在美國網(wǎng)絡(luò)空間日光浴委員會(CSC)相繼發(fā)布《疫情中吸取的關(guān)于網(wǎng)絡(luò)安全的教訓》、《網(wǎng)絡(luò)安全勞動力發(fā)展戰(zhàn)略框架》、《如何確保美國信息和通信技術(shù)供應(yīng)鏈安全》等四份白皮書之后，2021年1月16日，CSC發(fā)布第五份白皮書《對拜登政府的網(wǎng)絡(luò)安全建議》，這份白皮書旨在為即將上任的拜登-哈里斯政府提供網(wǎng)絡(luò)空間安全方面的指導，明確新政府早期可能在網(wǎng)絡(luò)空間采取的策略，并提出未來幾個月和幾年的行動重點。

[[378966]]

這些建議涵蓋了對外將與美國的盟國合作，建立統(tǒng)一的網(wǎng)絡(luò)防線;在IT和通信技術(shù)領(lǐng)域形成類似北約的聯(lián)盟;對內(nèi)與美國的私營企業(yè)合作，加強對私營企業(yè)的監(jiān)管，明確私營企業(yè)在網(wǎng)絡(luò)安全上的義務(wù);直接派遣外交官參與全球IT和通信技術(shù)標準的制定，力求讓美國在技術(shù)標準領(lǐng)域擁有絕對的話語權(quán);明確要求將中國企業(yè)封殺在關(guān)鍵IT和通信設(shè)備供應(yīng)鏈之外。

這份報告在編寫機構(gòu)，方法論，戰(zhàn)略規(guī)劃，具體實施建議等方面，與上世紀50年代啟動美蘇冷戰(zhàn)戰(zhàn)略的“日光浴計劃”如出一轍，幾乎擁有同等分量。

一、引言和背景

數(shù)字互聯(lián)在給美國帶來經(jīng)濟增長、技術(shù)優(yōu)勢和生活質(zhì)量改善的同時，也造成了戰(zhàn)略困境。美國需要在具備數(shù)據(jù)安全性和彈性的可信網(wǎng)絡(luò)環(huán)境下運行，但目前美國政府和私營部門都無法提供。此外，美國政府內(nèi)部、公共和私營部門在靈活性、技術(shù)特長和統(tǒng)一行動方面的缺陷也不斷凸顯。

20多年來，主權(quán)國家和非國家行為體一直在利用網(wǎng)絡(luò)空間來破壞美國的政權(quán)、安全和生活方式，這些網(wǎng)絡(luò)攻擊的實施者利用美國網(wǎng)絡(luò)空間系統(tǒng)和戰(zhàn)略的弱點，并評估如何在不引起美國報復的前提下對美國造成損害。美國的克制遭到了肆無忌憚的踐踏。美國網(wǎng)絡(luò)空間日光浴委員會是根據(jù)《2019財年國防授權(quán)法》由約翰•麥凱恩領(lǐng)導成立的，旨在應(yīng)對這些挑戰(zhàn)，并就“在網(wǎng)絡(luò)空間保護美國免受后果嚴重的網(wǎng)絡(luò)攻擊的戰(zhàn)略手段”達成共識。

為了完成這一使命，該委員會于2020年3月發(fā)布了一份報告，概述了美國政府的戰(zhàn)略方針和80多項建議。在編寫報告的過程中，該委員會召集了來自工業(yè)界、學術(shù)界、聯(lián)邦、州級和地方政府、國際組織以及智庫的300多名相關(guān)人員;他們通過一系列的紅隊審查和基于場景的活動對上述建議進行了壓力測試。在Solarium事件之后，委員會對每項戰(zhàn)略及其支持性政策建議進行了評估，并提供了正式反饋。工作人員將這些反饋編制成冊，以備今后進一步完善建議。

在報告終稿發(fā)布的幾個月里，委員會和工作人員制定了立法提案，為其建議提供支持，他們還與眾議院和參議院的相關(guān)委員合作，執(zhí)行委員會的最初建議。此外，委員會發(fā)布了四份白皮書，其中包含新的和更新的建議，內(nèi)容涉及從疫情中吸取的關(guān)于網(wǎng)絡(luò)安全的教訓、對國家網(wǎng)絡(luò)總監(jiān)建議的細節(jié)、網(wǎng)絡(luò)安全勞動力發(fā)展戰(zhàn)略框架，以及關(guān)于如何確保美國信息和通信技術(shù)供應(yīng)鏈安全的建議。委員會的許多重要建議已被納入立法，但要應(yīng)對我國面臨的緊迫挑戰(zhàn)，仍有更多工作要做，相信通過協(xié)調(diào)和深思熟慮的行動后可以取得很大成就。

這份白皮書旨在為即將上任的拜登-哈里斯政府提供指導，明確新政府早期可能在網(wǎng)絡(luò)空間采取的策略，并提出未來幾個月和幾年的行動重點。委員會的最終報告和附帶的白皮書將更詳細地討論這本小冊子中的建議。

二、優(yōu)先事項：拜登政府上任頭100天

在上任的頭100天里，拜登-哈里斯政府將啟動三個進程，把網(wǎng)絡(luò)安全提升為政府的當務(wù)之急，降低美國遭受網(wǎng)絡(luò)攻擊的可能性并減輕影響力。

(一) 設(shè)立國家網(wǎng)絡(luò)總監(jiān)辦公室

目前很多委員會、倡議和研究都建議構(gòu)建一個更加健全和制度化的國家級機制，以協(xié)調(diào)網(wǎng)絡(luò)安全和相關(guān)新興技術(shù)的問題，監(jiān)督行政部門制定和實施綜合國家網(wǎng)絡(luò)安全戰(zhàn)略。由于新興技術(shù)以及網(wǎng)絡(luò)空間相關(guān)問題變得更加復雜，對美國國家安全構(gòu)成更大威脅，總統(tǒng)對合理建議和及時選項的需求將變得越來越重要。

為了確保白宮擁有強大、穩(wěn)定和專家領(lǐng)導的網(wǎng)絡(luò)安全領(lǐng)導能力，拜登-哈里斯政府應(yīng)在頭30天內(nèi)提名一位參議院認可的國家網(wǎng)絡(luò)總監(jiān)，并著手建立國家網(wǎng)絡(luò)總監(jiān)辦公室?！?021財年國防授權(quán)法》(NDAA)設(shè)立了國家網(wǎng)絡(luò)總監(jiān)職位和國家網(wǎng)絡(luò)總監(jiān)辦公室。作為總統(tǒng)行政辦公室的下設(shè)職位之一，國家網(wǎng)絡(luò)總監(jiān)是經(jīng)參議院批準的總統(tǒng)顧問，其擔任著多項重要職務(wù)，包括：

(1)擔任總統(tǒng)在網(wǎng)絡(luò)安全和相關(guān)新興技術(shù)問題上的首席顧問;

(2)領(lǐng)導制定國家網(wǎng)絡(luò)戰(zhàn)略，并確保其在各部門和機構(gòu)的實施，包括評估機構(gòu)預算和確保機構(gòu)間行動的有效整合;

(3)監(jiān)督和協(xié)調(diào)聯(lián)邦政府在對抗網(wǎng)絡(luò)行動中保護美國的行動，包括作為與私營部門、州、地方、部落和屬地聯(lián)系的主要聯(lián)絡(luò)點;

(4)經(jīng)國家安全顧問或國家經(jīng)濟顧問同意，召集和協(xié)調(diào)內(nèi)閣級或國家安全委員會主要委員會級會議及相關(guān)籌備會議。

作為建立國家網(wǎng)絡(luò)總監(jiān)辦公室的一部分，拜登-哈里斯政府應(yīng)明確白宮負責網(wǎng)絡(luò)和新興技術(shù)的國家安全副顧問和國家網(wǎng)絡(luò)主管之間的關(guān)系、角色和責任。委員會認為，這類角色相輔相成，共同確保國家安全顧問在評估和執(zhí)行支持國家安全目標的全國戰(zhàn)略時發(fā)揮良好作用。國家安全副顧問將代表“按《美國法典》第10編和第50編開展網(wǎng)絡(luò)行動”的各部門和機構(gòu)的利益，展示這些部門和機構(gòu)的能力，并在它們和國家安全委員會之間起著重要的橋梁，確保國家網(wǎng)絡(luò)總監(jiān)對這些部門的網(wǎng)絡(luò)行動有充分了解。國家網(wǎng)絡(luò)總監(jiān)應(yīng)專注于協(xié)調(diào)、支持和消除行政部門領(lǐng)導的國家網(wǎng)絡(luò)安全和防御型網(wǎng)絡(luò)行動的沖突。

在此過程中，國家網(wǎng)絡(luò)總監(jiān)應(yīng)負責白宮與私營部門的接觸，建立信任和推進共同利益，并應(yīng)在國內(nèi)外網(wǎng)絡(luò)問題上代表政府。與此同時，拜登-哈里斯政府還應(yīng)評估并更新第41號總統(tǒng)令，以指定國家網(wǎng)絡(luò)總監(jiān)作為聯(lián)邦網(wǎng)絡(luò)事件響應(yīng)工作的主要協(xié)調(diào)人，明確國家網(wǎng)絡(luò)總監(jiān)向國家安全顧問提供綜合建議政策和行動的責任。此外也應(yīng)更新對網(wǎng)絡(luò)安全有影響的其它規(guī)則制定流程，以便讓國家安全總監(jiān)參與進來。

(二) 制定并頒布國家網(wǎng)絡(luò)戰(zhàn)略

一旦國家網(wǎng)絡(luò)主管到位，拜登-哈里斯政府應(yīng)開始制定和頒布新的美國國家網(wǎng)絡(luò)戰(zhàn)略?！?018年國家網(wǎng)絡(luò)戰(zhàn)略》是近15年來發(fā)布的第一份美國國家網(wǎng)絡(luò)安全戰(zhàn)略，也是美國歷史上第二份。

任何有效的網(wǎng)絡(luò)空間戰(zhàn)略都需要聯(lián)邦政府、州政府和地方政府以及私營部門等多個利益攸關(guān)方的協(xié)調(diào)努力，這些利益攸關(guān)方都有責任在這一領(lǐng)域保護和捍衛(wèi)美國。因此，戰(zhàn)略必須明確地調(diào)整和同步利益相關(guān)者的戰(zhàn)略目標，確定將戰(zhàn)略付諸實施的努力方向，明確各項工作的優(yōu)先順序，并制定共同的風險原則。此外，該戰(zhàn)略應(yīng)該將目前支撐國防部2018年網(wǎng)絡(luò)戰(zhàn)略的“前向防御”概念納入更廣泛的美國網(wǎng)絡(luò)戰(zhàn)略。該戰(zhàn)略應(yīng)使前向防御成為綜合方法的一個組成部分，該方法不僅包括使用嚴格的軍事能力，還包括使用所有國家權(quán)力工具：包括經(jīng)濟、執(zhí)法、外交工具以及針對盟友和對手的手段。

新的國家網(wǎng)絡(luò)戰(zhàn)略應(yīng)闡明一種架構(gòu)，通過分層網(wǎng)絡(luò)威懾成功地瓦解和阻止美國的對手進行重大網(wǎng)絡(luò)攻擊，并應(yīng)提出以下方法和手段：(1)構(gòu)建對手行為，(2)拒絕對手優(yōu)勢(3)增加對手成本。雖然威懾是美國持久的戰(zhàn)略，但有兩個因素使分層網(wǎng)絡(luò)威懾變得大膽而獨特。首先，這種方法優(yōu)先考慮通過拒絕來威懾，特別是通過彈性和公私部門合作來增強網(wǎng)絡(luò)空間的防御和安全，減少對手可能瞄準的漏洞。第二，該戰(zhàn)略納入了上文討論的“前向防御”的概念。

最后，新戰(zhàn)略應(yīng)該納入一個針對美國的多層級的具有標志性意義的戰(zhàn)略和一個新的具有宣言性意義的政策。這個具有標志性意義的戰(zhàn)略應(yīng)闡明這樣一種框架，即能明確傳達美國政府將在何時和何種條件下自愿披露網(wǎng)絡(luò)作戰(zhàn)和行動，以便向各類受眾傳達其能力和意圖。宣言性政策應(yīng)明確指出美國將利用網(wǎng)絡(luò)和非網(wǎng)絡(luò)能力進行反擊，而且針對敵方網(wǎng)絡(luò)活動的代價必須控制在使用武力的門檻以下。從根本上說，美國政府應(yīng)公開宣布它將實施前向防御，并應(yīng)該將這種宣稱與在國家各個權(quán)力層面實施的果斷和一致的行動結(jié)合。

(三) 加強現(xiàn)有政府網(wǎng)絡(luò)安全工作的一致性、影響力以及與私營部門的合作

雖然各個私營實體以及州、地方、部落和區(qū)塊政府負責其網(wǎng)絡(luò)的防御和安全，但美國政府必須利用其獨特的權(quán)力和資源以及外交、經(jīng)濟、軍事、執(zhí)法和情報能力來支持上述機構(gòu)的防御工作。此外，正如“太陽風”(SolarWinds)事件所表明的那樣，聯(lián)邦政府部門和機構(gòu)必須加強其能力，以防止網(wǎng)絡(luò)事件，并在事件發(fā)生時識別、檢測和有效應(yīng)對它們。為了提高美國政府在網(wǎng)絡(luò)空間保衛(wèi)自己以及與私營實體和其它關(guān)鍵角色合作這二方面的能力，拜登-哈里斯政府應(yīng)強化網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)內(nèi)部的綜合網(wǎng)絡(luò)中心，并建立聯(lián)合網(wǎng)絡(luò)規(guī)劃辦公室。

1.審查聯(lián)邦機構(gòu)2022財年網(wǎng)絡(luò)安全預算撥款

“太陽風”大規(guī)模黑客攻擊暴露了迫切需要改善聯(lián)邦部門和機構(gòu)以及聯(lián)邦網(wǎng)絡(luò)安全中心的網(wǎng)絡(luò)安全。通過國家網(wǎng)絡(luò)總監(jiān)，拜登-哈里斯政府應(yīng)對聯(lián)邦機構(gòu)網(wǎng)絡(luò)安全預算進行90天的審查。預算審查應(yīng)確定聯(lián)邦部門和機構(gòu)內(nèi)部網(wǎng)絡(luò)安全運營和規(guī)劃的現(xiàn)有預算，并應(yīng)評估當前分配的金額與完成規(guī)定任務(wù)所需的金額之間的差距。它應(yīng)該檢查機構(gòu)企業(yè)網(wǎng)絡(luò)安全和《聯(lián)邦信息安全管理法》的預算以及機構(gòu)網(wǎng)絡(luò)安全規(guī)劃的預算。

審查范圍還應(yīng)包括各機構(gòu)執(zhí)行新任務(wù)所需的預算，包括2021財年NDAA對網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局以下項目的預算，包括：(1)在聯(lián)邦信息系統(tǒng)中尋找和識別威脅和漏洞;(2)提供服務(wù)、功能和能力以協(xié)助聯(lián)邦機構(gòu);以及(3)部署、操作和維護安全的技術(shù)平臺和工具，包括網(wǎng)絡(luò)和常見的業(yè)務(wù)應(yīng)用程序。此外，審查應(yīng)評估行業(yè)風險管理機構(gòu)的現(xiàn)有預算是否足夠，以適應(yīng)2021財年NDAA法規(guī)對其角色的新要求。

2.強化CISA的綜合網(wǎng)絡(luò)中心

2021財年NDAA要求對聯(lián)邦網(wǎng)絡(luò)中心進行審查，并加強CISA新興的綜合網(wǎng)絡(luò)中心。為了真正落實與私營部門的網(wǎng)絡(luò)安全合作，拜登-哈里斯政府應(yīng)執(zhí)行這一任務(wù)，強化CISA的綜合網(wǎng)絡(luò)中心，指定其為負責資產(chǎn)響應(yīng)活動的網(wǎng)絡(luò)安全中心，并改善其與其它主要聯(lián)邦和私營網(wǎng)絡(luò)和網(wǎng)絡(luò)安全中心的聯(lián)系。這樣做將確保協(xié)作和整合的系統(tǒng)、流程和人員等各要素在關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和彈性任務(wù)的業(yè)務(wù)支持中充分發(fā)揮作用。CISA的網(wǎng)絡(luò)任務(wù)最初是想構(gòu)建一個國家網(wǎng)絡(luò)安全和通信一體化中心，計劃作為美國政府的主要協(xié)調(diào)機構(gòu)，負責在網(wǎng)絡(luò)安全行動中打造政府一體化、公私合作。然而，由于設(shè)施和人事政策不足、資源不足、缺乏其它聯(lián)邦部門和機構(gòu)的支持、國會對其相對于其它機構(gòu)的作用和地位模糊不清以及對私營部門的支持和與私營部門的整合不一致，CISA全面執(zhí)行這一任務(wù)的能力在體制上受到限制。

3.在CISA內(nèi)部建立聯(lián)合網(wǎng)絡(luò)規(guī)劃辦公室

除了呼吁建立一個更強大的綜合網(wǎng)絡(luò)中心來進行實時網(wǎng)絡(luò)防御，2021財年NDAA還要求在CISA建立“聯(lián)合網(wǎng)絡(luò)規(guī)劃辦公室”(JCPO)，以制定計劃和協(xié)調(diào)演習。在2021財年的國土安全部法定經(jīng)費中，有1056.8萬美元將用于此項工作。拜登-哈里斯政府應(yīng)在CISA領(lǐng)導下建立JCPO，以協(xié)調(diào)整個聯(lián)邦政府以及公共和私營部門之間的網(wǎng)絡(luò)安全規(guī)劃和準備工作，為重大網(wǎng)絡(luò)事件和惡意網(wǎng)絡(luò)活動做準備。從由國家網(wǎng)絡(luò)主管監(jiān)督的國家網(wǎng)絡(luò)戰(zhàn)略中獲取戰(zhàn)略指導，JCPO應(yīng)由中央規(guī)劃人員和來自綜合網(wǎng)絡(luò)中心的代表組成，以及來自擁有網(wǎng)絡(luò)作戰(zhàn)能力和/或負責保護關(guān)鍵基礎(chǔ)設(shè)施的其它聯(lián)邦機構(gòu)的代表組成。聯(lián)合反恐行動計劃應(yīng)旨在促進各機構(gòu)對防御性、非情報性網(wǎng)絡(luò)安全活動的全面規(guī)劃，將這些規(guī)劃工作與私營部門的規(guī)劃工作相結(jié)合，并由CISA管理和主辦。

4.為行業(yè)風險管理機構(gòu)確立預期和責任

2021財年NDAA將特定行業(yè)機構(gòu)從法律上歸為行業(yè)風險管理機構(gòu)(SRMA)，并且為這些與關(guān)鍵基礎(chǔ)設(shè)施部門保持聯(lián)系的重要機構(gòu)設(shè)定了基準預期和責任。這是建立政府結(jié)構(gòu)的關(guān)鍵的第一步，使政府能夠在網(wǎng)絡(luò)安全方面向私營部門提供更成熟的支持。拜登-哈里斯政府應(yīng)執(zhí)行《2021財年國防授權(quán)法》中關(guān)于行業(yè)風險管理機構(gòu)的規(guī)定，并通過改寫總統(tǒng)第21號指令政策以及闡述SRMA機構(gòu)的期望和責任來提高SRMA應(yīng)對威脅的能力。拜登-哈里斯政府在頭100天內(nèi)將這樣做，以便SRMA可以利用這一年的剩余時間來了解他們的新職責，并提交與這些職責相一致的預算請求。

三、100天后的優(yōu)先行政舉措

在前100天內(nèi)確立了白宮的領(lǐng)導和協(xié)調(diào)體制以及國家網(wǎng)絡(luò)安全戰(zhàn)略后，拜登-哈里斯政府接下來就應(yīng)優(yōu)先關(guān)注七個方面的網(wǎng)絡(luò)安全問題。

(一) 恢復美國在網(wǎng)絡(luò)領(lǐng)域的國際領(lǐng)導地位

我們可以看到，美國在網(wǎng)絡(luò)安全問題上的國際領(lǐng)導地位正日益衰弱。盡管美國的外交官一直在按部就班地與世界各地的其它政府和組織接洽，但除非為他們提供足夠的資源并優(yōu)先考慮此類事項，否則這些接洽工作的效果就不盡如人意。若要形成穩(wěn)定的全球體系，并讓對手和盟友都在網(wǎng)絡(luò)空間內(nèi)規(guī)矩行事，那么國際合作就必不可少;而要想切實且持續(xù)做到這兩點，則多半還必須建立覆蓋全球的網(wǎng)絡(luò)安全能力。為此美國可以加強與美國站在同一陣線的民主聯(lián)盟，并與盟友和志同道者組成新的聯(lián)盟，從而一同在網(wǎng)絡(luò)空間內(nèi)激勵各國作出負責任的行為，讓惡意攻擊者付出沉重代價，以及動員各國共同應(yīng)對全球網(wǎng)絡(luò)威脅。

1. 組建網(wǎng)絡(luò)空間政策與新興技術(shù)局

既然拜登-哈里斯政府將網(wǎng)絡(luò)安全視為首要的國際政策問題之一，就理應(yīng)為此組建網(wǎng)絡(luò)空間政策與新興技術(shù)局(CPET)。CPET的機制和資源理應(yīng)滿足領(lǐng)導國際聯(lián)盟的需要，并由其負責實施方方面的美國網(wǎng)絡(luò)安全戰(zhàn)略。按照2019年提出的《網(wǎng)絡(luò)外交法》(Cyber Diplomacy Act)所概述的結(jié)構(gòu)和責任，CPET必須有權(quán)在諸多問題上發(fā)揮領(lǐng)導作用，包括倡導負責任的網(wǎng)絡(luò)空間國家行為規(guī)范，加強互信措施，通過外交手段與國際社會一同應(yīng)對網(wǎng)絡(luò)威脅，推動建立由多個利益攸關(guān)方共同治理、開放且可互操作的互聯(lián)網(wǎng)模式，通過國際合作來確保數(shù)字經(jīng)濟安全，培養(yǎng)合作方/盟友提升網(wǎng)絡(luò)安全和打擊網(wǎng)絡(luò)犯罪的能力，以及承擔國務(wù)卿下達的其它任何任務(wù)。

2. 擴大美國政府在能力建設(shè)、規(guī)范和互信措施方面的支持范圍

一旦組建CPET，拜登-哈里斯政府就應(yīng)借助該局來擴大美國政府在能力建設(shè)、規(guī)范和互信措施的支持范圍。國際社會已在聯(lián)合國等場合上表態(tài)同意制定網(wǎng)絡(luò)規(guī)范，但這些規(guī)范的實施力度各不相同。在CPET牽頭下，美國政府應(yīng)在照顧到多個利益攸關(guān)方的前提下，逐行業(yè)地實施規(guī)范，在國家元首的層級上主導關(guān)于網(wǎng)絡(luò)安全規(guī)范的討論，并在聯(lián)合國及其它場合參與各類廣泛性論壇和專業(yè)性論壇。拜登-哈里斯政府應(yīng)與國會合作，確保CPET擁有必要的人力、資源和權(quán)限來開展能力建設(shè)，從而激勵和支持各國在網(wǎng)絡(luò)空間內(nèi)作出負責任的行為。

此外國務(wù)院應(yīng)繼續(xù)制定和實施地區(qū)層面和全球?qū)用娴木W(wǎng)絡(luò)互信措施，并籍此與私營機構(gòu)等非國家的利益攸關(guān)方進行接觸。在建設(shè)國際網(wǎng)絡(luò)安全能力的同時，美國政府還應(yīng)該確保這種能力建設(shè)工作在美國的對外政策中發(fā)揮不可或缺的作用。美國將以建立國際伙伴關(guān)系和國際聯(lián)盟的方式開展能力建設(shè)和拓寬國際合作，進而向恢復美國的領(lǐng)導地位邁出關(guān)鍵一步。

3. 更積極且更有效地參與國際信通技術(shù)標準討論

除了圍繞規(guī)范和CBM進一步開展工作外，美國政府還必須更積極且更有效地參與關(guān)于國際信通技術(shù)(ICT)標準的討論。拜登-哈里斯政府應(yīng)為此與國會合作，以確保聯(lián)邦部門/機構(gòu)擁有所需的資源和權(quán)力，從而促進聯(lián)邦政府、學術(shù)界、專業(yè)協(xié)會和行業(yè)的人士深度參與關(guān)于制定信通技術(shù)標準的討論。為提高參與效果，美國政府還應(yīng)在討論信通技術(shù)標準之前和期間主動與各行各業(yè)的利益攸關(guān)方接觸。此外行政部門的領(lǐng)導人不僅應(yīng)派出技術(shù)專家和標準專家參與各類信通技術(shù)標準論壇，還應(yīng)派出外交官參與此類論壇。

(二) 投入更多必要人手來抵御惡意網(wǎng)絡(luò)攻擊

目前公共部門的網(wǎng)絡(luò)安全職位缺口多達37000多人。鑒于公共部門已雇傭了56000多名網(wǎng)絡(luò)安全專業(yè)人員，這一缺口意味著公共部門缺少約三分之一的網(wǎng)絡(luò)安全人員。另一方面，企業(yè)的網(wǎng)絡(luò)安全職位缺口更是接近50萬人10。在2009年時，為填補聯(lián)邦政府的網(wǎng)絡(luò)職位缺口，有專家呼吁白宮網(wǎng)絡(luò)安全協(xié)調(diào)員制定聯(lián)邦級的網(wǎng)絡(luò)勞動力戰(zhàn)略11;然而12年后，美國聯(lián)邦政府仍既未制定有效的網(wǎng)絡(luò)勞動力戰(zhàn)略，也未明確由誰負責制定和實施此類戰(zhàn)略。

1. 建立勞動力領(lǐng)導與協(xié)調(diào)體制

美國政府中的許多部門和機構(gòu)都在采取措施招募網(wǎng)絡(luò)工作人員，但并沒有中央層面的領(lǐng)導或戰(zhàn)略來協(xié)調(diào)這些工作。為此拜登-哈里斯政府應(yīng)組建兩個聯(lián)邦網(wǎng)絡(luò)勞動力開發(fā)機構(gòu)，并與這些機構(gòu)合作起草一項聯(lián)邦網(wǎng)絡(luò)勞動力戰(zhàn)略。首先，美國政府應(yīng)組建一個網(wǎng)絡(luò)勞動力指導委員會(CW-SC)，由國家網(wǎng)絡(luò)總監(jiān)擔任該委員會主席，其成員則應(yīng)包括來自管理與預算辦公室(OMB)、人事管理局(OPM)、國家網(wǎng)絡(luò)安全教育倡議、國家科學基金會、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)和國防部(DoD)的代表。CW-SC應(yīng)提供出自領(lǐng)導層的戰(zhàn)略指導和直接資源，以確保整個聯(lián)邦政府協(xié)調(diào)一致地開發(fā)網(wǎng)絡(luò)勞動力。

除此之外，對所有部門和機構(gòu)開放的“網(wǎng)絡(luò)勞動力協(xié)調(diào)工作組”則應(yīng)負責解決各種項目的日常開發(fā)和運營問題，同時確保這些項目獲得特許和資源，并遵循指導委員會確立的戰(zhàn)略方向。國家網(wǎng)絡(luò)總監(jiān)應(yīng)與這兩個機構(gòu)及教育部(教育部在加強全美的網(wǎng)絡(luò)勞動力開發(fā)方面也發(fā)揮著重要作用)等其它聯(lián)邦部門/機構(gòu)合作制定一項網(wǎng)絡(luò)勞動力戰(zhàn)略，以減少重復工作，確保從戰(zhàn)略角度分配資源，以及減輕各機構(gòu)對人才的爭奪程度。在設(shè)立這些機構(gòu)并制定勞動力戰(zhàn)略后，國家網(wǎng)絡(luò)總監(jiān)便可在倡導有效整合勞動力開發(fā)方面發(fā)揮核心作用。

2. 確保美國政府能在網(wǎng)絡(luò)工作方面擁有特殊的招聘權(quán)限和制定靈活的付薪制度

在使用網(wǎng)絡(luò)人才方面，不同聯(lián)邦機構(gòu)有著不同的招聘權(quán)限和付薪制度。許多部門和機構(gòu)費盡心思制定和使用了一套復雜的職業(yè)編碼與權(quán)限制度，另一些部門則完全拋棄了這一套，轉(zhuǎn)而建立了其特有的人事管理制度。為了形成開發(fā)未來聯(lián)邦網(wǎng)絡(luò)勞動力所需的靈活性和創(chuàng)新性，拜登-哈里斯政府應(yīng)致力于消除既有障礙，使所有聯(lián)邦部門都能擁有特殊的招聘權(quán)限和制定靈活的付薪制度。

在2018年和2019年發(fā)布的報告中，政府問責局概述了聯(lián)邦網(wǎng)絡(luò)崗位定密方面的挑戰(zhàn)，而正是這些挑戰(zhàn)妨礙了各部門擁有特殊的招聘權(quán)限和制定靈活的付薪制度12。OPM后來提供了一些信息，以幫助聯(lián)邦管理人員利用這些報告開展工作。拜登-哈里斯政府應(yīng)評價OPM的工作，以判斷現(xiàn)有制度是否能有效管理網(wǎng)絡(luò)人才。如果不能，美國政府就應(yīng)該指示OPM設(shè)置一系列網(wǎng)絡(luò)職位，以更好地利用特殊的招聘權(quán)限和靈活的付薪制度。

3. 擴大“網(wǎng)絡(luò)企業(yè)服務(wù)獎學金”計劃范圍

“網(wǎng)絡(luò)企業(yè)服務(wù)獎學金”(SFS)計劃是一項經(jīng)濟且可放大的網(wǎng)絡(luò)人才培養(yǎng)計劃，并立足于現(xiàn)有學院和大學的教育基礎(chǔ)設(shè)施。不過近年來其預算始終沒有增長，以至于阻礙了SFS最大限度地發(fā)揮其潛力。在向國會提交的預算申請中，拜登-哈里斯政府應(yīng)優(yōu)先考慮該“服務(wù)獎學金”的需求，以(1)增加參與該計劃的學院和大學的數(shù)量，以及(2)增加參與機構(gòu)所授獎學金的數(shù)量。受現(xiàn)實條件的限制，美國政府只能逐步擴大該計劃的范圍：在10年時間內(nèi)，其預算的年均增幅應(yīng)比通貨膨脹率高出20%到30%，這意味著該計劃在2022財年的預算將達到8000萬美元。為推動網(wǎng)絡(luò)勞動力的多樣性(目前這種多樣性明顯不足)，美國政府還應(yīng)盡量努力鼓勵以少數(shù)族裔為主的機構(gòu)參與該計劃。

(三) 加大我國在基礎(chǔ)設(shè)施彈性方面的投資

網(wǎng)絡(luò)領(lǐng)域中對對手有吸引力的大部分資產(chǎn)、功能和實體由私營部門擁有和運營;因此，賽博防御雖然是一項共同的責任，但在很大程度上取決于私有網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的擁有者和運營商的努力。

1. 啟動經(jīng)濟延續(xù)性規(guī)劃

2021財年NDAA要求總統(tǒng)“制定并維持一項計劃，以維持和恢復美國經(jīng)濟，應(yīng)對重大事件13”。拜登-哈里斯政府應(yīng)開始制定經(jīng)濟連續(xù)計劃。盡管美國政府保持著運營的連續(xù)性和政府計劃的連續(xù)性，但沒有同等的措施來確保經(jīng)濟的連續(xù)性，而經(jīng)濟是美國國力的重要來源。規(guī)劃制定應(yīng)包括國土安全部、國防部、國防部、商務(wù)部、財政部、能源部、衛(wèi)生和公眾服務(wù)部、小企業(yè)管理局以及總統(tǒng)確定的任何其它部門或機構(gòu)。

作為規(guī)劃制定的一部分，行政部門應(yīng)確定在發(fā)生災難時實施計劃所需的任何額外權(quán)限或資源，或制定計劃來支撐和維持部門和機構(gòu)使得他們能實現(xiàn)經(jīng)濟的連續(xù)性。規(guī)劃過程應(yīng)分析國家關(guān)鍵職能14，側(cè)重于美國經(jīng)濟可靠運行所必需的貨物和服務(wù)的國家級分配;它還應(yīng)概述構(gòu)成或被集成到這些分配機制的關(guān)鍵私營部門實體，這些實體對特定部門或區(qū)域整體經(jīng)濟的維持和運作負有主要責任14。此外，該計劃應(yīng)確定關(guān)鍵材料、貨物和服務(wù);響應(yīng)和恢復優(yōu)先級;投資恢復領(lǐng)域;和必須保存數(shù)據(jù)的領(lǐng)域。

2. 探索以機器速度共享信息的可行性

拜登-哈里斯(Biden-Harris)政府應(yīng)責成國土安全部部長和國家情報局局長起草一份報告，說明建立一個聯(lián)合的、基于云的信息共享環(huán)境的可行性和合理性，在這個環(huán)境中，聯(lián)邦政府的非機密和機密網(wǎng)絡(luò)威脅信息、惡意軟件取證和來自于監(jiān)控程序的網(wǎng)絡(luò)數(shù)據(jù)一般可用于查詢和分析。

3. 改善對私營部門的情報支持

雖然情報界在美國政府為防護者的情況下信息安全足夠強大，但它缺乏恰當?shù)恼吆痛胧﹣硖幚碇饕熑尾辉诿绹秶鷥?nèi)的情況。歸私營部門所有和運營的數(shù)字基礎(chǔ)設(shè)施亟需依托美國情報界的獨家情報來開展防御，外國的惡意行為體也比過去更加詭計多端，然而現(xiàn)行的情報政策和程序卻未能考慮到這些問題。因此，情報界依然被嚴格限制在保持對不斷演變的網(wǎng)絡(luò)威脅的警覺并對美國實體在被攻擊時提供必要告警能力范圍內(nèi)。美國政府必須對在其能力范圍內(nèi)向所有私營部門利益相關(guān)者和相關(guān)組織(如信息共享和分析中心以及系統(tǒng)風險分析和彈性中心)提供情報支持確定更普遍的限制。

為此，拜登-哈里斯政府應(yīng)對情報政策、程序和資源進行為期六個月的全面審查，以確定和解決情報界向私營部門提供情報支持的能力的關(guān)鍵限制。行政部門應(yīng)在審查結(jié)束后向國會報告其調(diào)查結(jié)果，其中應(yīng)包括應(yīng)對報告中確定的挑戰(zhàn)的具體建議或計劃。審查應(yīng)審查情報機構(gòu)，以確定當前支持私營部門利益相關(guān)者收集方面的限制，審查情報界與私營部門利益相關(guān)者共享情報的能力限制，審查賽博威脅情報降級和解密的程序，并審查與賽博相關(guān)的信息共享允諾流程。此外，拜登-哈里斯政府應(yīng)建立一個正式的程序，征求和匯編私營部門的意見，以通報國家情報優(yōu)先事項、情報收集需求，并更加聚焦于美國對私營部門網(wǎng)絡(luò)安全行動的情報支持。

(四) 保護美國的高科技供應(yīng)鏈

正如歐盟委員會在2020年10月的白皮書中指出的那樣，就信通技術(shù)供應(yīng)鏈而言，“美國有一個中國問題15 ”。由于中國政府的干預，關(guān)鍵技術(shù)領(lǐng)域的國際商業(yè)體系既不自由也不公平，這阻礙了美國和合作伙伴公司爭奪全球市場共享并成為安全可靠供應(yīng)鏈的一部分的能力。然而，正如太陽風事件所強調(diào)的，盡管中國對美國供應(yīng)鏈構(gòu)成了重大風險，但威脅并不僅限于中國。美國必須做更多的工作來識別我們的信通技術(shù)供應(yīng)鏈中的風險，并投入資源來管理這些風險。

1. 制定和頒布信通技術(shù)產(chǎn)業(yè)基礎(chǔ)戰(zhàn)略

盡管2021財年NDAA啟動了多項舉措，以幫助美國了解問題的范圍，放開一些公共投資工具，并更積極地參與至關(guān)重要的標準制定論壇，但美國仍然缺乏一項全面的總體戰(zhàn)略來確保美國的信通技術(shù)供應(yīng)鏈，確保規(guī)則有利于我們的工人和我們的經(jīng)濟，并幫助我們的公司以及合作伙伴和盟友國家的公司在面臨反競爭的中國政府干預市場的情況下進行全球競爭。拜登-哈里斯政府應(yīng)制定并頒布一項產(chǎn)業(yè)戰(zhàn)略，以保護美國的高科技未來。該戰(zhàn)略應(yīng)建立在堅實的伙伴關(guān)系基礎(chǔ)上——與美國工業(yè)、盟國政府以及盟國和伙伴國家的外國公司——并應(yīng)建立在五個不同的支柱上。該戰(zhàn)略應(yīng)：

(1)通過政府審查和行業(yè)咨詢，確定關(guān)鍵技術(shù)、設(shè)備和原材料。

(2)通過將私人投資與關(guān)鍵的制造業(yè)需求相結(jié)合，在絕對必要的地方提供政府投資，以一個混合投資和經(jīng)濟保護相結(jié)合來幫助經(jīng)濟集群，確保關(guān)鍵領(lǐng)域的最低可行制造能力。

(3)通過聯(lián)邦政府層面的更好協(xié)調(diào)、增強對私營部門的情報支持以及針對關(guān)鍵技術(shù)的更強大的脆弱性測試，保護供應(yīng)鏈免受損害。

(4)通過釋放更多的中頻段頻譜，并將未來政府對信通技術(shù)的投資與開放和可互操作的標準掛鉤，刺激信通技術(shù)的國內(nèi)市場。

(5)通過戰(zhàn)略性地利用在美國進出口銀行、美國國際開發(fā)金融公司、美國貿(mào)易發(fā)展署和美國國際開發(fā)署的現(xiàn)有工具，增強美國公司和合作伙伴公司的全球競爭力。

(五) 維護美國的軍事網(wǎng)絡(luò)優(yōu)勢

美國擁有世界上最成熟、最先進的軍事網(wǎng)絡(luò)能力之一。然而，除非增加關(guān)注、評估和投資，否則這種軍事網(wǎng)絡(luò)優(yōu)勢可能會萎縮或消失。然而，除非關(guān)注、評估和投資增加，否則這種軍事網(wǎng)絡(luò)優(yōu)勢可能會萎縮或消失。下面的許多建議出現(xiàn)在2021財年的NDAA中，但需要行政部門的關(guān)注和實施。

1. 對網(wǎng)絡(luò)任務(wù)部隊進行部隊結(jié)構(gòu)評估

網(wǎng)絡(luò)任務(wù)部隊(CMF)目前被認為具備全面的作戰(zhàn)能力，有133個團隊，共約6200人。但這些要求是在2013年確定的，早在一些關(guān)鍵事件形成美國政府對對手構(gòu)成的網(wǎng)絡(luò)威脅的緊迫性和重要性的認識之前，也早在國防部制定防御前沿戰(zhàn)略之前。今天，組成CMF的團隊負責一系列不同的國防部網(wǎng)絡(luò)任務(wù)，包括保衛(wèi)國防部信息網(wǎng)絡(luò)(DoDIN)，通過地理作戰(zhàn)司令部為軍事行動提供支持，以及在日常競爭中保衛(wèi)國家以對抗惡意對手行為。這些活動代表了CMF任務(wù)范圍的擴大(在DoDIN外執(zhí)行) 及其行動規(guī)模(增加行動以應(yīng)對更危險的威脅環(huán)境)，盡管其部隊結(jié)構(gòu)目標保持不變。拜登-哈里斯國防部應(yīng)該對美國網(wǎng)絡(luò)司令部的網(wǎng)絡(luò)任務(wù)部隊進行部隊結(jié)構(gòu)評估，以反映其任務(wù)需求和期望日益增長的范圍及規(guī)模。

2. 為網(wǎng)絡(luò)司令部創(chuàng)建主要部隊計劃

拜登-哈里斯國防部應(yīng)該提交一份預算理由顯示，其中包括美國網(wǎng)絡(luò)司令部的訓練、人員配備和裝備的主要部隊計劃(MFP)類別。根據(jù)《美國法典》第10編第238條，國防部必須向國會提交一份預算證明，其中包括網(wǎng)絡(luò)任務(wù)部隊的MFP類別。然而，這項法律是在2014年頒布的，當時美國網(wǎng)絡(luò)司令部還沒有被提升為統(tǒng)一的作戰(zhàn)司令部。因此，需要一個新的預算論證顯示，為美國網(wǎng)絡(luò)司令部建立一個MFP類別。這一資金類別將為美國網(wǎng)絡(luò)司令部提供針對司令部特殊需要的貨物和服務(wù)的采購權(quán)限。它還應(yīng)提供一個迅速解決作戰(zhàn)指揮/勤務(wù)經(jīng)費爭端的程序，與國防部指令5100.03.17的意圖一致，雖然2021財年的NDAA確實包含了一些改進的內(nèi)容，最顯著的是呼吁提出建議，使網(wǎng)絡(luò)司令部能夠執(zhí)行超出現(xiàn)有限制的預算和采辦要求，并取消7500萬美元的年度支出上限——但它并沒有為網(wǎng)絡(luò)司令部創(chuàng)建一個主要的部隊項目類別17 18。

3. 更新網(wǎng)絡(luò)使用武力的交戰(zhàn)規(guī)則和指南

《常規(guī)交戰(zhàn)規(guī)則》(SROE)和《常規(guī)使用武力規(guī)則》(SRUF)已經(jīng)有十多年的歷史了。作為下一次網(wǎng)絡(luò)態(tài)勢評估的一部分，拜登-哈里斯國防部應(yīng)該編寫一份研究報告，評估美國軍隊的常規(guī)交戰(zhàn)規(guī)則和常規(guī)使用武力規(guī)則，并在必要時提出修正建議。這項研究應(yīng)根據(jù)具體情況進行，并考慮到部隊所分配的任務(wù)。鑒于網(wǎng)絡(luò)空間行動的獨特性，特別是在使用武力的門檻之下，SROE/SRUF指南必須與網(wǎng)絡(luò)空間內(nèi)和通過網(wǎng)絡(luò)空間采取的行動相關(guān)。

4. 評估建立軍事網(wǎng)絡(luò)儲備

2021財年NDAA要求行政部門對建立軍事網(wǎng)絡(luò)儲備的必要性進行審查。拜登-哈里斯國防部應(yīng)評估軍事網(wǎng)絡(luò)儲備的需求和要求、其可能的組成及其結(jié)構(gòu)(即，保留模式、非傳統(tǒng)儲備、戰(zhàn)略技術(shù)儲備或其它模式)。對軍事網(wǎng)絡(luò)后備力量的評估應(yīng)探討不同類型的后備力量模式如何解決更廣泛的人才管理問題，并應(yīng)考慮網(wǎng)絡(luò)后備力量如何有意招募關(guān)鍵的私營部門參與者。此外，評估還應(yīng)研究如何有效地招募和留住沒有軍事專門知識、有意服役的文職人才;同時，評估網(wǎng)絡(luò)后備人才在從私營部門和政府非國防部工作人員中吸引文職人才方面可能產(chǎn)生的影響。最后，評估應(yīng)涉及國防部如何利用現(xiàn)有機制，在需要時引進技術(shù)專長，以應(yīng)對危機和危機應(yīng)找出網(wǎng)絡(luò)專業(yè)知識中的缺陷，這些缺陷可以通過更有針對性的招聘實踐加以解決。

5. 審查防御前沿概念和進攻性網(wǎng)絡(luò)行動的授權(quán)

國防部繼續(xù)穩(wěn)步提高其進攻性網(wǎng)絡(luò)能力。在其2018年國防網(wǎng)絡(luò)戰(zhàn)略中，國防部明確提出了一項“防御前沿”戰(zhàn)略，以干擾或降低其內(nèi)部的惡意網(wǎng)絡(luò)活動來源。這個積極主動的方法通過利用美國網(wǎng)絡(luò)司令部的“持續(xù)參與”概念，提高了美國在網(wǎng)絡(luò)戰(zhàn)場上的地位。新戰(zhàn)略還得到了2019財年NDAA的三個關(guān)鍵條款的支持，這些條款授權(quán)了現(xiàn)有進攻性網(wǎng)絡(luò)行動的框架。第1632節(jié)授權(quán)國防部作為傳統(tǒng)軍事活動進行網(wǎng)絡(luò)監(jiān)視和偵察;第1636節(jié)制定了美國應(yīng)對外國勢力進行的網(wǎng)絡(luò)攻擊和其它惡意網(wǎng)絡(luò)活動的政策;第1642節(jié)授權(quán)國防部應(yīng)對惡意的俄羅斯、中國、朝鮮，或者伊朗的網(wǎng)絡(luò)活動。行政部門隨后制定了國家安全總統(tǒng)備忘錄13，授權(quán)進攻性網(wǎng)絡(luò)行動。

(六) 保護美國全方位的作戰(zhàn)和威懾能力免受網(wǎng)絡(luò)威脅

美國的全方位作戰(zhàn)和威懾能力對我們持續(xù)的國家安全至關(guān)重要，并為網(wǎng)絡(luò)威懾奠定了堅實的基礎(chǔ)。如果這些能力失效，分層網(wǎng)絡(luò)威懾就會崩潰。因此，美國必須保護這些能力免受網(wǎng)絡(luò)威脅。以下所有建議均出現(xiàn)在2021財年NDAA，但需要行政部門立即關(guān)注和實施。

1. 制定防御核指揮、控制和通信網(wǎng)絡(luò)攻擊的計劃

美國的核能力是我們總體威懾態(tài)勢的基石。如果沒有可操作的核能力，我們阻止對手行動的能力的所有方面——包括網(wǎng)絡(luò)攻擊——都將失敗。為了確保我們核武器系統(tǒng)的持續(xù)運行并降低其脆弱性，拜登-哈里斯政府應(yīng)實施《2021財年國防授權(quán)法》，以制定一個防御核指揮、控制和通信系統(tǒng)免受網(wǎng)絡(luò)攻擊的作戰(zhàn)概念。

2. 要求國防工業(yè)基地參與威脅情報共享計劃

2021財年，NDAA要求國防部長提交一份關(guān)于項目可行性和適用性的報告，要求國防工業(yè)基地內(nèi)部以及國防工業(yè)基地和國防部之間共享威脅情報23。這是一個良好的開端，但是拜登哈里斯政府應(yīng)超越一份報告，通過一項政策指令，要求構(gòu)成國防工業(yè)基地的公司，作為其與國防部合同條款的一部分，參與一項威脅情報共享計劃，該計劃將設(shè)在國防部組成部分一級。

3. 國防工業(yè)基地網(wǎng)絡(luò)需要威脅搜索

國防預算局網(wǎng)絡(luò)上搜尋威脅的計劃的可行性和適用性24。拜登哈里斯政府應(yīng)超越一份報告，通過一項政策指令，要求構(gòu)成國防工業(yè)基地的公司，作為他們與國防部合同條款的一部分，創(chuàng)建一種機制，允許在DIB網(wǎng)絡(luò)上強制搜索威脅。

四、拜登-哈里斯政府的積極網(wǎng)絡(luò)立法議程

利用現(xiàn)有的權(quán)力和撥款，行政部門可以在重建美國網(wǎng)絡(luò)安全方面取得巨大進展，但是沒有國會的支持和批準，網(wǎng)絡(luò)空間日光浴委員會(CSC)的一些建議是無法實施的。拜登-哈里斯政府應(yīng)與國會合作，以確保美國最有能力預防、防御和應(yīng)對重大網(wǎng)絡(luò)事件并最終從中恢復過來。美國政府的積極網(wǎng)絡(luò)安全立法議程應(yīng)側(cè)重于改善政府的網(wǎng)絡(luò)專業(yè)知識，建立國際網(wǎng)絡(luò)合作制度，推動實現(xiàn)更安全的國家網(wǎng)絡(luò)生態(tài)系統(tǒng)，投資網(wǎng)絡(luò)彈性，為網(wǎng)絡(luò)犯罪受害者提供支持，以及保護美國民主。

(一) 改善政府的網(wǎng)絡(luò)專業(yè)知識

聯(lián)邦政府的行政和立法部門都將受益于更好的網(wǎng)絡(luò)政策專業(yè)知識和更穩(wěn)健的指標與數(shù)據(jù)，從而更好地實施網(wǎng)絡(luò)政策。拜登-哈里斯政府應(yīng)與國會合作，實施CSC最終報告中旨在建設(shè)這一能力的兩項建議：(1)在行政部門內(nèi)建立一個網(wǎng)絡(luò)統(tǒng)計局;(2)將網(wǎng)絡(luò)威脅情報整合中心納入法律范疇并加強該中心。

1. 建立網(wǎng)絡(luò)統(tǒng)計局

雖然人們普遍認為，針對美國公民和企業(yè)的網(wǎng)絡(luò)攻擊的頻率和嚴重性正在增加，但美國政府其它市場主體需要進一步了解這些攻擊的性質(zhì)和范圍，以便制定細致入微且有效的對策。為了填補其它政策領(lǐng)域的類似空白，美國成立了經(jīng)濟分析局、勞工統(tǒng)計局和人口普查局等統(tǒng)計機構(gòu)，以便為公共決策和私人決策提供信息。拜登-哈里斯政府應(yīng)與國會合作，在商務(wù)部或其它部門或機構(gòu)內(nèi)建立網(wǎng)絡(luò)統(tǒng)計局。該局作為政府機構(gòu)，收集、處理、分析和向美國公眾、國會、其它聯(lián)邦機構(gòu)、州和地方政府以及私營部門發(fā)布關(guān)于網(wǎng)絡(luò)安全、網(wǎng)絡(luò)事件和網(wǎng)絡(luò)生態(tài)系統(tǒng)的基本統(tǒng)計數(shù)據(jù)。

2. 將網(wǎng)絡(luò)威脅情報整合中心納入法律范疇并加強該中心

在政府對影響美國的重大網(wǎng)絡(luò)威脅的整體認識上，網(wǎng)絡(luò)威脅情報整合中心(CTIIC)發(fā)揮著關(guān)鍵作用，并可圍繞快速準確歸因開展必要的分析和協(xié)調(diào)。

然而，為了完成其全部任務(wù)，CTIIC需要充足的資源，包括充足的資金、人力和分析資源，以充分支持聯(lián)邦部門和機構(gòu)開展業(yè)務(wù)，并向私營部門和國際合作伙伴提供情報產(chǎn)品。拜登-哈里斯政府應(yīng)與國會合作，通過立法建立網(wǎng)絡(luò)威脅情報整合中心，并確保其具備充足的資源。

(二) 建立國際網(wǎng)絡(luò)合作制度國際網(wǎng)絡(luò)合作

雖然拜登-哈里斯政府可以采取一些措施，通過國務(wù)院重新安排國際網(wǎng)絡(luò)合作的優(yōu)先順序，以有意義地提升國際網(wǎng)絡(luò)合作并使其制度化，但拜登-哈里斯政府必須建立一個新的機構(gòu)和任命一名與網(wǎng)絡(luò)空間政策和新興技術(shù)相關(guān)的大使，級別相當于助理部長。同樣應(yīng)該修改1961年《對外援助法》第二部分，以便為全球重要的網(wǎng)絡(luò)安全能力建設(shè)項目提供更有效的結(jié)構(gòu)性支持。

1. 在國務(wù)院設(shè)立網(wǎng)絡(luò)政策局

拜登-哈里斯政府應(yīng)與國會合作，將國務(wù)院專門負責網(wǎng)絡(luò)空間政策的部門編寫進法律，并由一名網(wǎng)絡(luò)空間政策大使領(lǐng)導，其級別相當于助理部長，并向主管政治事務(wù)的副部長或更高級別的官員匯報工作。擬議的《2019年網(wǎng)絡(luò)外交法》為未來的立法提供了基礎(chǔ)。

除了指導志同道合的伙伴和盟友組成聯(lián)盟之外，該局還應(yīng)負責一系列任務(wù)，包括倡導網(wǎng)絡(luò)空間中負責任的國家行為規(guī)范和制定互信措施，與國際社會一道以外交方式應(yīng)對網(wǎng)絡(luò)威脅，倡導互聯(lián)網(wǎng)自由，確保安全的數(shù)字經(jīng)濟，培養(yǎng)我們伙伴和盟友的能力，以促進網(wǎng)絡(luò)安全和打擊網(wǎng)絡(luò)犯罪，以及執(zhí)行國務(wù)卿指派的其它任何任務(wù)。拜登-哈里斯政府應(yīng)與國會合作，為這個新機構(gòu)提供額外的資金，以及其執(zhí)行國際網(wǎng)絡(luò)任務(wù)(特別是建立強大聯(lián)盟的任務(wù))所需的人員和項目。

2. 最大限度地提高國際網(wǎng)絡(luò)安全能力建設(shè)的靈活性

網(wǎng)絡(luò)安全能力建設(shè)的宗旨是通過向遵守既定規(guī)范的國家提供資源和專業(yè)知識，來激勵負責任的國家行為。此外，網(wǎng)絡(luò)安全能力建設(shè)為志同道合的外國政府提供了一條切實可行的途徑來幫助這些國家的網(wǎng)絡(luò)安全企業(yè)變得更加成熟。對于那些希望遏制源自其境內(nèi)的網(wǎng)絡(luò)犯罪和其它惡意活動但又無處著手的國家來說，提供這種支持有助于改善全球的網(wǎng)絡(luò)安全。雖然美國政府通過廣泛的機制參與網(wǎng)絡(luò)能力建設(shè)，但主要資源之一——經(jīng)濟支持基金——只能用于支持“軍事或準軍事”以外的活動。

但是，由于許多外國政府將其民用公共部門網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施置在軍事或準軍事機構(gòu)內(nèi)，這一限制會妨礙那些對民用網(wǎng)絡(luò)安全至關(guān)重要的人群為此提供支持。既然接受資助的網(wǎng)絡(luò)安全機構(gòu)位于特定的機構(gòu)內(nèi)，那么拜登-哈里斯政府就應(yīng)應(yīng)與國會合作，授權(quán)有關(guān)部門不受限制地為增強外國民用網(wǎng)絡(luò)安全性的項目撥發(fā)資金。

(三) 推動實現(xiàn)更安全的國家網(wǎng)絡(luò)生態(tài)系統(tǒng)

如今網(wǎng)絡(luò)生態(tài)系統(tǒng)不僅僅是互聯(lián)網(wǎng)技術(shù)(即信息、網(wǎng)絡(luò)和運行技術(shù))之外，也包括采用這些技術(shù)的人、流程和組織以及由此產(chǎn)生的數(shù)據(jù)。這個生態(tài)系統(tǒng)改善了我們的通信速度、效率、功能和經(jīng)濟增長。盡管這個生態(tài)系統(tǒng)對國家的運作至關(guān)重要，但它也給美國帶來了重大挑戰(zhàn)，并帶來了潛在的危害。

對手利用其漏洞及其對我們社會的廣泛影響來獲得不對稱優(yōu)勢，并發(fā)展能力以使我們的關(guān)鍵基礎(chǔ)設(shè)施面臨風險，破壞我們的選舉，并窺探和危害美國人民的數(shù)據(jù)、系統(tǒng)和恢復能力。拜登-哈里斯政府應(yīng)采取措施，將安全負擔從最終用戶轉(zhuǎn)移到能更有效地以適當?shù)囊?guī)模實施安全解決方案的所有者、運營商、開發(fā)人員和制造商身上，從而鞏固整個生態(tài)系統(tǒng)。

1. 創(chuàng)建國家網(wǎng)絡(luò)安全認證與標簽管理局

雖然統(tǒng)一的安全標準和最佳實踐有助于減少信息技術(shù)產(chǎn)品中的漏洞，但如果產(chǎn)品開發(fā)人員將安全性視為產(chǎn)品的一個獨特之處，就可以更加有效地利用這些標準和實踐。如果沒有證書和標簽等便于購買者比較產(chǎn)品安全等級的透明機制，關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營商就難以在制定購買決策時確定安全性的價值。拜登-哈里斯政府應(yīng)與國會合作，通過立法授予商務(wù)部相應(yīng)的資金和權(quán)限(由國土安全部和國防部配合工作)，以便以競標的方式組建名為“國家網(wǎng)絡(luò)安全認證與標簽管理局”的非營利非政府組織，并為該局提供資金。

2. 通過物聯(lián)網(wǎng)安全法

在新冠疫情期間，美國相當一部分人都在家工作，使得家庭物聯(lián)網(wǎng)設(shè)備(尤其是家庭路由器)成為了國家網(wǎng)絡(luò)生態(tài)系統(tǒng)中一個重要但脆弱的部分，而美國的對手也可通過這些設(shè)備發(fā)起網(wǎng)絡(luò)攻擊。第116屆國會通過了《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》，該法案規(guī)定了聯(lián)邦政府購買物聯(lián)網(wǎng)設(shè)備的基本安全要求，從而在改善美國物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全的道路上邁出了重要的第一步。拜登-哈里斯政府應(yīng)與國會合作通過一項物聯(lián)網(wǎng)安全法，以確保在美國市場上銷售的物聯(lián)網(wǎng)產(chǎn)品均采取了基本的安全措施。該法應(yīng)側(cè)重于目前已知的挑戰(zhàn)(如無線路由器的不安全問題)，并要求物聯(lián)網(wǎng)設(shè)備采取合理的安全措施，比如美國國家標準與技術(shù)研究所最近發(fā)布的“面向物聯(lián)網(wǎng)設(shè)備制造商的基礎(chǔ)網(wǎng)絡(luò)安全活動建議”等。

3. 為州、地方、部落和屬地政府制定信息技術(shù)現(xiàn)代化補助計劃

新冠肺炎改變了當前的社會現(xiàn)實，并展現(xiàn)了關(guān)鍵服務(wù)數(shù)字化的重要意義。在疫情爆發(fā)期間，美國人越來越依賴聯(lián)邦和州級的援助項目，然而用于這些項目的老舊系統(tǒng)已瀕臨崩潰。為了挺過將來的流行病或災難性的網(wǎng)絡(luò)事件，我國需要安全可靠的遠程數(shù)字服務(wù)。雖然現(xiàn)代化和數(shù)字化改革在短期內(nèi)成本不菲，但從長期來看，此類改革可以改善提供服務(wù)的效率和靈活性，減少支出，提高生產(chǎn)率，并縮小掌握數(shù)字技術(shù)者和未掌握數(shù)字技術(shù)者之間的經(jīng)濟差距。

盡管如此，州、地方、部落和屬地政府及小企業(yè)通常會優(yōu)先考慮短期內(nèi)的資金需求，以至于推遲其數(shù)字化進程。這種以短期為重的思路會帶來破壞性的長期后果，而美國正在為幾十年來的短視付出沉重代價。拜登-哈里斯政府有意投資美國的實體基礎(chǔ)設(shè)施，為此拜登-哈里斯政府應(yīng)與國會合作，通過未來的新冠疫情刺激立法中向州、地方、部落和屬地政府提供補助，以便這些實體能夠更快地向云端遷移，并實現(xiàn)數(shù)字基礎(chǔ)設(shè)施的現(xiàn)代化。擬議的《州和地方信息技術(shù)現(xiàn)代化網(wǎng)絡(luò)安全法》將為未來的立法奠定基礎(chǔ)。

4. 闡明硬件、軟件和固件的最終產(chǎn)品組裝者的法律責任

美國的對手會試圖利用我們系統(tǒng)中的軟件漏洞。若能確保及時創(chuàng)建和安裝補丁程序，就能縮短漏洞的存在時間，從而使對手難以放開手腳利用這些漏洞，同時還會抬升對手的行動成本，并使其無法通過利用漏洞而獲益。為了鼓勵硬件、軟件和固件的最終產(chǎn)品組裝者通過更快地開發(fā)和發(fā)布補丁程序，從而縮短漏洞的存在時間，拜登-哈里斯政府應(yīng)與國會一同盡職盡責地制定相關(guān)法律，以規(guī)定如果交付時已知存在漏洞或事后發(fā)現(xiàn)漏洞、且并未及時加以修復，那么一旦有人利用這些漏洞造成損失，軟件、硬件和固件的最終產(chǎn)品組裝者就要對此負責。

5. 通過《國家數(shù)據(jù)泄露通報法》

各類數(shù)據(jù)泄露通報法均要求數(shù)據(jù)泄露方(無論泄露原因如何)通知其消費者和其他相關(guān)方，并采取措施來彌補泄露造成的傷害。盡管所有50個州、哥倫比亞特區(qū)、關(guān)島、波多黎各和維爾京群島都以某種形式通過了這種法律，但尚無關(guān)于此類通報的國家標準，以至于無法按統(tǒng)一標準來保護美國人的數(shù)據(jù)。我國需要圍繞消費者的期望來建立一種國家框架，并以明確的方式來監(jiān)管從事州際和全球貿(mào)易的美國企業(yè)。拜登-哈里斯政府應(yīng)與國會合作通過一項國家數(shù)據(jù)泄露通報法，以便為美國制定標準化的數(shù)據(jù)泄露通報要求，并由此取代54個州、地區(qū)和屬地現(xiàn)有的數(shù)據(jù)泄露通報法。

(四) 投資網(wǎng)絡(luò)彈性

美國政府應(yīng)增加對私營部門網(wǎng)絡(luò)防御行動的支持力度。然而由于資源和能力有限，聯(lián)邦政府應(yīng)優(yōu)先保護具有系統(tǒng)重要性的關(guān)鍵基礎(chǔ)設(shè)施，即管理那些“一旦中斷就可能對美國的國家安全、經(jīng)濟安全或公共健康和安全產(chǎn)生連鎖影響，并使之陷入動蕩”的系統(tǒng)和資產(chǎn)的關(guān)鍵基礎(chǔ)設(shè)施實體。

1. 將具有系統(tǒng)重要性的關(guān)鍵基礎(chǔ)設(shè)施納入法律

從第13636號行政命令的第9條可以看出，奧巴馬政府已認識到一個關(guān)鍵問題：并非所有關(guān)鍵基礎(chǔ)設(shè)施都會在維護公共健康和安全、經(jīng)濟安全或國家安全發(fā)揮同等重要的作用。盡管該命令認為需要在網(wǎng)絡(luò)安全方面建立共擔責任和相互合作的社會契約關(guān)系，但其既未將這種契約關(guān)系編撰成法，也未充分建立這種關(guān)系。

此外該第9條一方面并未允許美國政府利用任何新的要求、資源或權(quán)限來支持具有系統(tǒng)重要性的關(guān)鍵基礎(chǔ)設(shè)施，另一方面也未對受該條款約束的機構(gòu)提出任何額外的期望。拜登-哈里斯政府應(yīng)與國會合作，在第13636號行政命令的基礎(chǔ)上通過一項法案，以便將“具有系統(tǒng)重要性的關(guān)鍵基礎(chǔ)設(shè)施”這一概念納入法律。該法應(yīng)確保負責“具有系統(tǒng)關(guān)鍵性的系統(tǒng)和資產(chǎn)”的實體獲得美國政府的特別援助，并要求這些實體履行與其獨特地位和重要性相稱的額外安全及信息共享要求。

2. 建立國家風險管理循環(huán)

拜登-哈里斯政府應(yīng)與國會合作通過一項法案，以建立國家風險管理循環(huán)和國家關(guān)鍵基礎(chǔ)設(shè)施彈性策略，從而協(xié)調(diào)和簡化國家風險管理工作。應(yīng)由國土安全部主導這一循環(huán)牽頭，但所有SRMA也都應(yīng)參與其中;在規(guī)定了識別、評估和區(qū)分風險優(yōu)先級的程序后，信息化部門應(yīng)該將這種認知轉(zhuǎn)化為相關(guān)部門和機構(gòu)的戰(zhàn)略、預算和計劃性優(yōu)先事項。應(yīng)與關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商協(xié)商制定這些流程和程序，然后公開發(fā)布并向公眾征求意見。此外這些流程和程序還應(yīng)具有適應(yīng)性和迭代性，這樣才能將前一循環(huán)的經(jīng)驗教訓納入考量。應(yīng)在“關(guān)鍵基礎(chǔ)設(shè)施彈性策略”中直接體現(xiàn)此類循環(huán)中的風險識別和評估事宜，從而為各SRMA規(guī)定將在下一個“五年國家風險管理循環(huán)”中優(yōu)先執(zhí)行的計劃和預算事項。

(五) 為網(wǎng)絡(luò)犯罪的受害者提供支持

欺詐和其它惡意活動在新冠肺炎疫情期間激增，這表明犯罪分子在重大緊急事件中有更多空子可鉆，從而使本就負擔沉重的公共服務(wù)和美國人民陷入更大的困境。拜登-哈里斯政府應(yīng)與國會合作，通過創(chuàng)建“國家網(wǎng)絡(luò)犯罪受害者援助與恢復中心”等機構(gòu)來向絡(luò)犯罪受害者提供支持，并制定一項補助項目來幫助那些支持網(wǎng)絡(luò)犯罪受害者的非營利機構(gòu)。

(六) 保護美國民主

美國政府應(yīng)確保其選舉安全和民主韌性。美國人民對其民主制度的信任和信心仍是國家恢復能力的基本要素，同時也是惡意行為體極力破壞的目標。我國的選舉制度其實是一種由各種制度、工具和人員構(gòu)成的網(wǎng)絡(luò)，這種網(wǎng)絡(luò)依賴于互聯(lián)互通和數(shù)據(jù)，以至于為破壞美國的政治體制(不論是投票還是其它方面)提供了可乘之機。負責保護我們選舉進程的聯(lián)邦機構(gòu)需要在組織上進行改革、獲得持續(xù)不斷的經(jīng)費并及時得到授權(quán)，以確保各州和我國政治體系中的其他合作伙伴(包括政黨和競選團隊)能夠改善和維持其網(wǎng)絡(luò)安全能力。

此外，美國人還必須有更好的設(shè)備來識別依托于網(wǎng)絡(luò)的信息行動，這樣才能將其造成的損害降至最低。需要指出的是，這些信息行動可能會削弱各方對美國民主及其制度(包括選舉及其它方面的民主和制度)的信任和信心，從而危及國家安全。

1. 加強和改善選舉協(xié)助委員會的結(jié)構(gòu)

包括選舉協(xié)助委員會在內(nèi)，負責保護我們選舉進程的聯(lián)邦機構(gòu)需要在組織上進行改革、獲得持續(xù)不斷的經(jīng)費并及時得到授權(quán)，以確保各州和我國政治體系中的其他合作伙伴能夠改善和維持其網(wǎng)絡(luò)安全能力。拜登-哈里斯政府應(yīng)與國會合作，加強選舉協(xié)助委員會的能力，以此來保護美國的民主。

2. 促進數(shù)字素養(yǎng)、國民教育和公眾意識

美國的對手會依托網(wǎng)絡(luò)發(fā)起信息行動，以破壞公眾對民主制度的信任，進而危害美國的民主。對手會通過這些行動來傳播各種壞事，以便讓受眾對某種看法深信不疑，并認為體制正在不可逆轉(zhuǎn)地惡化，同時也加劇國民之間的分歧。要想讓公眾抵制這些不良信息，首先就要重新重視公民教育，以提醒美國人民主的內(nèi)涵：民主并非天賜，而是必須為之奮斗;我們擁抱民主并非因為它是完美的，而是因為它能帶來積極的變化;我們每個人都必須通過合法手段來有效推動這種變化。拜登-哈里斯政府應(yīng)與國會合作，為振興我國的數(shù)字素養(yǎng)和公民教育提供支持。