拜登执政以来,美频繁出台网络安全、网络供应链等方面政策文件,以确保本土关键设施网络安全,预防网络安全事件风险,重夺网络安全主动权。美相关措施将加剧网络供应链逆全球化,将深刻影响全球网络安全形势和大国竞争格局,值得高度警惕。
基本情况
美国为巩固网络安全主导权,频繁颁布行政命令、配套文件、法案、实体清单等,构建网络安全政策体系。
美国颁布政令加强网络安全顶层指导。一是提出网络安全务实措施,统筹网络安全重点工作。2021年5月,拜登签署《关于改善国家网络安全》行政令,要求加强网络安全政策指导,增加政府与私营机构合作;加强网络空间威胁信息共享,防范网络安全事件;实施零信任架构,加快云服务安全化,推进网络安全方法现代化;增加商业软件开发透明度,加强网络供应链安全;设立网络安全审查委员会,加强对重大网络事件、威胁活动、漏洞修复和机构响应等活动的审查和评估;制定网络事件响应流程,加强网络安全事件响应流程标准化;加强网络安全漏洞检测,提高联邦政府对网络漏洞和网络威胁的认识与检测能力;加强网络安全事件调查和系统修复能力;加强国家安全系统网络安全。
美白宫发布《关于改善国家网络安全》行政令
二是首次提出“国家安全系统”网络安全要求,填补政策空白。2022年1月,美白宫发布《关于改善国家安全、国防和情报系统网络安全》备忘录,明确国家安全系统网络防护要求;授权国家安全局制定相关标准,制定相关操作指令;加强国家安全系统风险感知能力;制定云系统网络事件响应框架,规范网络安全事件处理流程;发布新版网络安全政策;并列出相关豁免情况。
美国细化实操文件推动网络安全政策执行。一是制定国防领域网络安全管理相关标准,推动顶层政策落地。2021年11月,美国防部发布“网络安全成熟度模型认证”2.0版。该模型是国防工业基地承包商培训、认证和第三方评估的框架,旨在建立国防工业承包商必须执行的网络安全要求及标准。模型2.0版本提出了国防部对最高优先事项项目供应商的评估要求,明确了“网络生态系统”的评估标准,最小化安全合规的障碍,提高项目执行层面的整体操作性。
《关于改善国家安全、国防和情报系统网络安全》
备忘录封面
2022年7月,美数字制造与网络安全机构发布“网络安全成熟度模型认证”2.0版手册,提供网络安全实践入门指南,指导国防领域网络供应商遵守相关要求。该手册围绕访问控制、身份认证、介质保护、物理保护、系统与通信保护、系统与信息完整性等6个领域,列出了17项网络安全实践并标定了相关难度,为国防承包商年度自我评估提供指导,以保护联邦合同信息安全和网络安全。
二是加强网络安全分段管理,避免网络风险沿供应链扩散。2022年5月,美国家标准技术研究院发布《系统和组织网络安全供应链风险管理实践》,指导政府机构和供应商,针对网络供应链的设计、研发、维护等环节,实施有效风险管理。该文件聚焦网络供应链安全问题,为各类组织提供了识别、评估和缓解其各级网络供应链中安全风险的具体操作指南,概括了网络供应链风险管理的层次及操作方法,并要求将其整合到企业风险管理过程中,包括制定网络供应链安全战略实施计划、网络供应链安全策略、网络供应链安全计划以及产品和服务的网络供应链安全风险评估等。该文件在具体过程上给出了明确的方法及文档化工具,具备很强的可操作性及参考性。
美国出台法案促进网络供应链安全。一是加大半导体产业资金支持力度,推动网络供应链回归本土。2022年8月,拜登签署《芯片与科学法案》。该法案分为两部分。第一部分围绕芯片与半导体,提出向本土半导体研发与制造企业提供约527亿美元补贴,并向在美投资半导体行业提供25%税收抵免,以推动核心网络组件供应链重回本土,进一步强化本土网络安全。第二部分围绕关键技术和新兴技术研发,为国家科学基金会、国家标准与技术研究院和能源部科学办公室等设定科研目标,以推动半导体、量子计算、人工智能等创新与发展。
二是发布半导体领域实体清单,限制对华半导体出口,在网络供应链中推行去中国化。2021年11月,美商务部修订“军事最终用户”实体清单,将中芯国际、中科微电子等12家中企列入,遏制中国半导体产业发展,以提高美国在全球半导体市场占有率,确保美本土网络安全。
几点认识
美国逐步修正“重攻轻防”网络策略,转向“攻守平衡”。特朗普执政时期,美在网络空间领域提倡“以攻为守”,网络司令部更是提出了“持续交锋”“前出防御”等作战概念。2020年以来,“太阳风”“科洛尼尔输油管”等网络安全事件频发,让白宫重新审视“重攻轻防”的网络策略。拜登政府持续强调网络安全,通过推行更全面的政策与标准,建立网络安全事件标准化响应流程等,加强网络安全管理,寻求网络空间“攻守平衡”。
美国防部发布“网络安全成熟度模型认证”
美国加快完善政策体系,补齐网络安全短板。美频繁出台网络安全政策文件,已基本覆盖非国家安全系统、国家安全系统和网络供应链等网络安全领域。此外,美政府还陆续出台操作层面的配套指南、手册等,建立起一套全面、实用的网络安全工具箱。在政策指导下,美重点加强网络组件供应、网络漏洞检测等网络安全工作,提前在网络安全薄弱环节部署防御措施,能够有效补齐网络安全短板。
美国加强私营企业管控,提高网络事件应对能力。美更加重视私营企业管控,加强基础设施网络安全。美国大部分关键基础设施网络系统由私营企业负责运营,而政府发挥辅助作用,这导致网络事件突发时,政府难以及时获取事态信息,削弱了关键基础设施网络防护能力。美频繁出台政策文件,通过推行标准合同、建立网络安全事件标准化响应流程等手段,加强对私营企业的管控,能够确保政府相关网络安全管理举措和机制的落地。
美白宫发布《芯片与科学法案》
美国积极抢占网络安全主导权,旨在备战大国竞争。当前,网络作战已成为现代战争重要作战方式。网络空间作战具备成本低、隐蔽性强、效果显著等特点,能够有效致瘫敌方关键基础设施和军事设施网络,延缓敌方军事部署。为此,美国将网络安全作为优先事项,积极抢占网络安全主导权,以备战大国高端战争。
结 语
在复杂网络安全形势下,应加快健全网络安全政策与标准体系,持续加强军事系统网络安全防护,不断强化平战一体的网络演训能力,应对可能出现的网络安全风险。
完善网络空间政策与标准体系。一是持续健全政策法规体系,强化网络空间顶层指导。系统筛查国防领域网络安全管理薄弱点,持续深化军事网络在研发、生产、采购、维护等环节的安全治理研究,建立更加全面的政策法规体系。二是强化标准支撑,加快构建军事网络安全标准体系。聚焦国防电子元器件等关键领域,推动设立国防供应商网络安全评估标准体系,并加强跨行业通用标准整合修订。
加强军事系统网络安全防护。军事系统网络安全防护是国家网络空间防护的核心,是慑止对手对关键基础设施采取冒险行动的关键。其中,指挥系统、武器系统和作战流程中的网络安全防护尤其重要。大国竞争背景下,对手前沿部署网络力量,正在实施持续交锋作战行动。应基于“敌已进入、敌正进入”的前提假设,不断加强军事网络与系统的检查评估、监测预警和应急响应,确保军事系统网络安全。
强化平战一体的网络演训能力。应深刻体察网络空间攻防无时空拘束、破坏力巨大等特点,高度重视网络攻防作战演训能力建设。结合典型作战场景,持续建设大型网络靶场,设置不同阶段的网络培训课程,开展不同环境下的网络攻防演训,不断强化网络部队网络侦察、网络机动、网络攻击溯源、网络防御等方面的作战能力,加快形成网络空间领域对敌震慑力。
版权声明:本文刊于2023年1期《军事文摘》杂志,作者:黄锋,樊伟,如需转载请务必注明“转自《军事文摘》”。
声明:本文来自军事文摘,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。