家網絡安全戰(zhàn)略實施計劃》,以提高應對重大網絡攻擊的長期防御能力。一是網絡安全和基礎設施安全局將協(xié)調公私合作,以推動安全技術的開發(fā)與采用。二是國防部發(fā)布新版網絡戰(zhàn)略,重點關注惡意行為者所帶來的挑戰(zhàn),以應對潛在的戰(zhàn)略級威脅。三是司法部協(xié)調情報界實體機構,牽頭制定“一系列選項”,以應對網絡犯罪分子和國家對手的破壞活動。四是減輕公民網絡安全職責,將負擔從普通公民轉移到更有網絡安全能力的實體機構,同時激勵網絡安全領域的長期投資。五是國土安全部牽頭更新國家網絡事件響應計劃,要求國土安全部和聯(lián)邦調查局合作阻止勒索軟件攻擊,并為醫(yī)院和學校等高風險目標提供響應預案。六是廣泛關注網絡安全人才問題。
聯(lián)邦機構層面:《國防部網絡戰(zhàn)略》。2023年5月,美國防部向國會提交了機密版《美國防部網絡戰(zhàn)略》(以下簡稱“國防戰(zhàn)略”)。根據戰(zhàn)略情況說明書,國防戰(zhàn)略提出了3項網絡領域指導原則:一是美軍將最大限度地發(fā)揮其網絡能力,以支持綜合威懾,并與其他國家協(xié)同開展網絡空間行動;二是美軍將在低武裝沖突情況下,在網絡空間中和通過網絡空間開展行動,以加強威懾和挫敗對手;三是美國聯(lián)合全球盟友和合作伙伴,鞏固和加強網絡領域優(yōu)勢。
此外,國防戰(zhàn)略還強調了美國政府和國防部長期以來所面臨的網絡威脅,威脅主要來自競爭國家、極端主義組織和跨國犯罪組織,并提出4項應對措施:一是保衛(wèi)國家。美軍將開展利用網絡能力開展行動以深入了解惡意網絡行為者,開展“前沿防御”以破壞和削弱上述行為者的能力和支持生態(tài)系統(tǒng),并與跨部門合作伙伴合作,加強美國關鍵基礎設施的網絡彈性,并打擊戰(zhàn)備威脅。二是準備戰(zhàn)斗并贏得戰(zhàn)爭。美軍將確保軍事信息網絡的網絡安全以及聯(lián)合部隊的網絡彈性,并將利用網絡空間作戰(zhàn)產生非對稱優(yōu)勢,以支持聯(lián)合部隊的計劃和行動。三是與盟友和合作伙伴合作,保護網絡域。美軍將協(xié)助盟友和合作伙伴建設其網絡能力和實力,擴大潛在網絡合作途徑,繼續(xù)開展“前出狩獵”行動,并將通過鼓勵遵守國際法和國際公認的網絡空間規(guī)范來加強負責任的國家行為。四是在網絡空間建立持久優(yōu)勢。美軍將優(yōu)化網絡作戰(zhàn)部隊和現役網絡部隊的組織、訓練和裝備,并將投資于網絡空間作戰(zhàn)的推動因素,包括情報、科學技術、網絡安全和文化。
《紐約州網絡安全戰(zhàn)略》
州政府層面:《紐約州網絡安全戰(zhàn)略》。2023年8月,美國紐約州出臺首個州戰(zhàn)略,并任命首位首席網絡官。州戰(zhàn)略提出三大網絡安全愿景,一是統(tǒng)籌管理,加強對網絡信息、工具和服務的管理,使網絡防御措施能夠覆蓋所有實體;二是網絡彈性,通過擴大網絡安全法規(guī)、要求和建議的范圍,更好地保護紐約州關鍵設施的安全;三是充分準備,廣泛提供建議和指導,確保公民網絡安全。州戰(zhàn)略提出五大戰(zhàn)略支柱,一是構建安全、彈性的政府網絡,確保紐約州政府網絡按照現代安全原則設計;二是加強與利益相關者(如地方政府、私營企業(yè)、合作伙伴、非營利組織等)合作,提供端點檢測和響應等網絡安全服務;三是規(guī)范關鍵行業(yè),確保關鍵行業(yè)基礎設施所有者和運營商所提供的服務達到最低安全標準;四是提倡公民參與網絡安全工作,強調個人在網絡安全中的重要性;五是發(fā)展網絡安全勞動力,構建紐約州網絡安全人才庫,提高紐約州對網絡人才的吸引力。
此外,州戰(zhàn)略要求成立一個工業(yè)控制系統(tǒng)網絡評估團隊,幫助紐約州國土安全部門開展網絡事件響應工作。州戰(zhàn)略要求,通過州衛(wèi)生保健技術資本撥款計劃,投入5億美元用于改善全州醫(yī)療保健信息技術和網絡安全基礎設施;同時,增加紐約州網絡安全預算,為擴大縣級和地方政府的共享服務計劃提供資金。
幾點認識
對華定位發(fā)生根本性轉變,視中國為網絡安全“最大威脅”。美國家戰(zhàn)略用三個“最”形容中國,提出“中國是美政府和私營部門最廣泛、最活躍和最持久的威脅,并且中國是唯一一個既有重塑國際秩序意圖,又越來越多地使用經濟、外交、軍事和技術手段推進該意圖的國家”。而2018版戰(zhàn)略中,美將俄羅斯、中國、伊朗、朝鮮等一并視作構成挑戰(zhàn)的“長期競爭對手”,但只強調中國能夠對美網絡空間及新興技術領域造成挑戰(zhàn)。新舊戰(zhàn)略對比,反映出拜登政府在網絡安全領域對華定位發(fā)生根本性轉變,中國由“競爭對手”正式轉變?yōu)?ldquo;最大威脅”。
美軍將確保軍事信息網絡的
網絡安全以及聯(lián)合部隊的網絡彈性
強調聯(lián)邦機構責任下移,賦予供應商更多網絡安全責任。美在網絡空間領域的國家戰(zhàn)略、國防戰(zhàn)略中,多次提到“監(jiān)管”“協(xié)調”等關鍵詞,明確聯(lián)邦政府機構責任。一是授權國防部網絡和基礎設施安全局保護聯(lián)邦民事行政部門系統(tǒng),并主導更新網絡事件響應計劃;二是協(xié)調財政部、司法部、特勤局等參與勒索攻擊調查,打擊網絡犯罪;三是協(xié)調運輸安全管理局、環(huán)境保護局等參與能源、航空、鐵路等關鍵領域網絡安全工作。同時,美網絡安全政策體系重塑了美網絡社會契約,調整了網絡安全責任主體。政策體系要求,必須重新平衡網絡安全責任,將責任從個人、小企業(yè)和州政府轉移,移交給擁有必要資源和專業(yè)知識的大型供應商,以更好確保網絡安全。
重視長期資金引導,鞏固和擴展網絡技術優(yōu)勢。美網絡政策體系圍繞“一個系統(tǒng)、兩個主體、三個領域”,重新構建網絡技術長期投資機制。一是以構建“數字生態(tài)系統(tǒng)”為一致性目標,加強美網絡安全彈性和防御性投資;二是以“政府機構、私營部門”為協(xié)調主體,加強公私合作,優(yōu)化網絡安全投資結構;三是以“計算技術、生物制造技術、清潔能源技術”為重點領域,加大網絡安全技術研發(fā)投入,確保美國網絡技術領導地位。
拜登政府網絡政策體系相較以往,提出的相關措施更加全面、具體
保護關鍵基礎設施是美國網絡安全工作重點。美網絡政策體系將保衛(wèi)關鍵基礎設施網絡安全放在首位,從政策制定、公私合作、能力整合、事件響應等方面提出了保護關鍵基礎設施的各項舉措。一是完善關鍵基礎設施網絡安全法規(guī);二是擴大公私合作,推動網絡防御者同步保護關鍵基礎設施;三是整合聯(lián)邦網絡安全中心,推動政府間協(xié)調;四是更新網絡事件響應計劃,加強關鍵基礎設施安全事件應對能力等。拜登政府網絡政策體系相較以往,提出的相關措施更加全面、具體,可見聯(lián)邦政府高度重視關鍵基礎設施網絡安全工作,亟需重塑美國人民對關鍵基礎設施網絡安全的信心。
版權聲明:本文刊于2024年 1 期《軍事文摘》雜志,作者:樊偉、劉永艷等,如需轉載請務必注明“轉自《軍事文摘》”。
美軍空中支援作戰(zhàn)及其指揮控制系統(tǒng)
