从拜登政府《国家网络安全战略》看其发展特征及动向

内容目录：

1　战略发布背景分析

2　战略主要内容

2.1　战略愿景

2.2　战略目标

3　两届政府战略对比分析

3.1　延续特征

3.2　嬗变特征

4　拜登政府施政要点分析

4.1　以关键基础设施网络安全防护为核心

4.2　以软件供应链安全为优先事项

4.3　以“零信任安全架构”为新的驱动力

4.4　以“抗量子密码”为技术突破点

4.5　以打击勒索软件活动为新的着力点

5　结　语

拜登上台之初，对美国国家网络安全事务的管理机构进行了调整与改革，设立了国家网络总监办公室（Office of the National Cyber Director，ONCD），统领国家网络安全战略的制定和网络空间事务的发展。美国首任国家网络总监克里斯 • 英格利斯曾担任国家安全局副局长，特朗普政府时期，其任职于网络空间日光浴委员会，多年来均处于美国国家网络战略决策的核心圈层，深谙美国网络安全的主要问题 。

2023 年 3 月 2 日，距离美国《国家网络战略》出台时隔 5 年，ONCD 正式发布了拜登政府首份《国家网络安全战略》（以下简称“新版战略”）。新版战略是基于克里斯团队对美国网络安全形势的深刻认识，充分汲取了以往的经验教训后，审慎出台的具备实操性的战略文件，明确了美国网络安全能力发展亟须解决的关键问题和优先事项。这份长达 39 页的战略文件既是拜登政府《国家安全战略》在网络安全领域的映射和细化，又是拜登政府在网络安全领域的全新施政纲领，也是联邦政府及其所属机构开展网络安全能力建设的根本依据。

本文横向上深度剖析美国新版《国家网络安全战略》的同时，纵向上强化与特朗普政府《国家网络战略》的对比分析，以期进一步厘清美国在网络空间角色划分、责任分工和资源分配方式等方面的发展变化。

美国国家网络战略的出台，很大程度上取决于当时的网络空间威胁环境和战略博弈政治环境。新版战略的发布正值大国战略博弈步入动荡变革期，其出台背景与网络空间安全形势和技术发展趋势紧密相关。

从 国 内 形 势 来 看， 接 踵 而 至 的 网 络 安 全事件，迫使拜登政府出台新的网络安全战略以回应国内呼声。2021 年 1 月 拜 登 上 台 后，网络攻击事件层出不穷，经历了 SolarWinds、Colonial Pipeline 和 JBS Foods 等一系列重大网络入侵和勒索软件攻击，造成了难以估量的经济损失。尤其是 SolarWinds 供应链攻击，黑客利用 SolarWinds 软件的系统漏洞先后对包括微软公司、联邦政府机构、私营企业、非营利组织在内的约 1.8 万名客户进行攻击，促使美国各界重新审视前任政府的网络安全政策，同时也加速了拜登政府的网络安全政策落地。

从国际形势来看，俄乌冲突中网络战带来的巨大变量，成为拜登政府网络安全战略出台的重要国际驱动因素。在俄罗斯总统普京对乌宣战之前，西方媒体就报道了大量俄罗斯率先发动网络攻击的事件，包括针对乌克兰政府机构的大规模分布式拒绝服务攻击和数据擦除恶意软件攻击等，造成乌克兰众多关键基础设施和重要网络信息系统瘫痪。此次冲突彰显了网络战在现代战争中的作用和影响力，也引发了新一轮对网络安全的担忧。

从技术发展来看，数字生态体系朝着基础系统互联的趋势发展，客观上也加剧了网络攻击的破坏力和影响力。拜登上台后，着力加大对网络安全的资金投入力度，谋划设置网络安全专项资金，维护其技术领先地位。2023 年 3 月，拜登政府公布了 2024 财年预算申请，其中网络空间预算以 262 亿美元再创新高。此外，美国也意识到，下一代网络信息技术加速走向成熟的同时，全球也逐步进入一个对数字化愈发依赖的新阶段。未来数字生态体系的发展趋势是将各种新兴技术的快速迭代以及各种复杂的系统彼此互联，将新的功能和技术叠加到复杂而脆弱的系统上，这也成倍增加了不安全系统所带来的风险。

新版战略分析了美国面临的复杂的网络空间威胁环境，提出了国家网络安全的战略愿景，重点围绕 5 大支柱，明确了 27 项战略目标。

2.1　战略愿景

新版战略的愿景是“建立一个可防御的、有弹性的数字生态系统”。在这个生态系统中，攻击系统的成本高于防御系统，敏感或私人信息是安全和受保护的，不会因某些事件或错误引发灾难性、系统性的后果。本质是建立一个更具防御性和弹性、更符合美国价值观的数字生态系统。

2.2　战略目标

一是保护关键基础设施。目标是建立一个持久且有效的协作防御模式，公平地分配风险和责任，包括建立网络安全法规；扩大公私合作，创建一个基于信任的“网络中的网络”；以联邦网络安全中心作为协作节点，将国土防御、执法、情报、外交、经济和军事等能力融合在一起；通过缓解软件供应链风险来确保联邦系统的安全。

二是打击和消除威胁行为者。使用所有国家权力工具打击恶意网络行为者，包括统一联邦政府的打击行动；让私营部门参与到相关打击机制中；提高情报共享的速度和规模；防止滥用美国网络基础设施；打击网络犯罪和应对勒索软件威胁等。

三是塑造市场力量推动安全和弹性。让规模更大、资源更充足的公司承担更多的网络安全责任，包括促进个人数据和隐私安全；促进安全开发实践；推动安全物联网设备的发展；通过联邦拨款促进安全且有弹性的新型基础设施建设；利用联邦采购机制加强问责等。

四是加强对未来弹性的投资。通过战略投资和协调协作行动，继续创新发展安全和有弹性的下一代技术和基础设施，包括减少互联网基础和整个数字生态系统中的系统性技术漏洞；优先考虑下一代技术的网络安全研发；为抗量子时代的未来做好准备；培养多元化和强大的国家网络人才队伍等。

五是发展网络空间国际伙伴关系。促进网络空间负责任的国家行为，重点包括建立联盟以共同应对数字生态系统面临的威胁；提高合作伙伴抵御网络威胁的能力；打造安全可靠且值得信赖的全球供应链。

特朗普政府和拜登政府在网络空间治理方面各有侧重。新版战略既是对前任政府战略方针的继承与发展，也是试图在平衡网络安全责任、调整投资激励措施、构建数字生态体系等方面打破现状，革新旧历。本文基于两届政府的战略内容，分析了美国网络安全战略的延续特征和嬗变特征。

3.1　延续特征

一是持续聚焦关键基础设施网络安全防护。关键基础设施网络安全防护是两届政府关注的重中之重。特朗普《国家网络战略》明确了关键基础设施安全防护中各机构的角色和责任，以及制定国家关键基础设施安全研发计划等举措。拜登新版战略更是将“捍卫关键基础设施”列为 5 大支柱之首，提出制定支持国家安全和公共安全的网络安全要求、扩大公私合作、更新联邦事件响应计划以及发展现代化的联邦防御能力等重点举措。两届政府均从安全规范、部门职责、投资与合作和事件响应等方面提出了对关键基础设施的网络安全防护要求，新版战略举措更为强劲和灵活。

二是持续加强对威胁行为体的打击和摧毁力度。特朗普《国家网络战略》指出，“将通过采取包括起诉和经济制裁在内的一系列手段，对恶意网络行为体及其赞助者施加成本”，新版战略提出，“要在全球范围内提升和扩展能够摧毁威胁来源的行动能力，动用经济、外交、军事和技术领域的各种手段，在全球范围内对任何被判定为‘威胁美国国家利益的行为体’实施破坏和瓦解”，该举措可看作特朗普政府时期对威胁行为体打击措施的升级。此外，特朗普《国家网络战略》在打击网络犯罪方面，仅指出与州、地方、部落和地区政府实体合作以及执法部门的职责，而新版战略则将勒索软件威胁视为国家安全问题而不是犯罪活动来处理，并提出 4 项更详尽的要求，为联邦政府采取更为激进的措施应对恶意网络活动奠定了基础。

三是持续秉承网络威慑的战略理念。特朗普《国家网络战略》中出现了 5 次“网络威慑”；新版战略中虽并未出现“网络威慑”，但指出“国防部前置防御理念有助于了解威胁行为体”，并明确了国防部将制定一项与国家安全战略相一致的新版国防部网络战略，前置防御具体内容应由国防部负责。新版战略未直接体现威慑并非是对威慑理念的摒弃，其原因包括以下 3 点：一是战略本身不同，特朗普《国家网络战略》聚焦整个网络空间，而新版战略范围仅限于网络安全。二是分层网络威慑是建立在前置防御基础之上的，前沿防御继承了持续交战的逻辑，在实践中最接近威慑概念下的拒止威慑。三是美国在全球范围内积极采取“前出狩猎”等威慑行动，例如，俄乌冲突开始前，美国网络司令部就向乌克兰部署了一支“前出狩猎”团队。由此可见，此次战略并未提出更新的进攻理念，其实质仍是对威慑理念的延续。

四是持续深化网络安全公私合作及国际合作。“合作”一词在两届政府战略中分别出现了 44 次和 118 次。上届政府战略中关于公私合作及国际合作的描述均分散在内容中，如公私合作管理关键基础设施网络安全风险、促进 5G 安全及发展、与工业界和国际伙伴合作保卫太空网络安全等。新版战略直接将“建立国际伙伴关系以实现共同目标”作为第五个支柱，并在其他4 个支柱中深化了公私合作、国际合作的方式及内容。尤其在扩大公私合作方面，新版战略指出，由美国网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）与关键基础设施行业风险管理机构进行协调，使联邦政府能够加强与美国关键基础设施所有者和运营商之间的协调工作，通过公私合作来打击敌手、改善情报共享等。

五是持续加码网络安全技术创新和投资。特朗普《国家网络战略》指出，美国政府将通过强有力的国内创新来促进美国繁荣，关于创新的内容包括知识产权保护等创新激励、网络安全人才激励等，关于投资的内容包括激励网络安全投资及投资下一代基础设施。拜登上台后，持续注重美国科技创新能力的体系化提升，先后通过了《无尽前沿法案》和《2021 年美国创新和竞争法案》，支持美国国家科学基金会在重点关键技术领域的研究和技术发展，总投入高达 2 500 亿美元 。新版战略将“以投资打造富有弹性的未来”作为支柱 4 单独提出，要求在保护互联网技术基础的同时，重振联邦政府的网络安全研发，以优化和部署关键新兴网络安全技术，从而在创新上超越对手国家。

3.2　嬗变特征

一是平衡权责关系，网络安全责任从“最终用户”向“系统运营商和服务商”转移。新版战略呼吁“重新平衡”捍卫网络空间的责任，从“最终用户”转向“最有能力和最有利的参与者”，包括关键技术和基础设施的所有者和运营商。上届战略要求细化联邦机构在网络安全风险管理和事件响应方面的角色和责任，并对私营部门提出期望。与之不同的是，新版战略指出，当今美国终端用户承担着减轻网络风险的沉重负担，本就有限的资源仍存在竞争，国家网络弹性受终端的影响过重。因此，战略强调要从根本上重新构建美国的网络社会关系，将管理网络风险的责任重新分配给最有能力承担风险的人，即持有数据和运转社会职能的系统所有者和操作者，以及建立和服务这些系统的技术提供方。

二是调整投资激励重点，将资源向具有安全性和弹性的关键产品和服务倾斜。新版战略呼吁对美国网络人才、基础设施和数字生态系统进行长期投资，强调利用技术提高国家弹性和经济竞争力。在沿袭上届政府在网络安全、国家研究与发展、下一代基础设施、网络人才等方面的部分投资政策的基础上，拜登政府将平衡投资协调作为新重点，使组织能够将有关资源投入到建立弹性和保护其系统及资产上，尤其是支撑网络安全关键需求的技术及服务，要加大对具有安全性和弹性的关键产品和服务的投资，例如，要求对数字基础设施（包括开源软件）的安全性进行投资方向研判，推动云服务提供商解决反复出现的安全和设计问题。

三是加大政府监管力度，网络安全共享实践从“自愿性加入”向“强制性要求”迈进。上届政府的网络安全策略侧重于自愿的公私合作伙伴关系和信息共享实践，拜登政府指出，“自愿原则”为关键基础设施网络安全带来了积极的改进，但由于缺乏强制性要求，导致网络安全实践不充分或不一致，因此将“自愿性加入”转变为“强制性要求”。强制监管可以在不牺牲网络安全和运行弹性的情况下推动更公平的竞争。因此，新版战略指出必须重新调整网络安全立法，以满足国家安全和公共安全需要；要求联邦政府制定新的网络安全条例，界定网络安全目标底线要求；理顺和精简现行和新增立法，最大限度地减少特殊要求带来的成本负担，并精简监管协调流程。此外，新版战略还提出要制定适合不同实体的监管框架，使不同关键基础设施部门均能承担网络安全成本，营造公平的竞争环境。

四是重新评估全球供应链，强调关键组件和系统必须在国内或盟国开发。上届战略将改善联邦供应链风险作为施政要点，对联邦政府提出了供应链安全及风险管理要求。新版战略对供应链安全的关注点由国内转移至全球，直接将供应链安全战略目标设置在“建立国际伙伴关系以实现共同目标”的支柱下，并指出，虚拟空间到实体空间对国外供应商网络的依赖不断增长，这种对不受信任供应商的关键产品和服务的依赖给美国数字生态系统带来了系统性风险。因此，新版战略强调“重新平衡全球供应链”，增强透明度、安全性和弹性。关键组件和系统必须在国内或盟国开发，特别是联邦资助的数字基础设施等项目，必须“建设美国，购买美国”。在国际协作中，实施跨界供应链风险管理，使供应链在伙伴国家和受信任的供应商中流动。

五是构建数字生态系统，对内创新发展下一代技术和基础设施，对外与盟国合作抵御针对数字生态系统的威胁。数字生态是新版战略的高频词，是各项网络安全举措的“服务”对象，数字生态被提升至前所未有的高度。但同时，新版战略也强调数字生态系统仍然脆弱，必须从根本上改变驱使数字生态系统的基本动力。对内而言，新版战略提出创新发展下一代技术和基础设施，例如，构建分布式可再生电力供电与智能系统；设计成熟的万物互联物联网；利用海量数据和计算能力进行实时全球合作等措施，造福民众的数字化未来。对外而言，新版战略提出与盟国合作以抵御针对数字生态系统的威胁，将力促美国与盟友共同建设这一新的数字生态系统，联盟可以采取多种形式，例如通过“在线自由联盟”“四方安全对话”等新机制，形成契合美国价值观的防御能力和网络弹性。

4.1　以关键基础设施网络安全防护为核心

关键基础设施的网络安全防护问题占据了新版战略的大量篇幅，新版战略精简并强化了关键基础设施安全管理要求，使关键基础设施安全管理要求更加具有灵活性和适应性。同时，将基于已有的合作机制及法律体系强化关键基础设施集体防御。一是扩大公私合作。联邦政府将通过 CISA 继续加强与行业风险管理机构的协调，进一步与信息共享与分析中心（Information Sharing and Analysis Center，ISAC）、信息共享与分析组织（Information Sharing and AnalysisOrganizations，ISAO）合作，就公私协作模式制定共同愿景，以改善关键基础设施安全弹性。二是整合联邦政府各网络安全协作组织。未来将由 ONCD 领导加强机构整合，并制订实施计划以实现迅速和大规模的合作，推动联邦政府内部协调，及与非联邦政府的协调。三是 CISA将牵头更新《国家网络事件响应计划》（NCIRP），更充分地实现集体防御。

4.2　以软件供应链安全为优先事项

拜登从上任之初就把“加强供应链安全”作为优先事项，2021 年，拜登签署了第 14017 号行政令《关于确保美国供应链安全》，展开了为期 100 天的供应链风险审查。追根溯源，是因为供应链体系的构建对网络安全主动权的掌握具有强相关性，本质上也是为了保持在网络安全领域的主导权和控制力。

新版战略指出，“太多供应商忽视安全开发的最佳实践，交付产品具有不安全的默认配置或已知漏洞，以及不安全的第三方组件”，将责任转移给未能采取合理预防措施确保软件安全的供应商，并提出了 3 方面举措。一是持续引入软件物料清单（Software Bill of Materials，SBOM），用于追踪已知的和新出现的漏洞和风险，帮助提高软件系统的安全性，同时增加软件的透明度和信任度，确保软件的质量和可靠性。二是推行由国家标准与技术研究院（National Institute of Standards and Technology，NIST）发布的安全软件开发框架，将安全的软件开发实践添加到每个软件开发全生命周期模型中，减少已发布软件中的漏洞数量，同时减轻利用未检测到或未解决的漏洞产生的潜在影响。三是提高开源软件的安全性，2022 年美国白宫与开源组织、科技巨头共同推动了 1.5 亿美元的开源软件保护计划，确立了十大目标，其中包括加速在软件版本中采用数字签名，对最关键的开源软件组件进行第三方代码审查等。

4.3　以“零信任安全架构”为新的驱动力

伴随云计算、大数据等新兴网络技术的发展应用，网络边界逐渐模糊，边界防护效果锐减。为了实现内生安全的目标，2022 年，美国白宫发布《联邦零信任战略》，要求美国政府在未来两年内逐步采用零信任架构；同年 11 月，美国国防部发布《零信任战略》，要求在新旧系统中整合并实施零信任，保护国防部信息系统和数据。

新版战略指出，“本届政府致力于改善联邦网络安全，通过长期实施零信任架构战略，使 IT 和 OT 基础设施现代化”。新版战略发布后不久，美国国防信息系统局宣布了“雷霆穹顶”（Thunderdome）项目实施方案，作为美国国防部“零信任”网络安全计划的子项目，旨在实现数据在军队加密网络和非加密网络间的“安全、受控制的流转”，打造美军数字生态系统，该项目标志着美国零信任架构正式进入落地阶段。

4.4　以“抗量子密码”为技术突破点

随着量子计算技术的发展，量子计算对传统密码学的威胁不断显现。为应对这一风险，美国优先考虑将密码系统及时、安全地过渡到抗量子加密系统。拜登上台后已颁布 3 份文件来推动量子信息科学的研究与开发，力求在 2035年前尽可能多地减轻量子计算机对国家网络安全构成的威胁，确保美国拉开技术代际优势。

新版战略中指出，“联邦政府会优先考虑将脆弱的公共网络和系统过渡到基于量子密码的环境”。预算方面，拜登政府在 2023 财年预算中为 NIST 划拨 1.87 亿美元，用于包括量子科学在内的新兴技术的标准更新。NIST 已公布了首批 4 种抗量子密码标准算法，这些算法设计的目的可以分为两类：一是信息加密，用于保护通过公共网络交换的信息；二是构建数字签名，用于身份验证。项目方面，美国已率先启用抗量子密码保护卫星数据通信，构建出全球首个能抵御量子计算攻击的卫星通信网络，整个通信过程采用 QuSecure 公司的“量子安全层”软件，采用端到端的“量子安全即服务”架构，贯彻零信任、主动防御等理念，运用抗量子计算攻击加密技术，对数据进行全生命周期保护。

4.5　以打击勒索软件活动为新的着力点

拜登政府认为“勒索软件紧迫而急剧地增加了美国面临的安全威胁”，其新版战略将“打击和消除威胁行为者”列为第二大支柱，更是指出“将战略性使用所有国家力量工具，让私营部门参与到相关打击机制中，全面应对勒索软件威胁”。

从内部来看，美国对内采用了一种“政府整体”的方式应对勒索软件攻击。美国国土安全部网络安全与基础设施局不定期发布关于勒索软件的公告，总结最新的战术、技术、程序以及相关指标，以帮助组织抵御勒索软件。此外，美国于 2021 年成立了一个跨机构的勒索软件工作组，并发布《打击勒索软件：综合行动框架》，建议应在政府的协调下，开展持续的、情报驱动的反勒索软件活动，同时政府应设立网络响应和恢复基金，以支持勒索软件响应和其他网络安全活动。从外部来看，2022 年美国协同其他35 个国家提出“反勒索软件倡议（CRI）”，主要任务是打击支撑勒索软件生态系统的非法金融活动以及在勒索软件威胁方面开展国际合作。

总体来看，新版战略凸显通过整合政府网络安全中心，以共享打通防护能力；通过重新平衡网络安全责任，以弹性统领战略布局；通过加快构建网络盟友体系，以生态加固国际同盟。此外，新版战略明确指出，美国将在网络空间与中国、俄罗斯、伊朗、朝鲜等国家进行长期战略竞争和博弈，并两处直接点名我国，将中国视为“最先进的战略竞争对手”。可以看出，美国多年来的战略实质并未改变，始终带有美国国家利益优先的属性，未来竞争仍旧贯穿中美两国关系的主线 。因此，在对美国网络安全战略的研究中，既要横向加强对网络安全战略政策体系的研究，又要纵向加强对拜登政府网络安全重点计划和项目拓展研究，以便从实践层面更好地了解其网络安全重点布局。