美国第五号白皮书:对拜登政府的网络安全建议(全文) – 作者:kirazhou

在美国网络空间日光浴委员会(CSC)相继发布《疫情中吸取的关于网络安全的教训》、《网络安全劳动力发展战略框架》、《如何确保美国信息和通信技术供应链安全》等四份白皮书之后,2021年1月16日,CSC发布第五份白皮书《对拜登政府的网络安全建议》,这份白皮书旨在为即将上任的拜登-哈里斯政府提供网络空间安全方面的指导,明确新政府早期可能在网络空间采取的策略,并提出未来几个月和几年的行动重点。

这些建议涵盖了对外将与美国的盟国合作,建立统一的网络防线;在IT和通信技术领域形成类似北约的联盟;对内与美国的私营企业合作,加强对私营企业的监管,明确私营企业在网络安全上的义务;直接派遣外交官参与全球IT和通信技术标准的制定,力求让美国在技术标准领域拥有绝对的话语权;明确要求将中国企业封杀在关键IT和通信设备供应链之外。

这份报告在编写机构,方法论,战略规划,具体实施建议等方面,与上世纪50年代启动美苏冷战战略的“日光浴计划”如出一辙,几乎拥有同等分量。

一、引言和背景

数字互联在给美国带来经济增长、技术优势和生活质量改善的同时,也造成了战略困境。美国需要在具备数据安全性和弹性的可信网络环境下运行,但目前美国政府和私营部门都无法提供。此外,美国政府内部、公共和私营部门在灵活性、技术特长和统一行动方面的缺陷也不断凸显。

20多年来,主权国家和非国家行为体一直在利用网络空间来破坏美国的政权、安全和生活方式,这些网络攻击的实施者利用美国网络空间系统和战略的弱点,并评估如何在不引起美国报复的前提下对美国造成损害。美国的克制遭到了肆无忌惮的践踏。美国网络空间日光浴委员会是根据《2019财年国防授权法》由约翰•麦凯恩领导成立的,旨在应对这些挑战,并就“在网络空间保护美国免受后果严重的网络攻击的战略手段”达成共识。

为了完成这一使命,该委员会于2020年3月发布了一份报告,概述了美国政府的战略方针和80多项建议。在编写报告的过程中,该委员会召集了来自工业界、学术界、联邦、州级和地方政府、国际组织以及智库的300多名相关人员;他们通过一系列的红队审查和基于场景的活动对上述建议进行了压力测试。在Solarium事件之后,委员会对每项战略及其支持性政策建议进行了评估,并提供了正式反馈。工作人员将这些反馈编制成册,以备今后进一步完善建议。

在报告终稿发布的几个月里,委员会和工作人员制定了立法提案,为其建议提供支持,他们还与众议院和参议院的相关委员合作,执行委员会的最初建议。此外,委员会发布了四份白皮书,其中包含新的和更新的建议,内容涉及从疫情中吸取的关于网络安全的教训、对国家网络总监建议的细节、网络安全劳动力发展战略框架,以及关于如何确保美国信息和通信技术供应链安全的建议。委员会的许多重要建议已被纳入立法,但要应对我国面临的紧迫挑战,仍有更多工作要做,相信通过协调和深思熟虑的行动后可以取得很大成就。

这份白皮书旨在为即将上任的拜登-哈里斯政府提供指导,明确新政府早期可能在网络空间采取的策略,并提出未来几个月和几年的行动重点。委员会的最终报告和附带的白皮书将更详细地讨论这本小册子中的建议。

二、优先事项:拜登政府上任头100天

在上任的头100天里,拜登-哈里斯政府将启动三个进程,把网络安全提升为政府的当务之急,降低美国遭受网络攻击的可能性并减轻影响力。

(一)设立国家网络总监办公室

目前很多委员会、倡议和研究都建议构建一个更加健全和制度化的国家级机制,以协调网络安全和相关新兴技术的问题,监督行政部门制定和实施综合国家网络安全战略。由于新兴技术以及网络空间相关问题变得更加复杂,对美国国家安全构成更大威胁,总统对合理建议和及时选项的需求将变得越来越重要。

为了确保白宫拥有强大、稳定和专家领导的网络安全领导能力,拜登-哈里斯政府应在头30天内提名一位参议院认可的国家网络总监,并着手建立国家网络总监办公室。《2021财年国防授权法》(NDAA)设立了国家网络总监职位和国家网络总监办公室。作为总统行政办公室的下设职位之一,国家网络总监是经参议院批准的总统顾问,其担任着多项重要职务,包括:

(1)担任总统在网络安全和相关新兴技术问题上的首席顾问;

(2)领导制定国家网络战略,并确保其在各部门和机构的实施,包括评估机构预算和确保机构间行动的有效整合;

(3)监督和协调联邦政府在对抗网络行动中保护美国的行动,包括作为与私营部门、州、地方、部落和属地联系的主要联络点;

(4)经国家安全顾问或国家经济顾问同意,召集和协调内阁级或国家安全委员会主要委员会级会议及相关筹备会议。

作为建立国家网络总监办公室的一部分,拜登-哈里斯政府应明确白宫负责网络和新兴技术的国家安全副顾问和国家网络主管之间的关系、角色和责任。委员会认为,这类角色相辅相成,共同确保国家安全顾问在评估和执行支持国家安全目标的全国战略时发挥良好作用。国家安全副顾问将代表“按《美国法典》第10编和第50编开展网络行动”的各部门和机构的利益,展示这些部门和机构的能力,并在它们和国家安全委员会之间起着重要的桥梁,确保国家网络总监对这些部门的网络行动有充分了解。国家网络总监应专注于协调、支持和消除行政部门领导的国家网络安全和防御型网络行动的冲突。

在此过程中,国家网络总监应负责白宫与私营部门的接触,建立信任和推进共同利益,并应在国内外网络问题上代表政府。与此同时,拜登-哈里斯政府还应评估并更新第41号总统令,以指定国家网络总监作为联邦网络事件响应工作的主要协调人,明确国家网络总监向国家安全顾问提供综合建议政策和行动的责任。此外也应更新对网络安全有影响的其它规则制定流程,以便让国家安全总监参与进来。

(二)制定并颁布国家网络战略

一旦国家网络主管到位,拜登-哈里斯政府应开始制定和颁布新的美国国家网络战略。《2018年国家网络战略》是近15年来发布的第一份美国国家网络安全战略,也是美国历史上第二份。

任何有效的网络空间战略都需要联邦政府、州政府和地方政府以及私营部门等多个利益攸关方的协调努力,这些利益攸关方都有责任在这一领域保护和捍卫美国。因此,战略必须明确地调整和同步利益相关者的战略目标,确定将战略付诸实施的努力方向,明确各项工作的优先顺序,并制定共同的风险原则。此外,该战略应该将目前支撑国防部2018年网络战略的“前向防御”概念纳入更广泛的美国网络战略。该战略应使前向防御成为综合方法的一个组成部分,该方法不仅包括使用严格的军事能力,还包括使用所有国家权力工具:包括经济、执法、外交工具以及针对盟友和对手的手段。

新的国家网络战略应阐明一种架构,通过分层网络威慑成功地瓦解和阻止美国的对手进行重大网络攻击,并应提出以下方法和手段:(1)构建对手行为,(2)拒绝对手优势(3)增加对手成本。虽然威慑是美国持久的战略,但有两个因素使分层网络威慑变得大胆而独特。首先,这种方法优先考虑通过拒绝来威慑,特别是通过弹性和公私部门合作来增强网络空间的防御和安全,减少对手可能瞄准的漏洞。第二,该战略纳入了上文讨论的“前向防御”的概念。

最后,新战略应该纳入一个针对美国的多层级的具有标志性意义的战略和一个新的具有宣言性意义的政策。这个具有标志性意义的战略应阐明这样一种框架,即能明确传达美国政府将在何时和何种条件下自愿披露网络作战和行动,以便向各类受众传达其能力和意图。宣言性政策应明确指出美国将利用网络和非网络能力进行反击,而且针对敌方网络活动的代价必须控制在使用武力的门槛以下。从根本上说,美国政府应公开宣布它将实施前向防御,并应该将这种宣称与在国家各个权力层面实施的果断和一致的行动结合。

(三)加强现有政府网络安全工作的一致性、影响力以及与私营部门的合作

虽然各个私营实体以及州、地方、部落和区块政府负责其网络的防御和安全,但美国政府必须利用其独特的权力和资源以及外交、经济、军事、执法和情报能力来支持上述机构的防御工作。此外,正如“太阳风”(SolarWinds)事件所表明的那样,联邦政府部门和机构必须加强其能力,以防止网络事件,并在事件发生时识别、检测和有效应对它们。为了提高美国政府在网络空间保卫自己以及与私营实体和其它关键角色合作这二方面的能力,拜登-哈里斯政府应强化网络安全和基础设施安全局(CISA)内部的综合网络中心,并建立联合网络规划办公室。

1.审查联邦机构2022财年网络安全预算拨款

“太阳风”大规模黑客攻击暴露了迫切需要改善联邦部门和机构以及联邦网络安全中心的网络安全。通过国家网络总监,拜登-哈里斯政府应对联邦机构网络安全预算进行90天的审查。预算审查应确定联邦部门和机构内部网络安全运营和规划的现有预算,并应评估当前分配的金额与完成规定任务所需的金额之间的差距。它应该检查机构企业网络安全和《联邦信息安全管理法》的预算以及机构网络安全规划的预算。

审查范围还应包括各机构执行新任务所需的预算,包括2021财年NDAA对网络安全和基础设施安全局以下项目的预算,包括:(1)在联邦信息系统中寻找和识别威胁和漏洞;(2)提供服务、功能和能力以协助联邦机构;以及(3)部署、操作和维护安全的技术平台和工具,包括网络和常见的业务应用程序。此外,审查应评估行业风险管理机构的现有预算是否足够,以适应2021财年NDAA法规对其角色的新要求。

2.强化CISA的综合网络中心

2021财年NDAA要求对联邦网络中心进行审查,并加强CISA新兴的综合网络中心。为了真正落实与私营部门的网络安全合作,拜登-哈里斯政府应执行这一任务,强化CISA的综合网络中心,指定其为负责资产响应活动的网络安全中心,并改善其与其它主要联邦和私营网络和网络安全中心的联系。这样做将确保协作和整合的系统、流程和人员等各要素在关键基础设施网络安全和弹性任务的业务支持中充分发挥作用。CISA的网络任务最初是想构建一个国家网络安全和通信一体化中心,计划作为美国政府的主要协调机构,负责在网络安全行动中打造政府一体化、公私合作。然而,由于设施和人事政策不足、资源不足、缺乏其它联邦部门和机构的支持、国会对其相对于其它机构的作用和地位模糊不清以及对私营部门的支持和与私营部门的整合不一致,CISA全面执行这一任务的能力在体制上受到限制。

3.在CISA内部建立联合网络规划办公室

除了呼吁建立一个更强大的综合网络中心来进行实时网络防御,2021财年NDAA还要求在CISA建立“联合网络规划办公室”(JCPO),以制定计划和协调演习。在2021财年的国土安全部法定经费中,有1056.8万美元将用于此项工作。拜登-哈里斯政府应在CISA领导下建立JCPO,以协调整个联邦政府以及公共和私营部门之间的网络安全规划和准备工作,为重大网络事件和恶意网络活动做准备。从由国家网络主管监督的国家网络战略中获取战略指导,JCPO应由中央规划人员和来自综合网络中心的代表组成,以及来自拥有网络作战能力和/或负责保护关键基础设施的其它联邦机构的代表组成。联合反恐行动计划应旨在促进各机构对防御性、非情报性网络安全活动的全面规划,将这些规划工作与私营部门的规划工作相结合,并由CISA管理和主办。

4.为行业风险管理机构确立预期和责任

2021财年NDAA将特定行业机构从法律上归为行业风险管理机构(SRMA),并且为这些与关键基础设施部门保持联系的重要机构设定了基准预期和责任。这是建立政府结构的关键的第一步,使政府能够在网络安全方面向私营部门提供更成熟的支持。拜登-哈里斯政府应执行《2021财年国防授权法》中关于行业风险管理机构的规定,并通过改写总统第21号指令政策以及阐述SRMA机构的期望和责任来提高SRMA应对威胁的能力。拜登-哈里斯政府在头100天内将这样做,以便SRMA可以利用这一年的剩余时间来了解他们的新职责,并提交与这些职责相一致的预算请求。

三、100天后的优先行政举措

在前100天内确立了白宫的领导和协调体制以及国家网络安全战略后,拜登-哈里斯政府接下来就应优先关注七个方面的网络安全问题。

(一)恢复美国在网络领域的国际领导地位

我们可以看到,美国在网络安全问题上的国际领导地位正日益衰弱。尽管美国的外交官一直在按部就班地与世界各地的其它政府和组织接洽,但除非为他们提供足够的资源并优先考虑此类事项,否则这些接洽工作的效果就不尽如人意。若要形成稳定的全球体系,并让对手和盟友都在网络空间内规矩行事,那么国际合作就必不可少;而要想切实且持续做到这两点,则多半还必须建立覆盖全球的网络安全能力。为此美国可以加强与美国站在同一阵线的民主联盟,并与盟友和志同道者组成新的联盟,从而一同在网络空间内激励各国作出负责任的行为,让恶意攻击者付出沉重代价,以及动员各国共同应对全球网络威胁。

1.组建网络空间政策与新兴技术局

既然拜登-哈里斯政府将网络安全视为首要的国际政策问题之一,就理应为此组建网络空间政策与新兴技术局(CPET)。CPET的机制和资源理应满足领导国际联盟的需要,并由其负责实施方方面的美国网络安全战略。按照2019年提出的《网络外交法》(Cyber Diplomacy Act)所概述的结构和责任,CPET必须有权在诸多问题上发挥领导作用,包括倡导负责任的网络空间国家行为规范,加强互信措施,通过外交手段与国际社会一同应对网络威胁,推动建立由多个利益攸关方共同治理、开放且可互操作的互联网模式,通过国际合作来确保数字经济安全,培养合作方/盟友提升网络安全和打击网络犯罪的能力,以及承担国务卿下达的其它任何任务。

2.扩大美国政府在能力建设、规范和互信措施方面的支持范围

一旦组建CPET,拜登-哈里斯政府就应借助该局来扩大美国政府在能力建设、规范和互信措施的支持范围。国际社会已在联合国等场合上表态同意制定网络规范,但这些规范的实施力度各不相同。在CPET牵头下,美国政府应在照顾到多个利益攸关方的前提下,逐行业地实施规范,在国家元首的层级上主导关于网络安全规范的讨论,并在联合国及其它场合参与各类广泛性论坛和专业性论坛。拜登-哈里斯政府应与国会合作,确保CPET拥有必要的人力、资源和权限来开展能力建设,从而激励和支持各国在网络空间内作出负责任的行为。

此外国务院应继续制定和实施地区层面和全球层面的网络互信措施,并籍此与私营机构等非国家的利益攸关方进行接触。在建设国际网络安全能力的同时,美国政府还应该确保这种能力建设工作在美国的对外政策中发挥不可或缺的作用。美国将以建立国际伙伴关系和国际联盟的方式开展能力建设和拓宽国际合作,进而向恢复美国的领导地位迈出关键一步。

3.更积极且更有效地参与国际信通技术标准讨论

除了围绕规范和CBM进一步开展工作外,美国政府还必须更积极且更有效地参与关于国际信通技术(ICT)标准的讨论。拜登-哈里斯政府应为此与国会合作,以确保联邦部门/机构拥有所需的资源和权力,从而促进联邦政府、学术界、专业协会和行业的人士深度参与关于制定信通技术标准的讨论。为提高参与效果,美国政府还应在讨论信通技术标准之前和期间主动与各行各业的利益攸关方接触。此外行政部门的领导人不仅应派出技术专家和标准专家参与各类信通技术标准论坛,还应派出外交官参与此类论坛。

(二)投入更多必要人手来抵御恶意网络攻击

目前公共部门的网络安全职位缺口多达37000多人。鉴于公共部门已雇佣了56000多名网络安全专业人员,这一缺口意味着公共部门缺少约三分之一的网络安全人员。另一方面,企业的网络安全职位缺口更是接近50万人10。在2009年时,为填补联邦政府的网络职位缺口,有专家呼吁白宫网络安全协调员制定联邦级的网络劳动力战略11;然而12年后,美国联邦政府仍既未制定有效的网络劳动力战略,也未明确由谁负责制定和实施此类战略。

1.建立劳动力领导与协调体制

美国政府中的许多部门和机构都在采取措施招募网络工作人员,但并没有中央层面的领导或战略来协调这些工作。为此拜登-哈里斯政府应组建两个联邦网络劳动力开发机构,并与这些机构合作起草一项联邦网络劳动力战略。首先,美国政府应组建一个网络劳动力指导委员会(CW-SC),由国家网络总监担任该委员会主席,其成员则应包括来自管理与预算办公室(OMB)、人事管理局(OPM)、国家网络安全教育倡议、国家科学基金会、网络安全与基础设施安全局(CISA)和国防部(DoD)的代表。CW-SC应提供出自领导层的战略指导和直接资源,以确保整个联邦政府协调一致地开发网络劳动力。

除此之外,对所有部门和机构开放的“网络劳动力协调工作组”则应负责解决各种项目的日常开发和运营问题,同时确保这些项目获得特许和资源,并遵循指导委员会确立的战略方向。国家网络总监应与这两个机构及教育部(教育部在加强全美的网络劳动力开发方面也发挥着重要作用)等其它联邦部门/机构合作制定一项网络劳动力战略,以减少重复工作,确保从战略角度分配资源,以及减轻各机构对人才的争夺程度。在设立这些机构并制定劳动力战略后,国家网络总监便可在倡导有效整合劳动力开发方面发挥核心作用。

2.确保美国政府能在网络工作方面拥有特殊的招聘权限和制定灵活的付薪制度

在使用网络人才方面,不同联邦机构有着不同的招聘权限和付薪制度。许多部门和机构费尽心思制定和使用了一套复杂的职业编码与权限制度,另一些部门则完全抛弃了这一套,转而建立了其特有的人事管理制度。为了形成开发未来联邦网络劳动力所需的灵活性和创新性,拜登-哈里斯政府应致力于消除既有障碍,使所有联邦部门都能拥有特殊的招聘权限和制定灵活的付薪制度。

在2018年和2019年发布的报告中,政府问责局概述了联邦网络岗位定密方面的挑战,而正是这些挑战妨碍了各部门拥有特殊的招聘权限和制定灵活的付薪制度12。OPM后来提供了一些信息,以帮助联邦管理人员利用这些报告开展工作。拜登-哈里斯政府应评价OPM的工作,以判断现有制度是否能有效管理网络人才。如果不能,美国政府就应该指示OPM设置一系列网络职位,以更好地利用特殊的招聘权限和灵活的付薪制度。

3.扩大“网络企业服务奖学金”计划范围

“网络企业服务奖学金”(SFS)计划是一项经济且可放大的网络人才培养计划,并立足于现有学院和大学的教育基础设施。不过近年来其预算始终没有增长,以至于阻碍了SFS最大限度地发挥其潜力。在向国会提交的预算申请中,拜登-哈里斯政府应优先考虑该“服务奖学金”的需求,以(1)增加参与该计划的学院和大学的数量,以及(2)增加参与机构所授奖学金的数量。受现实条件的限制,美国政府只能逐步扩大该计划的范围:在10年时间内,其预算的年均增幅应比通货膨胀率高出20%到30%,这意味着该计划在2022财年的预算将达到8000万美元。为推动网络劳动力的多样性(目前这种多样性明显不足),美国政府还应尽量努力鼓励以少数族裔为主的机构参与该计划。

(三)加大我国在基础设施弹性方面的投资

网络领域中对对手有吸引力的大部分资产、功能和实体由私营部门拥有和运营;因此,赛博防御虽然是一项共同的责任,但在很大程度上取决于私有网络和基础设施的拥有者和运营商的努力。

1.启动经济延续性规划

2021财年NDAA要求总统“制定并维持一项计划,以维持和恢复美国经济,应对重大事件13”。拜登-哈里斯政府应开始制定经济连续计划。尽管美国政府保持着运营的连续性和政府计划的连续性,但没有同等的措施来确保经济的连续性,而经济是美国国力的重要来源。规划制定应包括国土安全部、国防部、国防部、商务部、财政部、能源部、卫生和公众服务部、小企业管理局以及总统确定的任何其它部门或机构。

作为规划制定的一部分,行政部门应确定在发生灾难时实施计划所需的任何额外权限或资源,或制定计划来支撑和维持部门和机构使得他们能实现经济的连续性。规划过程应分析国家关键职能14,侧重于美国经济可靠运行所必需的货物和服务的国家级分配;它还应概述构成或被集成到这些分配机制的关键私营部门实体,这些实体对特定部门或区域整体经济的维持和运作负有主要责任14。此外,该计划应确定关键材料、货物和服务;响应和恢复优先级;投资恢复领域;和必须保存数据的领域。

2.探索以机器速度共享信息的可行性

拜登-哈里斯(Biden-Harris)政府应责成国土安全部部长和国家情报局局长起草一份报告,说明建立一个联合的、基于云的信息共享环境的可行性和合理性,在这个环境中,联邦政府的非机密和机密网络威胁信息、恶意软件取证和来自于监控程序的网络数据一般可用于查询和分析。

3.改善对私营部门的情报支持

虽然情报界在美国政府为防护者的情况下信息安全足够强大,但它缺乏恰当的政策和措施来处理主要责任不在美国政府范围内的情况。归私营部门所有和运营的数字基础设施亟需依托美国情报界的独家情报来开展防御,外国的恶意行为体也比过去更加诡计多端,然而现行的情报政策和程序却未能考虑到这些问题。因此,情报界依然被严格限制在保持对不断演变的网络威胁的警觉并对美国实体在被攻击时提供必要告警能力范围内。美国政府必须对在其能力范围内向所有私营部门利益相关者和相关组织(如信息共享和分析中心以及系统风险分析和弹性中心)提供情报支持确定更普遍的限制。

为此,拜登-哈里斯政府应对情报政策、程序和资源进行为期六个月的全面审查,以确定和解决情报界向私营部门提供情报支持的能力的关键限制。行政部门应在审查结束后向国会报告其调查结果,其中应包括应对报告中确定的挑战的具体建议或计划。审查应审查情报机构,以确定当前支持私营部门利益相关者收集方面的限制,审查情报界与私营部门利益相关者共享情报的能力限制,审查赛博威胁情报降级和解密的程序,并审查与赛博相关的信息共享允诺流程。此外,拜登-哈里斯政府应建立一个正式的程序,征求和汇编私营部门的意见,以通报国家情报优先事项、情报收集需求,并更加聚焦于美国对私营部门网络安全行动的情报支持。

(四)保护美国的高科技供应链

正如欧盟委员会在2020年10月的白皮书中指出的那样,就信通技术供应链而言,“美国有一个中国问题15 ”。由于中国政府的干预,关键技术领域的国际商业体系既不自由也不公平,这阻碍了美国和合作伙伴公司争夺全球市场共享并成为安全可靠供应链的一部分的能力。然而,正如太阳风事件所强调的,尽管中国对美国供应链构成了重大风险,但威胁并不仅限于中国。美国必须做更多的工作来识别我们的信通技术供应链中的风险,并投入资源来管理这些风险。

1.制定和颁布信通技术产业基础战略

尽管2021财年NDAA启动了多项举措,以帮助美国了解问题的范围,放开一些公共投资工具,并更积极地参与至关重要的标准制定论坛,但美国仍然缺乏一项全面的总体战略来确保美国的信通技术供应链,确保规则有利于我们的工人和我们的经济,并帮助我们的公司以及合作伙伴和盟友国家的公司在面临反竞争的中国政府干预市场的情况下进行全球竞争。拜登-哈里斯政府应制定并颁布一项产业战略,以保护美国的高科技未来。该战略应建立在坚实的伙伴关系基础上——与美国工业、盟国政府以及盟国和伙伴国家的外国公司——并应建立在五个不同的支柱上。该战略应:

(1)通过政府审查和行业咨询,确定关键技术、设备和原材料。

(2)通过将私人投资与关键的制造业需求相结合,在绝对必要的地方提供政府投资,以一个混合投资和经济保护相结合来帮助经济集群,确保关键领域的最低可行制造能力。

(3)通过联邦政府层面的更好协调、增强对私营部门的情报支持以及针对关键技术的更强大的脆弱性测试,保护供应链免受损害。

(4)通过释放更多的中频段频谱,并将未来政府对信通技术的投资与开放和可互操作的标准挂钩,刺激信通技术的国内市场。

(5)通过战略性地利用在美国进出口银行、美国国际开发金融公司、美国贸易发展署和美国国际开发署的现有工具,增强美国公司和合作伙伴公司的全球竞争力。

(五)维护美国的军事网络优势

美国拥有世界上最成熟、最先进的军事网络能力之一。然而,除非增加关注、评估和投资,否则这种军事网络优势可能会萎缩或消失。然而,除非关注、评估和投资增加,否则这种军事网络优势可能会萎缩或消失。下面的许多建议出现在2021财年的NDAA中,但需要行政部门的关注和实施。

1.对网络任务部队进行部队结构评估

网络任务部队(CMF)目前被认为具备全面的作战能力,有133个团队,共约6200人。但这些要求是在2013年确定的,早在一些关键事件形成美国政府对对手构成的网络威胁的紧迫性和重要性的认识之前,也早在国防部制定防御前沿战略之前。今天,组成CMF的团队负责一系列不同的国防部网络任务,包括保卫国防部信息网络(DoDIN),通过地理作战司令部为军事行动提供支持,以及在日常竞争中保卫国家以对抗恶意对手行为。这些活动代表了CMF任务范围的扩大(在DoDIN外执行) 及其行动规模(增加行动以应对更危险的威胁环境),尽管其部队结构目标保持不变。拜登-哈里斯国防部应该对美国网络司令部的网络任务部队进行部队结构评估,以反映其任务需求和期望日益增长的范围及规模。

2.为网络司令部创建主要部队计划

拜登-哈里斯国防部应该提交一份预算理由显示,其中包括美国网络司令部的训练、人员配备和装备的主要部队计划(MFP)类别。根据《美国法典》第10编第238条,国防部必须向国会提交一份预算证明,其中包括网络任务部队的MFP类别。然而,这项法律是在2014年颁布的,当时美国网络司令部还没有被提升为统一的作战司令部。因此,需要一个新的预算论证显示,为美国网络司令部建立一个MFP类别。这一资金类别将为美国网络司令部提供针对司令部特殊需要的货物和服务的采购权限。它还应提供一个迅速解决作战指挥/勤务经费争端的程序,与国防部指令5100.03.17的意图一致,虽然2021财年的NDAA确实包含了一些改进的内容,最显著的是呼吁提出建议,使网络司令部能够执行超出现有限制的预算和采办要求,并取消7500万美元的年度支出上限——但它并没有为网络司令部创建一个主要的部队项目类别17 18。

3.更新网络使用武力的交战规则和指南

《常规交战规则》(SROE)和《常规使用武力规则》(SRUF)已经有十多年的历史了。作为下一次网络态势评估的一部分,拜登-哈里斯国防部应该编写一份研究报告,评估美国军队的常规交战规则和常规使用武力规则,并在必要时提出修正建议。这项研究应根据具体情况进行,并考虑到部队所分配的任务。鉴于网络空间行动的独特性,特别是在使用武力的门槛之下,SROE/SRUF指南必须与网络空间内和通过网络空间采取的行动相关。

4.评估建立军事网络储备

2021财年NDAA要求行政部门对建立军事网络储备的必要性进行审查。拜登-哈里斯国防部应评估军事网络储备的需求和要求、其可能的组成及其结构(即,保留模式、非传统储备、战略技术储备或其它模式)。对军事网络后备力量的评估应探讨不同类型的后备力量模式如何解决更广泛的人才管理问题,并应考虑网络后备力量如何有意招募关键的私营部门参与者。此外,评估还应研究如何有效地招募和留住没有军事专门知识、有意服役的文职人才;同时,评估网络后备人才在从私营部门和政府非国防部工作人员中吸引文职人才方面可能产生的影响。最后,评估应涉及国防部如何利用现有机制,在需要时引进技术专长,以应对危机和危机应找出网络专业知识中的缺陷,这些缺陷可以通过更有针对性的招聘实践加以解决。

5.审查防御前沿概念和进攻性网络行动的授权

国防部继续稳步提高其进攻性网络能力。在其2018年国防网络战略中,国防部明确提出了一项“防御前沿”战略,以干扰或降低其内部的恶意网络活动来源。这个积极主动的方法通过利用美国网络司令部的“持续参与”概念,提高了美国在网络战场上的地位。新战略还得到了2019财年NDAA的三个关键条款的支持,这些条款授权了现有进攻性网络行动的框架。第1632节授权国防部作为传统军事活动进行网络监视和侦察;第1636节制定了美国应对外国势力进行的网络攻击和其它恶意网络活动的政策;第1642节授权国防部应对恶意的俄罗斯、中国、朝鲜,或者伊朗的网络活动。行政部门随后制定了国家安全总统备忘录13,授权进攻性网络行动。

(六)保护美国全方位的作战和威慑能力免受网络威胁

美国的全方位作战和威慑能力对我们持续的国家安全至关重要,并为网络威慑奠定了坚实的基础。如果这些能力失效,分层网络威慑就会崩溃。因此,美国必须保护这些能力免受网络威胁。以下所有建议均出现在2021财年NDAA,但需要行政部门立即关注和实施。

1.制定防御核指挥、控制和通信网络攻击的计划

美国的核能力是我们总体威慑态势的基石。如果没有可操作的核能力,我们阻止对手行动的能力的所有方面——包括网络攻击——都将失败。为了确保我们核武器系统的持续运行并降低其脆弱性,拜登-哈里斯政府应实施《2021财年国防授权法》,以制定一个防御核指挥、控制和通信系统免受网络攻击的作战概念。

2.要求国防工业基地参与威胁情报共享计划

2021财年,NDAA要求国防部长提交一份关于项目可行性和适用性的报告,要求国防工业基地内部以及国防工业基地和国防部之间共享威胁情报23。这是一个良好的开端,但是拜登哈里斯政府应超越一份报告,通过一项政策指令,要求构成国防工业基地的公司,作为其与国防部合同条款的一部分,参与一项威胁情报共享计划,该计划将设在国防部组成部分一级。

3.国防工业基地网络需要威胁搜索

国防预算局网络上搜寻威胁的计划的可行性和适用性24。拜登哈里斯政府应超越一份报告,通过一项政策指令,要求构成国防工业基地的公司,作为他们与国防部合同条款的一部分,创建一种机制,允许在DIB网络上强制搜索威胁。

四、拜登-哈里斯政府的积极网络立法议程

利用现有的权力和拨款,行政部门可以在重建美国网络安全方面取得巨大进展,但是没有国会的支持和批准,网络空间日光浴委员会(CSC)的一些建议是无法实施的。拜登-哈里斯政府应与国会合作,以确保美国最有能力预防、防御和应对重大网络事件并最终从中恢复过来。美国政府的积极网络安全立法议程应侧重于改善政府的网络专业知识,建立国际网络合作制度,推动实现更安全的国家网络生态系统,投资网络弹性,为网络犯罪受害者提供支持,以及保护美国民主。

(一)改善政府的网络专业知识

联邦政府的行政和立法部门都将受益于更好的网络政策专业知识和更稳健的指标与数据,从而更好地实施网络政策。拜登-哈里斯政府应与国会合作,实施CSC最终报告中旨在建设这一能力的两项建议:(1)在行政部门内建立一个网络统计局;(2)将网络威胁情报整合中心纳入法律范畴并加强该中心。

1.建立网络统计局

虽然人们普遍认为,针对美国公民和企业的网络攻击的频率和严重性正在增加,但美国政府其它市场主体需要进一步了解这些攻击的性质和范围,以便制定细致入微且有效的对策。为了填补其它政策领域的类似空白,美国成立了经济分析局、劳工统计局和人口普查局等统计机构,以便为公共决策和私人决策提供信息。拜登-哈里斯政府应与国会合作,在商务部或其它部门或机构内建立网络统计局。该局作为政府机构,收集、处理、分析和向美国公众、国会、其它联邦机构、州和地方政府以及私营部门发布关于网络安全、网络事件和网络生态系统的基本统计数据。

2.将网络威胁情报整合中心纳入法律范畴并加强该中心

在政府对影响美国的重大网络威胁的整体认识上,网络威胁情报整合中心(CTIIC)发挥着关键作用,并可围绕快速准确归因开展必要的分析和协调。

然而,为了完成其全部任务,CTIIC需要充足的资源,包括充足的资金、人力和分析资源,以充分支持联邦部门和机构开展业务,并向私营部门和国际合作伙伴提供情报产品。拜登-哈里斯政府应与国会合作,通过立法建立网络威胁情报整合中心,并确保其具备充足的资源。

(二)建立国际网络合作制度国际网络合作

虽然拜登-哈里斯政府可以采取一些措施,通过国务院重新安排国际网络合作的优先顺序,以有意义地提升国际网络合作并使其制度化,但拜登-哈里斯政府必须建立一个新的机构和任命一名与网络空间政策和新兴技术相关的大使,级别相当于助理部长。同样应该修改1961年《对外援助法》第二部分,以便为全球重要的网络安全能力建设项目提供更有效的结构性支持。

1.在国务院设立网络政策局

拜登-哈里斯政府应与国会合作,将国务院专门负责网络空间政策的部门编写进法律,并由一名网络空间政策大使领导,其级别相当于助理部长,并向主管政治事务的副部长或更高级别的官员汇报工作。拟议的《2019年网络外交法》为未来的立法提供了基础。

除了指导志同道合的伙伴和盟友组成联盟之外,该局还应负责一系列任务,包括倡导网络空间中负责任的国家行为规范和制定互信措施,与国际社会一道以外交方式应对网络威胁,倡导互联网自由,确保安全的数字经济,培养我们伙伴和盟友的能力,以促进网络安全和打击网络犯罪,以及执行国务卿指派的其它任何任务。拜登-哈里斯政府应与国会合作,为这个新机构提供额外的资金,以及其执行国际网络任务(特别是建立强大联盟的任务)所需的人员和项目。

2.最大限度地提高国际网络安全能力建设的灵活性

网络安全能力建设的宗旨是通过向遵守既定规范的国家提供资源和专业知识,来激励负责任的国家行为。此外,网络安全能力建设为志同道合的外国政府提供了一条切实可行的途径来帮助这些国家的网络安全企业变得更加成熟。对于那些希望遏制源自其境内的网络犯罪和其它恶意活动但又无处着手的国家来说,提供这种支持有助于改善全球的网络安全。虽然美国政府通过广泛的机制参与网络能力建设,但主要资源之一——经济支持基金——只能用于支持“军事或准军事”以外的活动。

但是,由于许多外国政府将其民用公共部门网络安全基础设施置在军事或准军事机构内,这一限制会妨碍那些对民用网络安全至关重要的人群为此提供支持。既然接受资助的网络安全机构位于特定的机构内,那么拜登-哈里斯政府就应应与国会合作,授权有关部门不受限制地为增强外国民用网络安全性的项目拨发资金。

(三)推动实现更安全的国家网络生态系统

如今网络生态系统不仅仅是互联网技术(即信息、网络和运行技术)之外,也包括采用这些技术的人、流程和组织以及由此产生的数据。这个生态系统改善了我们的通信速度、效率、功能和经济增长。尽管这个生态系统对国家的运作至关重要,但它也给美国带来了重大挑战,并带来了潜在的危害。

对手利用其漏洞及其对我们社会的广泛影响来获得不对称优势,并发展能力以使我们的关键基础设施面临风险,破坏我们的选举,并窥探和危害美国人民的数据、系统和恢复能力。拜登-哈里斯政府应采取措施,将安全负担从最终用户转移到能更有效地以适当的规模实施安全解决方案的所有者、运营商、开发人员和制造商身上,从而巩固整个生态系统。

1.创建国家网络安全认证与标签管理局

虽然统一的安全标准和最佳实践有助于减少信息技术产品中的漏洞,但如果产品开发人员将安全性视为产品的一个独特之处,就可以更加有效地利用这些标准和实践。如果没有证书和标签等便于购买者比较产品安全等级的透明机制,关键基础设施的所有者和运营商就难以在制定购买决策时确定安全性的价值。拜登-哈里斯政府应与国会合作,通过立法授予商务部相应的资金和权限(由国土安全部和国防部配合工作),以便以竞标的方式组建名为“国家网络安全认证与标签管理局”的非营利非政府组织,并为该局提供资金。

2.通过物联网安全法

在新冠疫情期间,美国相当一部分人都在家工作,使得家庭物联网设备(尤其是家庭路由器)成为了国家网络生态系统中一个重要但脆弱的部分,而美国的对手也可通过这些设备发起网络攻击。第116届国会通过了《2020年物联网网络安全改进法》,该法案规定了联邦政府购买物联网设备的基本安全要求,从而在改善美国物联网生态系统安全的道路上迈出了重要的第一步。拜登-哈里斯政府应与国会合作通过一项物联网安全法,以确保在美国市场上销售的物联网产品均采取了基本的安全措施。该法应侧重于目前已知的挑战(如无线路由器的不安全问题),并要求物联网设备采取合理的安全措施,比如美国国家标准与技术研究所最近发布的“面向物联网设备制造商的基础网络安全活动建议”等。

3.为州、地方、部落和属地政府制定信息技术现代化补助计划

新冠肺炎改变了当前的社会现实,并展现了关键服务数字化的重要意义。在疫情爆发期间,美国人越来越依赖联邦和州级的援助项目,然而用于这些项目的老旧系统已濒临崩溃。为了挺过将来的流行病或灾难性的网络事件,我国需要安全可靠的远程数字服务。虽然现代化和数字化改革在短期内成本不菲,但从长期来看,此类改革可以改善提供服务的效率和灵活性,减少支出,提高生产率,并缩小掌握数字技术者和未掌握数字技术者之间的经济差距。

尽管如此,州、地方、部落和属地政府及小企业通常会优先考虑短期内的资金需求,以至于推迟其数字化进程。这种以短期为重的思路会带来破坏性的长期后果,而美国正在为几十年来的短视付出沉重代价。拜登-哈里斯政府有意投资美国的实体基础设施,为此拜登-哈里斯政府应与国会合作,通过未来的新冠疫情刺激立法中向州、地方、部落和属地政府提供补助,以便这些实体能够更快地向云端迁移,并实现数字基础设施的现代化。拟议的《州和地方信息技术现代化网络安全法》将为未来的立法奠定基础。

4.阐明硬件、软件和固件的最终产品组装者的法律责任

美国的对手会试图利用我们系统中的软件漏洞。若能确保及时创建和安装补丁程序,就能缩短漏洞的存在时间,从而使对手难以放开手脚利用这些漏洞,同时还会抬升对手的行动成本,并使其无法通过利用漏洞而获益。为了鼓励硬件、软件和固件的最终产品组装者通过更快地开发和发布补丁程序,从而缩短漏洞的存在时间,拜登-哈里斯政府应与国会一同尽职尽责地制定相关法律,以规定如果交付时已知存在漏洞或事后发现漏洞、且并未及时加以修复,那么一旦有人利用这些漏洞造成损失,软件、硬件和固件的最终产品组装者就要对此负责。

5.通过《国家数据泄露通报法》

各类数据泄露通报法均要求数据泄露方(无论泄露原因如何)通知其消费者和其他相关方,并采取措施来弥补泄露造成的伤害。尽管所有50个州、哥伦比亚特区、关岛、波多黎各和维尔京群岛都以某种形式通过了这种法律,但尚无关于此类通报的国家标准,以至于无法按统一标准来保护美国人的数据。我国需要围绕消费者的期望来建立一种国家框架,并以明确的方式来监管从事州际和全球贸易的美国企业。拜登-哈里斯政府应与国会合作通过一项国家数据泄露通报法,以便为美国制定标准化的数据泄露通报要求,并由此取代54个州、地区和属地现有的数据泄露通报法。

(四)投资网络弹性

美国政府应增加对私营部门网络防御行动的支持力度。然而由于资源和能力有限,联邦政府应优先保护具有系统重要性的关键基础设施,即管理那些“一旦中断就可能对美国的国家安全、经济安全或公共健康和安全产生连锁影响,并使之陷入动荡”的系统和资产的关键基础设施实体。

1.将具有系统重要性的关键基础设施纳入法律

从第13636号行政命令的第9条可以看出,奥巴马政府已认识到一个关键问题:并非所有关键基础设施都会在维护公共健康和安全、经济安全或国家安全发挥同等重要的作用。尽管该命令认为需要在网络安全方面建立共担责任和相互合作的社会契约关系,但其既未将这种契约关系编撰成法,也未充分建立这种关系。

此外该第9条一方面并未允许美国政府利用任何新的要求、资源或权限来支持具有系统重要性的关键基础设施,另一方面也未对受该条款约束的机构提出任何额外的期望。拜登-哈里斯政府应与国会合作,在第13636号行政命令的基础上通过一项法案,以便将“具有系统重要性的关键基础设施”这一概念纳入法律。该法应确保负责“具有系统关键性的系统和资产”的实体获得美国政府的特别援助,并要求这些实体履行与其独特地位和重要性相称的额外安全及信息共享要求。

2.建立国家风险管理循环

拜登-哈里斯政府应与国会合作通过一项法案,以建立国家风险管理循环和国家关键基础设施弹性策略,从而协调和简化国家风险管理工作。应由国土安全部主导这一循环牵头,但所有SRMA也都应参与其中;在规定了识别、评估和区分风险优先级的程序后,信息化部门应该将这种认知转化为相关部门和机构的战略、预算和计划性优先事项。应与关键基础设施所有者和运营商协商制定这些流程和程序,然后公开发布并向公众征求意见。此外这些流程和程序还应具有适应性和迭代性,这样才能将前一循环的经验教训纳入考量。应在“关键基础设施弹性策略”中直接体现此类循环中的风险识别和评估事宜,从而为各SRMA规定将在下一个“五年国家风险管理循环”中优先执行的计划和预算事项。

(五)为网络犯罪的受害者提供支持

欺诈和其它恶意活动在新冠肺炎疫情期间激增,这表明犯罪分子在重大紧急事件中有更多空子可钻,从而使本就负担沉重的公共服务和美国人民陷入更大的困境。拜登-哈里斯政府应与国会合作,通过创建“国家网络犯罪受害者援助与恢复中心”等机构来向络犯罪受害者提供支持,并制定一项补助项目来帮助那些支持网络犯罪受害者的非营利机构。

(六)保护美国民主

美国政府应确保其选举安全和民主韧性。美国人民对其民主制度的信任和信心仍是国家恢复能力的基本要素,同时也是恶意行为体极力破坏的目标。我国的选举制度其实是一种由各种制度、工具和人员构成的网络,这种网络依赖于互联互通和数据,以至于为破坏美国的政治体制(不论是投票还是其它方面)提供了可乘之机。负责保护我们选举进程的联邦机构需要在组织上进行改革、获得持续不断的经费并及时得到授权,以确保各州和我国政治体系中的其他合作伙伴(包括政党和竞选团队)能够改善和维持其网络安全能力。

此外,美国人还必须有更好的设备来识别依托于网络的信息行动,这样才能将其造成的损害降至最低。需要指出的是,这些信息行动可能会削弱各方对美国民主及其制度(包括选举及其它方面的民主和制度)的信任和信心,从而危及国家安全。

1.加强和改善选举协助委员会的结构

包括选举协助委员会在内,负责保护我们选举进程的联邦机构需要在组织上进行改革、获得持续不断的经费并及时得到授权,以确保各州和我国政治体系中的其他合作伙伴能够改善和维持其网络安全能力。拜登-哈里斯政府应与国会合作,加强选举协助委员会的能力,以此来保护美国的民主。

2.促进数字素养、国民教育和公众意识

美国的对手会依托网络发起信息行动,以破坏公众对民主制度的信任,进而危害美国的民主。对手会通过这些行动来传播各种坏事,以便让受众对某种看法深信不疑,并认为体制正在不可逆转地恶化,同时也加剧国民之间的分歧。要想让公众抵制这些不良信息,首先就要重新重视公民教育,以提醒美国人民主的内涵:民主并非天赐,而是必须为之奋斗;我们拥抱民主并非因为它是完美的,而是因为它能带来积极的变化;我们每个人都必须通过合法手段来有效推动这种变化。拜登-哈里斯政府应与国会合作,为振兴我国的数字素养和公民教育提供支持。

中文版原文PDF链接

https://pan.baidu.com/s/19mda6B6VLn5ATxJo_1Yt6w

提取码: 9166

本文转载自 信息安全与通信保密杂志社,作者:Cismag

来源:freebuf.com 2021-01-28 10:21:33 by: kirazhou

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论