2022年度美國網絡安全政策回顧與簡析
2022 年,勒索軟件、數據泄露、網絡攻擊等安全事件頻繁發生,直接影響美國政府和重要行業的正常運行。“太陽風”(SolarWinds)供應鏈攻擊和科洛尼爾管道公司(Colonial Pipeline)輸油管道遭受網絡攻擊事件,以及開源軟件 Log4j 漏洞等重大網絡安全事件的影響,在 2022 年不斷擴大。美國在 2022 年發布系列網絡安全政策文件,在其主要方向和重點領域持續發力,以便應對愈發嚴峻的網絡空間安全態勢。
一、2022 年度美國網絡安全政策三大特點
從 1996 年美國總統克林頓簽署第 13010 號行政令《關鍵基礎設施保護》(Critical Infrastructure Protection)開始至今,美國關鍵基礎設施安全保護工作已有 26 年的歷史,經歷了定目標、劃范圍、建體系、強執行四個階段。回顧 2022 年美國網絡安全政策,關鍵基礎設施保護依然是其重點。此外,美國希望繼續維系其“世界霸主”身份,搶占“太空領導地位”,加強網絡安全國際規則的制定。美國還不斷加強其國防軍事實力,通過新興先進技術的研究與應用,提升其網絡空間威懾和網絡安全攻擊能力。
(一)重視自身網絡安全防御,加強關鍵基礎設施保護
美國于 2018 年成立美國網絡安全和基礎設施安全局(CISA),標志著美國關鍵基礎設施保護工作“強執行”階段的開始。隨后,CISA 在強化政策落地執行方面發揮重要作用。
2022 年,CISA 主要在協同防御、漏洞管理、事件報告和安全演習等方面,對關鍵基礎設施保護提供建議指導和強制要求。CISA 在 2022 年 9 月發布其成立以來首個戰略規劃《2023-2025 年戰略規劃》(Strategic Plan 2023-2025),闡述了日益復雜的網絡安全威脅形勢,重點申明該機構是美國聯邦政府網絡安全的領導者,又是保護關鍵基礎設施安全的國家協調員,提出未來三年的主要工作目標是加強網絡空間安全防御和關鍵基礎設施安全韌性。其中,增強自身產業和創新能力被美國視為保持競爭優勢的第一要務,而與私營部門的緊密合作則是保護關鍵基礎設施網絡安全的重要一環。
在協同防御方面,CISA 在 2 月編制并發布 2022 年免費網絡安全工具和服務清單(a list of free cybersecurity services and tools),鼓勵網絡防御者利用免費網絡安全服務和工具增強組織網絡安全防御能力。11 月,CISA 發布更新版《基礎設施韌性計劃框架》(Infrastructure Resilience Planning Framework)和《跨部門網絡安全績效目標 2022》(Cross-Sector Cybersecurity Performance Goals 2022),以便更好幫助州、地方和地區做好基礎設施安全保護計劃,明確網絡安全績效目標,從賬戶安全、終端安全、數據安全、監管和培訓、漏洞管理、供應鏈安全、響應與恢復等方面給出明確行動要求,為關鍵基礎設施建立一套共同的網絡安全實踐基本規則。
在漏洞管理方面,CISA 推出了專門網站“已知漏洞目錄”(Known Exploited Vulnerabilities Catalog),披露相關漏洞信息。5 月,CISA 發布“緩解 VMware 漏洞緊急指令 22-03”(Emergency Directive 22-03 Mitigate VMware Vulnerabilities),要求運行使用特定 VMware 產品的機構進行 VMware 更新或刪除該產品。6 月,CISA 通知美國各州,“至少有 16 個州使用的一款電子投票機存在軟件漏洞,如果不解決問題,則很容易受到黑客攻擊”。11 月,CISA 發布《利益相關者特定漏洞分類指南》(CISA Stakeholder-Specific vulnerability Categorization Guide),用于指導如何使用評分決策樹對漏洞進行分類管理。
在事件報告方面,《2022 年關鍵基礎設施網絡事件報告法案》(Cyber Incident Reporting For Critical Infrastructure Act of 2022)在 3 月正式發布,強制關鍵基礎設施實體在遇到網絡事件 72 小時內、被勒索軟件勒索付款的在 24 小時內,必須上報。此舉有助于美國政府及時獲取關鍵基礎設施實體遭受網絡事件和勒索軟件攻擊的情況,及時給予響應,確保美國政府即時感知關鍵基礎設施網絡安全態勢。9 月,CISA 就落實《2022 年關鍵基礎設施網絡事件報告法案》實施網絡安全事件和勒索軟件事件報告規則和要求征求公眾意見,涉及履行報告義務的主體、應報告的網絡事件類型、報告內容及程序等細節內容。針對勒索軟件,美國國家標準與技術研究院(NIST)于 2022 年 1 月發布《勒索軟件風險管理網絡安全框架指南》(Cybersecurity Framework Profile for Ransomware Risk Management),幫助組織實現勒索軟件事件的識別、保護、檢測、響應和恢復能力。7 月,美國眾議院通過《被監督和監控的國家發起網絡和勒索軟件攻擊報告法案》(Reporting Attacks from Nations Selected for Oversight and Monitoring Web Attacks and Ransomware from Enemies Act),即《勒索軟件法案》(RansomwareAct),強制要求對國外個人、政府或其他組織發起的勒索軟件等攻擊事件進行報告。
在安全演習方面,CISA 在 3 月組織了第八屆“網絡風暴”(Cyber Storm VIII)演習。“網絡風暴”演習是同類演習中涉及部門最廣泛的網絡安全演習,通過模擬對影響美國關鍵基礎設施的網絡危機的響應,旨在評估網絡安全準備情況并檢查事件響應流程、程序和信息共享的能力。
(二)搶占太空主導地位,擴大國際秩序控制權
在特朗普政府“必須讓美國在太空中占據主導地位”思想指導下,2020 年 9 月,關于太空網絡安全的指令 SPD-5《太空系統網絡安全原則》(Cybersecurity Principles for Space Systems)發布,列出了保護太空系統免受網絡威脅和網絡攻擊的建議和最佳實踐,旨在為美國政府和商業運營的所有太空飛船、系統、網絡和通信鏈路建立網絡安全基線。2022 年 4 月,美國國防情報局(DIA)發布新版《2022 年太空安全挑戰》(Challenges to Security in Space 2022)報告。這是繼 2019 年版本之后發布的第二份非機密太空威脅評估報告。7 月,美國土安全部(DHS)發布更新的 2022 版《國土安全部太空政策》(DHS Space Policy),強調了 DHS 在太空系統基礎設施網絡安全方面的作用。DHS 將在三個主要領域發揮主導作用:一是保護太空系統基礎設施網絡安全,二是保障國土安全任務規劃執行,三是制定應急計劃應對因太空環境破壞對國土安全的潛在影響。綜上可見,2022 年,美國繼續強化太空威懾與作戰能力,強調太空網絡安全,搶占“太空領導地位”。
美國十分重視網絡安全國際規則的制定。7 月,美國與英國、德國等國家聯合發布《全球供應鏈合作聯合聲明》(Joint Statement on Cooperation on Global Supply Chains),加強全球供應鏈合作。10 月,美國發布新版《國家安全戰略》(National Security Strategy),明確與相關國家共同構筑網絡安全國際規則,擴大全球國際秩序的控制權。
(三)加大先進新型技術投入,提升網絡安全攻擊能力
隨著俄烏沖突持續,美國認識到新型技術正在改變戰爭形態,必須加強美軍網絡空間作戰能力。美國重視投資包括網絡安全和人工智能等在內的先進技術,并及時向戰場部署新能力,提升軍隊作戰能力。
在美國國防部(DOD)層面,2 月,DOD 批準發布《國防部軟件現代化戰略》(DOD Software Modernization Strategy),提出了軟件現代化工作的統一原則和工作框架,并總結了三大長期目標:加快建設國防部的企業級云環境;打造面向整個國防部的軟件工廠生態體系;以流程改革提升軟件安全和開發速度。6 月,DOD 發布《負責任的人工智能戰略和實施路徑》(Responsible Artificial Intelligence Strategy and Implementation Pathway),提出了 DOD 實施人工智能的基本原則、框架和實施路徑。10 月,DOD 發布《2022 年美國國防戰略》(2022 National Defense Strategy),提出通過運用網絡威懾手段、開展進攻性網絡空間行動和提高網絡空間能力等方式應對競爭挑戰并獲取軍事優勢。
在美軍網絡司令部層面,11 月,美國網絡司令部與國防高級研究計劃局(DARPA)簽署合作諒解備忘錄,建立合作伙伴關系,啟動“星座”計劃試點項目,旨在將新的戰術和戰略網絡能力迅速交付給作戰人員。在未來合作項目開展過程中,網絡司令部將直接參與其中并提供意見建議,再共同將項目成果轉化為與網絡司令部現有的“聯合平臺”“持續網絡訓練環境”等與網絡戰生態系統主要構件相匹配的網絡武器。
可見,美國十分重視國防軍事領域新興先進技術研究與應用,尤其重視網絡安全攻擊能力和網絡空間威懾手段。
二、美國網絡安全政策聚焦四大重點領域
2022 年,美國網絡安全政策重點聚焦零信任、5G 云基礎設施安全、后量子密碼和供應鏈安全四大領域。隨著網絡威脅攻擊種類越來越多,終端種類越來越多,網絡防御逐漸從“以邊界為核心”向“以身份為核心”演進,零信任技術也隨之成為網絡身份安全的重要發展方向。云計算和 5G 網絡基礎設施是未來網絡空間最重要的計算和通信基礎能力,5G云基礎設施安全至關重要。面對量子計算的挑戰,作為網絡安全核心技術的密碼技術開始向后量子密碼技術發展。隨著供應鏈全球化大分工的不斷加深,供應鏈安全成為美國逆全球化進程中最關鍵要素。
(一)零信任
美國十分重視零信任技術在網絡身份安全中的作用,通過不斷加大政策指引和技術文件指導,明確提出了各機構實現零信任目標的時間節點,加快零信任戰略落地。
從 2021 年 5 月美國發布第 14028 號行政令《改善國家網絡安全》(Improving the Nation's Cybersecurity)明確要求采用多因子認證技術增強身份安全以來,零信任已上升為美國國家戰略。2022年 1 月,美國管理和預算辦公室(OMB)發布《美國政府向零信任網絡安全原則的遷移》(Moving the US Government Toward Zero Trust Cybersecurity Principles),全面啟動美國政府零信任工作落地。隨后,美國司法部(DOJ)和 DOD 等多個政府機構推出了零信任落地路線圖。11 月,DOD 還專門發布了《國防部零信任戰略》(DOD Zero Trust Strategy),提出包括戰略愿景、戰略目標和實施方法等內容的國防部零信任能力實施規劃。期間,CISA 和 NIST 分別發布《基于零信任架構的企業移動安全計劃》(Applying Zero Trust Principles to Enterprise Mobility)和《零信任架構規劃:聯邦行政人員規劃指南》(Planning for a Zero Trust Architecture:A Planning Guide for Federal Administrators)白皮書,從技術角度進一步指導零信任架構落地。
通過前期零信任架構的實踐,美國政府已經對零信任有了清晰的認知。11 月,美國政府問責局(GAO)發布的《零信任架構》(Zero Trust Architecture)技術簡報,指出零信任并非單一的技術產品,而是由系列安全技術產品共同組成,由于所需各種技術產品在不同場景并不總是協同工作,因此,實施零信任解決方案達到最終目標并非一蹴而成,需要根據實際場景融合多項技術產品逐漸改造形成零信任能力。
(二)5G 云基礎設施安全
美國在大力推進零信任戰略落地的同時,不斷加快 5G 云基礎設施安全業務的應用。
在云計算安全領域,2022 年 CISA 發布系列技術指南,包括《安全云業務應用程序技術參考框架》(Secure Cloud Business Applications Technical Reference Architecture)、《可信互聯網連接 3.0:云計算用例》(Trusted Internet Connections 3.0:Cloud Use Case)、《針對 Microsoft 365 的推薦安全配置基線》(A Series of Recommended Security Configuration Baselines for Microsoft 365)等,加強云計算環境下的安全能力。此外,美國大力推進國家安全和情報系統的云計算安全業務應用。1 月,美國白宮發布《提升國家安全、國防和情報系統網絡安全備忘錄》(Memorandum on Improving the Cybersecurity of National Security,Department of Defense, and Intelligence Community Systems),明確要求構建國家安全系統云技術網絡安全能力。3 月,美國國務院情報研究局(INR)發布《國務院情報研究局網絡安全戰略》(United States Department of State Bureau of Intelligence and Research Cybersecurity Strategy),強調加快云計算環境遷移,改進網絡安全風險管理。云計算是未來數字化推進的重要方向,除國家安全和情報系統外,美國也必將在其他政府機構大力推廣。
在 5G 網絡基礎設施安全領域,繼 CISA 在 2021 年發布系列《保護 5G 云基礎設施安全指南》(Security Guidance for 5G Cloud Infrastructures)之后,美國國家安全局(NSA)、NIST 和 CISA 在 2022 年發布多項技術指南報告,指導 5G 網絡基礎設施安全實踐,包括《網絡基礎設施安全指南》(Network Infrastructure Security Guidance)、《5G 網絡安全:方法、架構和安全特性》(5G Cybersecurity:Approach,Architecture and Security Characteristics)、《5G安全評估流程指南》(5G Security Evaluation Process Investigation)、《開放式無線接入網絡安全因素報告》(Open Radio Access Network Security Considerations)和《先進通信技術標準》(Advanced Communications Technologies Standards)報告等。可見,美國重視作為未來重要基礎設施的 5G 網絡,并已經通過安全指南和安全評估等技術手段增強其網絡安全。
(三)后量子密碼
量子技術飛速發展使現有保護網絡和數據安全的密碼技術面臨巨大挑戰,密碼技術迎來后量子密碼時代。5 月,美國白宮發布《關于加強國家量子倡議咨詢委員會的行政令》(Executive Order on Enhancing the National Quantum Initiative Advisory Committee)和《關于促進美國在量子計算領域的領導地位降低易受攻擊的密碼系統風險的國家安全備忘錄》(National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems),重申美國對量子計算和后量子密碼技術的高度重視。
隨后,美國通過政策立法、技術標準、行動計劃多方面推進后量子密碼技術研究與應用推廣。在政策立法方面,美國眾議院通過《量子計算網絡安全防御法案》(the Quantum Computing Cybersecurity Preparedness Act),為后量子密碼技術奠定法律基礎。在技術標準方面,NIST 公布了首批 4 個后量子密碼算法標準。在行動計劃方面,CISA 發布《關鍵基礎設施向后量子密碼遷移的新見解》(CISA Insights:Preparing Critical Infrastructure for Post-Quantum Cryptography),并啟動后量子密碼學計劃(Post-Quantum Cryptography Initiative)。NSA 發布了《國家商用密碼安全算法套件 2.0》(Commercial National Security Algorithm Suite 2.0),要求在 2035 年前完成后量子密碼技術全面替換,為進入量子計算時代做好安全準備。綜上可見,美國對后量子密碼技術研究具有前瞻性,多措并舉推進技術應用,體現出頂層設計能力。
(四)供應鏈安全
2022 年 2 月,按照美國第 14017 號《美國供應鏈行政令》(America's Supply Chains)的要求,美國商務部(DOC)和 DOD 制定了《支持美國信息和通信技術行業的關鍵供應鏈評估》(Assessment of the Critical Supply Chains Supporting the US Information and Communications Technology Industry)報告,評估了美國供應鏈狀況,提出了相關安全建議,降低風險并加強供應鏈安全。隨后,美國在出口管制、人才培養和軟件供應鏈安全方面發布系列政策文件,強化供應鏈安全,尤其重視軟件供應鏈安全。
在出口管制方面,美國不斷加快其逆全球化進程。5 月,DOC 發布《信息安全管制:網絡安全物項》(Information Security Controls:Cybersecurity Items),進一步加強網絡安全與漏洞信息的出口管控。針對芯片產業,美國總統于 8 月簽署《2022 年芯片與科學法案》(CHIPS and Science Act 2022),為美國芯片研究和生產提供約 527 億美元的政府補貼,為芯片工廠提供投資稅抵免等政策,希望將芯片制造轉移至國內,從而確保美國技術制造和國防供應鏈安全。同時,美國召集日本、韓國與中國臺灣組建芯片四方聯盟(Chip 4),旨在通過對核心技術實施嚴格的技術管控等措施,限制中國在芯片領域的發展。
在人才培養方面,美國總統在 6 月簽署通過《2021 年供應鏈安全培訓法案》(Supply Chain Security Training Act of 2021),旨在保護美國政府免受網絡攻擊和供應鏈安全脆弱性帶來的影響。法案要求美國政府各機構均應制定供應鏈安全培訓計劃,幫助負責采購的工作人員增強供應鏈安全風險意識和網絡安全能力。
在軟件供應鏈安全方面,NIST 在 5 月發布《系統和組織網絡安全供應鏈風險管理實踐指南》(Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations),旨在提高系統和組織在供應鏈中管理網絡安全風險的能力。9 月,美國白宮發布《通過安全的軟件開發增強軟件供應鏈安全備忘錄》(Enhancing the Security of the Software Supply Chain through Secure Software Development Practices),推進軟件供應鏈安全計劃。隨后,CISA 和 NSA 聯合發布《軟件供應鏈安全開發實踐建議指南》(Securing the Software Supply Chain:Recommended Practices Guide for Developers)、《軟件供應鏈安全供應商實踐建議指南》(Securing the Software Supply Chain:Recommended Practices Guide for Suppliers)、《軟件供應鏈安全客戶實踐建議指南》(Securing the Software Supply Chain:Recommended Practices Guide for Customers)系列文件,進一步加大力度指導軟件供應鏈安全應用推廣。通過以上系列文件發布可見,CISA 在推進美國網絡安全重要政策落地方面具有舉足輕重的地位,能夠充分發揮對各機構組織的統籌協調作用,共同制定法律法規、技術標準和規范指南,指導政策在政府、行業和企業中有效落地執行。
三、結 語
美國 2022 版《國家安全戰略》指出,美國面臨巨大挑戰和前所未有的機遇,正處于塑造國際秩序未來的戰略競爭中。2022 年美國網絡安全政策體現了美國網絡安全發展的三大特點,即在逆全球化的大國競爭形勢下,美國通過國家政策和法律法規發布,凸顯了對關鍵基礎設施保護和自身網絡安全防御的重視;搶占“太空領導地位”,擴大國際秩序的控制權;不斷加大國防軍事領域新興先進技術的研究與應用,增強網絡安全攻擊能力。同時,美國通過可執行、可操作的技術標準和指南規范文件的發布,聚焦零信任、5G云基礎設施安全、后量子密碼、供應鏈安全四大領域,指導相關技術在關鍵基礎設施行業、政府和企業中有效落地執行,發揮保護網絡安全的重要作用。未來,美國網絡安全政策必將影響全球網絡空間態勢,對其他國家網絡空間安全和互聯網企業發展帶來重要挑戰。
