上周，美國總統拜登在白宮發布了最新的《國家網絡安全戰略》（以下簡稱《安全戰略》），闡述了美國未來十年的數字生態體系的發展計劃，其核心目的是網絡防御和網絡彈性。

拜登進一步指出，這份長達 35 頁的《安全戰略》旨在“更好地保護網絡空間，并確保美國處于最有利的地位，以實現數字未來的所有好處和潛力。”

《安全戰略》認為，美國在網絡空間分配角色、責任和資源的方式發生根本性轉變，是新戰略背后的推動力；并強調制定強制性的關鍵基礎設施網絡安全政策要求，政府須以協調的方式使用國家權力的所有工具來保護國家安全、公共安全和經濟繁榮。

同時，該戰略也是美國政府針對日益嚴峻的黑客攻擊和數字犯罪，所提出的加強防御的最新舉措，并且將我國和俄羅斯列為美國最突出的網絡安全威脅，值得我們警醒。

五大支柱

為了重塑美國網絡空間，該戰略通過概述五個基本支柱來完成這項任務，這些支柱將導致加強美國境內的基礎設施和與海外盟友的聯系。

總體而言，該戰略旨在重新平衡網絡安全的責任，使其在政府、私營和公共部門之間平均分配，而不是嚴重依賴小公司和個人。

Quest Software 的首席解決方案顧問 Bryan Patton 表示，白宮新的國家網絡安全政策為美國所有人提供了一個基礎，以發展企業安全最佳實踐并進一步提高網絡彈性。而公共部門和私營部門之間的合作進一步放大了優勢，涉及開發設計安全的軟件，投資網絡安全人才管道，為政府支持網絡保險創建等。”

支柱1：保護關鍵基礎設施

根據《安全戰略》，首個支柱就是保護關鍵基礎設施，這對美國的國家安全、公共安全和經濟繁榮至關重要。為此，拜登計劃將有助于制定和實施不同關鍵基礎設施部門的法規，促進私人和公共伙伴關系，并加強已經建立的最佳實踐。

身份安全管理公司Venafi的副總裁 Kevin Bocek 表示：“國家網絡戰略早該出臺了，非常歡迎看到白宮領導層將網絡安全視為本世紀世界自由和秩序的基本風險。”

此外，該計劃將建立新的合作，旨在通過建立創新的安全能力、改進協調的事件響應以及在全國建立新的聯邦網絡安全中心來保護和保護國家的關鍵基礎設施。

該目標的一部分是優先考慮聯邦網絡系統的現代化。美國管理和預算辦公室（OMB）將與CISA合作制定一項行動計劃，通過集體作戰防御、擴大集中式共享服務的可用性和軟件供應鏈風險緩解來確保聯邦系統的安全，更換或更新無法抵御復雜網絡威脅的IT和OT系統。

支柱2：打擊和摧毀威脅行為體

知名安全專家Foster認為，《安全戰略》的第二支柱——擾亂和消除威脅行為者，是“全面的整體網絡戰略的重要組成部分”。

在面對媒體時，他補充道，隨著現代威脅行為者擴大他們的攻擊活動并變得足夠復雜以繞過傳統的防御安全，追蹤檢測到的威脅就像在原地打轉一樣。網絡犯罪分子只需稍有失誤，便可乘虛而入。

該戰略將利用所有途徑：包括外交、軍事、金融、情報和執法能力等，并再次促進聯邦和非聯邦合作，以保護公共和國家安全。Foster認為，優先破壞威脅行為者將我們的安全戰略從被動轉變為主動，這是美國人對網絡安全整體看法的微妙而重要的變化。

同時，聯邦政府將繼續加強CISA與其它SRMA之間的協調，投資于SRMA能力的發展，并以其它方式使SRMA能夠積極響應其行業關鍵基礎設施所有者和運營商的需求。聯邦政府將與工業界合作，逐個確定行業需求，并評估當前SRMA能力方面的差距。聯邦政府在建設SRMA能力方面的投資將使關鍵基礎設施的安全和彈性得到改善。SRMA將與CISA協調，以提高其主動應對行業需求的能力等。

值得一提的是，第二支柱將網絡犯罪和勒索軟件列為國家的主要目標，該目標將整合資源、新技術并開發快速通道，以支持在國家和全球所有部門之間即時共享有關威脅和受害者的信息。

鑒于勒索軟件對關鍵基礎設施服務的影響，美國將利用國家權力從以下四個方面應對威脅：（1）利用國際合作破壞勒索軟件生態體系，孤立那些為罪犯提供安全避難所的國家；（2）調查勒索軟件犯罪，利用執法部門和其它權力機構破壞勒索軟件基礎設施和行為體；（3）加強關鍵的基礎設施彈性，以防御勒索軟件攻擊；（4）解決濫用虛擬貨幣進行勒索軟件支付的問題。

但是，身份安全管理公司Venafi的副總裁Bocek依舊認為，即使是有聯邦國家大力支持網絡安全產業，企業依舊不能放松警惕：“我們不能自欺欺人，保護企業自身和客戶的安全，依舊是重要任務，沒有任何政府的力量可以讓企業從網絡攻擊的漩渦中拯救出來，這是我們必要認清的現實。”

支柱3：塑造市場力量以推動安全性和彈性

《安全戰略》第三個支柱是“塑造市場力量以推動安全性和彈性”，不僅會促進個人的數據隱私，還會推動企業承擔開發安全軟件、產品和服務的責任，這其中還包括當下及未來極為重要的物聯網設備安全。

第三支柱還計劃利用聯邦采購機制來加強問責制度。CCFI將追究那些通過故意提供有缺陷的網絡安全產品或服務，故意歪曲其網絡安全實踐或協議，或故意違反監控和報告網絡事件和違規行為的義務而使美國信息或系統面臨風險的實體或個人的責任。

同時還積極探索以聯邦網絡保險為后盾的新機制。當發生災難性事件時，政府有責任在不確定的時期穩定經濟并提供確定性。如果發生災難性的網絡事件，可以要求聯邦政府穩定經濟并幫助復蘇。

Snyk 的首席執行官 Peter McKay 對此表示不認可，他認為這種類似對開發人員喊“集會口號”的安全形式，應該是企業在規則和處罰確定之前就需要解決的問題。

“Snyk 已經觀察到，許多企業/組織從一開始或最初的代碼行，就已經將安全軟件最佳實踐嵌入到他們的開發周期中。通過授權開發人員以無縫和負責任的方式，創建安全的應用程序來做到這一點。”

McKay進一步指出，通過將安全軟件開發實踐集成并自動化到開發人員的工作流程中，他們正在部署各種方法來查找、修復和補救預生產和生產應用程序中的漏洞，從而將開發人員、IT 和安全團隊整合成一個團隊。

但Strategic Security Solutions (S3) CTO Paul Kohler 認為，《安全戰略》對網絡安全產業實質性的影響有限。他認為，目前絕大多數的違規行為都與人為因素有關。

“很多安全問題是由憑證丟失、配置錯誤、未能遵循流程等人為因素引發，與產品缺陷沒有直接關系。作為一個組織或個人，我不能將我的風險外包給另一個實體，因此很多知名科技公司已經在采取合理措施來保護他們的產品和服務。”

該觀點獲得了部分網絡安全專家的同意，企業安全中的這些變化并不會因為新指令而改變。他認為建立高安全性，如建立強化客戶或設備身份認證措施等，依舊是企業通往未來和成功的唯一途徑。

“好消息是，部分領先的企業已經認識到這種需求，某些時候安全工程師最終決定不僅是他們自己企業的成敗，還有其他企業的成敗。”

支柱4：塑造市場力量以推動安全和彈性

《安全戰略》第四個支柱是塑造市場力量以推動安全和彈性。未來我們需要建設安全和安全富有彈性的未來，將責任寄托在數字生態系統中，而這些生態體系最有能力降低風險。為了實現這一目標，那么需要引導市場進行長期投資，以減少系統性技術漏洞、增強安全彈性并培養強大的網絡勞動力。

《安全戰略》指出，這些投資將優先考慮下一代技術的網絡安全研究和開發，并為人工智能和量子計算帶來的技術面貌的革命性變化做準備。其中包括保護互聯網的技術基礎、重振聯邦層面的網絡安全研發、為后量子時代做好準備、清潔能源基礎設施和數字身份解決方案等。

全球最大的量子計算公司 Quantinuum 首席法律顧問 Kaniah Konkoly-Thege 表示，“該戰略是在拜登總統于 12 月簽署的量子立法之后制定的，旨在幫助聯邦機構主動轉向后量子安全態勢，優先在整個政府范圍內采用后量子密碼學標準”。

他認為，新的國家網絡安全戰略將進一步支持這些變化，并幫助聯邦機構“加強抵御來自未來幾代的更強大的量子計算機的網絡攻擊。聯邦政府與量子相關的公告和要求的新形勢也給許多供應商和政府承包商帶來了緊迫感，因為那些不合規的人將在報告中被點名，并可能遭受聲譽和經濟后果。

“《安全戰略》雖然沒有深入探討為后量子未來做準備的步驟，但 NIST 目前正在使用將于 2024 年發布的最終標準對這些算法進行標準化。”

支柱5：建立國際伙伴關系以實現共同目標

《安全戰略》的第五支柱是建立國際伙伴關系以實現共同目標。該支柱更側重于加強與美國盟友的關系，制定參數以定義全球范圍內的正常網絡行為，并建立讓其他民族國家對危險行為負責的方法。

在這個支柱中，我國以及俄羅斯被重點提及，并污蔑我們有組織的網絡犯罪活動，公開壓制言論自由和其他基本人權等，顯示出美國《安全戰略》的極大全球化野心，值得我們警醒。