陳炳昊 孔勇 張昊

2023年7月13日，美國白宮發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略實施計劃》（以下簡稱《實施計劃》），作為推進路線圖指導(dǎo)美國《國家網(wǎng)絡(luò)安全戰(zhàn)略》的具體實施。今年3月份發(fā)布的美國《國家網(wǎng)絡(luò)安全戰(zhàn)略》重新分配了保護網(wǎng)絡(luò)空間的職責，調(diào)整激勵措施以有利于長期投資，在保護美國當下免受網(wǎng)絡(luò)威脅的同時，進行戰(zhàn)略性的規(guī)劃，實現(xiàn)未來具有韌性的網(wǎng)絡(luò)安全目標。

此次《實施計劃》的發(fā)布，明確了《國家網(wǎng)絡(luò)安全戰(zhàn)略》推進工作由國家網(wǎng)絡(luò)總監(jiān)辦公室（ONCD）總體協(xié)調(diào)，并向總統(tǒng)和國會報告實施情況。《實施計劃》提出69項具體舉措，每一個舉措任務(wù)都明確了牽頭部門、參與部門以及完成時間要求，為各機構(gòu)部門推進計劃提供了指導(dǎo)?！秾嵤┯媱潯饭_發(fā)布是增加國家戰(zhàn)略推進工作透明度的體現(xiàn)，作為一份動態(tài)的文件，將每年進行更新，其中的實施計劃條目與內(nèi)容將根據(jù)不斷變化的網(wǎng)絡(luò)環(huán)境需求而增加，并在完成后刪除。

一、《實施計劃》提出69項具體舉措計劃

《實施計劃》圍繞美國《國家網(wǎng)絡(luò)安全戰(zhàn)略》的五大核心戰(zhàn)略支柱進行展開，詳細介紹了對應(yīng)的66項聯(lián)邦政府實施計劃。同時，在評估實施舉措計劃推進的有效性方面，也明確了3項具體的舉措計劃，共計69項內(nèi)容。

（一）第一支柱“關(guān)鍵基礎(chǔ)設(shè)施保護”舉措

圍繞關(guān)鍵基礎(chǔ)設(shè)施保護，《實施計劃》明確將重點建立網(wǎng)絡(luò)監(jiān)管協(xié)調(diào)機制；制定關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的網(wǎng)絡(luò)安全要求；加大網(wǎng)絡(luò)安全框架（CSF）、國際標準的應(yīng)用以及監(jiān)管協(xié)調(diào)工作；推動默認安全設(shè)計和安全技術(shù)的開發(fā)與應(yīng)用；為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)和行業(yè)風險管理機構(gòu)（SRMA）提供指導(dǎo)建議；對美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）利用現(xiàn)有或者創(chuàng)新的報告機制來整合和實施SRMA的特定行業(yè)系統(tǒng)和流程進行評估；調(diào)查并改進信息共享的協(xié)作平臺、流程和機制等；建立SRMA支持能力；明確開展評估、改進聯(lián)邦網(wǎng)絡(luò)安全中心和相關(guān)網(wǎng)絡(luò)中心的能力；制定能夠?qū)崿F(xiàn)快速和大規(guī)模協(xié)作的規(guī)劃；更新國家網(wǎng)絡(luò)事件響應(yīng)計劃（NCIRP）、發(fā)布《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》最終版本、制定演習場景以改進網(wǎng)絡(luò)事件響應(yīng)、將網(wǎng)絡(luò)安全審查委員會（CSRB）與所需機構(gòu)編入法典的立法草案；保護非機密聯(lián)邦民事行政部門（FCEB）系統(tǒng)；加強FCEB技術(shù)現(xiàn)代化水平；確保FCEB的國家安全系統(tǒng)（NSS）安全。

（二）第二支柱“破壞并摧毀威脅行為者”舉措

圍繞破壞并摧毀威脅行為者，《實施計劃》明確將更新發(fā)布國防部網(wǎng)絡(luò)戰(zhàn)略；加強國家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣部隊（NCIJTF）的執(zhí)行能力；擴大打擊網(wǎng)絡(luò)破壞活動的組織平臺；進行立法以抑制和阻止網(wǎng)絡(luò)犯罪；提升打擊網(wǎng)絡(luò)犯罪行動的速度與規(guī)模；通過公私運營合作機制增加對破壞活動的抵抗能力；實施特定部門的情報需求與優(yōu)先事項，并加大向關(guān)鍵基礎(chǔ)設(shè)施所有者和運營者提供網(wǎng)絡(luò)威脅情報與數(shù)據(jù)；發(fā)布關(guān)于基礎(chǔ)設(shè)施服務(wù)提供商和經(jīng)銷商的要求、標準與流程；抑制勒索軟件犯罪分子的“避風港”、破壞勒索軟件犯罪、調(diào)查勒索軟件犯罪并破壞勒索軟件生態(tài)；支持私營部門和州、地方、部落和領(lǐng)地（SLTT）降低勒索軟件威脅；支持其他國家對虛擬資產(chǎn)服務(wù)提供商采取全球反洗錢/打擊資助恐怖主義（AML/CFT）行動。

（三）第三支柱“塑造市場力量以驅(qū)動安全韌性”舉措

圍繞塑造市場力量以驅(qū)動安全韌性，《實施計劃》明確將啟動美國政府物聯(lián)網(wǎng)安全標簽計劃；開展探索開發(fā)長期、靈活和持久的軟件責任框架；推進軟件物料清單（SBOM）并降低軟件風險；協(xié)調(diào)漏洞披露；使用聯(lián)邦撥款和其他激勵措施來加強安全；利用聯(lián)邦撥款改善基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全；優(yōu)先資助網(wǎng)絡(luò)安全研究；優(yōu)先考慮網(wǎng)絡(luò)安全對社會、行動和經(jīng)濟影響的研究、開發(fā)與示范；實施EO14028號行政令要求的FAR變更；利用《虛假聲明法》改善供應(yīng)商網(wǎng)絡(luò)安全；評估聯(lián)邦保險應(yīng)對災(zāi)難性網(wǎng)絡(luò)事件的必要性。

（四）第四支柱“投資于具有韌性的未來”舉措

圍繞投資于具有韌性的未來，《實施計劃》明確將引領(lǐng)網(wǎng)絡(luò)采用最佳安全的實踐；促進開源軟件安全和內(nèi)存安全編程語言的采用；加速互聯(lián)網(wǎng)基礎(chǔ)設(shè)施能力和技術(shù)的開發(fā)與標準化；加速支持互聯(lián)網(wǎng)基礎(chǔ)設(shè)施技術(shù)的開發(fā)與標準化的應(yīng)用；與主要利益相關(guān)者合作確?；ヂ?lián)網(wǎng)路由安全；加速內(nèi)存安全編程語言的成熟度并安全應(yīng)用；實施國家安全備忘錄（NSM-10）；為NSS實施NSM-10；標準化量子密碼算法并支持后量子密碼算法的開發(fā)；將網(wǎng)絡(luò)安全默認設(shè)計原則納入實際應(yīng)用；制定計劃以確保數(shù)字生態(tài)系統(tǒng)能夠支持和實現(xiàn)美國政府的脫碳目標；為工程師和技術(shù)人員提供和完善相應(yīng)的網(wǎng)絡(luò)信息工程培訓、工具和支撐；發(fā)布國家網(wǎng)絡(luò)人才和教育戰(zhàn)略并推進實施。

（五）第五支柱“建立國際伙伴關(guān)系實現(xiàn)共同目標”舉措

圍繞國際伙伴關(guān)系合作，《實施計劃》明確開展創(chuàng)建跨機構(gòu)團隊以進行區(qū)域網(wǎng)絡(luò)協(xié)作和協(xié)調(diào)；發(fā)布國際網(wǎng)絡(luò)空間和數(shù)字政策戰(zhàn)略；加強與盟友及合作伙伴的聯(lián)邦執(zhí)法合作機制；開展區(qū)域網(wǎng)絡(luò)中心的研究；加強國際合作伙伴的網(wǎng)絡(luò)能力；通過執(zhí)法合作擴大國際合作伙伴的網(wǎng)絡(luò)協(xié)作能力；建立靈活的對外援助機制，快速提供網(wǎng)絡(luò)事件響應(yīng)支持；當不負責任的國家未能履行承諾時追究其責任；促進安全可信的信息通信技術(shù)（ICT）網(wǎng)絡(luò)和服務(wù)的發(fā)展；促進值得信賴的ICT供應(yīng)商組成的供應(yīng)鏈更加多元化和有韌性；開始管理公共無線供應(yīng)鏈創(chuàng)新基金；頒布和擴大網(wǎng)絡(luò)安全供應(yīng)鏈風險管理（CSCRM）以及關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)的關(guān)鍵實踐。

（六）加強實施有效性的舉措計劃

圍繞《實施計劃》實施有效性的評估工作，明確要求定期報告實施國際網(wǎng)絡(luò)安全戰(zhàn)略的進展和成效，及時總結(jié)經(jīng)驗教訓應(yīng)用于國家網(wǎng)絡(luò)安全戰(zhàn)略的實施，確保預(yù)算執(zhí)行與國家網(wǎng)絡(luò)安全戰(zhàn)略的實施保持一致。

二、《實施計劃》各部門承擔計劃任務(wù)情況

（一）計劃任務(wù)涉及各領(lǐng)域共28個機構(gòu)部門

對《實施計劃》進行分析，該計劃共涉及28個機構(gòu)部門（將SRMA作為一個部門計算），涵蓋了網(wǎng)絡(luò)監(jiān)管、電信、國防、標準、科技、財政、司法、情報、氣候、金融等眾多領(lǐng)域。對每一個部門的牽頭責任的項目數(shù)，以及協(xié)作貢獻的項目數(shù)進行統(tǒng)計分析，結(jié)果如表1所示。

從表1中可以看出，《實施計劃》中牽頭項目最多的部門是ONCD，總共負責牽頭14項，其次是CISA和USSD，分別是10項和8項。協(xié)作貢獻項目數(shù)最多的部門是CISA和DOJ，均是19項，其次是ONCD與FBI，分別是16項與18項，DHS也負責協(xié)助了14項目計劃。

（二）核心牽頭部門的主要任務(wù)情況

從數(shù)量統(tǒng)計可以看出，《實施計劃》中大部分舉措計劃由ONCD和CISA負責主體推進。ONCD牽頭的任務(wù)主要聚焦國家網(wǎng)絡(luò)安全的頂層設(shè)計與戰(zhàn)略規(guī)劃，涵蓋了建立網(wǎng)絡(luò)監(jiān)管協(xié)調(diào)機制；評估和改進聯(lián)邦網(wǎng)絡(luò)安全中心和相關(guān)網(wǎng)絡(luò)中心的能力；確定合作機制以提高網(wǎng)絡(luò)事件響應(yīng)能力；負責制定國家網(wǎng)絡(luò)人才和教育戰(zhàn)略；探索開發(fā)長期、靈活和持久的軟件責任框架等。作為整個戰(zhàn)略推進的牽頭部門，ONCD同時需要匯總報告國家網(wǎng)絡(luò)安全戰(zhàn)略的實施進展，并總結(jié)經(jīng)驗，負責指導(dǎo)聯(lián)邦預(yù)算用于改善基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全，確保預(yù)算的使用與國家網(wǎng)絡(luò)安全戰(zhàn)略保持一致。

CISA牽頭承擔了10項實施計劃，主要聚焦關(guān)鍵基礎(chǔ)設(shè)施安全保護，負責發(fā)布最終《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》，為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)和行業(yè)風險管理機構(gòu)SRMA提供指導(dǎo)與建議，整合和實施SRMA的特定行業(yè)系統(tǒng)和流程，完善關(guān)鍵基礎(chǔ)設(shè)施信息共享的協(xié)作平臺、流程和機制等。同時，CISA還將推動默認安全設(shè)計與技術(shù)的應(yīng)用，推進SBOM應(yīng)用，支持私營部門和州、地方等降低勒索軟件風險，并更新國家網(wǎng)絡(luò)事件響應(yīng)計劃。

USSD負責牽頭8項計劃，承擔的任務(wù)主要聚焦國際合作和國際政策制定，具體包括組建跨機構(gòu)的團隊進行區(qū)域網(wǎng)絡(luò)協(xié)作及協(xié)調(diào)，加強國際合作伙伴之間的協(xié)同能力，建立靈活的對外援助機制，提供快速的網(wǎng)絡(luò)事件響應(yīng)支持，發(fā)布國際網(wǎng)絡(luò)空間和數(shù)字政策戰(zhàn)略，打擊勒索軟件犯罪的“避風港”，促進安全可信的信息通信技術(shù)網(wǎng)絡(luò)和服務(wù)的發(fā)展，促進網(wǎng)絡(luò)和服務(wù)的供應(yīng)商組成多元化、具備抗風險能力的供應(yīng)鏈。

負責牽頭6項計劃的OMB聚焦于實現(xiàn)FCEB系統(tǒng)的現(xiàn)代化，并引領(lǐng)采用網(wǎng)絡(luò)安全的最佳實踐。負責牽頭5項計劃的NIST主要對網(wǎng)絡(luò)安全框架和相應(yīng)標準進行推廣應(yīng)用，促進互聯(lián)網(wǎng)基礎(chǔ)設(shè)施技術(shù)的研發(fā)及標準化工作，支持量子密碼算法的標準化，并支持向后量子時代的過渡。DOJ負責牽頭其中的5項計劃，主要致力于設(shè)立相關(guān)法律以阻止網(wǎng)絡(luò)犯罪，調(diào)查勒索軟件犯罪并破壞勒索軟件生態(tài)，通過《虛假聲明法》等相應(yīng)法規(guī)改善供應(yīng)商的網(wǎng)絡(luò)安全，并與國際伙伴進行合作，提高執(zhí)法能力。FBI負責牽頭其中的4項計劃，包括加強NCIJTF建設(shè)，打擊網(wǎng)絡(luò)犯罪、勒索軟件犯罪，加強與盟友和合作伙伴的聯(lián)邦執(zhí)法合作。NSC負責牽頭3項計劃，包括制定關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的網(wǎng)絡(luò)安全要求，確定并實施特定部門的情報需求和優(yōu)先事項，啟動美國政府物聯(lián)網(wǎng)安全標簽計劃。

NSA、UST、OSTP和DOE分別牽頭其中的2項計劃，DHS、DOD、ODNI、DOC、NSF、NTIA則分別牽頭1項計劃，具體工作任務(wù)相對較少。

三、《實施計劃》任務(wù)的年度推進情況

（一）計劃任務(wù)完成時間截至2026財年第四季度

按照《實施計劃》的描述，相關(guān)舉措計劃從2023年發(fā)布前就已經(jīng)開始實施，一直持續(xù)到2026財年第四季度。將《實施計劃》中每項計劃任務(wù)要求的完成時間按照財年季度進行統(tǒng)計，總結(jié)出每段時間需要完成的計劃任務(wù)數(shù)如表2所示。從表中可以看出，2024財年第一季度要求完成任務(wù)最多，共14項；其次是2024財年第二季度要求完成任務(wù)11項；再次是2023年第四季度，需要完成10項計劃任務(wù)。2023財年第二季度、2025財年第三季度、2026財年第一季度和2026財年第四季度完成任務(wù)數(shù)最少，均為1項計劃任務(wù)。

（二）2024財年第四季度前需完成主要任務(wù)情況

通過對《實施計劃》任務(wù)完成時間要求的分析，可以看出眾多計劃任務(wù)聚焦于2023年至2024年第四季度。在這兩年時間內(nèi)，一些關(guān)鍵詞被多次提到，相關(guān)內(nèi)容則為近兩年計劃中急需解決的重要任務(wù)，主要體現(xiàn)在以下五個方面。

一是增強關(guān)鍵基礎(chǔ)設(shè)施安全。近兩年的任務(wù)計劃中，關(guān)鍵基礎(chǔ)設(shè)施保護仍然是高頻詞。首先，美國要發(fā)布對基礎(chǔ)設(shè)施服務(wù)提供商和經(jīng)銷商的網(wǎng)絡(luò)安全要求、標準和流程規(guī)定。其次，加大向關(guān)鍵基礎(chǔ)設(shè)施所有者和運營者提供網(wǎng)絡(luò)威脅情報和數(shù)據(jù)的力度，并利用聯(lián)邦撥款改善基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全，加速支持互聯(lián)網(wǎng)基礎(chǔ)設(shè)施技術(shù)的開發(fā)和標準化的應(yīng)用。同時加大CISA為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)和SRMA提供指導(dǎo)與建議。

二是發(fā)布多項網(wǎng)絡(luò)安全專項戰(zhàn)略計劃。在《國家網(wǎng)絡(luò)安全戰(zhàn)略》的框架下，各部門與機構(gòu)需要發(fā)布相應(yīng)的專項戰(zhàn)略，包括國防部網(wǎng)絡(luò)戰(zhàn)略、國際網(wǎng)絡(luò)空間和數(shù)字政策戰(zhàn)略、國家網(wǎng)絡(luò)人才和教育戰(zhàn)略，啟動美國政府物聯(lián)網(wǎng)安全標簽計劃，制定能夠?qū)崿F(xiàn)脫碳目標的數(shù)字生態(tài)系統(tǒng)計劃等。

三是多方位抑制勒索軟件犯罪問題。美國是迄今為止勒索軟件事件數(shù)量最多的國家，《實施計劃》中近兩年的工作任務(wù)分別從不同部門、不同層面、不同角度圍剿打擊勒索軟件網(wǎng)絡(luò)犯罪問題，包括在法律層面針對網(wǎng)絡(luò)犯罪進行立法，從而抑制網(wǎng)絡(luò)犯罪、填補法律漏洞。分析勒索軟件所依賴的生態(tài)，包括服務(wù)器、網(wǎng)絡(luò)、技術(shù)、人員、組織、渠道等，有針對性地對其生態(tài)鏈上的各個環(huán)節(jié)進行打擊。打擊手段層面，執(zhí)法部門要提高打擊勒索軟件等網(wǎng)絡(luò)犯罪的速度和范圍。與盟友及其他國家進行合作，共同打擊網(wǎng)絡(luò)犯罪，并支持其他國家對勒索軟件、全球洗錢、恐怖主義的打擊，打掉網(wǎng)絡(luò)犯罪分子的“避風港”。

四是加大網(wǎng)絡(luò)安全研究的資金投入。近兩年的實施計劃中，明確要求優(yōu)先資助網(wǎng)絡(luò)安全方面的研究，包括先進的網(wǎng)絡(luò)安全技術(shù)、區(qū)域網(wǎng)絡(luò)中心研究、網(wǎng)絡(luò)安全與社會經(jīng)濟發(fā)展之間關(guān)系的研究等。啟動管理公共無線供應(yīng)鏈創(chuàng)新基金，通過基金形式加大資金投入。在資金使用的監(jiān)督管理上，明確要求預(yù)算投入應(yīng)與國家網(wǎng)絡(luò)安全戰(zhàn)略的實施相一致。

五是建立靈活的合作協(xié)調(diào)機制。面對不同類型與場景的網(wǎng)絡(luò)威脅，急需建立網(wǎng)絡(luò)監(jiān)管協(xié)調(diào)機制，提升網(wǎng)絡(luò)事件的響應(yīng)速度。建立靈活的對外援助機制，能夠快速提供網(wǎng)絡(luò)事件的響應(yīng)支持。同時，進一步加強國際合作伙伴之間的網(wǎng)絡(luò)協(xié)作能力。

四、結(jié)語

綜上所述，《國家網(wǎng)絡(luò)安全戰(zhàn)略》及《實施計劃》為美國應(yīng)對網(wǎng)絡(luò)威脅和確保數(shù)字未來的前景開辟了道路，美國將與盟友和合作伙伴一起，打造安全韌性的數(shù)字生態(tài)系統(tǒng)。《實施計劃》突出了全員參與、技術(shù)主導(dǎo)、管用有效等特點，為每個機構(gòu)分配了有限的時間和確定的任務(wù)，對如何實現(xiàn)國家網(wǎng)絡(luò)安全戰(zhàn)略提供了明確指導(dǎo)。同時，《實施計劃》也體現(xiàn)了美國搶占網(wǎng)絡(luò)空間制高點的戰(zhàn)略意圖，未來的網(wǎng)絡(luò)空間博弈將更加激烈。