美国《国家网络安全战略实施计划》解读

陈炳昊 孔勇 张昊

2023年7月13日，美国白宫发布《国家网络安全战略实施计划》（以下简称《实施计划》），作为推进路线图指导美国《国家网络安全战略》的具体实施。今年3月份发布的美国《国家网络安全战略》重新分配了保护网络空间的职责，调整激励措施以有利于长期投资，在保护美国当下免受网络威胁的同时，进行战略性的规划，实现未来具有韧性的网络安全目标。

此次《实施计划》的发布，明确了《国家网络安全战略》推进工作由国家网络总监办公室（ONCD）总体协调，并向总统和国会报告实施情况。《实施计划》提出69项具体举措，每一个举措任务都明确了牵头部门、参与部门以及完成时间要求，为各机构部门推进计划提供了指导。《实施计划》公开发布是增加国家战略推进工作透明度的体现，作为一份动态的文件，将每年进行更新，其中的实施计划条目与内容将根据不断变化的网络环境需求而增加，并在完成后删除。

一、《实施计划》提出69项具体举措计划

《实施计划》围绕美国《国家网络安全战略》的五大核心战略支柱进行展开，详细介绍了对应的66项联邦政府实施计划。同时，在评估实施举措计划推进的有效性方面，也明确了3项具体的举措计划，共计69项内容。

（一）第一支柱“关键基础设施保护”举措

围绕关键基础设施保护，《实施计划》明确将重点建立网络监管协调机制；制定关键基础设施行业的网络安全要求；加大网络安全框架（CSF）、国际标准的应用以及监管协调工作；推动默认安全设计和安全技术的开发与应用；为关键基础设施行业和行业风险管理机构（SRMA）提供指导建议；对美国网络安全和基础设施安全局（CISA）利用现有或者创新的报告机制来整合和实施SRMA的特定行業系统和流程进行评估；调查并改进信息共享的协作平台、流程和机制等；建立SRMA支持能力；明确开展评估、改进联邦网络安全中心和相关网络中心的能力；制定能够实现快速和大规模协作的规划；更新国家网络事件响应计划（NCIRP）、发布《关键基础设施网络事件报告法案》最终版本、制定演习场景以改进网络事件响应、将网络安全审查委员会（CSRB）与所需机构编入法典的立法草案；保护非机密联邦民事行政部门（FCEB）系统；加强FCEB技术现代化水平；确保FCEB的国家安全系统（NSS）安全。

（二）第二支柱“破坏并摧毁威胁行为者”举措

围绕破坏并摧毁威胁行为者，《实施计划》明确将更新发布国防部网络战略；加强国家网络调查联合特遣部队（NCIJTF）的执行能力；扩大打击网络破坏活动的组织平台；进行立法以抑制和阻止网络犯罪；提升打击网络犯罪行动的速度与规模；通过公私运营合作机制增加对破坏活动的抵抗能力；实施特定部门的情报需求与优先事项，并加大向关键基础设施所有者和运营者提供网络威胁情报与数据；发布关于基础设施服务提供商和经销商的要求、标准与流程；抑制勒索软件犯罪分子的“避风港”、破坏勒索软件犯罪、调查勒索软件犯罪并破坏勒索软件生态；支持私营部门和州、地方、部落和领地（SLTT）降低勒索软件威胁；支持其他国家对虚拟资产服务提供商采取全球反洗钱/打击资助恐怖主义（AML/CFT）行动。

（三）第三支柱“塑造市场力量以驱动安全韧性”举措

围绕塑造市场力量以驱动安全韧性，《实施计划》明确将启动美国政府物联网安全标签计划；开展探索开发长期、灵活和持久的软件责任框架；推进软件物料清单（SBOM）并降低软件风险；协调漏洞披露；使用联邦拨款和其他激励措施来加强安全；利用联邦拨款改善基础设施网络安全；优先资助网络安全研究；优先考虑网络安全对社会、行动和经济影响的研究、开发与示范；实施EO14028号行政令要求的FAR变更；利用《虚假声明法》改善供应商网络安全；评估联邦保险应对灾难性网络事件的必要性。

（四）第四支柱“投资于具有韧性的未来”举措

围绕投资于具有韧性的未来，《实施计划》明确将引领网络采用最佳安全的实践；促进开源软件安全和内存安全编程语言的采用；加速互联网基础设施能力和技术的开发与标准化；加速支持互联网基础设施技术的开发与标准化的应用；与主要利益相关者合作确保互联网路由安全；加速内存安全编程语言的成熟度并安全应用；实施国家安全备忘录（NSM-10）；为NSS实施NSM-10；标准化量子密码算法并支持后量子密码算法的开发；将网络安全默认设计原则纳入实际应用；制定计划以确保数字生态系统能够支持和实现美国政府的脱碳目标；为工程师和技术人员提供和完善相应的网络信息工程培训、工具和支撑；发布国家网络人才和教育战略并推进实施。

（五）第五支柱“建立国际伙伴关系实现共同目标”举措

围绕国际伙伴关系合作，《实施计划》明确开展创建跨机构团队以进行区域网络协作和协调；发布国际网络空间和数字政策战略；加强与盟友及合作伙伴的联邦执法合作机制；开展区域网络中心的研究；加强国际合作伙伴的网络能力；通过执法合作扩大国际合作伙伴的网络协作能力；建立灵活的对外援助机制，快速提供网络事件响应支持；当不负责任的国家未能履行承诺时追究其责任；促进安全可信的信息通信技术（ICT）网络和服务的发展；促进值得信赖的ICT供应商组成的供应链更加多元化和有韧性；开始管理公共无线供应链创新基金；颁布和扩大网络安全供应链风险管理（CSCRM）以及关键基础设施领域内的关键实践。

（六）加强实施有效性的举措计划

围绕《实施计划》实施有效性的评估工作，明确要求定期报告实施国际网络安全战略的进展和成效，及时总结经验教训应用于国家网络安全战略的实施，确保预算执行与国家网络安全战略的实施保持一致。

二、《实施计划》各部门承担计划任务情况

（一）计划任务涉及各领域共28个机构部门

对《实施计划》进行分析，该计划共涉及28个机构部门（将SRMA作为一个部门计算），涵盖了网络监管、电信、国防、标准、科技、财政、司法、情报、气候、金融等众多领域。对每一个部门的牵头责任的项目数，以及协作贡献的项目数进行统计分析，结果如表1所示。

从表1中可以看出，《实施计划》中牵头项目最多的部门是ONCD，总共负责牵头14项，其次是CISA和USSD，分别是10项和8项。协作贡献项目数最多的部门是CISA和DOJ，均是19项，其次是ONCD与FBI，分别是16项与18项，DHS也负责协助了14项目计划。

（二）核心牵头部门的主要任务情况

从数量统计可以看出，《实施计划》中大部分举措计划由ONCD和CISA负责主体推进。ONCD牵头的任务主要聚焦国家网络安全的顶层设计与战略规划，涵盖了建立网络监管协调机制；评估和改进联邦网络安全中心和相关网络中心的能力；确定合作机制以提高网络事件响应能力；负责制定国家网络人才和教育战略；探索开发长期、灵活和持久的软件责任框架等。作为整个战略推进的牵头部门，ONCD同时需要汇总报告国家网络安全战略的实施进展，并总结经验，负责指导联邦预算用于改善基础设施网络安全，确保预算的使用与国家网络安全战略保持一致。

CISA牵头承担了10项实施计划，主要聚焦关键基础设施安全保护，负责发布最终《关键基础设施网络事件报告法案》，为关键基础设施行业和行业风险管理机构SRMA提供指导与建议，整合和实施SRMA的特定行业系统和流程，完善关键基础设施信息共享的协作平台、流程和机制等。同时，CISA还将推动默认安全设计与技术的应用，推进SBOM应用，支持私营部门和州、地方等降低勒索软件风险，并更新国家网络事件响应计划。

USSD负责牵头8项计划，承担的任务主要聚焦国际合作和国际政策制定，具体包括组建跨机构的团队进行区域网络协作及协调，加强国际合作伙伴之间的协同能力，建立灵活的对外援助机制，提供快速的网络事件响应支持，发布国际网络空间和数字政策战略，打击勒索软件犯罪的“避风港”，促进安全可信的信息通信技术网络和服务的发展，促进网络和服务的供应商组成多元化、具备抗风险能力的供应链。

负责牵头6项计划的OMB聚焦于实现FCEB系统的现代化，并引领采用网络安全的最佳实践。负责牵头5项计划的NIST主要对网络安全框架和相应标准进行推广应用，促进互联网基础设施技术的研发及标准化工作，支持量子密码算法的标准化，并支持向后量子时代的过渡。DOJ负责牵头其中的5项计划，主要致力于设立相关法律以阻止网络犯罪，调查勒索软件犯罪并破坏勒索软件生态，通过《虚假声明法》等相应法规改善供应商的网络安全，并与国际伙伴进行合作，提高执法能力。FBI负责牵头其中的4项计划，包括加强NCIJTF建设，打击网络犯罪、勒索软件犯罪，加强与盟友和合作伙伴的联邦执法合作。NSC负责牵头3项计划，包括制定关键基础设施行业的网络安全要求，确定并实施特定部门的情报需求和优先事项，启动美国政府物联网安全标签计划。

NSA、UST、OSTP和DOE分别牵头其中的2项计划，DHS、DOD、ODNI、DOC、NSF、NTIA则分别牵头1项计划，具体工作任务相对较少。

三、《实施计划》任务的年度推进情况

（一）计划任务完成时间截至2026财年第四季度

按照《实施计划》的描述，相关举措计划从2023年发布前就已经开始实施，一直持续到2026财年第四季度。将《实施计划》中每项计划任务要求的完成时间按照财年季度进行统计，总结出每段时间需要完成的计划任务数如表2所示。从表中可以看出，2024财年第一季度要求完成任务最多，共14项；其次是2024财年第二季度要求完成任务11项；再次是2023年第四季度，需要完成10项计划任务。2023财年第二季度、2025财年第三季度、2026财年第一季度和2026财年第四季度完成任务数最少，均为1项计划任务。

（二）2024财年第四季度前需完成主要任务情况

通过对《实施计划》任务完成时间要求的分析，可以看出众多计划任务聚焦于2023年至2024年第四季度。在这两年时间内，一些关键词被多次提到，相关内容则为近两年计划中急需解决的重要任务，主要体现在以下五个方面。

一是增强关键基础设施安全。近两年的任务计划中，关键基础设施保护仍然是高频词。首先，美国要发布对基础设施服务提供商和经销商的网络安全要求、标准和流程规定。其次，加大向关键基础设施所有者和运营者提供网络威胁情报和数据的力度，并利用联邦拨款改善基础设施网络安全，加速支持互联网基础设施技术的开发和标准化的应用。同时加大CISA为关键基础设施行业和SRMA提供指导与建议。

二是发布多项网络安全专项战略计划。在《国家网络安全战略》的框架下，各部门与机构需要发布相应的专项战略，包括国防部网络战略、国际网络空间和数字政策战略、国家网络人才和教育战略，启动美国政府物联网安全标签计划，制定能够实现脱碳目标的数字生态系统计划等。

三是多方位抑制勒索软件犯罪问题。美国是迄今为止勒索软件事件数量最多的国家，《实施计划》中近两年的工作任务分别从不同部门、不同层面、不同角度围剿打击勒索软件网络犯罪问题，包括在法律层面针对网络犯罪进行立法，从而抑制网络犯罪、填补法律漏洞。分析勒索软件所依赖的生态，包括服务器、网络、技术、人员、组织、渠道等，有针对性地对其生态链上的各个环节进行打击。打击手段层面，执法部门要提高打击勒索软件等网络犯罪的速度和范围。与盟友及其他国家进行合作，共同打击网络犯罪，并支持其他国家对勒索软件、全球洗钱、恐怖主义的打击，打掉网络犯罪分子的“避风港”。

四是加大网络安全研究的资金投入。近两年的实施计划中，明确要求优先资助网络安全方面的研究，包括先进的网络安全技术、区域网络中心研究、网络安全与社会经济发展之间关系的研究等。启动管理公共无线供应链创新基金，通过基金形式加大资金投入。在资金使用的监督管理上，明确要求预算投入应与国家网络安全战略的实施相一致。

五是建立灵活的合作协调机制。面对不同类型与场景的网络威胁，急需建立网络监管协调机制，提升网络事件的响应速度。建立灵活的对外援助机制，能够快速提供网络事件的响应支持。同时，进一步加强国际合作伙伴之间的网络协作能力。

四、结语

综上所述，《国家网络安全战略》及《实施计划》为美国应对网络威胁和确保数字未来的前景开辟了道路，美国将与盟友和合作伙伴一起，打造安全韧性的数字生态系统。《实施计划》突出了全员参与、技术主导、管用有效等特点，为每个机构分配了有限的時间和确定的任务，对如何实现国家网络安全战略提供了明确指导。同时，《实施计划》也体现了美国抢占网络空间制高点的战略意图，未来的网络空间博弈将更加激烈。