美国国家网络安全战略·2023
知远战略与防务研究所 止战/编译
自:美国白宫
【知远导读】本文编译自美国政府于2023年3月2日正式发布的《美国国家网络安全战略2023》。文件提出了改善全国数字安全的整体方法,旨在帮助美国准备和应对新出现的网络威胁。美国白宫表示,网络空间是一种以反映美国价值观的方式实现自身目标的工具,必须从根本上改变在网络空间分配角色、责任和资源的方式,包括“网络空间防护责任的再平衡”以及“长期投资激励措施的再调整”;世界需要一种更有意识、更协调、资源更充足的网络防御方法,美国将与盟友和合作伙伴共同打造“可防御的”“有韧性的”“符合价值观的”数字生态系统。新战略将围绕五大支柱展开:一是捍卫关键基础设施,二是打击和摧毁威胁行为体,三是引导市场力量推动安全和韧性,四是投资打造韧性未来,五是发展网络空间国际伙伴关系。
报告全文约3.1万,篇幅所限,推送部分为节选。
互联网已改变了世界。在一代人的时间里,它彻底改变了世界人民创新、交流和共享信息的方式,促进了人类繁荣、平等和互联互通的空前进步。以互联网为骨干,美国已建立起一套发达的数字生态系统,将各种系统和技术与美国经济、社会和人民结合了起来。
数字生态系统体现其构建者和用户的价值观。技术促进了民主、言论自由、创新和平等,但也被滥用于散布虚假信息,破坏关键基础设施,催生网络骚扰、剥削和虐待,助长犯罪和暴力极端主义,以及威胁和平与稳定。人与技术之间的联系越发紧密,这既激发了人性中最好的一面,也激发了最坏的一面。
未来十年将是决定性的十年。在这十年,美国将以未来价值为推动,发展出一套更具雄心的数字生态系统。美国正在建设以分布式可再生电力为动力、以智能系统实现平衡的智慧电网,望能以此开创拥有充沛能源且富有韧性的光明未来。美国已提出了一个日趋成熟的物联网(Internetof Things, IoT)构想,将涵盖从消费级商品到数字化工业控制装置、再到卫星星座的一切,从而一方面提高效率和安全,另一方面颠覆人们关于美国环境和经济的旧有观念。美国正在利用海量的数据和强大的计算能力为实时全球协作奠定基础,而这将促成各种科学发现以及其它超乎想象的公共产品。
至于能否实现这一繁荣且联通未来的愿景,则将取决于各种基础技术与系统的网络安全和韧性水平。美国已吸取了宝贵的教训,并在数字生态系统的协同防御方面取得了重大进展。美国的网络防御者们每天都在挫败遍布全球的国家背景网络攻击和各种犯罪阴谋。但驱动美国数字生态系统的底层架构却在阻碍他们的工作:该生态体系的一些组件仍易被恶意行为体破坏和利用,甚至取代。
美国必须从根本上改变数字生态系统的底层驱动,进行防御优势转变,从而始终挫败数字生态系统面临的种种威胁。美国的目标是建立一种可防御且富有韧性的数字生态系统,这种新体系能让攻击方付出比防御方更高的代价,能充分保护敏感信息和私人信息,且不会因某些事件和错误就引发危及整个体系的灾难性后果。此外正如《未来互联网宣言》(Future of the Internet, DFI)和“自由在线联盟”所倡导的那样,在建设这一生态体系的同时,美国能够也必须抓住机会,将其最珍视的价值观融入其中。
本战略将力促美国与其盟友和合作伙伴共同建设这一新的数字生态系统,使其更容易形成内在防御能力和网络韧性,并契合美国的价值观。美国将在十年后取得这些成果,从此更加自信地大步走向数字化未来。
战略环境
在总统拜登提出数字化未来的美好愿景后,美国已在这方面取得了重大进展,同时一些新兴趋势也为相关发展带来了新的机遇和挑战。例如,各类恶意行为体阻止着美国向包容、公平、促进繁荣且符合美国民主价值观的数字生态系统迈进。
新兴趋势
世界正在进入一个对数字化愈发依赖的新阶段,各种新兴技术以及更加复杂且彼此依存的种种系统将为未来十年带来巨大变化。一方面将为人类的繁荣昌盛提供新的机遇,另一方面也将成倍增加不安全系统所造成的系统性风险。
如今各种软件和系统正变得越来越复杂,它们为公司和消费者创造价值的同时,也增加了美国社会的集体不安全感。美国人常常以牺牲安全和韧性为代价,将新的功能和技术叠加到已经相当复杂而脆弱的系统上。而随着人工智能系统(这些系统的作用方式甚至可能出乎开发者的预料)的广泛应用,加剧了美国众多最重要的技术系统的复杂性和风险。
互联网继续通过各种共享平台将个人、企业、社区和国家连接起来,从而使各种商业解决方案得以扩展,国际交流规模得以扩大。但这种加速的全球互联同样也带来了风险,原本针对某一组织、行业或国家的攻击可能会迅速蔓延到其它行业和地区。就如俄罗斯于2017年利用NotPetya病毒对乌克兰发动网络攻击,结果波及欧洲、亚洲和美洲,造成了数十亿美元的损失。随着相互依存程度的加深,这种攻击所造成的损失只会越来越大。
数字技术正越来越深地触及美国人生活中最敏感的方面,这些技术一方面提供了便利,另一方面也经常会带来难以预料的新风险。新冠肺炎疫情促使数字世界进一步融入美国人的生活,音视频流、可穿戴设备和生物识别技术俨然成为了美国人生活的一部分。此时,个人数据的收集数量和私密程度呈指数级增长,盗窃这些数据的行为也在迅速增多,各种恶意行为体也有了监视、操纵和勒索个人的新途径。
下一代互联理念正在消解数字世界与物理世界之间的界限,并使美国最基础的一些系统面临着被破坏的风险。美国的工厂、电网、水处理设施及其它重要的基础设施正在逐步淘汰老旧的模拟控制系统,取而代之的是在线数字运营技术(operationaltechnology, OT)。先进的无线技术、物联网和天基资产(包括民用和军用的定位、导航和授时,环境与气象监测,以及从银行业务到远程医疗的各种日常互联网活动)将加快这种“联网基础系统”的趋势,而这将加剧网络攻击对美国的日常生活造成的破坏和影响。
恶意行为体
恶意网络活动早已从妨害破坏,演变成了网络间谍活动、知识产权盗窃、针对关键基础设施的破坏性攻击、勒索软件攻击乃至削弱美国民主公信力基础的网络影响力活动。曾几何时,只有少数技术高超的国家才拥有攻击性的黑客工具和能力(包括外国出售的商业间谍软件),如今却随手可得。这些工具和能力,使此前一些能力缺乏的国家已能通过网络空间损害美国的利益,有组织犯罪集团的涉网活动也日趋猖獗。
某大国1、俄罗斯、伊朗、朝鲜和及其它试图改变现有世界秩序的国家正在积极利用先进的网络能力来达成各自目的,这不但有悖于美国的利益,也违反了被广泛接受的国际准则。
就目前而言,某大国对美国政府和私营机构的网络构成了最广泛、最活跃和最持久的威胁。该国是唯一既有意愿重塑国际秩序,又日益拥有经济、外交、军事和技术实力来实现这一目标的国家。过去十年来,该国的网络活动已发展为美国最先进的战略竞争对手,其现有的能力足以威胁美国的利益,并主导对全球发展至关重要的种种新兴技术。
二十多年来,俄罗斯政府一直在利用其网络能力破坏邻国的稳定,并干涉全球民主国家的国内政治。作为长期存在的网络威胁,俄罗斯仍在不断完善其网络间谍、网络攻击、网络影响力和虚假信息方面的能力,试图以此胁迫主权国家,窝藏跨国犯罪组织,削弱美国的联盟和伙伴关系,并颠覆以规则为基础的国际体系。正如其在2017年发动的NotPetya攻击一样,为配合对乌“特别军事行动”,俄罗斯在2022年也发动了多次网络攻击。这些攻击不但影响到了乌克兰,也不负责任地外溢到其它欧洲国家,对这些国家的民用关键基础设施造成了负面影响。
至于伊朗政府和朝鲜政府,它们在网络空间内开展敌意行动的复杂程度和意愿也有所增长。伊朗在利用网络能力威胁中东和其它地区的美国盟友,朝鲜则通过网络犯罪活动获取收益。如果伊朗和朝鲜继续发展这些网络能力,就可能会对美国及其盟友和合作伙伴的利益产生重大影响。
犯罪集团的网络活动如今已威胁到美国及其盟友和合作伙伴的国家安全、公共安全和经济繁荣。近年来,美国乃至世界各国的能源管道公司、食品公司、学校和医院等机构纷纷遭到勒索软件攻击,这些事件已扰乱了各国的关键服务和商业。勒索软件攻击造成的经济损失持续攀升,如今已达到每年数十亿美元。这些犯罪集团通常躲藏在与美国执法部门未建立合作关系的国家,而这些国家也经常鼓励、窝藏或容忍此类活动。勒索软件及其它恶意网络活动还将继续威胁整个美国社会,而其中不少受害者都没有必要的资源来保护自己、恢复数据或寻求帮助。
美国做法:通向韧性网络空间之路
在美国的数字生态系统各利益攸关方之间推动深入而持久的合作,是该体系更具内在防御能力和韧性,以及契合美国价值观的基础。本战略旨在围绕以下五大支柱来建立和加强合作:(1)捍卫关键基础设施;(2)打击和摧毁威胁行为体;(3)引导市场力量推动安全和韧性;(4)投资打造韧性未来;(5)建立国际伙伴关系以实现共同目标。其中每一项工作都需要在各自的利益攸关群体(包括公共部门、私营行业、民间社团以及国际盟友和合作伙伴等)内部开展空前的合作。在下文中,本战略将围绕五大支柱分别阐述对应群体关于共同目标和优先事项的愿景,重点阐述这些群体在实现各自愿景方面面临的挑战,并明确组织相关工作的具体战略目标。
为了实现这些支柱提出的愿景,美国将对美国在网络空间内分配角色、责任和资源的方式进行两个根本性的转变。在实现这些转变的过程中,美国不仅希望提高美国的防御能力,而且希望改变目前与美国利益相违背的底层驱动。
转变一:网络空间捍卫责任的再平衡
网络空间内最有能力、最有地位的参与者必须更好地管理数字生态系统。如今,终端用户承担着减轻网络风险的沉重负担。个人、小型企业、州和地方政府以及基础设施运营商的资源有限且优先事项相互竞争,但这些参与者的选择可能对美国的国家网络安全产生重大影响。一个人一时的失误判断、过时密码的使用或可疑链接的错误点击不应造成国家的安全后果。美国的集体网络韧性不能依靠最小的组织和公民个人的持续警惕。
相反,无论是在公共部门还是在私营部门,美国都必须要求更多最有能力、最具权威的执行机构来确保美国的数字生态系统的安全和韧性。在一个自由和相互关联的社会中,保护数据和确保关键系统的可靠性必须是持有数据和运转社会职能的那些系统所有者和运营商的责任,同时也是建立和服务这些系统的技术提供方的责任。政府的作用是①保护自己的系统、②确保私营实体,特别是保护关键基础设施系统、③履行政府的核心职能,如从事外交、收集情报、施加经济成本、执法和采取行动来应对网络威胁。业界和政府必须共同推动有效、公平的合作,以纠正市场失灵,最大限度地减少网络事件对社会最脆弱群体的伤害,并捍卫美国共享的数字生态系统。
转变二:长期投资激励措施的再调整
网络空间长期更具韧性和防御力,美国的经济和社会必须激励长期决策。平衡短期需求和长期愿景并非易事。美国必须保护现有的系统,同时投资和建设本质上更具防御力和韧性的未来数字生态系统。
本战略概述了联邦政府将如何利用现有的所有工具,以协作、公平和互利的方式重塑激励机制并实现方向一致。美国必须确保市场力量和公共项目对安全和韧性都同样激励,包括建立一支强大和多元的网络员工队伍,通过设计来支持安全和韧性,战略性地协调网络安全的研发投资,促进对数字生态系统的协作管理。为了实现这些目标,联邦政府将把重点放在协调平衡上,以最小的代价实现防御和系统韧性收益的最大化。
联邦政府正在进行代际投资,包括更新美国的基础设施,美国能源系统的数字化和脱碳,确保美国半导体的供应链,美国密码技术的现代化,振兴外交和国内优先事项。美国有机会重新平衡必要的激励措施,为建设数字生态系统的未来奠定更强大、更富有韧性的基础。
目录
前序
缩略语
一、引言
(一)战略环境
(二)美国做法:通向韧性网络空间之路
(三)立足现行政策
二、支柱一:捍卫关键基础设施
(一)战略目标1.1:制定支持国家安全和公共安全的网络安全要求
(二)战略目标1.2:扩大公私合作
(三)战略目标1.3:整合联邦网络安全中心
(四)战略目标1.4:更新联邦事件响应计划和进程
(五)战略目标1.5:现代化联邦网络防御
三、支柱二:打击和摧毁威胁行为体
(一)战略目标2.1:整合联邦政府的打击行动
(二)战略目标2.2:加强公私协作行动以打击对手
(三)战略目标2.3:提高情报共享与信息通报的速度和规模
(四)战略目标2.4:防止滥用美国境内的基础设施
(五)战略目标2.5:打击网络犯罪和战胜勒索软件
四、支柱三:引导市场力量推动安全和韧性
(一)战略目标3.1:要求管理方对数据保护负责
(二)战略目标3.2:推动安全物联网设备的发展
(三)战略目标3.3:不安全软件产品和服务的责任转移
(四)战略目标3.4:通过联邦补助和其它激励措施强化安全
(五)战略目标3.5:利用联邦采购机制加强问责制度
(六)战略目标3.6:探索以联邦网络保险为后盾的新机制
五、支柱四:投资打造韧性未来
(一)战略目标4.1:保护互联网的技术基础
(二)战略目标4.2:重振联邦层面的网络安全研发
(三)战略目标4.3:让美国为后量子时代做好准备
(四)战略目标4.4:保护美国未来的清洁能源
(五)战略目标4.5:支持发展数字身份生态体系
(六)战略目标4.6:发展国家网络劳动力的战略
六、支柱五:建立国际伙伴关系以实现共同目标
(一)战略目标5.1:建立联盟以打击美国数字生态系统面临的威胁
(二)战略目标5.2:加强国际合作伙伴的能力
(三)战略目标5.3:提升美国协助盟友和合作伙伴的能力
(四)战略目标5.4:建立联盟以推行关于负责任国家行为的全球规范
(五)战略目标5.5:保护信息、通信和运营技术类产品与服务的全球供应链
七、实施要点
(一)评估成效
(二)吸取经验教训
(三)推动投资
【1】译者注:该战略带有强烈的冷战思维和狭隘的、极端的民族主义观点,在国家级公开文献中,公然对某些国家进行子虚乌有的、带强烈情绪的指责、指控,实属罕见。这些都仅供批判性了解掌握,不代表译者及知远所观点。