美国多措并举构建网络安全战略体系

美国认为，世界正进入愈发依赖数字化的新阶段，使软件和系统变得更加复杂、更易受到网络攻击，这将引发更广泛的恶意网络行为，增加网络安全系统性风险。

新兴技术增加网络安全风险。随着新兴网络技术的快速发展，互联网、软件和系统正变得越来越复杂。通过互联网能将个人、企业、社区和国家连接起来，使国际交流规模得以扩大。全球互联为美国企业和消费者创造价值的同时，也增加了关键系统的网络安全风险。原本对一个组织、行业或国家的网络攻击可以迅速蔓延到其他行业和地区，如俄罗斯2020年对乌克兰发动的网络攻击蔓延到美国，造成了数亿美元的损失。

恶意网络活动持续扩散。近年来，美国频发网络攻击事件，包括“太阳风”供应链攻击事件、“科洛尼尔输油管”攻击事件等。叠加乌克兰危机导致网络攻击风险进一步外溢，使美国政府办公系统、关键基础设施面临更多网络安全威胁。以往，外国攻击性黑客工具和服务仅由少数国家掌握，但如今已能广泛获取，使网络犯罪集团的威胁不断增加。

协调机制存在障碍。美国政府认为，当前终端用户承担了太多缓解网络风险的负担。个人、小企业、州政府和地方政府以及基础设施运营商的资源有限，且各种优先事项相互干扰，对维护国家网络安全造成隐患。美国整体网络弹性不能依赖于最小的组织机构，应要求能力最强、占位最优的行为体在确保数字生态系统的安全和弹性方面承担更多责任。

美网络安全政策体系包括国家、联邦机构、州政府等层面。国家层面包括美白宫《国家网络安全战略》《国家网络安全战略实施计划》，联邦机构层面包括《美国防部网络战略》，州政府层面包括《纽约州网络安全战略》等。

国家层面：《国家网络安全战略》。2023年3月，美白宫发布新版《国家网络安全战略》（以下简称“国家战略”）。国家战略明确了网络安全战略支柱，统筹安排了国家层面的重点任务。一是加强关键基础设施网络防御。制定网络安全要求，扩大公私合作范围，整合联邦网络安全中心，优化事件响应流程，以提升网络防御现代化水平。二是打击网络威胁行为。整合政府能力，加强公私协作，实现情报共享和威胁检测，防止对手滥用基础设施，以打击网络犯罪。三是塑造市场力量。基于联邦采办制度强化问责，要求数据管理者、软件供应商承担安全责任，探索网络安全保险新方式，以提高网络弹性。四是投资未来弹性网络。制定网络空间人才政策，关注互联网、后量子、清洁能源领域网络安全，重振网络技术研发。五是构建国际伙伴关系。建立联盟，深化国际合作，应对数字生态系统威胁，确保信息技术产品与服务全球供应链安全。

国家战略细化实施路径，推动落实具体工作。一是明确政府责任主体。提出国家安全委员会监督、预算管理办公室协调、国家网络总监办公室制定实施计划。二是开展有效性评估。要求联邦政府全面评估战略的有效性，并每年向总统、国会报告，确保后续工作的有效性。三是吸取网络事件经验教训。将吸取网络事件经验教训作为政府优先事项，鼓励相关机构把网络安全事故审查流程纳入监管框架。四是引导网络安全投资。发布年度指南等措施，确保各部门和机构预算提案一致性，提升长期投资的针对性。

国家层面：《国家网络安全战略实施计划》。2023年7月，美白宫发布《国家网络安全战略实施计划》，以提高应对重大网络攻击的长期防御能力。一是网络安全和基础设施安全局将协调公私合作，以推动安全技术的开发与采用。二是国防部发布新版网络战略，重点关注恶意行为者所带来的挑战，以应对潜在的战略级威胁。三是司法部协调情报界实体机构，牵头制定“一系列选项”，以应对网络犯罪分子和国家对手的破坏活动。四是减轻公民网络安全职责，将负担从普通公民转移到更有网络安全能力的实体机构，同时激励网络安全领域的长期投资。五是国土安全部牵头更新国家网络事件响应计划，要求国土安全部和联邦调查局合作阻止勒索软件攻击，并为医院和学校等高风险目标提供响应预案。六是广泛关注网络安全人才问题。

联邦机构层面：《国防部网络战略》。2023年5月，美国防部向国会提交了机密版《美国防部网络战略》（以下简称“国防战略”）。根据战略情况说明书，国防战略提出了3项网络领域指导原则：一是美军将最大限度地发挥其网络能力，以支持综合威慑，并与其他国家协同开展网络空间行动；二是美军将在低武装冲突情况下，在网络空间中和通过网络空间开展行动，以加强威慑和挫败对手；三是美国联合全球盟友和合作伙伴，巩固和加强网络领域优势。

此外，国防战略还强调了美国政府和国防部长期以来所面临的网络威胁，威胁主要来自竞争国家、极端主义组织和跨国犯罪组织，并提出4项应对措施：一是保卫国家。美军将开展利用网络能力开展行动以深入了解恶意网络行为者，开展“前沿防御”以破坏和削弱上述行为者的能力和支持生态系统，并与跨部门合作伙伴合作，加强美国关键基础设施的网络弹性，并打击战备威胁。二是准备战斗并赢得战争。美军将确保军事信息网络的网络安全以及联合部队的网络弹性，并将利用网络空间作战产生非对称优势，以支持联合部队的计划和行动。三是与盟友和合作伙伴合作，保护网络域。美军将协助盟友和合作伙伴建设其网络能力和实力，扩大潜在网络合作途径，继续开展“前出狩猎”行动，并将通过鼓励遵守国际法和国际公认的网络空间规范来加强负责任的国家行为。四是在网络空间建立持久优势。美军将优化网络作战部队和现役网络部队的组织、训练和装备，并将投资于网络空间作战的推动因素，包括情报、科学技术、网络安全和文化。

州政府层面：《纽约州网络安全战略》。2023年8月，美国纽约州出台首个州战略，并任命首位首席网络官。州战略提出三大网络安全愿景，一是统筹管理，加强对网络信息、工具和服务的管理，使网络防御措施能够覆盖所有实体；二是网络弹性，通过扩大网络安全法规、要求和建议的范围，更好地保护纽约州关键设施的安全；三是充分准备，广泛提供建议和指导，确保公民网络安全。州战略提出五大战略支柱，一是构建安全、弹性的政府网络，确保纽约州政府网络按照现代安全原则设计；二是加强与利益相关者（如地方政府、私营企业、合作伙伴、非营利组织等）合作，提供端点检测和响应等网络安全服务；三是规范关键行业，确保关键行业基础设施所有者和运营商所提供的服务达到最低安全标准；四是提倡公民参与网络安全工作，强调个人在网络安全中的重要性；五是发展网络安全劳动力，构建纽约州网络安全人才库，提高纽约州对网络人才的吸引力。

此外，州战略要求成立一个工业控制系统网络评估团队，帮助纽约州国土安全部门开展网络事件响应工作。州战略要求，通过州卫生保健技术资本拨款计划，投入5亿美元用于改善全州医疗保健信息技术和网络安全基础设施；同时，增加纽约州网络安全预算，为扩大县级和地方政府的共享服务计划提供资金。

对华定位发生根本性转变，视中国为网络安全“最大威胁”。美国家战略用三个“最”形容中国，提出“中国是美政府和私营部门最广泛、最活跃和最持久的威胁，并且中国是唯一一个既有重塑国际秩序意图，又越来越多地使用经济、外交、军事和技术手段推进该意图的国家”。而2018版战略中，美将俄罗斯、中国、伊朗、朝鲜等一并视作构成挑战的“长期竞争对手”，但只强调中国能够对美网络空间及新兴技术领域造成挑战。新旧战略对比，反映出拜登政府在网络安全领域对华定位发生根本性转变，中国由“竞争对手”正式转变为“最大威胁”。

强调联邦机构责任下移，赋予供应商更多网络安全责任。美在网络空间领域的国家战略、国防战略中，多次提到“监管”“协调”等关键词，明确联邦政府机构责任。一是授权国防部网络和基础设施安全局保护联邦民事行政部门系统，并主导更新网络事件响应计划；二是协调财政部、司法部、特勤局等参与勒索攻击调查，打击网络犯罪；三是协调运输安全管理局、环境保护局等参与能源、航空、铁路等关键领域网络安全工作。同时，美网络安全政策体系重塑了美网络社会契约，调整了网络安全责任主体。政策体系要求，必须重新平衡网络安全责任，将责任从个人、小企业和州政府转移，移交给拥有必要资源和专业知识的大型供应商，以更好确保网络安全。

重视长期资金引导，巩固和扩展网络技术优势。美网络政策体系围绕“一个系统、两个主体、三个领域”，重新构建网络技术长期投资机制。一是以构建“数字生态系统”为一致性目标，加强美网络安全弹性和防御性投资；二是以“政府机构、私营部门”为协调主体，加强公私合作，优化网络安全投资结构；三是以“计算技术、生物制造技术、清洁能源技术”为重点领域，加大网络安全技术研发投入，确保美国网络技术领导地位。

保护关键基础设施是美国网络安全工作重点。美网络政策体系将保卫关键基础设施网络安全放在首位，从政策制定、公私合作、能力整合、事件响应等方面提出了保护关键基础设施的各项举措。一是完善关键基础设施网络安全法规；二是扩大公私合作，推动网络防御者同步保护关键基础设施；三是整合联邦网络安全中心，推动政府间协调；四是更新网络事件响应计划，加强关键基础设施安全事件应对能力等。拜登政府网络政策体系相较以往，提出的相关措施更加全面、具体，可见联邦政府高度重视关键基础设施网络安全工作，亟需重塑美国人民对关键基础设施网络安全的信心。