上周，美國(guó)總統(tǒng)拜登在白宮發(fā)布了最新的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》（以下簡(jiǎn)稱《安全戰(zhàn)略》），闡述了美國(guó)未來(lái)十年的數(shù)字生態(tài)體系的發(fā)展計(jì)劃，其核心目的是網(wǎng)絡(luò)防御和網(wǎng)絡(luò)彈性。

拜登進(jìn)一步指出，這份長(zhǎng)達(dá) 35 頁(yè)的《安全戰(zhàn)略》旨在“更好地保護(hù)網(wǎng)絡(luò)空間，并確保美國(guó)處于最有利的地位，以實(shí)現(xiàn)數(shù)字未來(lái)的所有好處和潛力?！?/p>

《安全戰(zhàn)略》認(rèn)為，美國(guó)在網(wǎng)絡(luò)空間分配角色、責(zé)任和資源的方式發(fā)生根本性轉(zhuǎn)變，是新戰(zhàn)略背后的推動(dòng)力；并強(qiáng)調(diào)制定強(qiáng)制性的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全政策要求，政府須以協(xié)調(diào)的方式使用國(guó)家權(quán)力的所有工具來(lái)保護(hù)國(guó)家安全、公共安全和經(jīng)濟(jì)繁榮。

同時(shí)，該戰(zhàn)略也是美國(guó)政府針對(duì)日益嚴(yán)峻的黑客攻擊和數(shù)字犯罪，所提出的加強(qiáng)防御的最新舉措，并且將我國(guó)和俄羅斯列為美國(guó)最突出的網(wǎng)絡(luò)安全威脅，值得我們警醒。

五大支柱

為了重塑美國(guó)網(wǎng)絡(luò)空間，該戰(zhàn)略通過(guò)概述五個(gè)基本支柱來(lái)完成這項(xiàng)任務(wù)，這些支柱將導(dǎo)致加強(qiáng)美國(guó)境內(nèi)的基礎(chǔ)設(shè)施和與海外盟友的聯(lián)系。

總體而言，該戰(zhàn)略旨在重新平衡網(wǎng)絡(luò)安全的責(zé)任，使其在政府、私營(yíng)和公共部門(mén)之間平均分配，而不是嚴(yán)重依賴小公司和個(gè)人。

Quest Software 的首席解決方案顧問(wèn) Bryan Patton 表示，白宮新的國(guó)家網(wǎng)絡(luò)安全政策為美國(guó)所有人提供了一個(gè)基礎(chǔ)，以發(fā)展企業(yè)安全最佳實(shí)踐并進(jìn)一步提高網(wǎng)絡(luò)彈性。而公共部門(mén)和私營(yíng)部門(mén)之間的合作進(jìn)一步放大了優(yōu)勢(shì)，涉及開(kāi)發(fā)設(shè)計(jì)安全的軟件，投資網(wǎng)絡(luò)安全人才管道，為政府支持網(wǎng)絡(luò)保險(xiǎn)創(chuàng)建等。”

支柱1：保護(hù)關(guān)鍵基礎(chǔ)設(shè)施

根據(jù)《安全戰(zhàn)略》，首個(gè)支柱就是保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，這對(duì)美國(guó)的國(guó)家安全、公共安全和經(jīng)濟(jì)繁榮至關(guān)重要。為此，拜登計(jì)劃將有助于制定和實(shí)施不同關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的法規(guī)，促進(jìn)私人和公共伙伴關(guān)系，并加強(qiáng)已經(jīng)建立的最佳實(shí)踐。

身份安全管理公司Venafi的副總裁 Kevin Bocek 表示：“國(guó)家網(wǎng)絡(luò)戰(zhàn)略早該出臺(tái)了，非常歡迎看到白宮領(lǐng)導(dǎo)層將網(wǎng)絡(luò)安全視為本世紀(jì)世界自由和秩序的基本風(fēng)險(xiǎn)?！?/p>

此外，該計(jì)劃將建立新的合作，旨在通過(guò)建立創(chuàng)新的安全能力、改進(jìn)協(xié)調(diào)的事件響應(yīng)以及在全國(guó)建立新的聯(lián)邦網(wǎng)絡(luò)安全中心來(lái)保護(hù)和保護(hù)國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施。

該目標(biāo)的一部分是優(yōu)先考慮聯(lián)邦網(wǎng)絡(luò)系統(tǒng)的現(xiàn)代化。美國(guó)管理和預(yù)算辦公室（OMB）將與CISA合作制定一項(xiàng)行動(dòng)計(jì)劃，通過(guò)集體作戰(zhàn)防御、擴(kuò)大集中式共享服務(wù)的可用性和軟件供應(yīng)鏈風(fēng)險(xiǎn)緩解來(lái)確保聯(lián)邦系統(tǒng)的安全，更換或更新無(wú)法抵御復(fù)雜網(wǎng)絡(luò)威脅的IT和OT系統(tǒng)。

支柱2：打擊和摧毀威脅行為體

知名安全專家Foster認(rèn)為，《安全戰(zhàn)略》的第二支柱——擾亂和消除威脅行為者，是“全面的整體網(wǎng)絡(luò)戰(zhàn)略的重要組成部分”。

在面對(duì)媒體時(shí)，他補(bǔ)充道，隨著現(xiàn)代威脅行為者擴(kuò)大他們的攻擊活動(dòng)并變得足夠復(fù)雜以繞過(guò)傳統(tǒng)的防御安全，追蹤檢測(cè)到的威脅就像在原地打轉(zhuǎn)一樣。網(wǎng)絡(luò)犯罪分子只需稍有失誤，便可乘虛而入。

該戰(zhàn)略將利用所有途徑：包括外交、軍事、金融、情報(bào)和執(zhí)法能力等，并再次促進(jìn)聯(lián)邦和非聯(lián)邦合作，以保護(hù)公共和國(guó)家安全。Foster認(rèn)為，優(yōu)先破壞威脅行為者將我們的安全戰(zhàn)略從被動(dòng)轉(zhuǎn)變?yōu)橹鲃?dòng)，這是美國(guó)人對(duì)網(wǎng)絡(luò)安全整體看法的微妙而重要的變化。

同時(shí)，聯(lián)邦政府將繼續(xù)加強(qiáng)CISA與其它SRMA之間的協(xié)調(diào)，投資于SRMA能力的發(fā)展，并以其它方式使SRMA能夠積極響應(yīng)其行業(yè)關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商的需求。聯(lián)邦政府將與工業(yè)界合作，逐個(gè)確定行業(yè)需求，并評(píng)估當(dāng)前SRMA能力方面的差距。聯(lián)邦政府在建設(shè)SRMA能力方面的投資將使關(guān)鍵基礎(chǔ)設(shè)施的安全和彈性得到改善。SRMA將與CISA協(xié)調(diào)，以提高其主動(dòng)應(yīng)對(duì)行業(yè)需求的能力等。

值得一提的是，第二支柱將網(wǎng)絡(luò)犯罪和勒索軟件列為國(guó)家的主要目標(biāo)，該目標(biāo)將整合資源、新技術(shù)并開(kāi)發(fā)快速通道，以支持在國(guó)家和全球所有部門(mén)之間即時(shí)共享有關(guān)威脅和受害者的信息。

鑒于勒索軟件對(duì)關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的影響，美國(guó)將利用國(guó)家權(quán)力從以下四個(gè)方面應(yīng)對(duì)威脅：（1）利用國(guó)際合作破壞勒索軟件生態(tài)體系，孤立那些為罪犯提供安全避難所的國(guó)家；（2）調(diào)查勒索軟件犯罪，利用執(zhí)法部門(mén)和其它權(quán)力機(jī)構(gòu)破壞勒索軟件基礎(chǔ)設(shè)施和行為體；（3）加強(qiáng)關(guān)鍵的基礎(chǔ)設(shè)施彈性，以防御勒索軟件攻擊；（4）解決濫用虛擬貨幣進(jìn)行勒索軟件支付的問(wèn)題。

但是，身份安全管理公司Venafi的副總裁Bocek依舊認(rèn)為，即使是有聯(lián)邦國(guó)家大力支持網(wǎng)絡(luò)安全產(chǎn)業(yè)，企業(yè)依舊不能放松警惕：“我們不能自欺欺人，保護(hù)企業(yè)自身和客戶的安全，依舊是重要任務(wù)，沒(méi)有任何政府的力量可以讓企業(yè)從網(wǎng)絡(luò)攻擊的漩渦中拯救出來(lái)，這是我們必要認(rèn)清的現(xiàn)實(shí)?！?/p>

支柱3：塑造市場(chǎng)力量以推動(dòng)安全性和彈性

《安全戰(zhàn)略》第三個(gè)支柱是“塑造市場(chǎng)力量以推動(dòng)安全性和彈性”，不僅會(huì)促進(jìn)個(gè)人的數(shù)據(jù)隱私，還會(huì)推動(dòng)企業(yè)承擔(dān)開(kāi)發(fā)安全軟件、產(chǎn)品和服務(wù)的責(zé)任，這其中還包括當(dāng)下及未來(lái)極為重要的物聯(lián)網(wǎng)設(shè)備安全。

第三支柱還計(jì)劃利用聯(lián)邦采購(gòu)機(jī)制來(lái)加強(qiáng)問(wèn)責(zé)制度。CCFI將追究那些通過(guò)故意提供有缺陷的網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)，故意歪曲其網(wǎng)絡(luò)安全實(shí)踐或協(xié)議，或故意違反監(jiān)控和報(bào)告網(wǎng)絡(luò)事件和違規(guī)行為的義務(wù)而使美國(guó)信息或系統(tǒng)面臨風(fēng)險(xiǎn)的實(shí)體或個(gè)人的責(zé)任。

同時(shí)還積極探索以聯(lián)邦網(wǎng)絡(luò)保險(xiǎn)為后盾的新機(jī)制。當(dāng)發(fā)生災(zāi)難性事件時(shí)，政府有責(zé)任在不確定的時(shí)期穩(wěn)定經(jīng)濟(jì)并提供確定性。如果發(fā)生災(zāi)難性的網(wǎng)絡(luò)事件，可以要求聯(lián)邦政府穩(wěn)定經(jīng)濟(jì)并幫助復(fù)蘇。

Snyk 的首席執(zhí)行官 Peter McKay 對(duì)此表示不認(rèn)可，他認(rèn)為這種類似對(duì)開(kāi)發(fā)人員喊“集會(huì)口號(hào)”的安全形式，應(yīng)該是企業(yè)在規(guī)則和處罰確定之前就需要解決的問(wèn)題。

“Snyk 已經(jīng)觀察到，許多企業(yè)/組織從一開(kāi)始或最初的代碼行，就已經(jīng)將安全軟件最佳實(shí)踐嵌入到他們的開(kāi)發(fā)周期中。通過(guò)授權(quán)開(kāi)發(fā)人員以無(wú)縫和負(fù)責(zé)任的方式，創(chuàng)建安全的應(yīng)用程序來(lái)做到這一點(diǎn)?！?/p>

McKay進(jìn)一步指出，通過(guò)將安全軟件開(kāi)發(fā)實(shí)踐集成并自動(dòng)化到開(kāi)發(fā)人員的工作流程中，他們正在部署各種方法來(lái)查找、修復(fù)和補(bǔ)救預(yù)生產(chǎn)和生產(chǎn)應(yīng)用程序中的漏洞，從而將開(kāi)發(fā)人員、IT 和安全團(tuán)隊(duì)整合成一個(gè)團(tuán)隊(duì)。

但Strategic Security Solutions (S3) CTO Paul Kohler 認(rèn)為，《安全戰(zhàn)略》對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)實(shí)質(zhì)性的影響有限。他認(rèn)為，目前絕大多數(shù)的違規(guī)行為都與人為因素有關(guān)。

“很多安全問(wèn)題是由憑證丟失、配置錯(cuò)誤、未能遵循流程等人為因素引發(fā)，與產(chǎn)品缺陷沒(méi)有直接關(guān)系。作為一個(gè)組織或個(gè)人，我不能將我的風(fēng)險(xiǎn)外包給另一個(gè)實(shí)體，因此很多知名科技公司已經(jīng)在采取合理措施來(lái)保護(hù)他們的產(chǎn)品和服務(wù)?！?/p>

該觀點(diǎn)獲得了部分網(wǎng)絡(luò)安全專家的同意，企業(yè)安全中的這些變化并不會(huì)因?yàn)樾轮噶疃淖?。他認(rèn)為建立高安全性，如建立強(qiáng)化客戶或設(shè)備身份認(rèn)證措施等，依舊是企業(yè)通往未來(lái)和成功的唯一途徑。

“好消息是，部分領(lǐng)先的企業(yè)已經(jīng)認(rèn)識(shí)到這種需求，某些時(shí)候安全工程師最終決定不僅是他們自己企業(yè)的成敗，還有其他企業(yè)的成敗?！?/p>

支柱4：塑造市場(chǎng)力量以推動(dòng)安全和彈性

《安全戰(zhàn)略》第四個(gè)支柱是塑造市場(chǎng)力量以推動(dòng)安全和彈性。未來(lái)我們需要建設(shè)安全和安全富有彈性的未來(lái)，將責(zé)任寄托在數(shù)字生態(tài)系統(tǒng)中，而這些生態(tài)體系最有能力降低風(fēng)險(xiǎn)。為了實(shí)現(xiàn)這一目標(biāo)，那么需要引導(dǎo)市場(chǎng)進(jìn)行長(zhǎng)期投資，以減少系統(tǒng)性技術(shù)漏洞、增強(qiáng)安全彈性并培養(yǎng)強(qiáng)大的網(wǎng)絡(luò)勞動(dòng)力。

《安全戰(zhàn)略》指出，這些投資將優(yōu)先考慮下一代技術(shù)的網(wǎng)絡(luò)安全研究和開(kāi)發(fā)，并為人工智能和量子計(jì)算帶來(lái)的技術(shù)面貌的革命性變化做準(zhǔn)備。其中包括保護(hù)互聯(lián)網(wǎng)的技術(shù)基礎(chǔ)、重振聯(lián)邦層面的網(wǎng)絡(luò)安全研發(fā)、為后量子時(shí)代做好準(zhǔn)備、清潔能源基礎(chǔ)設(shè)施和數(shù)字身份解決方案等。

全球最大的量子計(jì)算公司 Quantinuum 首席法律顧問(wèn) Kaniah Konkoly-Thege 表示，“該戰(zhàn)略是在拜登總統(tǒng)于 12 月簽署的量子立法之后制定的，旨在幫助聯(lián)邦機(jī)構(gòu)主動(dòng)轉(zhuǎn)向后量子安全態(tài)勢(shì)，優(yōu)先在整個(gè)政府范圍內(nèi)采用后量子密碼學(xué)標(biāo)準(zhǔn)”。

他認(rèn)為，新的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略將進(jìn)一步支持這些變化，并幫助聯(lián)邦機(jī)構(gòu)“加強(qiáng)抵御來(lái)自未來(lái)幾代的更強(qiáng)大的量子計(jì)算機(jī)的網(wǎng)絡(luò)攻擊。聯(lián)邦政府與量子相關(guān)的公告和要求的新形勢(shì)也給許多供應(yīng)商和政府承包商帶來(lái)了緊迫感，因?yàn)槟切┎缓弦?guī)的人將在報(bào)告中被點(diǎn)名，并可能遭受聲譽(yù)和經(jīng)濟(jì)后果。

“《安全戰(zhàn)略》雖然沒(méi)有深入探討為后量子未來(lái)做準(zhǔn)備的步驟，但 NIST 目前正在使用將于 2024 年發(fā)布的最終標(biāo)準(zhǔn)對(duì)這些算法進(jìn)行標(biāo)準(zhǔn)化?！?/p>

支柱5：建立國(guó)際伙伴關(guān)系以實(shí)現(xiàn)共同目標(biāo)

《安全戰(zhàn)略》的第五支柱是建立國(guó)際伙伴關(guān)系以實(shí)現(xiàn)共同目標(biāo)。該支柱更側(cè)重于加強(qiáng)與美國(guó)盟友的關(guān)系，制定參數(shù)以定義全球范圍內(nèi)的正常網(wǎng)絡(luò)行為，并建立讓其他民族國(guó)家對(duì)危險(xiǎn)行為負(fù)責(zé)的方法。

在這個(gè)支柱中，我國(guó)以及俄羅斯被重點(diǎn)提及，并污蔑我們有組織的網(wǎng)絡(luò)犯罪活動(dòng)，公開(kāi)壓制言論自由和其他基本人權(quán)等，顯示出美國(guó)《安全戰(zhàn)略》的極大全球化野心，值得我們警醒。