编者按:作为“美国网络空间日光室委员会2.0”9月发布的《2024年实施年度报告》的后续行动,美国奥本大学麦克拉里网络和关键基础设施研究所和“网络空间日光室委员会2.0”于10月22日联合发布《确保美国的数字未来:下一届美国政府的两党网络安全路线图》报告。该报告由40 名美国公私部门专家组成的专家组撰写,向下一届美国政府提供了8大网络安全目标、39项具体建议,其中包括5项应在新政府成立100天内完成的行动,旨在为新政府提供了确保美国数字未来的全面路线图。

报告提出,美国面临的网络威胁的范围和严重性前所未有,网络领域已成为对手试图破坏美国优势并利用美国弱点的战场,造成严重经济损失、损害国家安全并削弱民众信任;网络安全与美国在全球舞台上的经济竞争力密不可分,关乎保护资产以及维护美国的技术优势和经济领导地位;网络安全不仅仅是一项技术挑战,更是关系到国家弹性和全球领导力的根本问题,采取“折中措施”和“渐进措施”的时代已经过去,美国需要在网络安全处理方式上进行范式转变;改善网络安全需要以自太空竞赛以来从未有过的规模动员国家资源和意志,才能确保美国继续成为数字时代的领导者;与太空竞赛不同的是,网络安全不是一场“可以一劳永逸取胜的竞争”,而是需要不断警惕、适应和创新以及长期投入;挑战中也蕴藏着前所未有的机遇,新政府有机会采取果断行动,实施全民行动,利用政府、行业和个人的集体力量来保障美国的数字未来。

报告概述了需要立即关注和持续努力的8个关键网络安全目标以及39项建议:

一是统一网络安全监管格局,确保国家安全的一致性。为改善当前的网络安全监管环境杂乱无章、甚至存在相互冲突的局面,必须迅速采取行动,建立一个连贯、精简的网络安全监管框架。具体建议包括:对网络安全相关法规和相关行业特定法规进行全面审查,找出阻碍有效网络安全工作的差距、不一致和过时的定义,并向国会提出解决问题的建议;同步《美国法典》相关的权限,以便军事、情报和执法机构在网络空间行动中进行更有效的协调;提出立法以解决已发现的差距,特别是在现有法律难以跟上快速发展的技术和威胁的领域;建立跨机构工作组,以简化和协调跨机构/部门的网络安全法规,减少冗余和相互冲突的要求;制定一套可适应特定部门需求的通用网络安全标准,同时保持关键基础设施的安全基线水平;建立定期审查和更新网络安全和特定部门安全法规的机制。

二是协同网络保护,加强国家多利益相关方合作。有效的网络安全需要各级政府和私营部门的无缝协调,必须打破各自为政的局面,加强信息共享,并建立快速、协调应对网络威胁的机制。具体建议包括:合理化、授权和加强行业风险管理机构(SRMA)的作用;建立国家网络安全研发协调机构;加强美国国家网络总监办公室的作用和权力;加强美国网络安全和基础设施安全局(CISA)的能力和职责;实施公私伙伴关系;增强州、地方、部落和领地(SLTT)网络安全能力和协调;加强情报共享和行动协调;利用关键机构的独特能力。

三是制定综合战略,确保网络空间的威慑和成本施加。需要超越单纯的防御态势,制定一项综合战略,充分利用外交、经济、军事等国家所有力量,让网络空间不良行为体付出代价。具体建议包括:维护并加速用于实施进攻性网络行动的法律框架,制定批准时间敏感的网络行动的简化流程,制定全面的进攻策略,主动破坏并削弱对手的能力;建立针对网络犯罪国家支持者的指定程序,创建网络攻击支持国名单,制定一系列外交、经济和针对网络的制裁措施,确保参与或支持恶意网络活动的国家承受真正的后果;定期审查和更新响应网络威胁的活动计划和行动手册,制定评估网络威慑活动有效性的指标,投资开发可以精确瞄准对手系统并最大限度地减少附带损害的先进网络能力,制定与盟友和合作伙伴共享网络事件相关情报和技术分析的归因标准和机制,增强追究攻击责任和追究不法行为者责任的能力。

四是确保网络安全弹性,主动降低风险。建立数字基础设施弹性不仅需要加强防御能力,还需要抵御、恢复和适应网络事件的能力。具体建议包括:建立一套全面的关键资产识别和优先排序系统;制定全面的云安全和弹性标准和认证流程;为IT和OT系统制定行业特定的安全标准;增强社会抵御恶意网络影响行动的能力;研究联邦政府作为“最后保险人”的模式

五是实施网络治国方略,应对国际网络挑战。网络安全需要全球性解决方案,美国必须发挥带头作用,制定网络空间的国际规范、标准和行为规则。具体建议包括:加强美国务院的网络外交努力;在全球范围内推动开放、可互操作的互联网;加强网络安全标准的国际合作。

六是建设网络能力,打造强大的网络安全队伍。必须投资发展多元化、高技能的网络劳动力,以应对当前和未来的挑战。具体建议包括:为小型和农村组织制定获取网络安全专业知识的支持机制;创建灵活的志愿者系统,允许网络安全专业人员在危机期间或特定项目中贡献自己的技能;实施允许更灵活就业安排的政策,例如兼职政府服务或私营部门专家的短期外派;制定国家K-12网络安全课程,以培养未来网络专业人员和具有网络素养的公民;扩大现有网络安全培训计划,以涵盖更广泛的网络安全专业和教育水平;发展和扩大离职后安置计划,帮助奖学金获得者过渡到政府和关键基础设施部门的关键网络安全角色。

七是保障未来,保护关键新兴技术。随着人工智能、量子计算和5G等技术重塑数字格局,必须确保从头开始将网络安全融入上述系统中。具体建议包括:制定并统一关键新兴技术及禁止实体的国家清单;加强关键技术供应链安全;制定量子安全密码过渡计划;提升美国在关键技术领域的领导地位。

八是夯实网络弹性的基础,确保资源、经济和连续性。有效的网络安全需要持续的投资和长期的投入,必须确保拥有足够的资源,并与更广泛的经济和国家安全目标保持一致。具体建议包括:大幅增加行业风险管理机构(SRMA)的预算和资源;增加美国国家标准与技术研究所(NIST)的资助;向美国网络安全和基础设施安全局(CISA)提供资源并向技术现代化基金提供资金,以保护联邦民用网络和关键基础设施;进行强有力的经济连续性规划。

报告提出,新政府成立后的前100天内应立即采取五项行动:一是对网络法规进行全面审查,授权跨部门工作组消除冲突并澄清要求,并使法规适应特定行业的需求;二是启动对美国国家网络安全战略的全面审查,重点增强威慑和成本施加能力;三是发起一项国家计划来解决网络安全劳动力短缺的问题,包括立即采取措施扩大培训计划和开辟进入该领域的新途径;四是召开行业领袖峰会,加强公私合作伙伴关系,制定加强关键基础设施安全的具体计划;五是开始制定国家经济连续性计划,以确保美国能够在重大网络攻击发生时维持基本经济功能。

奇安网情局编译有关情况,供读者参考。

确保美国的数字未来:

下一届美国政府的两党网络安全路线图

一个领先网络安全专家特别工作组的建议

01

执行摘要

美国正处于网络安全的关键时刻。随着我们身处日益复杂和互联的数字环境,我们面临的挑战不仅仅是技术上的,更是生存上的,威胁着我们国家安全、经济繁荣和民主生活方式的根基。本报告以网络空间日光室委员会的开创性工作为基础,同时解决了当前的差距和新出现的威胁,为新政府提供了确保美国数字未来的全面路线图。

我们国家面临的网络威胁的范围和严重性怎么强调都不为过。事实上,这些威胁对我们的民主生活方式构成了生存威胁。从国家支持的攻击和网络间谍活动到针对我们关键基础设施的勒索软件的无情激增,网络领域已成为我们的对手试图破坏我们的优势并利用我们的弱点的战场。代价是惊人的——预计每年数千亿美元的经济损失,更不用说对我们国家安全的不可估量的损害和公众对我们机构的信任的削弱。

然而,在这些挑战中也蕴藏着前所未有的机遇。新政府有机会采取果断行动,实施全民行动,利用政府、行业和个人的集体力量来保障我们的数字未来。这不仅仅是为了抵御威胁;这是为了让美国在日益增长的全球数字经济中保持领先地位,促进创新,维护我们作为一个国家的价值观,认识到网络安全现在影响到美国生活的方方面面——从我们的经济和国家安全到我们的日常人际交往和民主进程。

网络安全与美国在全球舞台上的经济竞争力密不可分。这不仅关乎保护我们的资产,还关乎维护美国的技术优势和经济领导地位。强大的网络安全措施对于保护知识产权、维持业务连续性和促进创新至关重要。在日益数字化的全球经济中,我们的网络安全能力直接影响我们在关键行业和新兴技术领域的竞争和领先能力。因此,本报告中的建议不仅应从国家安全的角度来看待,还应作为增强美国经济竞争力的全面战略的重要组成部分。

本报告旨在为美国下一届政府提供一系列重要的政策建议,以便他们能够立即继续改善美国网络安全,因为美国关键基础设施和普通美国人的生活面临着越来越多的网络威胁。工作组试图评估哪些措施有效,哪些措施无效,以及网络政策前景如何。如果被采纳,本报告中概述的政策建议将明显改善美国关键基础设施的安全性和弹性,进而改善美国经济和美国人的生活方式。美国有机会巩固和扩大其作为网络安全政策、能力和标准制定方面的全球领导者的地位,本报告的目的是为新政府提供完成这项工作所需的工具。

本报告概述了需要立即关注和持续努力的八个关键主题:

1、统一网络安全监管

当前的网络安全监管环境杂乱无章,有时甚至相互冲突,这些规定往往阻碍而不是帮助我们开展安全工作。我们必须迅速采取行动,建立一个连贯、精简的监管框架,在不扼杀创新的情况下增强安全性。

主要建议包括:

  • 对网络安全相关的法律法规进行全面审查,以找出差距和不一致之处。

  • 建立跨机构工作组以简化和协调网络安全法规。

  • 制定一套适用于特定行业需求的通用网络安全标准。

这项任务的紧迫性怎么强调都不为过。我们支离破碎的监管方式不仅效率低下,而且非常危险,会造成我们的对手急于利用的漏洞。

2、加强政府协调

有效的网络安全需要各级政府和私营部门的无缝协调。我们必须打破各自为政的局面,加强信息共享,并建立快速、协调应对网络威胁的机制。

主要建议包括:

  • 加强美国国家网络总监办公室的职责和权限

  • 加强美国网络安全和基础设施案局(CISA)的能力和职责

  • 增强州、地方、部落和领地(SLTT)网络安全能力和协调

3、成本施加和威慑

我们必须超越单纯的防御态势,采取切实措施,让那些在网络空间伤害我们的人付出代价。这需要制定一项综合战略,充分利用国家的所有力量——外交、经济,必要时还包括军事。

主要建议包括:

  • 制定全面的进攻策略,主动破坏并削弱对手的能力。

  • 建立针对网络犯罪国家支持者的指定程序。

  • 增强追究攻击责任和追究不法行为者责任的能力。

4、弹性

在这个网络攻击只是时间问题而非是否会发生问题的时代,我们必须在数字基础设施的各个方面建立弹性。这意味着不仅要加强我们的防御能力,还要提高我们抵御、恢复和适应网络事件的能力。

主要建议包括:

  • 开发一套全面的关键资产识别和优先排序系统。

  • 为IT和OT系统制定特定行业的安全标准。

  • 创建国家级演习计划,以测试和提高我们的网络弹性。

5、塑造国际环境

网络安全是全球性挑战,需要全球性解决方案。美国必须发挥带头作用,制定网络空间的国际规范、标准和行为规则。

主要建议包括:

  • 加强美国务院的网络外交力度。

  • 在全球范围内推动开放、可互操作的互联网。

  • 加强网络安全标准国际合作。

6、劳动力发展

缺乏熟练的网络安全专业人员是一个关键问题。我们必须投资发展多元化、高技能的网络劳动力,以应对当前和未来的挑战。

主要建议包括:

  • 制定国家K-12网络安全课程。

  • 扩大CyberCorps和服务奖学金等计划。

  • 创建灵活的志愿者制度和就业安排,以利用私营部门的专业知识。

7、关键和新兴技术

随着人工智能、量子计算和5G等技术重塑我们的数字格局,我们必须确保从头开始将网络安全融入这些系统中。

主要建议包括:

  • 建立国家统一的关键技术和新兴技术清单。

  • 加强关键技术的供应链安全。

  • 制定量子安全密码过渡计划。

8、资源、经济和连续性

有效的网络安全需要持续的投资和长期的投入。我们必须确保我们的努力有足够的资源,并与更广泛的经济和国家安全目标保持一致。

主要建议包括:

  • 大幅增加行业风险管理机构(SRMA)的预算和资源。

  • 增加美国国家标准与技术研究所(NIST)资金以支持其在制定网络安全标准方面的关键工作。

  • 进行强有力的经济连续性规划。

行动的必要性

本报告中提出的建议并非仅仅是建议,而是确保美国在数字时代未来的必要条件。我们面临的威胁是真实、紧迫的,而且日益复杂。例如,勒索软件攻击已经超越了单纯的犯罪行为,成为国家权力的工具,威胁着我们的关键基础设施和社会结构。最近对我们的医疗保健系统、电网和金融机构的攻击,清楚地提醒我们的脆弱性以及不作为的灾难性后果。

然而,我们面临的挑战并非不可克服。凭借果断的领导力、战略投资和全民行动,我们不仅可以抵御这些威胁,还可以让美国成为网络安全和数字创新领域的全球领导者。这不仅关乎安全,还关乎在数字时代保持我们的技术优势、经济竞争力和国家价值观。

前进的道路

实施本报告的建议需要政治意愿、持续努力和大量资源。但不作为的代价远远超过所需的投资。我们必须:

1、将网络安全作为国家安全和经济政策的一项基本支柱。这意味着将网络安全讨论提升到美国政府最高层,并确保将网络考虑纳入政策制定的各个方面。

2、在社会各界培育网络安全文化。从董事会会议室到教室,我们必须灌输对网络风险和最佳做法的理解。

3、投资创新和研究,以应对不断演变的威胁。这包括支持开发下一代网络安全技术和实践。

4、加强公私伙伴关系,充分利用美国的全部能力。单靠美国政府无法解决这一挑战;我们需要私营部门的创新、敏捷性和资源。

5、开展国际合作,建立志同道合的国家联盟,致力于打造自由、开放、安全的网络空间。网络威胁不分国界,我们的应对措施必须是全球性的。

在实施这些措施时,我们必须在加强网络安全与保护个人隐私和公民自由间取得平衡,确保我们保护网络空间安全的努力不会破坏我们所试图捍卫的价值观。

当务之急

虽然本报告中的所有建议都很重要,但有些建议要求在新政府成立后的头100天内立即采取行动:

1、成立高级别工作组,启动监管协调进程。这应该是全政府的努力,由美国国家网络总监领导,并有明确的期限和责任。

2、启动对美国国家网络安全战略的全面审查,重点增强威慑和成本施加能力。

3、启动一项国家计划来解决网络安全劳动力短缺的问题,包括立即采取措施扩大培训计划和开辟进入该领域的新途径。

4、召开行业领袖峰会,加强公私合作伙伴关系,制定加强关键基础设施安全的具体计划。

5、开始制定国家经济连续性计划,以确保我们能够在重大网络攻击发生时维持基本经济功能。

这些立即采取的行动至关重要,因为只有几个月的时间来影响2027财年的预算周期,因此必须迅速解决重大系统性问题。

国会的作用

本报告中的许多建议都需要立法行动。我们呼吁美国国会:

1、提供必要的权力和资源,以全面实施这些建议。

2、严格监督,确保有效实施和问责。

3、以两党合作的方式解决这些关键的国家安全问题。

4、考虑重建技术评估办公室或类似机构,为国会提供有效制定网络问题立法所需的技术专业知识。

行动呼吁

我们面临的网络威胁并非抽象或遥远,而是清晰可见、真实存在且日益严重的威胁。每过一天,如果不采取果断行动,我们的脆弱性就会增加,我们的对手也会更加胆大妄为。新政府拥有独一无二的机会,同时也肩负着庄严的责任,为我们国家的网络安全之旅开辟一条新道路。

本报告提供了路线图,但要将这些建议变为现实,需要领导力、投入和共同的目标感。风险再高不过了。我们的经济繁荣、国家安全和民主价值观都处于危险之中。

在这一关键时刻,我们必须认识到网络安全不仅仅是一项技术挑战,更是关系到国家弹性和全球领导力的根本问题。现在采取大胆行动,我们不仅可以保护我们的网络和数据,还可以保护我们国家的未来。

采取折中措施和渐进措施的时代已经过去。我们需要在网络安全处理方式上进行范式转变——承认网络安全在我们国家生活的各个方面发挥着核心作用。本报告呼吁我们动员国家资源和意志,其规模自太空竞赛以来从未有过。

但与太空竞赛不同,这不是一场我们可以一劳永逸取胜的竞争。网络安全需要不断警惕、适应和创新。它需要长期的投入,以及对数字时代安全观念的根本性重新定位。

本报告中的建议雄心勃勃,但可以实现。更重要的是,这些建议是必要的。我们不能等到下一次重大网络攻击来促使我们采取行动。现在是采取行动的时候了。

随着我们不断前进,我们还必须认识到网络安全不仅仅是政府的责任。它需要全社会共同努力,每个个人、组织和部门都应发挥自己的作用。从实施基本的网络卫生到投资尖端防御措施,我们所有人都应为确保我们的数字未来安全而发挥作用。

教育和意识至关重要。我们必须培育一种网络安全意识文化,在这种文化中,了解数字风险和责任与任何其他生活技能一样重要。这始于我们的学校,延伸到我们的工作场所,必须渗透到我们日益数字化的生活的方方面面。

此外,在加强防御的同时,我们必须以一种维护开放、创新和自由的方式进行,正是这些使得互联网成为推动进步的强大力量。网络安全应该增强而不是限制数字技术的变革潜力。

国际领导力至关重要。美国不仅要保护自己的数字资产,还要努力塑造一个反映我们价值观和利益的全球网络空间。这意味着要以身作则,促进国际合作,坚决打击那些将网络空间用于恶意目的的人。

前路并不平坦。我们将面临阻力、挫折和我们尚未预料到的新挑战。但是不作为的代价远远大于现在果断行动的代价。我们每拖延一天,我们的对手就会变得更加强大,我们的弱点就会加深,我们面临的任务就会变得更加艰巨。

但如果我们现在就行动起来——目标明确、齐心协力、坚定不移——我们就能扭转局势。我们可以建立一个安全、繁荣、符合我们国家最深层价值观的数字化未来。这是我们这个时代的挑战,这份报告为我们指明了应对这一挑战的路线。

总之,这份报告不仅仅是一套建议,更是行动的号召。它要求我们更广阔地思考、更快地行动、更深入地致力于保障我们的数字未来。新政府有历史性的机会来领导这项工作,但要取得成功,需要社会各界的参与和投入。

我们面临的选择很明确:我们要么塑造我们的数字未来,要么被它塑造。通过采纳本报告中的建议,通过调动我们的国家意志和资源,我们可以确保美国继续成为数字时代的领导者——安全、繁荣,并忠于我们的价值观。

现在是采取行动的时候了。我们的数字未来——以及我们国家的未来——都处于危险之中。让我们以勇气、远见和决心迎接这一时刻,正是这些成就了美国最伟大的成就。我们可以而且必须共同确保美国的数字未来。

02

具体建议(摘译)

(一)统一监管格局:国家安全的一致性

建议1.1:对网络安全相关法规和相关行业特定法规进行全面审查,以找出阻碍有效网络安全工作的差距、不一致和过时的定义,并向国会提出解决这些问题的建议。

建议1.2:在保护公民自由和保持平衡方法的同时,使《美国法典》第10、18、32、33、40、44和50编中的权限保持同步,以便军事、情报和执法机构在网络空间行动中进行更有效的协调。

建议1.3:提出立法以解决已发现的差距,特别是在现有法律难以跟上快速发展的技术和威胁的领域,同时考虑适当的安全港条款。

建议1.4:建立跨机构工作组,以简化和协调跨机构/部门的网络安全法规,减少冗余和相互冲突的要求。

建议1.5:制定一套可适应特定部门需求的通用网络安全标准,同时保持关键基础设施的安全基线水平。

建议1.6:建立定期审查和更新网络安全和特定部门安全法规的机制,以确保它们在面对不断变化的威胁时保持相关性和有效性。

(二)网络保护协同:加强国家多利益相关方合作

建议2.1:合理化、授权和加强行业风险管理机构(SRMA)的作用

建议2.2:建立国家网络安全研发协调机构

建议2.3:加强美国国家网络总监办公室的作用和权力

建议2.4:加强美国网络安全和基础设施安全局(CISA)的能力和职责

建议2.5:实施公私伙伴关系

建议2.6:增强州、地方、部落和领地(SLTT)网络安全能力和协调

建议2.7:加强情报共享和行动协调

建议2.8:利用关键机构的独特能力

(三)网络空间的威慑和成本施加:战略要务

建议3.1:加强网络行动战略框架

维护并加速美国第13号国家安全总统备忘录(NSPM-13)建立的用于实施进攻性网络行动的法律框架,同时制定批准时间敏感的网络行动的简化流程。该建议完全支持NSPM-13的意图,同时寻求建立和加强其应对不断变化的网络威胁的框架。此建议旨在澄清角色、权限和流程,而不深入研究NSPM-13的机密细节。通过在保持适当监督的同时实现更有效和及时的网络响应,这种方法将增强美国政府应对新威胁的能力。

此外,制定并实施全面的进攻战略,在对手的网络能力被用来损害美国利益之前主动破坏和削弱它们。该战略应强调整体政府的方法,确保所有相关机构和部门协调一致,共同努力向网络空间的对手施加成本。该战略应概述施加成本和塑造对手行为的长期方法,同时还为升级管理和国际合作制定明确的指导方针。

建议3.2:通过活动计划和行动手册增强行动能力

在CISA的领导下,根据《2021财年美国国防授权法案》第1715条,制定了详细、适应性强的行动手册,用于响应各种类型的网络事件和对手行动,减少响应时间并确保政府机构间的一致性。这项工作应通过美国国家安全委员会主导的正常机构间流程进行协调,以确保全面的投入和协调。这些手册应该辅之以制定与特定对手持续接触的活动计划,概述施加成本和塑造行为的短期和长期战略。

为这些计划和手册建立定期审查和更新流程,以确保它们在面对不断变化的网络威胁时保持相关性和有效性。定期开展演习以测试和完善这些计划,酌情让政府机构和私营部门合作伙伴参与。这种协作方法将有助于建立一个更具弹性和响应能力的网络生态系统。

制定指标来评估网络威慑活动的有效性并为战略决策提供信息。该框架应包括评估和衡量非传统成本强加策略有效性的方法,扩大我们对成功网络威慑的理解,超越逮捕和起诉等传统指标。这些指标应纳入行动手册和综合行动计划,为评估威慑努力的成功和指导未来战略的制定提供框架。

投资开发可以精确瞄准对手系统,同时最大限度地减少附带损害的先进网络能力。这些能力应与综合行动计划和行动手册中概述的战略目标保持一致,确保美国在网络领域保持技术优势。

制定与盟友和合作伙伴共享网络事件相关情报和技术分析的归因标准和机制是该建议的另一个重要方面。通过建立网络攻击归因和共享相关信息的通用框架和协议,美国可以增强集体防御能力并提高国际社会追究恶意行为者责任的能力。

建议3.3:建立网络犯罪国家赞助者指定程序

创建一个正式程序,将国家指定为网络攻击的支持国,类似于现有的恐怖主义支持国家名单。该指定程序应明确解决国家为网络犯罪团体提供安全庇护所的问题,并认识到允许网络犯罪分子在境内自由活动。一个国家的边界就等于国家对网络攻击的支持。这一过程应解决直接网络攻击和为网络犯罪团体提供安全避难所的问题,认识到国家行为者和网络犯罪组织间经常存在的共生关系。这种方法与最近的立法努力相一致,例如美国参议员马克·沃纳提议将勒索软件威胁与恐怖主义同等对待,凸显人们越来越认识到网络威胁是国家安全问题。

俄罗斯和朝鲜是国家网络庇护所模式的典范。尽管遭到公众谴责,这些国家还是悄悄支持黑客组织,网络犯罪分子与国家情报机构分享窃取的数据,以换取美国法律的庇护和获得洗钱服务。朝鲜甚至将网络犯罪制度化,以规避国际制裁并为其核计划提供资金。

为此类指定制定明确的标准,包括证据标准和符合资格的网络活动类型。制定一系列外交、经济和针对网络的制裁措施,适用于指定的网络攻击支持者,确保参与或支持恶意网络活动的国家承受真正的后果。

这种方法应建立在打击全球威胁的既定先例的基础上,例如美国务院关于全球恐怖主义的年度报告。关于国家支持的网络犯罪的类似年度报告在识别主要网络犯罪集团并记录其最严重的攻击方面同样有效。

实施定期审查流程来评估指定国家,并根据行为变化提供从名单中删除的明确路径。这种方法可以激励国家行为发生积极的变化,同时对持续存在的不良行为者保持压力。

尽管有些人可能认为此类指定可能会加剧网络超级大国之间的紧张关系,或者证明明确的国家支持设置了不必要的高法律门槛,但与网络安全港对基于规则的国际秩序构成的生存威胁相比,这些风险显得微不足道。美国现在有理由也有能力有效地启动国际网络指定制度,特别是在持续不断的网络攻击对我们的安全构成重大威胁的情况下。

(四)网络安全弹性:降低风险的主动方法

建议4.1:建立一套全面的关键资产识别和优先排序系统

建议4.2:制定全面的云安全和弹性标准和认证流程

建议4.3:为IT和OT系统制定行业特定的安全标准

建议4.4:增强社会抵御恶意网络影响行动的能力

建议4.5:研究联邦政府作为“最后保险人”的模式

(五)网络治国:应对国际网络挑战

建议5.1:加强美国务院的网络外交努力

建议5.2:在全球范围内推动开放、可互操作的互联网

建议5.3:加强网络安全标准的国际合作

(六)建设网络能力:打造强大的网络安全队伍的策略

建议6.1:为小型和农村组织制定获取网络安全专业知识的支持机制,例如创建虚拟首席信息安全官(CISO)组织

建议6.2:创建灵活的志愿者系统,允许网络安全专业人员在危机期间或特定项目中贡献自己的技能

建议6.3:实施允许更灵活就业安排的政策,例如兼职政府服务或私营部门专家的短期外派

建议6.4:制定国家K-12网络安全课程,以培养未来网络专业人员和具有网络素养的公民

建6.5:扩大CyberCorps、服务奖学金和国家网络安全学术卓越中心等现有计划,以涵盖更广泛的网络安全专业和教育水平

建议6.6:发展和扩大离职后安置计划,帮助奖学金获得者过渡到政府和关键基础设施部门的关键网络安全角色

(七)保障未来:保护关键新兴技术

建议7.1:制定并统一关键新兴技术及禁止实体的国家清单

建议7.2:加强关键技术供应链安全

建议7.3:制定量子安全密码过渡计划

建议7.4:提升美国在关键技术领域的领导地位

(八)网络弹性的基础:资源、经济和连续性

建议8.1:大幅增加行业风险管理机构(SRMA)的预算和资源

建议8.2:增加美国国家标准与技术研究所(NIST)的资助

建议8.3:向美国网络安全和基础设施安全局(CISA)提供资源并向技术现代化基金提供资金,以保护联邦民用网络和关键基础设施

建议8.4:实施强有力的经济规划连续性

03

结论

在我们即将迎来网络安全新时代之际,本报告中提出的建议代表了应对未来复杂挑战的全面而前瞻性的方法。数字环境继续以前所未有的速度发展,既带来了机遇,也带来了威胁,需要我们立即关注并采取战略应对措施。这份工作组报告借鉴了政府、行业和学术界领导人的集体专业知识,为增强美国网络弹性和在日益互联的世界中保持竞争优势提供了路线图。

这些建议涵盖了一系列重要领域,从监管协调和加强多利益相关方合作,到增强我们的威慑能力和建立一支强大的网络安全队伍。这些领域中的每一个都是我们整体网络安全态势不可或缺的一部分,在一个领域取得进展必然会加强我们在其他领域的地位。然而,必须认识到,这些建议并不是孤立的解决方案,而是整体战略中相互关联的组成部分。

本报告贯穿的关键主题之一是各部门之间需要加强协调与合作。我们在网络空间面临的挑战超越了政府机构、私营企业和国际合作伙伴之间的传统界限。我们关于加强多方利益相关者合作的建议,特别是在实施公私伙伴关系方面,反映了这一现实。通过加强美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)等政府实体与私营部门合作伙伴间的联系,我们可以创建一个更强大、反应更灵敏的网络生态系统,能够实时应对威胁。

本报告强调的另一个关键方面是网络安全中主动措施的重要性。我们关于增强网络空间威慑能力和让对手付出代价的建议反映了从纯粹的防御态势向更积极的进攻战略的转变。这种方法在某种程度上被概括为“前沿防御”战略,它认识到在数字领域,最好的防御往往需要强大的进攻。然而,至关重要的是,这些努力必须在明确的法律和道德框架内经过仔细调整和执行,以避免意外升级。

报告还强调了建立和维持一支技术熟练的网络安全队伍的重要性。扩大教育项目、制定灵活的就业安排以及为小型组织制定支持机制的建议解决了当前网络安全专业人员短缺的问题。这些举措不仅是为了填补当前的职位空缺,还为了建立一条可持续的人才管道,以适应未来的挑战并推动该领域的创新。

在应对新兴技术时,我们的建议强调需要采取平衡的方法,在促进创新的同时维护国家安全利益。建立统一的关键技术清单和加强供应链安全的提议反映了这样一种认识,即技术领先地位与21世纪的国家安全有着内在联系。通过在量子安全密码学等领域采取主动立场,我们可以确保我们的网络安全措施在快速发展的技术面前仍然有效。

资源分配、经济弹性和持续努力等交叉主题是我们提出其他建议的基础。呼吁增加对行业风险管理机构(SRMA)和美国国家标准与技术研究所(NIST)等关键机构的资金投入,反映了一种认识,即有效的网络安全需要持续的投资。同样,强调制定强有力的经济连续性计划,认识到网络弹性不仅要保护单个系统,还要确保在面临重大破坏时整个经济基础设施的稳定。

必须认识到,网络安全不是一个静态目标,而是一个持续的过程,需要不断适应和创新。威胁形势在不断演变,我们的战略也必须随之演变。这将需要政策制定者、机构领导人和私营部门合作伙伴的持续投入,以及在出现新挑战时重新评估和调整我们的方法的意愿。

此外,虽然本报告提供了一套全面的建议,但它应该被视为起点,而不是终点。网络威胁的性质瞬息万变,这意味着我们必须保持警惕,并接受新的想法和方法。定期评估和更新我们的战略对于确保其持续的相关性和有效性至关重要。

本报告提出的建议反映了对我们面临的复杂挑战的细致理解,并提供了解决这些挑战的路线图。然而,衡量这些建议是否成功的真正标准在于其实施。要将这些建议付诸实践,需要领导力、资源和社会各界的共同投入。

在我们前进的过程中,我们必须记住,网络安全不仅仅是一项技术挑战,而是一项战略要务,它涉及美国国家安全和经济繁荣的各个方面。通过采取积极主动、协作和适应性强的网络安全方法,我们可以构建一个更具弹性的数字基础设施,不仅可以抵御当前的威胁,还可以准备好应对未来的挑战。通过这样做,我们可以确保美国继续走在数字革命的前沿,在未来几年里安全地利用技术的力量来推动创新、经济增长和国家安全。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。