黃 鋒 樊 偉

拜登執(zhí)政以來，美頻繁出臺網(wǎng)絡(luò)安全、網(wǎng)絡(luò)供應(yīng)鏈等方面政策文件，以確保本土關(guān)鍵設(shè)施網(wǎng)絡(luò)安全，預(yù)防網(wǎng)絡(luò)安全事件風(fēng)險，重奪網(wǎng)絡(luò)安全主動權(quán)。美相關(guān)措施將加劇網(wǎng)絡(luò)供應(yīng)鏈逆全球化，將深刻影響全球網(wǎng)絡(luò)安全形勢和大國競爭格局，值得高度警惕。

基本情況

美國為鞏固網(wǎng)絡(luò)安全主導(dǎo)權(quán)，頻繁頒布行政命令、配套文件、法案、實體清單等，構(gòu)建網(wǎng)絡(luò)安全政策體系。

美國頒布政令加強網(wǎng)絡(luò)安全頂層指導(dǎo)。一是提出網(wǎng)絡(luò)安全務(wù)實措施，統(tǒng)籌網(wǎng)絡(luò)安全重點工作。2021年5月，拜登簽署《關(guān)于改善國家網(wǎng)絡(luò)安全》行政令，要求加強網(wǎng)絡(luò)安全政策指導(dǎo)，增加政府與私營機構(gòu)合作；加強網(wǎng)絡(luò)空間威脅信息共享，防范網(wǎng)絡(luò)安全事件；實施零信任架構(gòu)，加快云服務(wù)安全化，推進網(wǎng)絡(luò)安全方法現(xiàn)代化；增加商業(yè)軟件開發(fā)透明度，加強網(wǎng)絡(luò)供應(yīng)鏈安全；設(shè)立網(wǎng)絡(luò)安全審查委員會，加強對重大網(wǎng)絡(luò)事件、威脅活動、漏洞修復(fù)和機構(gòu)響應(yīng)等活動的審查和評估；制定網(wǎng)絡(luò)事件響應(yīng)流程，加強網(wǎng)絡(luò)安全事件響應(yīng)流程標(biāo)準(zhǔn)化；加強網(wǎng)絡(luò)安全漏洞檢測，提高聯(lián)邦政府對網(wǎng)絡(luò)漏洞和網(wǎng)絡(luò)威脅的認(rèn)識與檢測能力；加強網(wǎng)絡(luò)安全事件調(diào)查和系統(tǒng)修復(fù)能力；加強國家安全系統(tǒng)網(wǎng)絡(luò)安全。

美白宮發(fā)布的《關(guān)于改善國家網(wǎng)絡(luò)安全》行政令

二是首次提出“國家安全系統(tǒng)”網(wǎng)絡(luò)安全要求，填補政策空白。2022年1月，美白宮發(fā)布《關(guān)于改善國家安全、國防和情報系統(tǒng)網(wǎng)絡(luò)安全》備忘錄，明確國家安全系統(tǒng)網(wǎng)絡(luò)防護要求；授權(quán)國家安全局制定相關(guān)標(biāo)準(zhǔn)，制定相關(guān)操作指令；加強國家安全系統(tǒng)風(fēng)險感知能力；制定云系統(tǒng)網(wǎng)絡(luò)事件響應(yīng)框架，規(guī)范網(wǎng)絡(luò)安全事件處理流程；發(fā)布新版網(wǎng)絡(luò)安全政策；并列出相關(guān)豁免情況。

美國細化實操文件推動網(wǎng)絡(luò)安全政策執(zhí)行。一是制定國防領(lǐng)域網(wǎng)絡(luò)安全管理相關(guān)標(biāo)準(zhǔn)，推動頂層政策落地。2021年11月，美國防部發(fā)布“網(wǎng)絡(luò)安全成熟度模型認(rèn)證”2.0版。該模型是國防工業(yè)基地承包商培訓(xùn)、認(rèn)證和第三方評估的框架，旨在建立國防工業(yè)承包商必須執(zhí)行的網(wǎng)絡(luò)安全要求及標(biāo)準(zhǔn)。模型2.0版本提出了國防部對最高優(yōu)先事項項目供應(yīng)商的評估要求，明確了“網(wǎng)絡(luò)生態(tài)系統(tǒng)”的評估標(biāo)準(zhǔn)，最小化安全合規(guī)的障礙，提高項目執(zhí)行層面的整體操作性。

2022年7月，美數(shù)字制造與網(wǎng)絡(luò)安全機構(gòu)發(fā)布“網(wǎng)絡(luò)安全成熟度模型認(rèn)證”2.0版手冊，提供網(wǎng)絡(luò)安全實踐入門指南，指導(dǎo)國防領(lǐng)域網(wǎng)絡(luò)供應(yīng)商遵守相關(guān)要求。該手冊圍繞訪問控制、身份認(rèn)證、介質(zhì)保護、物理保護、系統(tǒng)與通信保護、系統(tǒng)與信息完整性等6個領(lǐng)域，列出了17項網(wǎng)絡(luò)安全實踐并標(biāo)定了相關(guān)難度，為國防承包商年度自我評估提供指導(dǎo)，以保護聯(lián)邦合同信息安全和網(wǎng)絡(luò)安全。

二是加強網(wǎng)絡(luò)安全分段管理，避免網(wǎng)絡(luò)風(fēng)險沿供應(yīng)鏈擴散。2022年5月，美國家標(biāo)準(zhǔn)技術(shù)研究院發(fā)布《系統(tǒng)和組織網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理實踐》，指導(dǎo)政府機構(gòu)和供應(yīng)商，針對網(wǎng)絡(luò)供應(yīng)鏈的設(shè)計、研發(fā)、維護等環(huán)節(jié)，實施有效風(fēng)險管理。該文件聚焦網(wǎng)絡(luò)供應(yīng)鏈安全問題，為各類組織提供了識別、評估和緩解其各級網(wǎng)絡(luò)供應(yīng)鏈中安全風(fēng)險的具體操作指南，概括了網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理的層次及操作方法，并要求將其整合到企業(yè)風(fēng)險管理過程中，包括制定網(wǎng)絡(luò)供應(yīng)鏈安全戰(zhàn)略實施計劃、網(wǎng)絡(luò)供應(yīng)鏈安全策略、網(wǎng)絡(luò)供應(yīng)鏈安全計劃以及產(chǎn)品和服務(wù)的網(wǎng)絡(luò)供應(yīng)鏈安全風(fēng)險評估等。該文件在具體過程上給出了明確的方法及文檔化工具，具備很強的可操作性及參考性。

美國出臺法案促進網(wǎng)絡(luò)供應(yīng)鏈安全。一是加大半導(dǎo)體產(chǎn)業(yè)資金支持力度，推動網(wǎng)絡(luò)供應(yīng)鏈回歸本土。2022年8月，拜登簽署《芯片與科學(xué)法案》。該法案分為兩部分。第一部分圍繞芯片與半導(dǎo)體，提出向本土半導(dǎo)體研發(fā)與制造企業(yè)提供約527億美元補貼，并向在美投資半導(dǎo)體行業(yè)提供25%稅收抵免，以推動核心網(wǎng)絡(luò)組件供應(yīng)鏈重回本土，進一步強化本土網(wǎng)絡(luò)安全。第二部分圍繞關(guān)鍵技術(shù)和新興技術(shù)研發(fā)，為國家科學(xué)基金會、國家標(biāo)準(zhǔn)與技術(shù)研究院和能源部科學(xué)辦公室等設(shè)定科研目標(biāo)，以推動半導(dǎo)體、量子計算、人工智能等創(chuàng)新與發(fā)展。

《關(guān)于改善國家安全、國防和情報系統(tǒng)網(wǎng)絡(luò)安全》備忘錄封面

二是發(fā)布半導(dǎo)體領(lǐng)域?qū)嶓w清單，限制對華半導(dǎo)體出口，在網(wǎng)絡(luò)供應(yīng)鏈中推行去中國化。2021年11月，美商務(wù)部修訂“軍事最終用戶”實體清單，將中芯國際、中科微電子等12家中企列入，遏制中國半導(dǎo)體產(chǎn)業(yè)發(fā)展，以提高美國在全球半導(dǎo)體市場占有率，確保美本土網(wǎng)絡(luò)安全。

幾點認(rèn)識

美國逐步修正“重攻輕防”網(wǎng)絡(luò)策略，轉(zhuǎn)向“攻守平衡”。特朗普執(zhí)政時期，美在網(wǎng)絡(luò)空間領(lǐng)域提倡“以攻為守”，網(wǎng)絡(luò)司令部更是提出了“持續(xù)交鋒”“前出防御”等作戰(zhàn)概念。2020年以來，“太陽風(fēng)”“科洛尼爾輸油管”等網(wǎng)絡(luò)安全事件頻發(fā)，讓白宮重新審視“重攻輕防”的網(wǎng)絡(luò)策略。拜登政府持續(xù)強調(diào)網(wǎng)絡(luò)安全，通過推行更全面的政策與標(biāo)準(zhǔn)，建立網(wǎng)絡(luò)安全事件標(biāo)準(zhǔn)化響應(yīng)流程等，加強網(wǎng)絡(luò)安全管理，尋求網(wǎng)絡(luò)空間“攻守平衡”。

美國防部發(fā)布“網(wǎng)絡(luò)安全成熟度模型認(rèn)證”

美白宮發(fā)布的《芯片與科學(xué)法案》

美國加快完善政策體系，補齊網(wǎng)絡(luò)安全短板。美頻繁出臺網(wǎng)絡(luò)安全政策文件，已基本覆蓋非國家安全系統(tǒng)、國家安全系統(tǒng)和網(wǎng)絡(luò)供應(yīng)鏈等網(wǎng)絡(luò)安全領(lǐng)域。此外，美政府還陸續(xù)出臺操作層面的配套指南、手冊等，建立起一套全面、實用的網(wǎng)絡(luò)安全工具箱。在政策指導(dǎo)下，美重點加強網(wǎng)絡(luò)組件供應(yīng)、網(wǎng)絡(luò)漏洞檢測等網(wǎng)絡(luò)安全工作，提前在網(wǎng)絡(luò)安全薄弱環(huán)節(jié)部署防御措施，能夠有效補齊網(wǎng)絡(luò)安全短板。

美國加強私營企業(yè)管控，提高網(wǎng)絡(luò)事件應(yīng)對能力。美更加重視私營企業(yè)管控，加強基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。美國大部分關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)系統(tǒng)由私營企業(yè)負(fù)責(zé)運營，而政府發(fā)揮輔助作用，這導(dǎo)致網(wǎng)絡(luò)事件突發(fā)時，政府難以及時獲取事態(tài)信息，削弱了關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防護能力。美頻繁出臺政策文件，通過推行標(biāo)準(zhǔn)合同、建立網(wǎng)絡(luò)安全事件標(biāo)準(zhǔn)化響應(yīng)流程等手段，加強對私營企業(yè)的管控，能夠確保政府相關(guān)網(wǎng)絡(luò)安全管理舉措和機制的落地。

美國積極搶占網(wǎng)絡(luò)安全主導(dǎo)權(quán)，旨在備戰(zhàn)大國競爭。當(dāng)前，網(wǎng)絡(luò)作戰(zhàn)已成為現(xiàn)代戰(zhàn)爭重要作戰(zhàn)方式。網(wǎng)絡(luò)空間作戰(zhàn)具備成本低、隱蔽性強、效果顯著等特點，能夠有效致癱敵方關(guān)鍵基礎(chǔ)設(shè)施和軍事設(shè)施網(wǎng)絡(luò)，延緩敵方軍事部署。為此，美國將網(wǎng)絡(luò)安全作為優(yōu)先事項，積極搶占網(wǎng)絡(luò)安全主導(dǎo)權(quán)，以備戰(zhàn)大國高端戰(zhàn)爭。

結(jié)語

在復(fù)雜網(wǎng)絡(luò)安全形勢下，應(yīng)加快健全網(wǎng)絡(luò)安全政策與標(biāo)準(zhǔn)體系，持續(xù)加強軍事系統(tǒng)網(wǎng)絡(luò)安全防護，不斷強化平戰(zhàn)一體的網(wǎng)絡(luò)演訓(xùn)能力，應(yīng)對可能出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險。

完善網(wǎng)絡(luò)空間政策與標(biāo)準(zhǔn)體系。一是持續(xù)健全政策法規(guī)體系，強化網(wǎng)絡(luò)空間頂層指導(dǎo)。系統(tǒng)篩查國防領(lǐng)域網(wǎng)絡(luò)安全管理薄弱點，持續(xù)深化軍事網(wǎng)絡(luò)在研發(fā)、生產(chǎn)、采購、維護等環(huán)節(jié)的安全治理研究，建立更加全面的政策法規(guī)體系。二是強化標(biāo)準(zhǔn)支撐，加快構(gòu)建軍事網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。聚焦國防電子元器件等關(guān)鍵領(lǐng)域，推動設(shè)立國防供應(yīng)商網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)體系，并加強跨行業(yè)通用標(biāo)準(zhǔn)整合修訂。

加強軍事系統(tǒng)網(wǎng)絡(luò)安全防護。軍事系統(tǒng)網(wǎng)絡(luò)安全防護是國家網(wǎng)絡(luò)空間防護的核心，是懾止對手對關(guān)鍵基礎(chǔ)設(shè)施采取冒險行動的關(guān)鍵。其中，指揮系統(tǒng)、武器系統(tǒng)和作戰(zhàn)流程中的網(wǎng)絡(luò)安全防護尤其重要。大國競爭背景下，對手前沿部署網(wǎng)絡(luò)力量，正在實施持續(xù)交鋒作戰(zhàn)行動。應(yīng)基于“敵已進入、敵正進入”的前提假設(shè)，不斷加強軍事網(wǎng)絡(luò)與系統(tǒng)的檢查評估、監(jiān)測預(yù)警和應(yīng)急響應(yīng)，確保軍事系統(tǒng)網(wǎng)絡(luò)安全。

強化平戰(zhàn)一體的網(wǎng)絡(luò)演訓(xùn)能力。應(yīng)深刻體察網(wǎng)絡(luò)空間攻防無時空拘束、破壞力巨大等特點，高度重視網(wǎng)絡(luò)攻防作戰(zhàn)演訓(xùn)能力建設(shè)。結(jié)合典型作戰(zhàn)場景，持續(xù)建設(shè)大型網(wǎng)絡(luò)靶場，設(shè)置不同階段的網(wǎng)絡(luò)培訓(xùn)課程，開展不同環(huán)境下的網(wǎng)絡(luò)攻防演訓(xùn)，不斷強化網(wǎng)絡(luò)部隊網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)機動、網(wǎng)絡(luò)攻擊溯源、網(wǎng)絡(luò)防御等方面的作戰(zhàn)能力，加快形成網(wǎng)絡(luò)空間領(lǐng)域?qū)痴饝亓Α?/p>