美國發布國家網絡安全戰略實施計劃：69條舉措 明年滾動更新

安全內參7月14日消息，美國國家網絡總監辦公室（ONCD）昨日公布了《國家網絡安全戰略實施計劃》，為18家聯邦政府機構設定了最終期限，推動他們加強網絡安全監管、簡化監管流程。實施計劃還增加了企業對保護關鍵基礎設施免受網絡攻擊的責任。

在實施計劃發布前，代理國家網絡總監Kemba Walden告訴記者，實施計劃共計57頁，為實現國家網絡安全戰略的前瞻性目標提供了一份“路線圖”。拜登政府表示，該計劃有兩個首要目標：確保公共和私營部門中“規模最大、能力最強、地位最有優勢的實體”承擔更多責任，以降低網絡風險；并出臺鼓勵投資網絡安全的長期激勵措施。

實施計劃十分具體，具有指導性。針對需落實的69個舉措，計劃為負責實施變革的各家機構明確分配責任，并制訂近期期限。

Kemba Walden表示：“實施計劃并未涵蓋聯邦政府的所有網絡安全活動，這也不是計劃的初衷。它的主要目的是確定我們在短期內必須完成的關鍵舉措。” 她補充說，計劃反映了政府的信念，即只有通過“全社會參與”才能增強網絡安全。

具體舉措細節

實施計劃的舉措包括，如何更好地打擊網絡犯罪、大幅擴大專業網絡人才規模，并簡化監管指令，明確各聯邦機構負責落實哪些網絡安全目標。

根據該計劃，國家網絡總監辦公室將協調政府范圍內的實施工作，并與管理和預算辦公室（OMB）密切合作，確定支持該計劃舉措所需的資金。

該計劃指派網絡安全和基礎設施安全局（CISA）牽頭更新《美國國家網絡事件響應計劃》，從而更充分地落實“對一個人的召喚就是對所有人的召喚”的政策，并讓非政府伙伴更清楚地了解參與事件響應和恢復的各個聯邦機構的“角色和能力”。

關于備受關注的軟件物料清單（SBOM）舉措，該計劃要求CISA改善軟件透明度，使公司能夠更好地應對供應鏈風險，并指示CISA研究建立一個可以全球訪問的數據庫，幫助追蹤“壽命中止”的軟件。

該計劃還指派國家標準與技術研究所（NIST）創建一個跨機構的全球性組織，負責完善技術和網絡安全標準化。NIST被要求對一個或多個“抗量子攻擊的公鑰密碼算法”進行標準化。

此外，該計劃還強調需要立法破壞網絡犯罪，指派司法部領導多家政府機構推動立法，從而增強政府檢測和破壞網絡犯罪行動的能力。

明年滾動更新

Kemba Walden表示，計劃中的一些舉措已經完成，包括提交擬議法規正式成立網絡安全審查委員會并授予其法定權限。她說，其他工作已在實施，并強調國家網絡總監辦公室即將發布一項全國網絡人才和教育戰略。

Kemba Walden將該計劃描述為一份“活的文件”，表示它將隨著威脅形勢的變化和已完成舉措引發的新行動需求而不斷演變。例如，隨著計劃得到落實，明年的計劃將進一步要求管理和預算辦公室領導行政機構的現代化工作。

Kemba Walden強調，該計劃將改善政府應對具體事件的能力，例如最近外國黑客利用微軟云郵件服務漏洞獲取美國和歐洲政府工作人員賬戶一事。她贊揚CISA與微軟合作解決這一問題，并迅速與聯邦調查局合作發布了公告來提醒公眾。

Kemba Walden說：“這正是國家網絡安全戰略的核心，更是實施計劃的核心。公共部門和私營部門之間的合作，能夠讓故障時間最小化，避免災難性影響。”

一些專家認為，該計劃在云計算安全方面應更加有力。最近，大西洋理事會發布最新報告，呼吁采取行動更好地保護云基礎設施。這讓云服務安全成為新聞焦點。

前美國網絡空間日光浴委員會執行董事Mark Montgomery表示，雖然他認為實施計劃是將戰略語言轉化為有效的、可衡量的政策目標的“卓越努力”，但他希望看到“通過制定法規或者設立目標明確的集體標準，更全面地對待云計算安全”。

計劃發布前，一位高級政府官員對記者表示，計劃中關于云安全的條款有助于早日實現最佳實踐。“我們可以拿出這些條款，告訴服務提供商，這些配置就是我們希望的最佳實踐。”