美频繁发布政策争夺网络安全主动权

2023-02-03 04:43
军事文摘 2023年1期
关键词:网络空间网络安全供应链

黄 锋 樊 伟

拜登执政以来,美频繁出台网络安全、网络供应链等方面政策文件,以确保本土关键设施网络安全,预防网络安全事件风险,重夺网络安全主动权。美相关措施将加剧网络供应链逆全球化,将深刻影响全球网络安全形势和大国竞争格局,值得高度警惕。

基本情况

美国为巩固网络安全主导权,频繁颁布行政命令、配套文件、法案、实体清单等,构建网络安全政策体系。

美国颁布政令加强网络安全顶层指导。一是提出网络安全务实措施,统筹网络安全重点工作。2021年5月,拜登签署《关于改善国家网络安全》行政令,要求加强网络安全政策指导,增加政府与私营机构合作;加强网络空间威胁信息共享,防范网络安全事件;实施零信任架构,加快云服务安全化,推进网络安全方法现代化;增加商业软件开发透明度,加强网络供应链安全;设立网络安全审查委员会,加强对重大网络事件、威胁活动、漏洞修复和机构响应等活动的审查和评估;制定网络事件响应流程,加强网络安全事件响应流程标准化;加强网络安全漏洞检测,提高联邦政府对网络漏洞和网络威胁的认识与检测能力;加强网络安全事件调查和系统修复能力;加强国家安全系统网络安全。

美白宫发布的《关于改善国家网络安全》行政令

二是首次提出“国家安全系统”网络安全要求,填补政策空白。2022年1月,美白宫发布《关于改善国家安全、国防和情报系统网络安全》备忘录,明确国家安全系统网络防护要求;授权国家安全局制定相关标准,制定相关操作指令;加强国家安全系统风险感知能力;制定云系统网络事件响应框架,规范网络安全事件处理流程;发布新版网络安全政策;并列出相关豁免情况。

美国细化实操文件推动网络安全政策执行。一是制定国防领域网络安全管理相关标准,推动顶层政策落地。2021年11月,美国防部发布“网络安全成熟度模型认证”2.0版。该模型是国防工业基地承包商培训、认证和第三方评估的框架,旨在建立国防工业承包商必须执行的网络安全要求及标准。模型2.0版本提出了国防部对最高优先事项项目供应商的评估要求,明确了“网络生态系统”的评估标准,最小化安全合规的障碍,提高项目执行层面的整体操作性。

2022年7月,美数字制造与网络安全机构发布“网络安全成熟度模型认证”2.0版手册,提供网络安全实践入门指南,指导国防领域网络供应商遵守相关要求。该手册围绕访问控制、身份认证、介质保护、物理保护、系统与通信保护、系统与信息完整性等6个领域,列出了17项网络安全实践并标定了相关难度,为国防承包商年度自我评估提供指导,以保护联邦合同信息安全和网络安全。

二是加强网络安全分段管理,避免网络风险沿供应链扩散。2022年5月,美国家标准技术研究院发布《系统和组织网络安全供应链风险管理实践》,指导政府机构和供应商,针对网络供应链的设计、研发、维护等环节,实施有效风险管理。该文件聚焦网络供应链安全问题,为各类组织提供了识别、评估和缓解其各级网络供应链中安全风险的具体操作指南,概括了网络供应链风险管理的层次及操作方法,并要求将其整合到企业风险管理过程中,包括制定网络供应链安全战略实施计划、网络供应链安全策略、网络供应链安全计划以及产品和服务的网络供应链安全风险评估等。该文件在具体过程上给出了明确的方法及文档化工具,具备很强的可操作性及参考性。

美国出台法案促进网络供应链安全。一是加大半导体产业资金支持力度,推动网络供应链回归本土。2022年8月,拜登签署《芯片与科学法案》。该法案分为两部分。第一部分围绕芯片与半导体,提出向本土半导体研发与制造企业提供约527亿美元补贴,并向在美投资半导体行业提供25%税收抵免,以推动核心网络组件供应链重回本土,进一步强化本土网络安全。第二部分围绕关键技术和新兴技术研发,为国家科学基金会、国家标准与技术研究院和能源部科学办公室等设定科研目标,以推动半导体、量子计算、人工智能等创新与发展。

《关于改善国家安全、国防和情报系统网络安全》备忘录封面

二是发布半导体领域实体清单,限制对华半导体出口,在网络供应链中推行去中国化。2021年11月,美商务部修订“军事最终用户”实体清单,将中芯国际、中科微电子等12家中企列入,遏制中国半导体产业发展,以提高美国在全球半导体市场占有率,确保美本土网络安全。

几点认识

美国逐步修正“重攻轻防”网络策略,转向“攻守平衡”。特朗普执政时期,美在网络空间领域提倡“以攻为守”,网络司令部更是提出了“持续交锋”“前出防御”等作战概念。2020年以来,“太阳风”“科洛尼尔输油管”等网络安全事件频发,让白宫重新审视“重攻轻防”的网络策略。拜登政府持续强调网络安全,通过推行更全面的政策与标准,建立网络安全事件标准化响应流程等,加强网络安全管理,寻求网络空间“攻守平衡”。

美国防部发布“网络安全成熟度模型认证”

美白宫发布的《芯片与科学法案》

美国加快完善政策体系,补齐网络安全短板。美频繁出台网络安全政策文件,已基本覆盖非国家安全系统、国家安全系统和网络供应链等网络安全领域。此外,美政府还陆续出台操作层面的配套指南、手册等,建立起一套全面、实用的网络安全工具箱。在政策指导下,美重点加强网络组件供应、网络漏洞检测等网络安全工作,提前在网络安全薄弱环节部署防御措施,能够有效补齐网络安全短板。

美国加强私营企业管控,提高网络事件应对能力。美更加重视私营企业管控,加强基础设施网络安全。美国大部分关键基础设施网络系统由私营企业负责运营,而政府发挥辅助作用,这导致网络事件突发时,政府难以及时获取事态信息,削弱了关键基础设施网络防护能力。美频繁出台政策文件,通过推行标准合同、建立网络安全事件标准化响应流程等手段,加强对私营企业的管控,能够确保政府相关网络安全管理举措和机制的落地。

美国积极抢占网络安全主导权,旨在备战大国竞争。当前,网络作战已成为现代战争重要作战方式。网络空间作战具备成本低、隐蔽性强、效果显著等特点,能够有效致瘫敌方关键基础设施和军事设施网络,延缓敌方军事部署。为此,美国将网络安全作为优先事项,积极抢占网络安全主导权,以备战大国高端战争。

结语

在复杂网络安全形势下,应加快健全网络安全政策与标准体系,持续加强军事系统网络安全防护,不断强化平战一体的网络演训能力,应对可能出现的网络安全风险。

完善网络空间政策与标准体系。一是持续健全政策法规体系,强化网络空间顶层指导。系统筛查国防领域网络安全管理薄弱点,持续深化军事网络在研发、生产、采购、维护等环节的安全治理研究,建立更加全面的政策法规体系。二是强化标准支撑,加快构建军事网络安全标准体系。聚焦国防电子元器件等关键领域,推动设立国防供应商网络安全评估标准体系,并加强跨行业通用标准整合修订。

加强军事系统网络安全防护。军事系统网络安全防护是国家网络空间防护的核心,是慑止对手对关键基础设施采取冒险行动的关键。其中,指挥系统、武器系统和作战流程中的网络安全防护尤其重要。大国竞争背景下,对手前沿部署网络力量,正在实施持续交锋作战行动。应基于“敌已进入、敌正进入”的前提假设,不断加强军事网络与系统的检查评估、监测预警和应急响应,确保军事系统网络安全。

强化平战一体的网络演训能力。应深刻体察网络空间攻防无时空拘束、破坏力巨大等特点,高度重视网络攻防作战演训能力建设。结合典型作战场景,持续建设大型网络靶场,设置不同阶段的网络培训课程,开展不同环境下的网络攻防演训,不断强化网络部队网络侦察、网络机动、网络攻击溯源、网络防御等方面的作战能力,加快形成网络空间领域对敌震慑力。

猜你喜欢
网络空间网络安全供应链
海外并购绩效及供应链整合案例研究
为什么美中供应链脱钩雷声大雨点小
网络安全
益邦供应链酣战“双11”
网络空间安全人才培养专题概要
网络安全人才培养应“实战化”
网络空间并非“乌托邦”
益邦供应链 深耕大健康
上网时如何注意网络安全?
军地联动共治涉军舆情 打造清朗网络空间