羅 仙，張 玲，劉力平，尹 晗

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

拜登上臺(tái)之初，對(duì)美國(guó)國(guó)家網(wǎng)絡(luò)安全事務(wù)的管理機(jī)構(gòu)進(jìn)行了調(diào)整與改革，設(shè)立了國(guó)家網(wǎng)絡(luò)總監(jiān)辦公室（Office of the National Cyber Director，ONCD），統(tǒng)領(lǐng)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的制定和網(wǎng)絡(luò)空間事務(wù)的發(fā)展。美國(guó)首任國(guó)家網(wǎng)絡(luò)總監(jiān)克里斯·英格利斯曾擔(dān)任國(guó)家安全局副局長(zhǎng)，特朗普政府時(shí)期，其任職于網(wǎng)絡(luò)空間日光浴委員會(huì)，多年來均處于美國(guó)國(guó)家網(wǎng)絡(luò)戰(zhàn)略決策的核心圈層，深諳美國(guó)網(wǎng)絡(luò)安全的主要問題[1]。

2023年3月2日，距離美國(guó)《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》出臺(tái)時(shí)隔5年，ONCD正式發(fā)布了拜登政府首份《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》（以下簡(jiǎn)稱“新版戰(zhàn)略”）。新版戰(zhàn)略是基于克里斯團(tuán)隊(duì)對(duì)美國(guó)網(wǎng)絡(luò)安全形勢(shì)的深刻認(rèn)識(shí)，充分汲取了以往的經(jīng)驗(yàn)教訓(xùn)后，審慎出臺(tái)的具備實(shí)操性的戰(zhàn)略文件，明確了美國(guó)網(wǎng)絡(luò)安全能力發(fā)展亟須解決的關(guān)鍵問題和優(yōu)先事項(xiàng)。這份長(zhǎng)達(dá)39頁(yè)的戰(zhàn)略文件既是拜登政府《國(guó)家安全戰(zhàn)略》在網(wǎng)絡(luò)安全領(lǐng)域的映射和細(xì)化，又是拜登政府在網(wǎng)絡(luò)安全領(lǐng)域的全新施政綱領(lǐng)，也是聯(lián)邦政府及其所屬機(jī)構(gòu)開展網(wǎng)絡(luò)安全能力建設(shè)的根本依據(jù)。

本文橫向上深度剖析美國(guó)新版《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》的同時(shí)，縱向上強(qiáng)化與特朗普政府《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》的對(duì)比分析，以期進(jìn)一步厘清美國(guó)在網(wǎng)絡(luò)空間角色劃分、責(zé)任分工和資源分配方式等方面的發(fā)展變化。

1 戰(zhàn)略發(fā)布背景分析

美國(guó)國(guó)家網(wǎng)絡(luò)戰(zhàn)略的出臺(tái)，很大程度上取決于當(dāng)時(shí)的網(wǎng)絡(luò)空間威脅環(huán)境和戰(zhàn)略博弈政治環(huán)境。新版戰(zhàn)略的發(fā)布正值大國(guó)戰(zhàn)略博弈步入動(dòng)蕩變革期，其出臺(tái)背景與網(wǎng)絡(luò)空間安全形勢(shì)和技術(shù)發(fā)展趨勢(shì)緊密相關(guān)。

從國(guó)內(nèi)形勢(shì)來看，接踵而至的網(wǎng)絡(luò)安全事件，迫使拜登政府出臺(tái)新的網(wǎng)絡(luò)安全戰(zhàn)略以回應(yīng)國(guó)內(nèi)呼聲[2]。2021年1月拜登上臺(tái)后，網(wǎng)絡(luò)攻擊事件層出不窮，經(jīng)歷了SolarWinds、Colonial Pipeline和JBS Foods等一系列重大網(wǎng)絡(luò)入侵和勒索軟件攻擊，造成了難以估量的經(jīng)濟(jì)損失。尤其是SolarWinds供應(yīng)鏈攻擊，黑客利用SolarWinds軟件的系統(tǒng)漏洞先后對(duì)包括微軟公司、聯(lián)邦政府機(jī)構(gòu)、私營(yíng)企業(yè)、非營(yíng)利組織在內(nèi)的約1.8萬名客戶進(jìn)行攻擊，促使美國(guó)各界重新審視前任政府的網(wǎng)絡(luò)安全政策，同時(shí)也加速了拜登政府的網(wǎng)絡(luò)安全政策落地。

從國(guó)際形勢(shì)來看，俄烏沖突中網(wǎng)絡(luò)戰(zhàn)帶來的巨大變量，成為拜登政府網(wǎng)絡(luò)安全戰(zhàn)略出臺(tái)的重要國(guó)際驅(qū)動(dòng)因素。在俄羅斯總統(tǒng)普京對(duì)烏宣戰(zhàn)之前，西方媒體就報(bào)道了大量俄羅斯率先發(fā)動(dòng)網(wǎng)絡(luò)攻擊的事件，包括針對(duì)烏克蘭政府機(jī)構(gòu)的大規(guī)模分布式拒絕服務(wù)攻擊和數(shù)據(jù)擦除惡意軟件攻擊等，造成烏克蘭眾多關(guān)鍵基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)信息系統(tǒng)癱瘓。此次沖突彰顯了網(wǎng)絡(luò)戰(zhàn)在現(xiàn)代戰(zhàn)爭(zhēng)中的作用和影響力，也引發(fā)了新一輪對(duì)網(wǎng)絡(luò)安全的擔(dān)憂。

從技術(shù)發(fā)展來看，數(shù)字生態(tài)體系朝著基礎(chǔ)系統(tǒng)互聯(lián)的趨勢(shì)發(fā)展，客觀上也加劇了網(wǎng)絡(luò)攻擊的破壞力和影響力。拜登上臺(tái)后，著力加大對(duì)網(wǎng)絡(luò)安全的資金投入力度，謀劃設(shè)置網(wǎng)絡(luò)安全專項(xiàng)資金，維護(hù)其技術(shù)領(lǐng)先地位。2023年3月，拜登政府公布了2024財(cái)年預(yù)算申請(qǐng)，其中網(wǎng)絡(luò)空間預(yù)算以262億美元再創(chuàng)新高。此外，美國(guó)也意識(shí)到，下一代網(wǎng)絡(luò)信息技術(shù)加速走向成熟的同時(shí)，全球也逐步進(jìn)入一個(gè)對(duì)數(shù)字化愈發(fā)依賴的新階段。未來數(shù)字生態(tài)體系的發(fā)展趨勢(shì)是將各種新興技術(shù)的快速迭代以及各種復(fù)雜的系統(tǒng)彼此互聯(lián)，將新的功能和技術(shù)疊加到復(fù)雜而脆弱的系統(tǒng)上，這也成倍增加了不安全系統(tǒng)所帶來的風(fēng)險(xiǎn)。

2 戰(zhàn)略主要內(nèi)容

新版戰(zhàn)略分析了美國(guó)面臨的復(fù)雜的網(wǎng)絡(luò)空間威脅環(huán)境，提出了國(guó)家網(wǎng)絡(luò)安全的戰(zhàn)略愿景，重點(diǎn)圍繞5大支柱，明確了27項(xiàng)戰(zhàn)略目標(biāo)。

2.1 戰(zhàn)略愿景

新版戰(zhàn)略的愿景是“建立一個(gè)可防御的、有彈性的數(shù)字生態(tài)系統(tǒng)”。在這個(gè)生態(tài)系統(tǒng)中，攻擊系統(tǒng)的成本高于防御系統(tǒng)，敏感或私人信息是安全和受保護(hù)的，不會(huì)因某些事件或錯(cuò)誤引發(fā)災(zāi)難性、系統(tǒng)性的后果。本質(zhì)是建立一個(gè)更具防御性和彈性、更符合美國(guó)價(jià)值觀的數(shù)字生態(tài)系統(tǒng)。

2.2 戰(zhàn)略目標(biāo)

一是保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。目標(biāo)是建立一個(gè)持久且有效的協(xié)作防御模式，公平地分配風(fēng)險(xiǎn)和責(zé)任，包括建立網(wǎng)絡(luò)安全法規(guī)；擴(kuò)大公私合作，創(chuàng)建一個(gè)基于信任的“網(wǎng)絡(luò)中的網(wǎng)絡(luò)”；以聯(lián)邦網(wǎng)絡(luò)安全中心作為協(xié)作節(jié)點(diǎn)，將國(guó)土防御、執(zhí)法、情報(bào)、外交、經(jīng)濟(jì)和軍事等能力融合在一起；通過緩解軟件供應(yīng)鏈風(fēng)險(xiǎn)來確保聯(lián)邦系統(tǒng)的安全。

二是打擊和消除威脅行為者。使用所有國(guó)家權(quán)力工具打擊惡意網(wǎng)絡(luò)行為者，包括統(tǒng)一聯(lián)邦政府的打擊行動(dòng)；讓私營(yíng)部門參與到相關(guān)打擊機(jī)制中；提高情報(bào)共享的速度和規(guī)模；防止濫用美國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施；打擊網(wǎng)絡(luò)犯罪和應(yīng)對(duì)勒索軟件威脅等。

三是塑造市場(chǎng)力量推動(dòng)安全和彈性。讓規(guī)模更大、資源更充足的公司承擔(dān)更多的網(wǎng)絡(luò)安全責(zé)任，包括促進(jìn)個(gè)人數(shù)據(jù)和隱私安全；促進(jìn)安全開發(fā)實(shí)踐；推動(dòng)安全物聯(lián)網(wǎng)設(shè)備的發(fā)展；通過聯(lián)邦撥款促進(jìn)安全且有彈性的新型基礎(chǔ)設(shè)施建設(shè)；利用聯(lián)邦采購(gòu)機(jī)制加強(qiáng)問責(zé)等。

四是加強(qiáng)對(duì)未來彈性的投資。通過戰(zhàn)略投資和協(xié)調(diào)協(xié)作行動(dòng)，繼續(xù)創(chuàng)新發(fā)展安全和有彈性的下一代技術(shù)和基礎(chǔ)設(shè)施，包括減少互聯(lián)網(wǎng)基礎(chǔ)和整個(gè)數(shù)字生態(tài)系統(tǒng)中的系統(tǒng)性技術(shù)漏洞；優(yōu)先考慮下一代技術(shù)的網(wǎng)絡(luò)安全研發(fā)；為抗量子時(shí)代的未來做好準(zhǔn)備；培養(yǎng)多元化和強(qiáng)大的國(guó)家網(wǎng)絡(luò)人才隊(duì)伍等。

五是發(fā)展網(wǎng)絡(luò)空間國(guó)際伙伴關(guān)系。促進(jìn)網(wǎng)絡(luò)空間負(fù)責(zé)任的國(guó)家行為，重點(diǎn)包括建立聯(lián)盟以共同應(yīng)對(duì)數(shù)字生態(tài)系統(tǒng)面臨的威脅；提高合作伙伴抵御網(wǎng)絡(luò)威脅的能力；打造安全可靠且值得信賴的全球供應(yīng)鏈。

3 兩屆政府戰(zhàn)略對(duì)比分析

特朗普政府和拜登政府在網(wǎng)絡(luò)空間治理方面各有側(cè)重。新版戰(zhàn)略既是對(duì)前任政府戰(zhàn)略方針的繼承與發(fā)展，也是試圖在平衡網(wǎng)絡(luò)安全責(zé)任、調(diào)整投資激勵(lì)措施、構(gòu)建數(shù)字生態(tài)體系等方面打破現(xiàn)狀，革新舊歷。本文基于兩屆政府的戰(zhàn)略內(nèi)容，分析了美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略的延續(xù)特征和嬗變特征。

3.1 延續(xù)特征

一是持續(xù)聚焦關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)。關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)是兩屆政府關(guān)注的重中之重。特朗普《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》明確了關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)中各機(jī)構(gòu)的角色和責(zé)任，以及制定國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全研發(fā)計(jì)劃等舉措。拜登新版戰(zhàn)略更是將“捍衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施”列為5大支柱之首，提出制定支持國(guó)家安全和公共安全的網(wǎng)絡(luò)安全要求、擴(kuò)大公私合作、更新聯(lián)邦事件響應(yīng)計(jì)劃以及發(fā)展現(xiàn)代化的聯(lián)邦防御能力等重點(diǎn)舉措。兩屆政府均從安全規(guī)范、部門職責(zé)、投資與合作和事件響應(yīng)等方面提出了對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)要求，新版戰(zhàn)略舉措更為強(qiáng)勁和靈活。

二是持續(xù)加強(qiáng)對(duì)威脅行為體的打擊和摧毀力度。特朗普《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》指出，“將通過采取包括起訴和經(jīng)濟(jì)制裁在內(nèi)的一系列手段，對(duì)惡意網(wǎng)絡(luò)行為體及其贊助者施加成本”，新版戰(zhàn)略提出，“要在全球范圍內(nèi)提升和擴(kuò)展能夠摧毀威脅來源的行動(dòng)能力，動(dòng)用經(jīng)濟(jì)、外交、軍事和技術(shù)領(lǐng)域的各種手段，在全球范圍內(nèi)對(duì)任何被判定為‘威脅美國(guó)國(guó)家利益的行為體’實(shí)施破壞和瓦解”，該舉措可看作特朗普政府時(shí)期對(duì)威脅行為體打擊措施的升級(jí)。此外，特朗普《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》在打擊網(wǎng)絡(luò)犯罪方面，僅指出與州、地方、部落和地區(qū)政府實(shí)體合作以及執(zhí)法部門的職責(zé)，而新版戰(zhàn)略則將勒索軟件威脅視為國(guó)家安全問題而不是犯罪活動(dòng)來處理，并提出4項(xiàng)更詳盡的要求，為聯(lián)邦政府采取更為激進(jìn)的措施應(yīng)對(duì)惡意網(wǎng)絡(luò)活動(dòng)奠定了基礎(chǔ)。

三是持續(xù)秉承網(wǎng)絡(luò)威懾的戰(zhàn)略理念。特朗普《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》中出現(xiàn)了5次“網(wǎng)絡(luò)威懾”；新版戰(zhàn)略中雖并未出現(xiàn)“網(wǎng)絡(luò)威懾”，但指出“國(guó)防部前置防御理念有助于了解威脅行為體”，并明確了國(guó)防部將制定一項(xiàng)與國(guó)家安全戰(zhàn)略相一致的新版國(guó)防部網(wǎng)絡(luò)戰(zhàn)略，前置防御具體內(nèi)容應(yīng)由國(guó)防部負(fù)責(zé)。新版戰(zhàn)略未直接體現(xiàn)威懾并非是對(duì)威懾理念的摒棄，其原因包括以下3點(diǎn)：一是戰(zhàn)略本身不同，特朗普《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》聚焦整個(gè)網(wǎng)絡(luò)空間，而新版戰(zhàn)略范圍僅限于網(wǎng)絡(luò)安全。二是分層網(wǎng)絡(luò)威懾是建立在前置防御基礎(chǔ)之上的，前沿防御繼承了持續(xù)交戰(zhàn)的邏輯，在實(shí)踐中最接近威懾概念下的拒止威懾。三是美國(guó)在全球范圍內(nèi)積極采取“前出狩獵”等威懾行動(dòng)，例如，俄烏沖突開始前，美國(guó)網(wǎng)絡(luò)司令部就向?yàn)蹩颂m部署了一支“前出狩獵”團(tuán)隊(duì)。由此可見，此次戰(zhàn)略并未提出更新的進(jìn)攻理念，其實(shí)質(zhì)仍是對(duì)威懾理念的延續(xù)。

四是持續(xù)深化網(wǎng)絡(luò)安全公私合作及國(guó)際合作?！昂献鳌币辉~在兩屆政府戰(zhàn)略中分別出現(xiàn)了44次和118次。上屆政府戰(zhàn)略中關(guān)于公私合作及國(guó)際合作的描述均分散在內(nèi)容中，如公私合作管理關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、促進(jìn)5G安全及發(fā)展、與工業(yè)界和國(guó)際伙伴合作保衛(wèi)太空網(wǎng)絡(luò)安全等。新版戰(zhàn)略直接將“建立國(guó)際伙伴關(guān)系以實(shí)現(xiàn)共同目標(biāo)”作為第五個(gè)支柱，并在其他4個(gè)支柱中深化了公私合作、國(guó)際合作的方式及內(nèi)容。尤其在擴(kuò)大公私合作方面，新版戰(zhàn)略指出，由美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency，CISA）與關(guān)鍵基礎(chǔ)設(shè)施行業(yè)風(fēng)險(xiǎn)管理機(jī)構(gòu)進(jìn)行協(xié)調(diào)，使聯(lián)邦政府能夠加強(qiáng)與美國(guó)關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商之間的協(xié)調(diào)工作，通過公私合作來打擊敵手、改善情報(bào)共享等。

五是持續(xù)加碼網(wǎng)絡(luò)安全技術(shù)創(chuàng)新和投資。特朗普《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》指出，美國(guó)政府將通過強(qiáng)有力的國(guó)內(nèi)創(chuàng)新來促進(jìn)美國(guó)繁榮，關(guān)于創(chuàng)新的內(nèi)容包括知識(shí)產(chǎn)權(quán)保護(hù)等創(chuàng)新激勵(lì)、網(wǎng)絡(luò)安全人才激勵(lì)等，關(guān)于投資的內(nèi)容包括激勵(lì)網(wǎng)絡(luò)安全投資及投資下一代基礎(chǔ)設(shè)施。拜登上臺(tái)后，持續(xù)注重美國(guó)科技創(chuàng)新能力的體系化提升，先后通過了《無盡前沿法案》和《2021年美國(guó)創(chuàng)新和競(jìng)爭(zhēng)法案》，支持美國(guó)國(guó)家科學(xué)基金會(huì)在重點(diǎn)關(guān)鍵技術(shù)領(lǐng)域的研究和技術(shù)發(fā)展，總投入高達(dá)2 500億美元[3]。新版戰(zhàn)略將“以投資打造富有彈性的未來”作為支柱4單獨(dú)提出，要求在保護(hù)互聯(lián)網(wǎng)技術(shù)基礎(chǔ)的同時(shí)，重振聯(lián)邦政府的網(wǎng)絡(luò)安全研發(fā)，以優(yōu)化和部署關(guān)鍵新興網(wǎng)絡(luò)安全技術(shù)，從而在創(chuàng)新上超越對(duì)手國(guó)家。

3.2 嬗變特征

一是平衡權(quán)責(zé)關(guān)系，網(wǎng)絡(luò)安全責(zé)任從“最終用戶”向“系統(tǒng)運(yùn)營(yíng)商和服務(wù)商”轉(zhuǎn)移。新版戰(zhàn)略呼吁“重新平衡”捍衛(wèi)網(wǎng)絡(luò)空間的責(zé)任，從“最終用戶”轉(zhuǎn)向“最有能力和最有利的參與者”，包括關(guān)鍵技術(shù)和基礎(chǔ)設(shè)施的所有者和運(yùn)營(yíng)商。上屆戰(zhàn)略要求細(xì)化聯(lián)邦機(jī)構(gòu)在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和事件響應(yīng)方面的角色和責(zé)任，并對(duì)私營(yíng)部門提出期望。與之不同的是，新版戰(zhàn)略指出，當(dāng)今美國(guó)終端用戶承擔(dān)著減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)的沉重負(fù)擔(dān)，本就有限的資源仍存在競(jìng)爭(zhēng)，國(guó)家網(wǎng)絡(luò)彈性受終端的影響過重。因此，戰(zhàn)略強(qiáng)調(diào)要從根本上重新構(gòu)建美國(guó)的網(wǎng)絡(luò)社會(huì)關(guān)系，將管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的責(zé)任重新分配給最有能力承擔(dān)風(fēng)險(xiǎn)的人，即持有數(shù)據(jù)和運(yùn)轉(zhuǎn)社會(huì)職能的系統(tǒng)所有者和操作者，以及建立和服務(wù)這些系統(tǒng)的技術(shù)提供方。

二是調(diào)整投資激勵(lì)重點(diǎn)，將資源向具有安全性和彈性的關(guān)鍵產(chǎn)品和服務(wù)傾斜。新版戰(zhàn)略呼吁對(duì)美國(guó)網(wǎng)絡(luò)人才、基礎(chǔ)設(shè)施和數(shù)字生態(tài)系統(tǒng)進(jìn)行長(zhǎng)期投資，強(qiáng)調(diào)利用技術(shù)提高國(guó)家彈性和經(jīng)濟(jì)競(jìng)爭(zhēng)力。在沿襲上屆政府在網(wǎng)絡(luò)安全、國(guó)家研究與發(fā)展、下一代基礎(chǔ)設(shè)施、網(wǎng)絡(luò)人才等方面的部分投資政策的基礎(chǔ)上，拜登政府將平衡投資協(xié)調(diào)作為新重點(diǎn)，使組織能夠?qū)⒂嘘P(guān)資源投入到建立彈性和保護(hù)其系統(tǒng)及資產(chǎn)上，尤其是支撐網(wǎng)絡(luò)安全關(guān)鍵需求的技術(shù)及服務(wù)，要加大對(duì)具有安全性和彈性的關(guān)鍵產(chǎn)品和服務(wù)的投資，例如，要求對(duì)數(shù)字基礎(chǔ)設(shè)施（包括開源軟件）的安全性進(jìn)行投資方向研判，推動(dòng)云服務(wù)提供商解決反復(fù)出現(xiàn)的安全和設(shè)計(jì)問題。

三是加大政府監(jiān)管力度，網(wǎng)絡(luò)安全共享實(shí)踐從“自愿性加入”向“強(qiáng)制性要求”邁進(jìn)。上屆政府的網(wǎng)絡(luò)安全策略側(cè)重于自愿的公私合作伙伴關(guān)系和信息共享實(shí)踐，拜登政府指出，“自愿原則”為關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全帶來了積極的改進(jìn)，但由于缺乏強(qiáng)制性要求，導(dǎo)致網(wǎng)絡(luò)安全實(shí)踐不充分或不一致，因此將“自愿性加入”轉(zhuǎn)變?yōu)椤皬?qiáng)制性要求”。強(qiáng)制監(jiān)管可以在不犧牲網(wǎng)絡(luò)安全和運(yùn)行彈性的情況下推動(dòng)更公平的競(jìng)爭(zhēng)。因此，新版戰(zhàn)略指出必須重新調(diào)整網(wǎng)絡(luò)安全立法，以滿足國(guó)家安全和公共安全需要；要求聯(lián)邦政府制定新的網(wǎng)絡(luò)安全條例，界定網(wǎng)絡(luò)安全目標(biāo)底線要求；理順和精簡(jiǎn)現(xiàn)行和新增立法，最大限度地減少特殊要求帶來的成本負(fù)擔(dān)，并精簡(jiǎn)監(jiān)管協(xié)調(diào)流程。此外，新版戰(zhàn)略還提出要制定適合不同實(shí)體的監(jiān)管框架，使不同關(guān)鍵基礎(chǔ)設(shè)施部門均能承擔(dān)網(wǎng)絡(luò)安全成本，營(yíng)造公平的競(jìng)爭(zhēng)環(huán)境。

四是重新評(píng)估全球供應(yīng)鏈，強(qiáng)調(diào)關(guān)鍵組件和系統(tǒng)必須在國(guó)內(nèi)或盟國(guó)開發(fā)。上屆戰(zhàn)略將改善聯(lián)邦供應(yīng)鏈風(fēng)險(xiǎn)作為施政要點(diǎn)，對(duì)聯(lián)邦政府提出了供應(yīng)鏈安全及風(fēng)險(xiǎn)管理要求。新版戰(zhàn)略對(duì)供應(yīng)鏈安全的關(guān)注點(diǎn)由國(guó)內(nèi)轉(zhuǎn)移至全球，直接將供應(yīng)鏈安全戰(zhàn)略目標(biāo)設(shè)置在“建立國(guó)際伙伴關(guān)系以實(shí)現(xiàn)共同目標(biāo)”的支柱下，并指出，虛擬空間到實(shí)體空間對(duì)國(guó)外供應(yīng)商網(wǎng)絡(luò)的依賴不斷增長(zhǎng)，這種對(duì)不受信任供應(yīng)商的關(guān)鍵產(chǎn)品和服務(wù)的依賴給美國(guó)數(shù)字生態(tài)系統(tǒng)帶來了系統(tǒng)性風(fēng)險(xiǎn)。因此，新版戰(zhàn)略強(qiáng)調(diào)“重新平衡全球供應(yīng)鏈”，增強(qiáng)透明度、安全性和彈性。關(guān)鍵組件和系統(tǒng)必須在國(guó)內(nèi)或盟國(guó)開發(fā)，特別是聯(lián)邦資助的數(shù)字基礎(chǔ)設(shè)施等項(xiàng)目，必須“建設(shè)美國(guó)，購(gòu)買美國(guó)”。在國(guó)際協(xié)作中，實(shí)施跨界供應(yīng)鏈風(fēng)險(xiǎn)管理，使供應(yīng)鏈在伙伴國(guó)家和受信任的供應(yīng)商中流動(dòng)。

五是構(gòu)建數(shù)字生態(tài)系統(tǒng)，對(duì)內(nèi)創(chuàng)新發(fā)展下一代技術(shù)和基礎(chǔ)設(shè)施，對(duì)外與盟國(guó)合作抵御針對(duì)數(shù)字生態(tài)系統(tǒng)的威脅。數(shù)字生態(tài)是新版戰(zhàn)略的高頻詞，是各項(xiàng)網(wǎng)絡(luò)安全舉措的“服務(wù)”對(duì)象，數(shù)字生態(tài)被提升至前所未有的高度。但同時(shí)，新版戰(zhàn)略也強(qiáng)調(diào)數(shù)字生態(tài)系統(tǒng)仍然脆弱，必須從根本上改變驅(qū)使數(shù)字生態(tài)系統(tǒng)的基本動(dòng)力。對(duì)內(nèi)而言，新版戰(zhàn)略提出創(chuàng)新發(fā)展下一代技術(shù)和基礎(chǔ)設(shè)施，例如，構(gòu)建分布式可再生電力供電與智能系統(tǒng)；設(shè)計(jì)成熟的萬物互聯(lián)物聯(lián)網(wǎng)；利用海量數(shù)據(jù)和計(jì)算能力進(jìn)行實(shí)時(shí)全球合作等措施，造福民眾的數(shù)字化未來。對(duì)外而言，新版戰(zhàn)略提出與盟國(guó)合作以抵御針對(duì)數(shù)字生態(tài)系統(tǒng)的威脅，將力促美國(guó)與盟友共同建設(shè)這一新的數(shù)字生態(tài)系統(tǒng)，聯(lián)盟可以采取多種形式，例如通過“在線自由聯(lián)盟”“四方安全對(duì)話”等新機(jī)制，形成契合美國(guó)價(jià)值觀的防御能力和網(wǎng)絡(luò)彈性。

4 拜登政府施政要點(diǎn)分析

4.1 以關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)為核心

關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)問題占據(jù)了新版戰(zhàn)略的大量篇幅，新版戰(zhàn)略精簡(jiǎn)并強(qiáng)化了關(guān)鍵基礎(chǔ)設(shè)施安全管理要求，使關(guān)鍵基礎(chǔ)設(shè)施安全管理要求更加具有靈活性和適應(yīng)性。同時(shí)，將基于已有的合作機(jī)制及法律體系強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施集體防御。一是擴(kuò)大公私合作。聯(lián)邦政府將通過CISA繼續(xù)加強(qiáng)與行業(yè)風(fēng)險(xiǎn)管理機(jī)構(gòu)的協(xié)調(diào)，進(jìn)一步與信息共享與分析中心（Information Sharing and Analysis Center，ISAC）、信息共享與分析組織（Information Sharing and Analysis Organizations，ISAO）合作，就公私協(xié)作模式制定共同愿景，以改善關(guān)鍵基礎(chǔ)設(shè)施安全彈性。二是整合聯(lián)邦政府各網(wǎng)絡(luò)安全協(xié)作組織。未來將由ONCD領(lǐng)導(dǎo)加強(qiáng)機(jī)構(gòu)整合，并制訂實(shí)施計(jì)劃以實(shí)現(xiàn)迅速和大規(guī)模的合作，推動(dòng)聯(lián)邦政府內(nèi)部協(xié)調(diào)，及與非聯(lián)邦政府的協(xié)調(diào)。三是CISA將牽頭更新《國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃》（NCIRP），更充分地實(shí)現(xiàn)集體防御。

4.2 以軟件供應(yīng)鏈安全為優(yōu)先事項(xiàng)

拜登從上任之初就把“加強(qiáng)供應(yīng)鏈安全”作為優(yōu)先事項(xiàng)，2021年，拜登簽署了第14017號(hào)行政令《關(guān)于確保美國(guó)供應(yīng)鏈安全》，展開了為期100天的供應(yīng)鏈風(fēng)險(xiǎn)審查[4]。追根溯源，是因?yàn)楣?yīng)鏈體系的構(gòu)建對(duì)網(wǎng)絡(luò)安全主動(dòng)權(quán)的掌握具有強(qiáng)相關(guān)性，本質(zhì)上也是為了保持在網(wǎng)絡(luò)安全領(lǐng)域的主導(dǎo)權(quán)和控制力。

新版戰(zhàn)略指出，“太多供應(yīng)商忽視安全開發(fā)的最佳實(shí)踐，交付產(chǎn)品具有不安全的默認(rèn)配置或已知漏洞，以及不安全的第三方組件”，將責(zé)任轉(zhuǎn)移給未能采取合理預(yù)防措施確保軟件安全的供應(yīng)商，并提出了3方面舉措。一是持續(xù)引入軟件物料清單（Software Bill of Materials，SBOM），用于追蹤已知的和新出現(xiàn)的漏洞和風(fēng)險(xiǎn)，幫助提高軟件系統(tǒng)的安全性，同時(shí)增加軟件的透明度和信任度，確保軟件的質(zhì)量和可靠性。二是推行由國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布的安全軟件開發(fā)框架，將安全的軟件開發(fā)實(shí)踐添加到每個(gè)軟件開發(fā)全生命周期模型中，減少已發(fā)布軟件中的漏洞數(shù)量，同時(shí)減輕利用未檢測(cè)到或未解決的漏洞產(chǎn)生的潛在影響。三是提高開源軟件的安全性，2022年美國(guó)白宮與開源組織、科技巨頭共同推動(dòng)了1.5億美元的開源軟件保護(hù)計(jì)劃，確立了十大目標(biāo)，其中包括加速在軟件版本中采用數(shù)字簽名，對(duì)最關(guān)鍵的開源軟件組件進(jìn)行第三方代碼審查等。

4.3 以“零信任安全架構(gòu)”為新的驅(qū)動(dòng)力

伴隨云計(jì)算、大數(shù)據(jù)等新興網(wǎng)絡(luò)技術(shù)的發(fā)展應(yīng)用，網(wǎng)絡(luò)邊界逐漸模糊，邊界防護(hù)效果銳減。為了實(shí)現(xiàn)內(nèi)生安全的目標(biāo)，2022年，美國(guó)白宮發(fā)布《聯(lián)邦零信任戰(zhàn)略》，要求美國(guó)政府在未來兩年內(nèi)逐步采用零信任架構(gòu)；同年11月，美國(guó)國(guó)防部發(fā)布《零信任戰(zhàn)略》，要求在新舊系統(tǒng)中整合并實(shí)施零信任，保護(hù)國(guó)防部信息系統(tǒng)和數(shù)據(jù)。

新版戰(zhàn)略指出，“本屆政府致力于改善聯(lián)邦網(wǎng)絡(luò)安全，通過長(zhǎng)期實(shí)施零信任架構(gòu)戰(zhàn)略，使IT和OT基礎(chǔ)設(shè)施現(xiàn)代化”。新版戰(zhàn)略發(fā)布后不久，美國(guó)國(guó)防信息系統(tǒng)局宣布了“雷霆穹頂”（Thunderdome）項(xiàng)目實(shí)施方案，作為美國(guó)國(guó)防部“零信任”網(wǎng)絡(luò)安全計(jì)劃的子項(xiàng)目，旨在實(shí)現(xiàn)數(shù)據(jù)在軍隊(duì)加密網(wǎng)絡(luò)和非加密網(wǎng)絡(luò)間的“安全、受控制的流轉(zhuǎn)”，打造美軍數(shù)字生態(tài)系統(tǒng)，該項(xiàng)目標(biāo)志著美國(guó)零信任架構(gòu)正式進(jìn)入落地階段。

4.4 以“抗量子密碼”為技術(shù)突破點(diǎn)

隨著量子計(jì)算技術(shù)的發(fā)展，量子計(jì)算對(duì)傳統(tǒng)密碼學(xué)的威脅不斷顯現(xiàn)。為應(yīng)對(duì)這一風(fēng)險(xiǎn)，美國(guó)優(yōu)先考慮將密碼系統(tǒng)及時(shí)、安全地過渡到抗量子加密系統(tǒng)。拜登上臺(tái)后已頒布3份文件來推動(dòng)量子信息科學(xué)的研究與開發(fā)，力求在2035年前盡可能多地減輕量子計(jì)算機(jī)對(duì)國(guó)家網(wǎng)絡(luò)安全構(gòu)成的威脅，確保美國(guó)拉開技術(shù)代際優(yōu)勢(shì)。

新版戰(zhàn)略中指出，“聯(lián)邦政府會(huì)優(yōu)先考慮將脆弱的公共網(wǎng)絡(luò)和系統(tǒng)過渡到基于量子密碼的環(huán)境”。預(yù)算方面，拜登政府在2023財(cái)年預(yù)算中為NIST劃撥1.87億美元，用于包括量子科學(xué)在內(nèi)的新興技術(shù)的標(biāo)準(zhǔn)更新。NIST已公布了首批4種抗量子密碼標(biāo)準(zhǔn)算法，這些算法設(shè)計(jì)的目的可以分為兩類：一是信息加密，用于保護(hù)通過公共網(wǎng)絡(luò)交換的信息；二是構(gòu)建數(shù)字簽名，用于身份驗(yàn)證。項(xiàng)目方面，美國(guó)已率先啟用抗量子密碼保護(hù)衛(wèi)星數(shù)據(jù)通信，構(gòu)建出全球首個(gè)能抵御量子計(jì)算攻擊的衛(wèi)星通信網(wǎng)絡(luò)，整個(gè)通信過程采用QuSecure公司的“量子安全層”軟件，采用端到端的“量子安全即服務(wù)”架構(gòu)，貫徹零信任、主動(dòng)防御等理念，運(yùn)用抗量子計(jì)算攻擊加密技術(shù)，對(duì)數(shù)據(jù)進(jìn)行全生命周期保護(hù)。

4.5 以打擊勒索軟件活動(dòng)為新的著力點(diǎn)

拜登政府認(rèn)為“勒索軟件緊迫而急劇地增加了美國(guó)面臨的安全威脅”，其新版戰(zhàn)略將“打擊和消除威脅行為者”列為第二大支柱，更是指出“將戰(zhàn)略性使用所有國(guó)家力量工具，讓私營(yíng)部門參與到相關(guān)打擊機(jī)制中，全面應(yīng)對(duì)勒索軟件威脅”。

從內(nèi)部來看，美國(guó)對(duì)內(nèi)采用了一種“政府整體”的方式應(yīng)對(duì)勒索軟件攻擊。美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施局不定期發(fā)布關(guān)于勒索軟件的公告，總結(jié)最新的戰(zhàn)術(shù)、技術(shù)、程序以及相關(guān)指標(biāo)，以幫助組織抵御勒索軟件。此外，美國(guó)于2021年成立了一個(gè)跨機(jī)構(gòu)的勒索軟件工作組，并發(fā)布《打擊勒索軟件：綜合行動(dòng)框架》，建議應(yīng)在政府的協(xié)調(diào)下，開展持續(xù)的、情報(bào)驅(qū)動(dòng)的反勒索軟件活動(dòng)，同時(shí)政府應(yīng)設(shè)立網(wǎng)絡(luò)響應(yīng)和恢復(fù)基金，以支持勒索軟件響應(yīng)和其他網(wǎng)絡(luò)安全活動(dòng)。從外部來看，2022年美國(guó)協(xié)同其他35個(gè)國(guó)家提出“反勒索軟件倡議（CRI）”，主要任務(wù)是打擊支撐勒索軟件生態(tài)系統(tǒng)的非法金融活動(dòng)以及在勒索軟件威脅方面開展國(guó)際合作。

5 結(jié) 語

總體來看，新版戰(zhàn)略凸顯通過整合政府網(wǎng)絡(luò)安全中心，以共享打通防護(hù)能力；通過重新平衡網(wǎng)絡(luò)安全責(zé)任，以彈性統(tǒng)領(lǐng)戰(zhàn)略布局；通過加快構(gòu)建網(wǎng)絡(luò)盟友體系，以生態(tài)加固國(guó)際同盟。此外，新版戰(zhàn)略明確指出，美國(guó)將在網(wǎng)絡(luò)空間與中國(guó)、俄羅斯、伊朗、朝鮮等國(guó)家進(jìn)行長(zhǎng)期戰(zhàn)略競(jìng)爭(zhēng)和博弈，并兩處直接點(diǎn)名我國(guó)，將中國(guó)視為“最先進(jìn)的戰(zhàn)略競(jìng)爭(zhēng)對(duì)手”[5]。可以看出，美國(guó)多年來的戰(zhàn)略實(shí)質(zhì)并未改變，始終帶有美國(guó)國(guó)家利益優(yōu)先的屬性，未來競(jìng)爭(zhēng)仍舊貫穿中美兩國(guó)關(guān)系的主線[6]。因此，在對(duì)美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略的研究中，既要橫向加強(qiáng)對(duì)網(wǎng)絡(luò)安全戰(zhàn)略政策體系的研究，又要縱向加強(qiáng)對(duì)拜登政府網(wǎng)絡(luò)安全重點(diǎn)計(jì)劃和項(xiàng)目拓展研究，以便從實(shí)踐層面更好地了解其網(wǎng)絡(luò)安全重點(diǎn)布局。