当地时间2023年3月2日,美国白宫发布《国家网络安全战略》,认为网络空间是实现美国最高愿望的一种工具,强调制定强制性的关键基础设施网络安全政策要求。政府须以协调的方式使用国家权力的所有工具来保护国家安全、公共安全和经济繁荣。
此次战略重点提出两个根本性的改变,一是美国在网络空间中的角色和责任,二是资源分配方式的改变。这两个转变是对美国现有网络空间现状问题的回应,更加突出和强调政府与行业的地位和作用,同时试图建立一个长效的激励机制,以平衡战略规划与投资的关系。
该战略用大量篇幅描述了五个战略支柱及其细分战略目标,总的来说,此部分高度整合了本届以及往届政府在网络安全建设方面的已有相关政策举措,将其进行系统性的综合与提升,提出进一步发展与完善建议。执行方面,主要由美国国家网络主任办公室进行协调,联邦政府对该战略的实施已经在进行中。
本文对该战略主要内容进行译介,仅供学习参考。
互联网的开放性和联系改变了世界各地的游戏规则。
当我们拿起智能手机与亲人保持联系、登录社交媒体与他人分享想法,或者联网经营业务以及满足其他需求时,我们需要相信网络底层数字生态系统是安全、可信和可靠的。
包括数字环境在内的整个世界正处于一个转折点,我们今天采取的措施和做出的选择将决定未来几十年世界的走向。
《国家网络安全战略》阐述了如何更好地保护网络空间安全,以确保美国在实现数字化未来的所有利益和潜力方面处于有利地位。
全文摘要与关键词
1.战略环境与新兴趋势:软件和系统的脆弱性;全球互联加速的风险;数字技术渗透性加深的风险;虚实边界正在被摧毁;犯罪集团的网络行动威胁
2.战略支柱(网络空间弹性之路)
【支柱1】保护关键基础设施:明确要求扩大公私合作规模,整合联邦网络安全中心,更新响应流程,政府现代化
【支柱2】瓦解和摧毁威胁行动者:整合政府的网络防御能力,公私合作阻断对手行动,提高情报共享规模和速度,防止对于基础设施的攻击,打击网络犯罪
【支柱3】塑造市场力量:保护数据可靠性和物联网设备安全,责任细分,建立安全设施,改善问责制,探索网络保险
【支柱4】投资弹性未来:保护互联网基础,重振研发,后量子,清洁能源基础设施,建立数字身份生态系统,发展网络劳动力战略
【支柱5】建立国际伙伴关系:建立多边合作联盟体系,协助盟友伙伴,多手段联合打击与制裁,保障全球供应链
3.战略的实施
①两项根本性转变:平衡角色责任(政府-行业合作,减少最终用户的网络安全风险);调整激励机制-支持长期投资
②基本原则:以现有战略政策与机构为基础
③具体措施:有效性评估,从网络事件中吸取教训,进行长期投资
必须从根本上改变数字生态系统的基本动态,目标是建立一个可防御、有弹性的数字生态系统,在这个系统中,攻击系统的成本高于防御系统。到这个决定性的十年结束时,就可以满怀信心地大胆迈进一个数字化的未来。
01 战略环境与新兴趋势
软件和系统的脆弱性。新的功能和技术不断被添加到已经十分庞大且脆弱的系统中,牺牲了安全性和弹性,使软件和系统变得日益复杂。随着人工智能系统的广泛引入,许多重要系统的复杂性和风险正在上升。
全球互联加速的风险。对一个组织、部门或国家的攻击可以迅速蔓延到其他部门和地区,正如俄罗斯2017年对乌克兰的“NotPetya”网络攻击,蔓延到欧洲、亚洲和美洲,造成了数十亿美元的损失。随着相互依赖性的增加,遭受此类攻击的潜在成本只会增加。
数字技术渗透性加深的风险。新冠肺炎疫情推动生活向数字世界更进了一步,随着我们的生活与视频和音频流、可穿戴设备和生物识别技术交织在一起,个人数据收集的数量和私密性呈指数级增长。对这些数据的窃取也在快速增长,并为恶意行为者监视、操纵和勒索个人开辟了新的途径。
虚实边界正在被摧毁。下一代互联网正在摧毁数字世界和物理世界之间的边界,并使一些最重要的系统面临破坏。工厂、电网和水处理设施,以及其他重要的基础设施,正越来越多地摆脱旧的模拟控制系统,并迅速引入在线数字操作技术(OT)。先进的无线技术、物联网和天基资产——包括那些支持民用和军用PNT、环境和天气监测以及从银行到远程医疗的日常互联网活动的资产——将加速这一趋势,使网络攻击对我们的日常生活具有更大的影响和破坏性。
犯罪集团的网络行动威胁。犯罪集团的网络行动对国家安全、公共安全和经济繁荣构成了威胁。从能源管道和食品公司到学校和医院,勒索事件扰乱了美国和世界各地的关键服务和业务。勒索软件攻击造成的总经济损失持续攀升,每年高达数十亿美元。
02 战略支柱:网络空间弹性之路
该战略旨在围绕五个支柱建立和加强合作:(1)保护关键基础设施,(2)瓦解和消除威胁行为者,(3)塑造市场力量以推动安全和弹性,(4)投资于弹性未来,以及(5)建立国际伙伴关系以追求共同目标。
支柱一 保护关键基础设施
战略目标1.1:确立网络安全要求,以支持国家安全和公共安全
最有效和高效的监管框架将是那些在危机发生前就已设立的框架,而不是在危机发生后通过实施紧急监管来实现的框架。具体包括:建立网络安全法规,确保关键基础设施;协调和简化新的和现有的法规;使受监管实体能够提供担保。
战略目标1.2:公私大规模合作
保护关键基础设施免受敌对活动和其他威胁,需要模拟互联网分布式结构的网络防御模型。通过结构化的角色和职责,将组织协作和技术支持的连接结合起来,将创建一个基于信任的“网络的网络”,从而实现分布式、网络化的模式。它可以建立态势感知,并推动保护关键基础设施的网络防御人员采取集体和同步的行动。CISA与行业风险管理机构(SRMAs)协调,使联邦政府能够扩大其与全美关键基础设施所有者和运营商的协调。
战略目标1.3:整合联邦政府网络安全中心
联邦网络安全中心作为协作节点,融合了整个政府在国土防御、执法、情报、外交、经济和军事任务方面的能力。一旦完全整合,它们将推动政府内部的协调,并使联邦政府能够有效和果断地支持非联邦伙伴。CISA建立了联合网络防御协作(JCDC),以整合整个联邦政府以及私营部门和国际合作伙伴的网络防御规划和行动,并重振网络威胁情报整合中心(CTIIC)在协调情报收集、分析和合作方面的作用。
战略目标1.4:更新联邦事件响应计划和流程
私营部门有能力在没有联邦政府直接援助的情况下缓解大多数网络事件。当需要联邦援助时,联邦政府必须做出统一、协调、全政府的反应,就私营部门在网络事件期间如何寻求政府支持以及政府可以提供何种支持提出明确指导。
CISA将牵头更新国家网络事件响应计划(NCIRP),指导如何联系能够提供支持的联邦机构,并有权使用有效的信息共享机制。2022年《关键基础设施网络事件报告法案》(CIRCIA)要求关键基础设施部门的相关实体在数小时内向CISA报告相关网络事件。
战略目标1.5:联邦政府的现代化
集体捍卫联邦民事机构:OMB将与CISA合作制定一项行动计划,通过集体作战防御、扩大集中式共享服务的可用性,以及缓解软件供应链风险来确保FCEB系统的安全。
联邦制度现代化:OMB将领导一项长期计划的开发,以加速FCEB的技术现代化,在十年内替换所有无法实施零信任架构的遗留系统,用更安全的技术取代传统系统,包括通过加速迁移到基于云的服务,将提升整个联邦政府的网络安全态势。
保卫国家安全系统:国家安全系统(NSS)存储和处理一些联邦政府最敏感的数据,作为NSS负责人,国家安全局局长将与OMB协调,为FCEB各机构的NSS制定一项计划,确保执行NSM-8的强化网络安全要求。
支柱二 瓦解和摧毁威胁行动者
美国将动用外交、信息、军事(动能和网络)、金融、情报和法律等一切国家力量来瓦解和摧毁威胁分子,让对手无法发动持续的网络攻击。美国将通过加强公共与私营部门的合作,改善情报共享,阻止对手使用美国的基础设施,并挫败全球勒索病毒活动。
战略目标2.1:整合联邦干扰活动
联邦政府必须进一步开发技术和组织平台,实现持续、协调的运营。国家网络调查联合工作组(NCIJTF)将扩大其能力,以更快的速度、更大的规模和更高的频率协调攻击活动。同样,国防部和情报部门致力于将他们的全部互补权力用于干扰行动。
战略目标2.2:加强公私合作运营协作来阻断对手行动
私营部门对对手活动的洞察力通常比联邦政府更广泛、更详细。2021年Emotet僵尸网络的崩溃显示了这种合作方式的潜力。通过建立国家网络取证和培训联盟(NCFTA)等非营利组织组织,作为与联邦政府进行业务合作的中心,针对特定威胁的协作应采取灵活的临时小组形式。
战略目标2.3:提高速度和情报共享的规模与受害者通知
联邦政府将提高网络威胁情报共享的速度和规模,以便在某个组织正成为主动攻击目标或可能已经遭到攻击时,主动警告网络防御人员并通知受害者。SRMAs将与CISA、执法机构和CTIIC协调,确定其部门内的情报需求和优先事项,并制定与政府和非政府合作伙伴共享警报、技术指标、威胁背景和其他相关信息的流程。
战略目标2.4:防止滥用基于美国的基础设施
联邦政府将与云和其他互联网基础设施提供商合作,快速识别并共享对基础设施的恶意使用,使受害者更容易报告这些系统的滥用,使恶意行为者更难在第一时间获得对这些资源的访问。
战略目标2.5:打击网络犯罪,击败勒索软件
鉴于勒索软件对关键基础设施服务的影响,美国将动用所有国家力量,从四个方面努力应对这一威胁:(1)利用国际合作,打乱勒索软件生态系统;(2)加强犯罪调查和执法,打击勒索基础设施的行为者;(3)增强关键基础设施抵御勒索软件攻击的能力;(4)解决滥用虚拟货币洗钱的问题。
支柱三 塑造市场力量,推动安全性和弹性
尽管市场力量仍然是实现敏捷和有效创新的第一和最佳途径,但它们并没有充分调动行业来优先考虑核心经济利益和国家安全利益。为了应对这些挑战,政府将塑造数字生态系统的长期安全性和弹性。
战略目标3.1:管理数据可靠性
保护个人数据是保护消费者隐私的基础。政府支持立法工作,对收集、使用、传输和维护个人数据的能力施加强有力的明确限制,并为地理位置和健康信息等敏感数据提供强有力的保护。
战略目标3.2:推动发展保护IOT设备
当前部署的许多物联网设备以及工业控制系统和传感器都没有充分抵御网络安全威胁,包括不恰当的默认设置、难以升级、不必要的高级功能等,从而增加了关键物理和数字系统受到恶意网络活动的风险。政府将继续按照2020年《物联网网络安全改善法案》的要求,通过联邦研发、采购和风险管理工作来改善物联网网络安全。
战略目标3.3:转移不安全软件产品和服务的责任
政府将与国会和私营部门合作立法,确立软件产品和服务的责任。政府将推动适应性安全港框架的发展,以保护安全开发和维护其软件产品和服务的责任公司。这个安全港将借鉴当前安全软件开发的最佳实践,例如NIST安全软件开发框架。它还必须随着时间的推移而发展,为安全软件开发、软件透明性和漏洞发现引入新的工具。
战略目标3.4:利用联邦投资构建安全性
联邦政府将与SLTT实体、私营部门和其他合作伙伴合作,通过技术援助和其他形式的支持来平衡申请人的网络安全要求。通过合作,我们可以推动对关键产品和服务的投资,这些产品和服务在设计上具有安全性和弹性,并在整个生命周期中保持和激励安全性和弹性关键基础设施。联邦政府还将优先资助旨在加强关键基础设施网络安全和弹性的网络安全研究、开发和示范(RD&D)项目。
战略目标3.5:利用联邦政府采购改善问责制
政府将通过采购继续试验新的网络安全概念,通过采购制定、实施和测试网络安全要求,可以带来新颖和可扩展的方法。同时,当公司向联邦政府做出遵守网络安全最佳实践的合同承诺时,他们必须遵守这些承诺,政府对未能履行网络安全义务、使美国信息系统面临风险的实体和个人提起民事诉讼。
战略目标3.6:探索联邦网络保险支持
在灾难性事件发生之前组织好应对措施。政府将评估现有网络保险市场对灾难性网络事件的响应和支持力度,并寻求监管机构和行业利益相关者意见。当灾难性事件发生时,政府有责任稳定经济,并在不确定的时期提供确定性。
支柱四 投资弹性未来
通过战略投资和协调合作行动 ,建立一个更安全、更有弹性、保护隐私和公平的数字生态系统。美国将保持其作为安全、有弹性的下一代技术和基础设施领域全球最重要创新者的领导地位。
联邦政府必须利用在创新、R&D和教育方面的战略性公共投资来推动经济上可持续、符合国家利益的成果。利用国家科学基金会(NSF)的区域创新引擎计划,在两党《基础设施法》、《通货膨胀削减法》和《芯片与科学法案》中建立新的拨款项目和资助机会。
几十年来,对手和恶意行为者将我们的技术和创新武器化来对付我们——窃取我们的知识产权,干涉或影响我们的选举进程,削弱我们的国防——这表明,没有安全保障的创新领导是不够的。将在开发和部署关键和新兴网络安全技术的同时,优化这些技术,从而在创新方面超越其他国家。
战略目标4.1:保护互联网的技术基础
通过支持非政府标准制定组织(SDO),美国将与行业领袖、国际盟友、学术机构、专业协会、消费者团体和非营利组织合作,以确保新兴技术的安全,实现互操作性,促进全球市场竞争,并保护我们的国家安全和经济优势。
战略目标4.2:重振联邦政府网络安全的研究和发展
优先考虑防御和弹性架构的研究和开发,减少基础技术的漏洞,确保技术更安全。还将支持一个更大的现代工业和创新战略,通过全面利用联邦投资工具、联邦购买力和联邦法规,促进协调和战略性创新,为值得信赖的产品和服务创造市场。
研发投资将集中在可确保美国未来十年领导地位的三大技术领域:
计算相关技术,包括微电子、量子信息系统和人工智能
生物技术和生物制造
清洁能源技术
战略目标4.3:应对后量子时代的到来
强加密是网络安全和全球商业的基础,需要建立一个将国家的加密系统及时过渡到可互操作的抗量子加密的流程。联邦政府将优先考虑将易受攻击的公共网络和系统过渡到基于量子密码的环境,并制定互补的缓解战略,以在面对未知的未来风险时提供加密灵活性。私营部门应该效仿政府的模式,为后量子时代的未来准备自己的网络和系统。
战略目标4.4:保障未来清洁能源
政府将抓住对新能源基础设施进行投资战略机遇,通过实施国会指导的国家网络信息工程战略,积极主动地建设网络安全,而不是在这些联网设备广泛部署后开发拼凑的安全控制。
战略目标4.5:支持发展数字身份生态系统
联邦政府将鼓励和支持对强大、可验证的数字身份解决方案的投资,以促进安全性、可访问性和互操作性、金融和社会包容性、消费者隐私和经济增长。在芯片和科学法案授权的NIST领导的数字身份研究计划的基础上,这些努力将包括加强数字证书的安全性;提供属性和凭证验证服务;进行基础研究;更新标准、指南和治理流程,以支持一致的使用和互操作性;开发促进透明度和测量的数字身份平台等。
战略目标4.6:发展国家网络劳动力的战略
如今,全国网络安全岗位有数十万个未填补的空缺,而且这一缺口还在不断扩大。为了应对这一挑战,ONCD将领导制定并监督实施国家网络劳动力和教育战略。相关战略基础包括:国家网络安全教育倡议(NICE)、网络公司服务奖学金计划、国家网络安全学术卓越中心计划、网络安全教育培训和援助计、注册学徒计划以及美国国家科学基金会和其他科学机构相关劳动力发展项目。
支柱五 建立国际伙伴关系,追求共同目标
支持扩大《布达佩斯网络犯罪公约》和其他旨在使网络空间更加安全的全球努力。需要与合作伙伴合作,挫败其他专制政府对互联网未来的愿景。
战略目标5.1:建立联盟以对抗数字生态系统面临的威胁
相关机制包括:
美国、印度、日本和澳大利亚之间的四方安全对话机制,改善计算机应急响应团队之间的信息共享,以及基于共同价值观的数字生态系统的发展。
印度-太平洋经济繁荣框架(IPEF)和美洲经济繁荣伙伴关系(APEP)为美国和地区政府合作制定数字经济的道路规则创造了机会,包括促进技术标准的发展、支持跨境数据流动的机制,以保护隐私,同时避免严格的数据本地化要求,以及促进供应链安全和弹性的行动。
美国-欧盟贸易和技术委员会(TTC),应对共同的威胁,并展示数字贸易、技术和创新的市场方法如何能够改善公民的生活,并成为实现更大繁荣的力量。
《三边安全与技术协定》(AUKUS),加强与澳大利亚和英国密切合作,以确保关键技术的安全,改善网络协调,并分享先进的能力。
战略目标5.2:加强国际合作、提升合作伙伴能力
美国将汇集各机构、公共和私营部门以及先进的地区合作伙伴的专业知识,开展协调有效的国际网络能力建设和行动合作。在执法界,DOJ将继续通过双边和多边接触以及正式和非正式合作,在加强网络犯罪法律、政策和行动方面发挥国际和区域领导作用。国防部将继续加强军方联系,以利用盟友和合作伙伴的独特技能和视角,提升其为集体网络安全态势做出贡献的能力。国务院将继续协调整个政府的努力,以确保联邦能力建设优先事项在战略上保持一致。
战略目标5.3:扩大美国的能力,以协助盟友和伙伴
正如最近针对哥斯达黎加、阿尔巴尼亚和黑山的网络攻击所表明的那样,遭受重大网络攻击的盟国和伙伴国可能会寻求美国及其盟国和伙伴国的支持,以调查、应对和恢复此类事件。提供这种支持不仅有助于合作伙伴的响应和恢复,还将推进美国的外交政策和网络安全目标。
政府将制定政策和机制,以确定何时提供此类支持更符合国家利益,确定和部署此类工作中的部门和机构资源,并在必要时,迅速寻求消除现有的财政和程序障碍。例如,美国正在领导北约建立虚拟网络事件的协作能力,使盟国能够更有效和高效地相互支持,以应对重大的恶意网络活动。
战略目标5.4:建立联盟,加强负责任国家行为的全球规范
作为新积极外交的核心部分,美国将在不负责任的国家未能履行承诺时追究其责任。为有效约束对手,并在武装冲突的门槛下打击恶意活动,我们将与盟友和伙伴合作,将谴责声明与施加有意义的后果相结合。这些努力将需要协同使用所有治国工具,包括外交孤立、经济成本、反网络和执法行动或法律制裁等。
战略目标5.5:保障信息、通信和业务技术产品和服务的全球供应链
来自不可信供应商的关键外国产品和服务的依赖,给数字生态系统带来了多种系统性风险。减轻这一风险需要国内外公共和私人部门的长期战略合作,以重新平衡全球供应链,让它们更加透明、安全、有弹性和值得信赖。具体包括:(1)正在构建确保5G供应链安全的国家战略。 (2)无线网络安全,包括通过开放无线接入网络(Open RAN)和合作倡议使供应商多样化。(3)将这一模式推广到其他关键技术的长期战略合作,“在美国建造,购买美国货”、芯片和科学法案,通货膨胀削减法案等,同时保护信息技术和先进的制造业供应链。
03 实施原则路径与两项根本性转变
3.1 两项根本性转变
为了实现这些支柱提出的愿景,我们将在美国如何在网络空间分配角色、责任和资源方面做出两项根本性转变。
转变一:重新平衡保卫网络空间的责任
网络空间中最有能力、最有地位的参与者必须更好地管理数字生态系统。如今,最终用户承担了太多减轻网络风险的负担。
个人、小企业、州政府和地方政府以及基础设施运营商:这类主体资源有限,且优先事项相互竞争,但他们的选择会对国家网络安全产生重大影响。一个人一时的判断失误、使用过期密码或错误点击可疑链接,都不应该对国家安全造成影响。我们的集体网络弹性不能依赖于我们最小的组织和公民个人的持续警惕。
相反,无论是公共部门还是私营部门,都必须要求更多最有能力、最有地位的行动者来确保我们的数字生态系统的安全和弹性。
政府的角色是保护自己的系统;确保私有实体,尤其是关键基础设施;执行核心政府职能,如从事外交、收集情报、施加经济成本、执行法律,以及采取行动应对网络威胁。
行业和政府必须共同推动有效和公平的合作,以纠正市场失灵,最大限度地减少网络事件对社会最弱势群体的伤害,并捍卫我们共享的数字生态系统。
转变二:调整激励机制,支持长期投资
该战略概述了联邦政府将如何使用所有可用的工具来重塑激励机制,并以合作、公平和互利的方式实现团结一致的努力。必须确保市场力量和公共计划同样奖励安全和弹性,建立强大和多样化的网络劳动力,通过设计拥抱安全和弹性,战略性地协调网络安全的研发投资,并促进我们数字生态系统的协作管理。为了实现这些目标,联邦政府将把重点放在杠杆点上,在防御能力和系统弹性方面产生最大收益。
3.2 实施基本原则:以现有政策为基础
该战略建立在已有战略环境和数字生态系统之上。包括国家安全战略、国防战略,延续了“改善国家网络安全”行政命令14028、“国家安全备忘录(NSM) 5”、“改善关键基础设施控制系统的网络安全”、“NSM 8”、“改善国家安全、国防部(DoD)和情报社区系统的网络安全”以及其他行政措施的基本方向。它将网络安全融入了两党基础设施法、通货膨胀削减法、创造生产半导体(芯片)和科学的有益激励中。
前任政府相关战略基础:2018年国家网络战略、空间政策指令5“空间系统的网络安全原则”、国家人工智能倡议、国家5G安全战略等。
确保联邦系统的安全以及与私营部门合作方面战略基础:第13800号总统令“加强联邦网络和关键基础设施的网络安全”、第13691号总统令“促进私营部门网络安全信息共享”和第13636号总统令“改善关键基础设施网络安全”、第21号总统政策指令“关键基础设施安全和弹性”、第41号总统政策指令“美国网络事件协调”、2008年国家网络安全综合倡议。
3.3 具体实施策略
实现本战略中概述的战略目标将需要大力注重实施。在国家安全委员会工作人员的监督下,ONCD将与OMB协调该战略的实施。
评估有效性:在实施这一战略时,联邦政府将采取数据驱动的方法。将衡量所做的投资、实施进展以及最终结果和有效性。ONCD将与国家安全委员会工作人员、OMB以及各部门和机构协调,评估该战略的有效性,并每年向总统、总统国家安全事务助理和国会报告该战略、相关政策以及实现其目标的后续行动的有效性。
吸取经验教训:联邦政府将优先考虑从网络事件中吸取教训,并用于该战略的实施。CSRB在2022年夏天完成了对Log4j漏洞的首次审查,在此期间,CSRB对发生的事件进行了权威的描述,包括从漏洞的发现到历史上最大规模的网络事件响应的进展。CSRB还为行业、联邦机构和软件开发社区提供了基于审查发现的清晰、可行的建议。CSRB结束审查时,联邦政府将处理其建议,在可能的情况下通过行政行动改善其自身的运作,并将在必要时与国会合作加强权力。联邦机构也将促进和扩大针对私营部门网络维护者的CSRB建议。
进行世代投资:该战略中包含的许多联邦行动旨在增加私营部门在安全、弹性、改善合作以及研发方面的投资。联邦机构支持他们的私营部门合作伙伴,并提高他们的能力,以执行基本的联邦任务,有针对性的投资将是必要的。为了引导这项投资,ONCD和OMB将联合向各部门和机构发布关于网络安全预算优先事项的年度指南,以推进政府的战略方针。政府将与国会合作,资助网络安全活动,以跟上网络生态系统的变化速度。
原文地址:
https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/
https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
文章内容编译自网络,本文观点不代表本公众号立场。欢迎交流讨论,批评指正。
声明:本文来自认知认知,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。