2021年美國網絡空間戰略概覽與分析
2021 年初,拜登政府上臺后,在網絡空間領域密集出臺了多份戰略規劃文件,其中涉及網絡空間安全的高達 26 份,發布機構包括聯邦政府、國防部及各軍種在內的 11 個機構部門。著眼國家網絡空間安全統籌能力提升,拜登政府以頂層戰略、機構調整、防御模式等方面為切入點,全面推進美國網絡空間能力提升與發展。
12021 年美國網絡空間戰略文件概覽
不同于特朗普政府在上臺一年內迅速頒布新版《國家安全戰略》《國家網絡戰略》和《國防部網絡戰略》等文件,拜登政府執政一年來,頂層戰略層面僅出臺了《國家安全戰略臨時指南》(以下簡稱“臨時指南”)。
在臨時指南牽引下,白宮、國土安全部、各軍種出臺多份子層戰略文件。總體上看,所呈現特點如下文所述。
一是拜登政府的頂層戰略文件在網絡空間重點領域的布局與上屆政府的部署具有延續性。臨時指南在網絡空間安全的戰略地位、公私合作、關鍵基礎設施防護、國際合作以及威懾戰略等方面,與上屆政府相關戰略文件中的描述基本相同(如表 1 所示)。在頂層戰略體系上具有延續性,例如,將解決關鍵基礎設施網絡安全風險列為重點任務,都將追究惡意網絡行為者的責任并通過網絡和非網絡手段施加大量成本等。
表 1 拜登政府與特朗普政府網絡戰略延續性分析
二是聯邦政府部門與國防部和各軍種則各有側重,前者聚焦關鍵基礎設施保護和新興技術發展,后者聚焦數字化轉型和智能化技術應用。如圖 1 所示,在聯邦政府部門方面,美國白宮出臺《關于加強國家網絡安全的行政命令》等4 份戰略文件;情報總監辦公室(Office of the Director of National Intelligence,ODNI)頒布《美國情報界 2021 年威脅評估》;美國國家安全局與國家情報總監辦公室、國土安全部等部門聯合出臺《5G 基礎設施的潛在威脅向量》;國土安全部發布《人工智能與機器學習戰略計劃》,分別對聯邦關鍵信息系統保護、威脅信息共享、5G 關鍵基礎設施網絡安全等問題進行了整體部署,不斷提升聯邦政府的網絡安全防護能力和風險應對能力。在國防部和各軍種方面,國防部出臺《反小型無人機系統戰略》;陸軍頒布《陸軍數字化轉型戰略》《陸軍統一網絡計劃》;海軍發布《海軍智能自主系統科技戰略》;空軍發布 AFDP-1 條令,美國國防部和各軍種加速國防部數字現代化進程,全力提升以網絡攻防能力為核心的競爭優勢。
圖 1 美國 2021 年網絡空間領域戰略發布機構概覽
三是以關鍵基礎設施網絡安全防護、人工智能、網絡攻防、數字化轉型等領域為重點,納入政府和國防部多個戰略文件中進行布局。如圖 2 所示,在關鍵基礎設施網絡安全防護領域出臺了《關于加強國家網絡安全的行政命令》(以下簡稱“行政令”)《改善關鍵基礎設施控制系統網絡安全備忘錄》等 6 份戰略文件,重點圍繞選舉基礎設施安全、電網基礎設施網絡安全等優先領域進行布局;在人工智能領域出臺了《人工智能與機器學習戰略計劃》《反小型無人機系統戰略》等 5 份戰略文件,為如何有效應對基于人工智能和機器學習技術的軍事應用所帶來的機遇和挑戰提供了可行建議;在網絡攻防領域頒布了《網絡空間日光浴委員會第 6 號白皮書:打擊美國面臨的虛假信息》《國家海上網絡空間安全行動計劃》等 5 份戰略文件,強調增強威脅情報和信息共享,同時聚焦發展多域作戰、無人和反無人作戰等理念;在數字化轉型領域出臺了《陸軍數字化轉型戰略》《陸軍統一網絡計劃》等 4 份戰略文件,提出通過建立賦能多域戰的統一網絡,使部隊為多域作戰做好準備。
圖 2 2021 年美國網絡空間戰略文件技術領域分布
2拜登政府網絡空間領域戰略舉措和布局重點
繼拜登政府在臨時指南中表示“網絡安全是第一要務,提升網絡安全在聯邦政府的重要性”之后,在行政令中再次強調“網絡安全為聯邦事務優先項”,從政策上明晰了網絡安全的地位。美國聯邦政府聚焦提升國家對網絡威脅的整體防御能力,國防部和各軍種重點發展提升聯合作戰部隊競爭優勢的網絡現代化能力,各有側重,全力推進網絡空間能力發展。
2.1 拜登政府網絡空間領域戰略新舉措
一是出臺網絡空間安全綱領性文件。雖然拜登政府暫未頒布新版國家網絡戰略,但在上臺一年內也陸續簽署了多份綱領性文件,包括《關于加強國家網絡安全的行政命令》《改善關鍵基礎設施控制系統網絡安全備忘錄》《關于保護美國人的敏感數據不受外國敵對勢力侵害的行政命令》《確保美國供應鏈安全行政命令》等,明確了聯邦政府在關鍵基礎設施防護、數據安全、供應鏈安全等方面將加大力度,初步打造了以“行政命令”“備忘錄”為核心的網絡安全系列政策。
二是優化國家網絡空間安全機構設置。拜登政府上臺后最突出的舉措就是對管理國家網絡安全事務的重要機構和關鍵崗位進行了相應調整與改革。首先,設立了負責網絡和新興技術的國家安全顧問,代表總統負責統籌協調聯邦政府各機構和部門的網絡安全事務;其次,依據《2021 年國防授權法案》設立國家網絡總監,擔任美國總統在網絡安全及相關新興技術領域的首席顧問,統領國家網絡安全戰略的制定和網絡空間事務的發展;最后,通過“行政令”設立網絡安全審查委員會,負責審查和評估影響聯邦信息系統或非聯邦系統的重大網絡事件、威脅活動、漏洞、應對活動和機構響應。
三是加快構建“政府整體”的國家防御模式。強調部門協作、公私合作以及國際協同的網絡空間“政府整體”模式,是拜登政府應對網絡安全風險的國家防御模式。2021 年 1 月,美國網 絡 空 間 日 光 浴 委 員 會(Cyberspace Solarium Commission,CSC)發布《對拜登政府的網絡安全建議》,其中對拜登政府上任頭 100 天優先事項建議“加強現有政府網絡安全工作的一致性、影響力以及與私營部門的合作”;同年 5 月,拜登簽署行政令,要求建立網絡安全審查委員會,由國土安全部新設立的網絡安全與關鍵基礎 設 施 安 全 局(Cybersecurity and Infrastructure Security Agency,CISA)擔任總協調的角色,聯合國防部、司法部、國家安全局、聯邦調查局以及私營部門評估重大網絡事件,審查各機構的安全響應計劃,全面打通聯邦政府部門和私營部門,協同抵御網絡空間威脅。
2.2 聯邦政府重點提升國家對網絡威脅的整體防御能力
一是高度重視關鍵基礎設施網絡安全。拜登上臺之初,針對關鍵基礎設施的供應鏈攻擊、勒索軟件攻擊等威脅“輪番上演”,加之在新冠肺炎疫情的催化劑作用下,關鍵基礎設施的網絡安全問題很可能成為民眾對新上任政府執政能力評估的一個重要“端口”,因此,保護關鍵基礎設施的網絡安全成為拜登政府施政網絡空間的首要議題拜登政府細化了 5G 安全、工業控制系統安全、電力網安全等重點領域的防護要求。在 5G 安全防護方面,美國國家安全局與國家情報總監辦公室、國土安全部等部門聯合發布《5G 基礎設施的潛在威脅向量》,圍繞政策標準、供應鏈和 5G 系統架構介紹了每個主要的威脅向量的子威脅,可見,美國已啟動對 5G 部署的風險評估工作,以防范 5G 基礎設施在開發和部署中的國家安全風險。在工業控制系統安全防護方面,白宮發布《改善關鍵基礎設施控制系統網絡安全備忘錄》,提出建立“工業控制系統網絡安全倡議”,制定“關鍵基礎設施網絡安全目標基線”等要求,以顯著提升關鍵系統的網絡安全。在電力網安全防護方面,美國政府問責署發布了一份“電網網絡安全”的研究報告,分析了電網配電系統面臨的網絡攻擊風險以及此類攻擊潛在的影響規模,并建議能源部與國土安全部、各州和業界協調,更全面地解決電網配電系統中面臨的網絡風險。
二是提升國家抵御網絡空間新威脅的能力。2020 年,ODNI 發布《國家反情報戰略》,重點分析了網絡行動、媒體操縱、政治顛覆等網絡惡意行為給國家安全帶來的巨大影響。為避免“網絡干預選舉”事件的再次發生,美國高度重視網絡空間意識形態斗爭問題。在打擊數字操縱方面,2021 年 4 月,ODNI 在發布的《美國情報界 2021 年威脅評估》中指出,在網絡威脅方面要高度重視數字操控逐漸泛濫,尤其是利用數字工具來監視其公民、控制言論自由、信息操縱等活動。在打擊虛假信息方面,CSC 在2020 年 3 月的最終報告中呼吁美國政府建立抵御外國惡意虛假信息的能力;2021 年 12 月,CSC 發布《網絡空間日光浴委員會第 6 號白皮書:打擊美國面臨的虛假信息》,再次強調增強個人及社會對虛假信息和惡意外國影響勢力的抵御能力。
三是重點聚焦核心供應鏈安全。供應鏈安全問題是美國近兩屆政府都密切關注的問題,拜登上臺后,再次將供應鏈安全問題列為重中之重,尤其是軟硬件供應鏈安全。緣由在于全球供應鏈體系的構建對網絡安全主動權的掌握具有強相關性,本質上也是為了保持在網絡空間安全領域的主導權和控制力。2021 年 2 月,拜登簽署《確保美國供應鏈安全行政命令》,要求對幾類核心產品的供應鏈展開為期 100 天的 風 險 審 查。同 年 4 月,CISA 和 國 家 標 準 與技 術 研 究 院(National Institute of Standards and Technology,NIST)聯合發布《防御軟件供應鏈攻擊》報告,對軟件供應鏈進行界定,并提出與軟件供應鏈攻擊相關的信息、關聯風險以及緩解措施。同年 5 月,拜登簽署的行政令尤其關注軟件供應鏈安全和威脅信息共享,明確優先解決“關鍵軟件”(即與執行信任授權等功能相關的軟件)供應鏈安全問題;同時,要消除共享威脅信息的障礙,讓公私部門迅速共享威脅情報、數據和漏洞信息等,以實現更有效的網絡安全風險防御能力。四是大力推進人工智能、零信任安全、量子計算等新興技術發展。2021 年 5 月,拜登簽署的行政令中提出要加強聯邦政府網絡安全現代化的相關措施。同月,拜登政府公開 2022 年預算概要文件,其將網絡空間事項部署在“創新和現代化”板塊,重申網絡空間能力建設應緊密圍繞前沿技術的創新。在人工智能技術方面,2019 年,美國出臺了 3 份人工智能重磅文件,全力支持和資助人工智能領域的技術創新與軍事應用,2021 年,國土安全部發布《人工智能與機器學習(AI/ML)戰略計劃》白皮書,從先進可靠的人工智能、不斷更新的人機合作以及利用 AI/ML 技術的安全網絡基礎設施 3 個方面,具化了推動下一代 AI/ML 技術發展的目標。在零信任安全方面,2021 年,國家安全局發布《擁抱零信任安全模型》指南,建議將零信任安全架構部署到美國國防部和與其關聯組織的所有關鍵網絡與系統中,以更高效地保護其網絡和數據的安全;同時,行政令重點提出以零信任架構為基礎的云計算環境作為網絡安全現代化的核心,將零信任架構應用到聯邦民事網絡系統與基礎設施中。總體來看,聯邦政府首次投入大量資源發展零信任架構,并且增加了對增強網絡防御能力項目的經費投入。
2.3 美國國防部和各軍種重點發展提升部隊作戰優勢的網絡現代化能力
一是美國國防部發布“反無人機戰略”,旨在通過創新和協作增強分層防御能力。美軍認為小型無人機呈指數級增長,未來可能會導致其在全球各地遭遇先進小型無人機系統的戰術攻擊。2021 年 1 月,美國國防部發布《反小型無人機系統戰略》,提出采用基于風險的方法開發裝備型和非裝備型解決方案,最大限度地提高反小型無人機能力,并通過創新和協作的方式增強聯合部隊能力,增加分層防御能力,以保護國防部人員、資產和設施的安全。
二是海軍發布“無人作戰框架”,加速交付可信可靠的無人系統。2021 年 3 月,海軍部發布《無人作戰框架》,該框架是無人系統領域的首個頂層發展大綱,提出了海軍和海軍陸戰隊的發展愿景,使無人系統成為海軍結構中可信和可持續的一部分,快速集成以提供殺傷力、可生存和可擴展的作戰效果,支持未來的海上任務。可見,伴隨人工智能技術的飛速發展,美海軍在面向海上與聯合作戰中,可以全面發展有人 / 無人編組協同作戰能力;同時,要加快構建數字基礎設施,實現快速和規模化集成無人系統,為部隊持續打造和拓展無人系統能力。
三是陸軍發布“數字化轉型戰略”,加快建立一支數字使能、數據驅動型陸軍部隊。2019年 7 月,美國國防部發布《數字現代化戰略》,闡述了國防部向更加安全、高效的國防部數字化環境轉型的目標和實現途徑。2021 年 10 月,為進一步指導陸軍的數字化轉型工作,使之更好地適應數字化戰爭和多域作戰,美陸軍發布《陸軍數字化轉型戰略》和《陸軍統一網絡計劃》。一方面,從頂層設計上全力推進軍隊現代化和戰備、優化和調整數字化投資結構、人才和伙伴關系等 3 個目標;另一方面,從部隊建設上統一作戰環境、統一服務基礎設施、統一傳輸層、統一網絡作戰和統一網絡防御能力,確保陸軍為多域作戰做好準備。
3結 語
從系列戰略中可以看出,自 2021 年 1 月拜登政府上任以來,自上而下體系性地調整了網絡空間安全領域的發展,既有延續上一任政府的戰略舉措,也有其重點統籌發展的新舉措。縱觀拜登政府 2021 年全年的網絡安全戰略政策,在宏觀層面,尤其注重“政府整體”模式的國家防御能力的提升,深化聯邦政府部門之間及與私企和國際伙伴之間的合作以強化網絡防御;在微觀層面,尤其注重網絡安全實踐的操作準則和實施細節,多份頗具細粒度的細則文件從執行層面響應并細化了美國網絡空間頂層戰略文件。值得一提的是,根據 2019 年《國防授權法案》,美國網絡空間日光浴委員會第一屆任期在 2021 年 12 月底到期,這個為期兩年多的組織積極促成了多項網絡空間重大成果,如設立國家網絡總監、擴大 CISA 的權限等。雖日光浴委員會首屆到期,但日光浴委員會 2.0 計劃(CSC 2.0)將在 2022 年啟動,這也是以非營利性組織推動國家網絡空間能力發展的新起點,我們將持續關注。
引用本文:羅仙 , 張玲 , 胡春卉 .2021 年美國網絡空間戰略概覽與分析 [J]. 信息安全與通信保密 ,2022(3):80-87.
作者簡介 >>>
羅 仙,女,碩士,工程師,主要研究方向為網絡安全戰略研究;
張 玲,女,碩士,高級工程師,主要研究方向為網絡安全戰略研究;
胡春卉,女,碩士,高級工程師,主要研究方向為網絡安全戰略研究。
選自《信息安全與通信保密》2022年第3期(為便于排版,已省去參考文獻)
