美国第五号白皮书：对拜登政府的网络安全建议

在美国网络空间日光浴委员会相继发布《疫情中吸取的关于网络安全的教训》、《网络安全劳动力发展战略框架》、《如何确保美国信息和通信技术供应链安全》等四份白皮书之后，2021年1月16日，CSC发布第五份白皮书《对拜登政府的网络安全建议》，这份白皮书旨在为即将上任的拜登-哈里斯政府提供网络空间安全方面的指导，明确新政府早期可能在网络空间采取的策略，并提出未来几个月和几年的行动重点。引言和背景数字互联在给美国带来经济增长、技术优势和生活质量改善的同时，也造成了战略困境。

美国需要在具备数据安全性和韧性的可信网络环境下运行，但目前美国政府和私营部门都无法提供。

此外，美国政府内部、公共和私营部门在灵活性、技术特长和统一行动方面的缺陷也不断凸显。20多年来，主权国家和非国家行为体一直在利用网络空间来破坏美国的政权、安全和生活方式，这些网络攻击的实施者利用美国网络空间系统和战略的弱点，并评估如何在不引起美国报复的前提下对美国造成损害。美国的克制遭到了肆无忌惮的践踏。

美国网络空间日光浴委员会是根据《2019财年国防授权法》由约翰麦凯恩领导成立的，旨在应对这些挑战，并就“在网络空间保护美国免受后果严重的网络攻击的战略手段”达成共识。

为了完成这一使命，该委员会于2020年3月发布了一份报告，概述了美国政府的战略方针和80多项建议。在编写报告的过程中，该委员会召集了来自工业界、学术界、联邦、州级和地方政府、国际组织以及智库的300多名相关人员；他们通过一系列的红队审查和基于场景的活动对上述建议进行了压力测试。在Solarium事件之后，委员会对每项战略及其支持性政策建议进行了评估，并提供了正式反馈。

工作人员将这些反馈编制成册，以备今后进一步完善建议。在报告终稿发布的几个月里，委员会和工作人员制定了立法提案，为其建议提供支持，他们还与众议院和参议院的相关委员合作，执行委员会的最初建议。

此外，委员会发布了四份白皮书，其中包含新的和更新的建议，内容涉及从疫情中吸取的关于网络安全的教训、对国家网络总监建议的细节、网络安全劳动力发展战略框架，以及关于如何确保美国信息和通信技术供应链安全的建议。

委员会的许多重要建议已被纳入立法，但要应对我国面临的紧迫挑战，仍有更多工作要做，相信通过协调和深思熟虑的行动后可以取得很大成就。这份白皮书旨在为即将上任的拜登－哈里斯政府提供指导，明确新政府早期可能在网络空间采取的策略，并提出未来几个月和几年的行动重点。委员会的最终报告和附带的白皮书将更详细地讨论这本小册子中的建议。

优先事项：拜登政府上任头100天在上任的头100天里，拜登－哈里斯政府将启动三个进程，把网络安全提升为政府的当务之急，降低美国遭受网络攻击的可能性并减轻影响力。设立国家网络总监办公室目前很多委员会、倡议和研究都建议构建一个更加健全和制度化的国家级机制，以协调网络安全和相关新兴技术的问题，监督行政部门制定和实施综合国家网络安全战略。由于新兴技术以及网络空间相关问题变得更加复杂，对美国国家安全构成更大威胁，总统对合理建议和及时选项的需求将变得越来越重要。为了确保白宫拥有强大、稳定和专家领导的网络安全领导能力，拜登－哈里斯政府应在头30天内提名一位参议院认可的国家网络总监，并着手建立国家网络总监办公室。

《2021财年国防授权法》设立了国家网络总监职位和国家网络总监办公室。作为总统行政办公室的下设职位之一，国家网络总监是经参议院批准的总统顾问，其担任着多项重要职务，包括：担任总统在网络安全和相关新兴技术问题上的首席顾问；领导制定国家网络战略，并确保其在各部门和机构的实施，包括评估机构预算和确保机构间行动的有效整合；监督和协调联邦政府在对抗网络行动中保护美国的行动，包括作为与私营部门、州、地方、部落和属地联系的主要联络点；和经国家安全顾问或国家经济顾问同意，召集和协调内阁级或国家安全委员会主要委员会级会议及相关筹备会议。作为建立国家网络总监办公室的一部分，拜登－哈里斯政府应明确白宫负责网络和新兴技术的国家安全副顾问和国家网络主管之间的关系、角色和责任。委员会认为，这类角色相辅相成，共同确保国家安全顾问在评估和执行支持国家安全目标的全国战略时发挥良好作用。

国家安全副顾问将代表“按《美国法典》第10编和第50编开展网络行动”的各部门和机构的利益，展示这些部门和机构的能力，并在它们和国家安全委员会之间起着重要的桥梁，确保国家网络总监对这些部门的网络行动有充分了解。国家网络总监应专注于协调、支持和消除行政部门领导的国家网络安全和防御型网络行动的冲突。在此过程中，国家网络总监应负责白宫与私营部门的接触，建立信任和推进共同利益，并应在国内外网络问题上代表政府。与此同时，拜登－哈里斯政府还应评估并更新第41号总统令，以指定国家网络总监作为联邦网络事件响应工作的主要协调人，明确国家网络总监向国家安全顾问提供综合建议政策和行动的责任。

此外也应更新对网络安全有影响的其它规则制定流程，以便让国家安全总监参与进来。制定并颁布国家网络战略一旦国家网络主管到位，拜登－哈里斯政府应开始制定和颁布新的美国国家网络战略。《2018年国家网络战略》是近15年来发布的第一份美国国家网络安全战略，也是美国历史上第二份。

任何有效的网络空间战略都需要联邦政府、州政府和地方政府以及私营部门等多个利益攸关方的协调努力，这些利益攸关方都有责任在这一领域保护和捍卫美国。因此，战略必须明确地调整和同步利益相关者的战略目标，确定将战略付诸实施的努力方向，明确各项工作的优先顺序，并制定共同的风险原则。此外，该战略应该将目前支撑国防部2018年网络战略的“前向防御”概念纳入更广泛的美国网络战略。

该战略应使前向防御成为综合方法的一个组成部分，该方法不仅包括使用严格的军事能力，还包括使用所有国家权力工具：包括经济、执法、外交工具以及针对盟友和对手的手段。新的国家网络战略应阐明一种架构，通过分层网络威慑成功地瓦解和阻止美国的对手进行重大网络攻击，并应提出以下方法和手段：构建对手行为，拒绝对手优势增加对手成本。虽然威慑是美国持久的战略，但有两个因素使分层网络威慑变得大胆而独特。首先，这种方法优先考虑通过拒绝来威慑，特别是通过韧性和公私部门合作来增强网络空间的防御和安全，减少对手可能瞄准的漏洞。

第二，该战略纳入了上文讨论的“前向防御”的概念。最后，新战略应该纳入一个针对美国的多层级的具有标志性意义的战略和一个新的具有宣言性意义的政策。这个具有标志性意义的战略应阐明这样一种框架，即能明确传达美国政府将在何时和何种条件下自愿披露网络作战和行动，以便向各类受众传达其能力和意图。

宣言性政策应明确指出美国将利用网络和非网络能力进行反击，而且针对敌方网络活动的代价必须控制在使用武力的门槛以下。从根本上说，美国政府应公开宣布它将实施前向防御，并应该将这种宣称与在国家各个权力层面实施的果断和一致的行动结合。加强现有政府网络安全工作的一致性、影响力以及与私营部门的合作虽然各个私营实体以及州、地方、部落和区块政府负责其网络的防御和安全，但美国政府必须利用其独特的权力和资源以及外交、经济、军事、执法和情报能力来支持上述机构的防御工作。此外，正如“太阳风”事件所表明的那样，联邦政府部门和机构必须加强其能力，以防止网络事件，并在事件发生时识别、检测和有效应对它们。

为了提高美国政府在网络空间保卫自己以及与私营实体和其它关键角色合作这二方面的能力，拜登－哈里斯政府应强化网络安全和基础设施安全局内部的综合网络中心，并建立联合网络规划办公室。1.审查联邦机构2022财年网络安全预算拨款“太阳风”大规模黑客攻击暴露了迫切需要改善联邦部门和机构以及联邦网络安全中心的网络安全。通过国家网络总监，拜登－哈里斯政府应对联邦机构网络安全预算进行90天的审查。

预算审查应确定联邦部门和机构内部网络安全运营和规划的现有预算，并应评估当前分配的金额与完成规定任务所需的金额之间的差距。它应该检查机构企业网络安全和《联邦信息安全管理法》的预算以及机构网络安全规划的预算。审查范围还应包括各机构执行新任务所。