拜登政府《國家網絡安全戰略》分析及其影響思考

近日，美國白宮發布《國家網絡安全戰略》（National Cybersecurity Strategy）（以下簡稱2023版《戰略》）。2023版《戰略》詳細闡述了拜登政府對于美國網絡安全的頂層規劃和全面部署，旨在建立一個“可防御、有彈性的數字生態系統”。本文概述了2023版《戰略》的出臺背景、對相關內容要點進行梳理，總結分析其主要特點，并思考其帶來的影響。

一、背景概述

近年來，美國政府高度重視網絡安全建設，并將國家網絡安全戰略作為政府指導開展網絡安全工作的施政綱領。美國首份國家層面的網絡安全戰略是小布什執政時期發布的《保護網絡空間的國家戰略》（The National Strategy to Secure Cyberspace）（以下簡稱2003版《戰略》），其中明確提出“保護網絡空間是一個持續的過程，各部門應當不斷更新網絡安全規劃”。此后，各屆政府延續了制定國家網絡安全戰略的慣例，如特朗普時期發布的《美國國家網絡戰略》（National Cyber Strategy of the United States of America）（以下簡稱2018版《戰略》）以及拜登政府發布的2023版《戰略》等。

此外，美國在網絡空間面臨的嚴峻形勢也是制定2023版《戰略》的現實需求。如太陽風（SolarWinds）供應鏈攻擊、科洛尼爾輸油管道（Colonial Pipeline）勒索軟件攻擊等一系列網絡攻擊事件的發生，暴露出目前美國網絡安全保障體系的短板，也促使美國政府加大對網絡安全方面的監管力度。

二、要點梳理

2023版《戰略》主要包括引言、戰略支柱和實施要點等內容，其中“戰略支柱”部分詳細介紹了美國在網絡空間安全方面的建設重點。從美國歷屆《戰略》文本來看，涉及網絡安全建設重點的相關篇章向來是《戰略》的重頭戲，如2003版《戰略》提出響應體系建設、減少威脅與漏洞計劃、安全意識與培訓計劃、保護政府網絡安全、國際合作等5個優先事項；2018版《戰略》提出保護美國關鍵基礎設施、促進美國繁榮、以實力維護和平和提升美國影響力等4大戰略支柱。因此，我們重點關注2023版《戰略》的“戰略支柱”部分，梳理5大戰略支柱共27項舉措，作為理解該《戰略》的核心依據。

支柱1：關鍵基礎設施防護

第一，建立網絡安全要求，以支持國家安全和公共安全。主要措施包括：一是在關鍵部門制定網絡安全規則以保護關鍵基礎設施；二是協調和簡化現有規則及新增規則；三是使得受監管主體能夠承擔安全成本。

第二，擴大公私合作規模。主要措施包括：要求美國網絡和基礎設施安全局（CISA）加強與部門風險管理機構（SRMAs）協調，以使得美國聯邦政府機構擴大和全美關鍵基礎設施所有者與運營商的合作。

第三，整合美國聯邦網絡安全中心（Federal Cybersecurity Centers）。主要措施包括：明確聯邦網絡安全中心作為協作節點，整合全部政府機構在國土安全、執法、情報、外交、經濟以及軍事任務等方面的職能。

第四，更新美國聯邦事件響應計劃及進程。主要措施包括：一是由CISA牽頭更新《國家網絡事件響應計劃》（National Cyber Incident Response Plan, NCIRP）；二是要求美國聯邦政府與國會合作立法，將網絡安全審查委員會（Cyber Safety Review Board, CSRB）納入國土安全部，并賦予CSRB對重大事件進行全面審查的權力。

第五，實現美國聯邦防御能力現代化。主要措施包括：一是協調保護聯邦民事行政機構的信息系統；二是實現聯邦系統現代化改造；三是保護國家安全系統。

支柱2：破壞和摧毀威脅行為者

第一，整合美國聯邦政府的打擊活動。主要措施包括：一是美國司法部及其他執法部門將率先整合國內法律機構、私營企業及國際合作伙伴，以破壞網絡犯罪基礎設施及資源；二是美國國防部將制定遵循國家安全戰略的新版國防部網絡戰略；三是國家網絡調查聯合特遣部隊（National Cyber Investigative Joint Task Force, NCIJTF）作為摧毀行動的協調中心，將提升其能力。

第二，加強公私部門實操合作以破壞對手。主要措施包括：一是維持和擴大政府聯邦機構和私營部門間合作；二是鼓勵私營部門合作成立非營利組織作為聯邦政府開展行動的作戰中心等。

第三，提升情報共享和受害者通報的速度和規模。主要措施包括：一是SRMAs將與CISA、執法機構及網絡威脅情報集成中心（Cyber Threat Intelligence Integration Center, CTIIC）合作確定情報工作需求和優先事項；二是聯邦政府將審查解密政策和程序等。

第四，防止美國境內的網絡基礎設施被濫用。主要措施包括：一是美國聯邦政府將與云及其他互聯網基礎設施提供商合作以查明美國基礎設施的惡意使用行為；二是政府通過實施相關行政令以解決基礎設施提供商的網絡安全問題。

第五，應對網絡犯罪及挫敗勒索軟件。主要措施包括：一是利用國際合作破壞勒索軟件生態體系，孤立為犯罪分子提供安全避難所的國家；二是調查勒索軟件犯罪，并利用執法部門及其它機構破壞勒索軟件基礎設施和行為者；三是加強關鍵基礎設施彈性，以防御勒索軟件攻擊；四是解決濫用虛擬貨幣進行勒索軟件支付的問題。

支柱3：塑造市場力量以推動安全和彈性

第一，讓管理者為數據負責。主要措施包括：美國政府機構將立法強制及明確限制個人數據的收集、使用、傳輸和存儲，同時該立法還將確保個人數據安全滿足美國國家標準與技術研究院（NIST）的相關標準。

第二，推動物聯網（IoT）設備的安全發展。主要措施包括：一是遵循《2020年物聯網安全改進法案》（IoT Cybersecurity Improvement Act of 2020）,通過聯邦研究與發展、采購、以及風險管理等方式持續改善IoT安全；二是遵循《關于改善國家網絡安全的行政令》，繼續推進物聯網安全標簽項目的發展。

第三，將責任轉移到不安全軟件產品和服務提供商中。主要措施包括：一是政府機構將通過立法明確軟件產品和服務提供商的責任；二是政府機構將推動相關軟件開發安全框架；三是政府機構將采取協調漏洞披露、促進軟件物料清單（SBOM）發展等手段鼓勵采用安全軟件開發實踐。

第四，利用美國聯邦補助和其他激勵措施來強化安全。主要措施包括：一是推動對設計出安全和彈性的關鍵產品和服務的投資；二是優先為旨在加強關鍵基礎設施網絡安全和彈性的研究、開發及示范計劃提供資金等。

第五，充分利用美國聯邦采購來加強問責制度。主要措施包括：繼續通過采購來試行制定、執行和測試網絡安全的新要求，并規定有關司法權限以防止違規行為等。

第六，探索美國聯邦網絡安全保險保障機制。主要措施包括：政府機構將評估聯邦保險對于災難性網絡事件的必要性和可能的架構，以擴充當前網絡安全保險市場等。

支柱4：投資下一代技術

第一，保護互聯網的技術基礎。主要措施包括：一是持續參與標準制定以確保技術具備安全性和有彈性；二是美國及外國盟友和私營部門伙伴將實施多重戰略以促進技術領先；三是美國政府將支持非政府標準制定組織（SDO）發展，包括與行業領軍者、學術機構、專業協會等組織合作來確保新興技術發展等。

第二，重振美國聯邦網絡安全研究與開發。主要措施包括：一是美國聯邦政府將促進研究、開發和示范（research, development, and demonstration (RD &D)）組織，以主動預防和減輕現有和下一代技術中的網絡安全風險；二是對RD &D進行以下三方面的投資，包括：計算機相關技術，包括半導體、量子信息系統和人工智能；生物技術和生物制造；以及清潔能源技術等。

第三，為美國后量子未來做好準備。主要措施包括：一是優先考慮并加快投資，大規模更換易受量子計算機攻擊的硬件、軟件和服務；二是美國聯邦政府將優先考慮將脆弱的公共網絡和系統過渡到基于量子密碼的環境，并制定補充緩解策略等。

第四，保護美國清潔能源未來。主要措施包括：一是聯邦政府計劃部署一個安全、可互操作的網絡，包含電動車充電、零排放燃料基礎設施和零排放公交和校車等場景；二是能源部正努力推動一系列計劃以保證未來清潔能源網的安全，并制定最佳安全實踐以推廣到其他關鍵基礎設施部門，如清潔能源網絡加速行動（CECA）等。

第五，支持數字身份生態系統的發展。主要措施包括：美國聯邦政府將支持對于強大的、可驗證的數字身份解決方案方面的投資，如NIST主導的基于《芯片和科學法案》授權的數字身份研究計劃、各州移動駕照試點計劃等。

第六，制定國家戰略以提升美國網絡勞動力。主要措施包括：國家網絡總監辦公室（ONCD）將負責制定并監督實施《國家網絡勞動力和教育戰略》（National Cyber Workforce and Education Strategy），該戰略將擴大國家網絡勞動力隊伍，并解決網絡勞動力缺乏多樣性的問題。

支柱5：建立國際伙伴合作關系

第一，建立聯盟以對抗對數字生態系統的威脅。主要措施包括：美國與國際盟友建立一系列合作組織，實現所謂安全、開放、民主的數字未來，如美國、印度、日本和澳大利亞的四方安全對話（the Quad）；美國-歐盟貿易和技術理事會（TTC）；美國、澳大利亞和英國的三邊安全和技術協定（AUKUS）以及國際反勒索軟件倡議等。

第二，提升國際合作伙伴能力。主要措施包括：一是美國司法部將繼續建立一個更加強有力的網絡犯罪合作模式；二是美國國防部將繼續加強其軍事伙伴關系以為全體網絡安全態勢做出貢獻；三是美國國務院將繼續協調整個政府，確保聯邦能力建設優先事項在戰略上保持一致，并進一步促進美國、盟國和合作伙伴的利益等。

第三，提升美國協助盟友和合作伙伴的能力。主要措施包括：一是制定政策，以決定何時提供支持可以符合國家利益；二是建立機制，以提供相關業務支持，如在工作中確定和部署部門和機構資源、并在需要時迅速消除現有的財務和程序障礙等。

第四，建立聯盟以推動負責任國家行為的全球規范。主要措施包括：美國聯邦政府將與盟友及合作伙伴協作，對惡意行為者施加手段，包含外交孤立、經濟制裁、法律強制執行等。

第五，保護信息、通信以及運營技術產品和服務的全球供應鏈安全。主要措施包括：一是逐步增加關鍵輸入、組件與系統的國內開發，或與可信任的合作伙伴協調開發；二是確定和實施跨區域供應鏈風險管理方面的最佳實踐，并通過受信任的伙伴實現供應鏈流動；三是通過推動有關行政令的實施，包含《保障信息和通信技術及服務供應鏈》、《保護美國人的敏感數據不受外國對手攻擊》等，以努力防止信息通信技術和服務被敵對政府控制，從而對國家安全造成風險等。

三、特點分析

2023版《戰略》體現出以下4方面特點尤其值得我們關注。

第一，2023版《戰略》是美國承前啟后推進網絡安全戰略思路的重要一環。拜登政府發布的2023版《戰略》，建立在目前已有政策的基礎上，完善了美國網絡安全治理體系。如在互聯網民主意識形態方面，遵循了《國家安全戰略》、《國家國防戰略》等；在網絡安全建設思路方面，延續了《關于改善國家網絡安全行政令》、《關于改善關鍵基礎設施控制系統網絡安全的國家安全備忘錄》、《關于改善國家安全、國防部和情報界系統網絡安全的備忘錄》等。

此外，2023版《戰略》還繼承和發展了歷屆美國政府的戰略舉措，如在關鍵基礎設施領域促進公私部門合作方面，是基于《關于加強聯邦網絡和關鍵基礎設施的網絡安全的行政令》、《關于促進私營部門網絡安全信息共享的行政令》、《關于改善關鍵基礎設施網絡安全的行政令等》以及第21號總統令《關鍵基礎設施安全和彈性》等政策建立的框架。

表 1 美國國家網絡安全戰略政策演進

第二，持續強化重點領域戰略投資舉措。自拜登上任以來，持續加大網絡安全與新興技術方面的投資，如《2023年綜合撥款法案》與《2023財年國防授權法案》明確美國政府預計2023財年在網絡空間安全方面投入近32億美元的資金；《芯片與科學法案》授權2800億美元用于半導體、先進計算和下一代通信等關鍵技術領域投資等。2023版《戰略》也重點強調要“投資和建設未來的數字生態系統”，具體投資方向包括：增強關鍵產品與服務設計的安全與彈性，加強關鍵基礎設施網絡研究和開發的安全與彈性，以及強化半導體、量子信息系統、人工智能等方面的安全建設等。

第三，以聯合手段逐步增強網絡安全聯盟生態。面對網絡安全威脅和風險的日益全球化發展，以往美等國家奉行的“退群”策略逐漸失去市場，取而代之的是對合作與聯合的認同。正如前文分析，這一特點在美國本次頒布的2023版《戰略》中也得到進一步印證。如在關鍵基礎設施領域擴大公私合作規模、加強公私部門實操合作以破壞對手以及建立聯盟以對抗對數字生態系統的威脅等。當然，因受傳統陣營意識等因素影響，網絡安全領域的合作也勢必會是一個相對曲折的過程。

第四，優化網絡安全監管原則壓實主體責任。長期以來，美國在網絡安全方面的監管大多以企業自愿原則為主，這就導致中小企業與個人承擔了大量網絡風險造成的后果。而真正有能力承擔風險的大型公司與政府機構并未得到有效監管。鑒于此類現狀，2023版《戰略》提出強化網絡安全監管，主要包括以下兩方面：一方面，讓管理者為數據負責，如加強立法強制對個人數據安全保護提出要求、確保個人數據安全滿足NIST相關標準等；另一方面，將網絡安全保護責任轉移到軟件產品和服務提供商中，如通過立法明確軟件產品和服務提供商的責任、推動相關軟件開發安全框架以及鼓勵采用安全軟件開發實踐等。

四、影響思考

2023版《戰略》提出的建設內容反映了拜登政府下一步網絡安全治理思路，其對美國網絡安全發展至少會產生以下三方面影響。

一是進一步強化“以攻為守”的網絡安全策略。自克林頓時代起，網絡安全逐漸被納入美國的國家戰略體系中，并在不同總統執政時期呈現出不同的發展風格，基本上遵循了由“防”到“攻”的發展脈絡。特朗普執政時期，美國“以攻為守”的網絡安全策略在立法、政策、外交等諸多領域得到推行。與拜登政府以往奉行的“戰略回調”思路不同，2023版《戰略》體現出更強的“進攻性防御”屬性，如強調美國將“結合金融、外交、軍事、網絡、執法和情報等一攬子舉措來瓦解和摧毀網絡惡意行為體”等。這也反映了拜登政府在網絡安全管理方面風格的轉變，后續或將對美國網絡安全領域的監管方式、合作路徑等方面產生影響。

二是帶動網絡安全技術和應用的市場發展。美國在信息技術的諸多領域長期保持全球領先，其技術和應用布局也無疑會對網絡安全市場產生示范引領。2023版《戰略》明確提出了零信任、人工智能、量子計算、數字身份等相關技術部署，并強調了信息基礎設施、能源網絡、半導體供應鏈等重點領域的戰略意義。相信這些技術和應用，對其國內乃至國外網絡安全相關領域的市場發展都會起到重要的風向標作用。

三是對產業、外交等領域的溢出效應將持續顯現。美國發布2023版《戰略》所涉及的網絡安全重點領域建設方向、管理思路等，也極有可能會引發相關國家的模仿借鑒，啟發其他國家完善自身相應領域的網絡安全建設管理。而在網絡安全重點領域的建設管理模式、路線和重點等方面的趨同，反過來也會在一定程度上強化當前的網絡空間生態，進而潛移默化地強化了以美國為首的產業、技術、研究乃至外交領域同盟、聯盟的發展。

《國家網絡安全戰略》的發布，進一步完善了美國網絡安全總體布局設計，是拜登政府任期內國家網絡安全治理體系發展的一個風向標，后續或將對美國各相關領域產生一系列的較為深遠的影響。