在美国网络空间日光浴委员会(CSC)2021年1月16日,相继发布了《疫情吸取的网络安全教训》、《网络安全劳动力发展战略框架》、《如何保障美国信息通信技术供应链安全》等四份白皮书。CSC发布第五份白皮书《对拜登政府的网络安全建议》,这份白皮书旨在为即将上任的拜登-哈里斯政府在网络空间安全方面提供指导,明确新政府在网络空间早期可能采取的策略,并在未来几个月和几年提出行动重点。
这些建议包括与美国盟国合作,建立统一的网络防线;在IT与通信技术领域形成类似北约的联盟;与美国私营企业合作,加强对私营企业的监督,明确私营企业的网络安全义务;直接派外交官参与世界IT制定通信技术标准,努力使美国在技术标准领域拥有绝对的发言权;明确要求禁止中国企业进入关键领域IT除通信设备供应链外。
本报告在编制机构、方法论、战略规划、具体实施建议等方面与20世纪50年代美苏冷战战略相结合“日光浴计划”同样,几乎有相同的重量。
一、引言及背景
数字互联在给美国带来经济增长、技术优势和生活质量改善的同时,也造成了战略困境。美国需要在具备数据安全性和弹性的可信网络环境下运行,但目前美国政府和私营部门都无法提供。此外,美国政府内部、公共和私营部门在灵活性、技术特长和统一行动方面的缺陷也不断凸显。
20多年来,主权国家和非国家行为人一直在利用网络空间破坏美国的政权、安全和生活方式。这些网络攻击的实施者利用美国网络空间系统和战略的弱点,评估如何在不造成美国报复的情况下损害美国。美国的克制受到了肆无忌惮的践踏。根据《2019财年国防授权法》,美国网络空间日光浴委员会由约翰执行•麦凯恩的领导人旨在应对这些挑战“保护美国免受网络空间后果严重的战略手段”达成共识。
为了完成这一任务,委员会于2020年3月发布了一份报告,总结了美国政府的战略政策和80多项建议。在编制报告的过程中,委员会召集了工业、学术、联邦、州、地方政府、国际组织和智库的300多名相关人员;他们通过一系列红队审查和基于场景的活动来测试上述建议。Solarium事件发生后,委员会评估了每项战略及其支持政策建议,并提供了正式反馈。工作人员将这些反馈编成册子,以便在未来进一步改进建议。
在报告最终稿发布的几个月内,委员会和工作人员制定了立法提案,以支持他们的建议。他们还与众议院和参议院的相关成员合作,执行委员会的初步建议。此外,委员会还发布了四份白皮书,包括新的和更新的建议,包括从疫情中吸取的网络安全教训、国家网络总监建议的细节、网络安全劳动力发展的战略框架以及如何确保美国信息和通信技术供应链的安全。委员会的许多重要建议已被纳入立法,但仍有更多的工作要做,以应对中国面临的紧迫挑战。我相信,经过协调和仔细考虑,我们可以取得巨大的成就。
这本白皮书旨在为即将到来的拜登服务-哈里斯政府提供指导,明确新政府早期可能在网络空间采取的策略,并在未来几个月和几年提出重点。委员会的最终报告和附带的白皮书将更详细地讨论这本小册子中的建议。
二、优先:拜登政府上任前100天
拜登在上任前100天-哈里斯政府将启动三个进程,将网络安全提升为政府的首要任务,降低美国遭受网络攻击的可能性和影响力。
(一) 设立国家网络总监办公室
目前,许多委员会、倡议和研究建议建立更加完善和制度化的国家机制,协调网络安全和相关新兴技术,监督行政部门制定和实施全面的国家网络安全战略。由于新兴技术和网络空间的问题变得更加复杂,对美国国家安全构成了更大的威胁,总统对合理建议和及时选项的需求将变得越来越重要。
拜登为确保白宫具有强大、稳定、专家领导的网络安全领导能力-哈里斯政府应在前30天提名参议院认可的国家网络总监,并开始成立国家网络总监办公室。《2021财年国防授权法》(NDAA)成立了国家网络总监和国家网络总监办公室。国家网络总监作为总统行政办公室的下属职位之一,是经参议院批准的总统顾问,担任多项重要职务,包括:
(1)担任网络安全及相关新兴技术问题总统首席顾问;
(2)领导制定国家网络战略,确保各部门和机构的实施,包括评估机构预算和机构间行动的有效整合;
(3)监督和协调联邦政府在对抗网络行动中保护美国的行动,包括与私营部门、州、地方、部落和领土的主要联系点;
(4)经国家安全顾问或国家经济顾问同意,召开并协调内阁或国家安全委员会主要委员会级会议及相关筹备会议。
拜登作为建立国家网络总监办公室的一部分,-哈里斯政府应明确白宫负责网络与新兴技术的国家安全副顾问与国家网络主管之间的关系、角色和责任。委员会认为,这些角色相辅相成,共同确保国家安全顾问在评估和实施支持国家安全目标的国家战略中发挥良好作用。国家安全副顾问将代表“网络行动按照《美国法典》第10编和第50编进行”各部门和机构的利益,展示这些部门和机构的能力,在其与国家安全委员会之间建立重要桥梁,确保国家网络总监充分了解这些部门的网络行动。国家网络总监应重点协调、支持和消除行政部门领导的国家网络安全与防御性网络行动之间的冲突。
在此过程中,国家网络总监应负责白宫与私营部门的接触,建立信任,促进共同利益,并在国内外网络问题上代表政府。与此同时,拜登-哈里斯政府还应评估和更新第41号总统令,指定国家网络总监作为联邦网络事件响应的主要协调人,明确国家网络总监对国家安全顾问提供综合建议、政策和行动的责任。此外,还应更新其他影响网络安全的规则,以便国家安全总监能够参与。
(二) 制定并颁布国家网络战略
一旦国家网络主管到位,拜登-哈里斯政府应该开始制定和发布新的美国国家网络战略。2018年国家网络战略是近15年发布的第一个国家网络安全战略,也是美国历史上的第二个。
任何有效的网络空间战略都需要联邦政府、州政府、地方政府和私营部门的协调,这些利益相关者有责任在这一领域保护和捍卫美国。因此,战略必须明确调整和同步利益相关者的战略目标,确定实施战略的努力方向,明确各项工作的优先级,制定共同的风险原则。此外,该战略应该支持国防部2018年的网络战略“前向防御”概念包含在更广泛的美国网络战略中。该战略应使前进防御成为综合方法的一部分,不仅包括使用严格的军事能力,还包括使用所有国家权力工具:经济、执法、外交工具和对盟友和对手的手段。
新的国家网络战略应该澄清一结构,通过分层网络阻止美国对手的重大网络攻击,并提出以下方法和手段:(1)建立对手的行为,(2)拒绝对手的优势(3)增加对手的成本。虽然威慑是美国的一项持久战略,但有两个因素使分层网络威慑大胆而独特。首先,这种方法优先考虑通过拒绝来威慑,特别是通过与公共和私人部门的灵活合作来增强网络空间的防御和安全,并减少对手可能瞄准的漏洞。第二,该策略包括在上述讨论中“前向防御”的概念。
最后,新战略应包括多层次的标志性战略和新的宣言性政策。这一标志性战略应该澄清这样一个框架,即明确传达美国政府将在何时和条件下自愿披露网络战斗和行动,以便向各种观众传达其能力和意图。宣言性政策应明确指出,美国将利用网络和非网络能力进行反击,敌人网络活动的成本必须控制在使用武力的门槛以下。从根本上说,美国政府应该公开宣布,它将实施前向防御,并将这一声称与国家各级权力的果断和一致行动相结合。
(三) 加强现有政府网络安全工作的一致性、影响力和与私营部门的合作
尽管各私营实体和州、地方、部落和区块政府负责其网络的防御和安全,但美国政府必须利用其独特的权力和资源以及外交、经济、军事、执法和情报能力来支持上述机构的防御。此外,就像“太阳风”(SolarWinds)事件表明,联邦政府部门和机构必须加强其防止网络事件的能力,并在事件发生时进行识别、检测和有效响应。拜登为了提高美国政府在网络空间保护自己和与私营实体和其他关键角色合作的能力-哈里斯政府应加强网络安全和基础设施安全(CISA)内部综合网络中心,并建立联合网络规划办公室。
1.审查2022年联邦机构网络安全预算拨款
“太阳风”大规模黑客攻击暴露了改善联邦部门、机构和联邦网络安全中心网络安全的迫切需要。拜登通过国家网络总监-哈里斯政府应对联邦机构的网络安全预算进行90天的审查。预算审查应确定联邦部门和机构内部网络安全运行和规划的现有预算,并评估当前分配的金额与完成规定任务所需的金额之间的差距。检查企业网络安全和联邦信息安全管理法的预算和机构网络安全规划的预算。
审查范围还应包括各机构执行新任务所需的预算,包括2021财年NDAA网络安全和基础设施安全局以下项目的预算包括:(1)在联邦信息系统中发现和识别威胁和漏洞;(2)提供协助联邦机构的服务、功能和能力;以及(3)部署、操作和维护安全的技术平台和工具,包括网络和常见的业务应用程序。此外,还应评估行业风险管理机构的现有预算是否足以适应2021财年NDAA对其角色的新要求。
2.强化CISA综合网络中心
2021财年NDAA审查联邦网络中心并加强CISA新兴的综合网络中心。拜登为真正落实与私营部门的网络安全合作-哈里斯政府应该加强这一任务CISA综合网络中心指定为负责资产响应活动的网络安全中心,改善与其他主要联邦、私人网络和网络安全中心的联系。这将确保系统、流程和人员的合作和整合在关键基础设施网络安全和灵活任务的业务支持中发挥充分作用。CISA最初,网络任务是建立一个国家网络安全与通信一体化中心。计划作为美国政府的主要协调机构,负责在网络安全行动中建立政府一体化、公私合作。但由于缺乏设施和人事政策、资源、其他联邦部门和机构的支持、国会与其他机构的作用和地位模糊、对私营部门的支持和与私营部门的整合,CISA全面执行这项任务的能力受到制度的限制。
3.在CISA联合网络规划办公室内部建立
2021财年除强大的综合网络中心进行实时网络防御外,2021财年NDAA还要求在CISA建立“联合网络规划办公室”(JCPO),制定计划,协调演习。2021财年国土安全部法定资金中有1056.8这项工作将使用1万美元。-哈里斯政府应该在那里CISA领导下建立JCPO,协调整个联邦政府和公共和私营部门之间的网络安全规划和准备,为重大网络事件和恶意网络活动做准备。从国家网络监督的国家网络战略中获得战略指导,JCPO中央规划人员和综合网络网络中心的代表组成,以及其他具有网络作战能力和/或负责保护关键基础设施的联邦机构的代表组成。联合反恐行动计划旨在促进各机构对防御性和非情报性网络安全活动的全面规划,将这些规划与私营部门的规划相结合CISA管理和组织。
4.确立行业风险管理机构的预期和责任
2021财年NDAA从法律上讲,特定的行业机构被归类为行业风险管理机构(SRMA),并为这些与关键基础设施部门保持联系的重要机构设定了基准预期和责任。这是建立政府结构的关键第一步,使政府能够为私营部门提供更成熟的网络安全支持。-哈里斯政府应当执行《2021财年国防授权法》中关于行业风险管理机构的规定,重写总统第21号指令政策,阐述SRMA机构的期望和责任来提高SRMA应对威胁的能力。-哈里斯政府将在头100天内这样做SRMA利用今年的剩余时间了解他们的新职责,并提交与这些职责一致的预算请求。
三、100天后优先行政措施
拜登在白宫领导协调制度和国家网络安全战略确立前100天后-接下来,哈里斯政府应该优先考虑网络安全的七个方面。
(一) 恢复美国在网络领域的国际领导地位
我们可以看到,美国在网络安全问题上的国际领导地位越来越弱。虽然美国外交官一直在一步一步地联系世界各地的其他政府和组织,但这些联系的效果并不令人满意,除非他们提供足够的资源并优先考虑这些事项。如果要形成一个稳定的全球体系,让竞争对手和盟友在网络空间中有规律地行动,那么国际合作是必不可少的;为了实际和持续地实现这两点,大多数人必须建立覆盖全球的网络安全能力。因此,美国可以加强与美国站在同一阵线的民主联盟,与盟友和志同道士形成新的联盟,鼓励各国在网络空间内做出负责任的行为,让恶意攻击者付出沉重的代价,动员各国共同应对全球网络威胁。
1. 建立网络空间政策和新兴技术局
既然拜登-哈里斯政府认为网络安全是首要的国际政策问题之一,应该建立网络空间政策和新兴技术局(CPET)。CPET其机制和资源应满足领导国际联盟的需要,并负责美国网络安全战略的实施。根据2019年提出的《网络外交法》(Cyber Diplomacy Act)所述的结构和责任,CPET必须有权在许多问题上发挥领导作用,包括倡导负责任的国家网络空间行为准则,加强互信措施,通过外交手段与国际社会应对网络威胁,促进建立多利益相关者共同治理、开放、可操作的互联网模式,通过国际合作确保数字经济安全,培养合作伙伴/盟友提高网络安全和打击网络犯罪的能力,并承担国务卿发布的任何其他任务。
2. 扩大美国政府对能力建设、规范和互信措施的支持范围
一旦组建CPET,拜登-哈里斯政府就应借助该局来扩大美国政府在能力建设、规范和互信措施的支持范围。国际社会已在联合国等场合上表态同意制定网络规范,但这些规范的实施力度各不相同。在CPET在领导下,美国政府应在照顾多个利益相关者的前提下,逐一实施行业规范,领导国家元首关于网络安全规范的讨论,并参与联合国等场合的各种广泛论坛和专业论坛。-哈里斯政府应与国会合作,确保CPET有必要的人力、资源和权力进行能力建设,以鼓励和支持各国在网络空间内负责任的行为。
此外,国务院应继续制定和实施区域和全球网络互信措施,并与私营机构和其他非国家利益相关者联系。美国政府在建立国际网络安全能力的同时,也应确保这种能力建设在美国的外交政策中发挥不可或缺的作用。美国将开展能力建设,扩大国际合作,建立国际伙伴关系和国际联盟,然后迈出恢复美国领导地位的关键一步。
3. 更积极、更有效地参与国际信通技术标准的讨论
除了围绕规范和CBM除了进一步开展工作外,美国政府还必须更加积极有效地参与国际信通技术(ICT)讨论标准-哈里斯政府应与国会合作,确保联邦部门/机构拥有所需的资源和权力,促进联邦政府、学术界、专业协会和行业人士深入参与制定信通技术标准的讨论。为了提高参与效果,美国政府还应在讨论信通技术标准之前和期间积极联系各行各业的利益相关者。此外,行政部门领导不仅要派技术专家和标准专家参加各种信通技术标准论坛,还要派外交官参加。
(二)投入更多必要的人来抵御恶意网络攻击
目前,公共部门有3.7万多个网络安全职位缺口。鉴于公共部门雇佣了5.6万多名网络安全专业人员,这一差距意味着公共部门缺乏约三分之一的网络安全人员。另一方面,企业的网络安全职位差距接近50万人和10人。2009年,为了填补联邦政府的网络职位差距,一些专家呼吁白宫网络安全协调员制定联邦网络劳动战略11;然而,12年后,联邦政府还没有制定有效的网络劳动战略,也没有明确谁负责制定和实施这些战略。
1. 建立劳动领导和协调体系
美国政府的许多部门和机构都在采取措施招聘网络工作人员,但没有中央领导或战略来协调这些工作。-哈里斯政府应组建两个联邦网络劳动力开发机构,并与这些机构合作起草一项联邦网络劳动力战略。首先,美国政府应组建一个网络劳动力指导委员会(CW-SC),委员会主席由国家网络总监担任,其成员应包括管理和预算办公室(OMB)、人事管理局(OPM)、国家网络安全教育倡议,国家科学基金会,网络安全和基础设施安全局(CISA)和国防部(DoD)的代表。CW-SC为确保联邦政府协调一致发展网络劳动力,提供领导层的战略指导和直接资源。
此外,对所有部门和机构开放“网络劳动力协调工作组”负责解决各项目的日常开发和运营问题,确保这些项目获得特许经营和资源,遵循指导委员会建立的战略方向。国家网络总监应与其他联邦部门/机构合作制定网络劳动战略,如这两个机构和教育部(教育部在加强全国网络劳动力发展方面也发挥着重要作用),以减少重复工作,确保从战略角度分配资源,减少各机构对人才的竞争。在建立这些机构并制定劳动战略后,国家网络总监可以在倡导劳动力发展的有效整合中发挥核心作用。
2. 确保美国政府在网络工作中有特殊的招聘权限,并制定灵活的支付制度
在网络人才的使用方面,不同的联邦机构有不同的招聘权限和支付制度。许多部门和机构努力制定和使用复杂的专业代码和权限制度,而其他部门则完全放弃了这一套,建立了其独特的人事管理制度。拜登为了形成未来联邦网络劳动力发展所需的灵活性和创新性-哈里斯政府应该致力于消除现有的障碍,使所有联邦部门都有特殊的招聘权限和灵活的支付制度。
在2018年和2019年发布的报告中,政府问责局总结了联邦网络岗位保密的挑战,阻碍了各部门拥有特殊的招聘权限和灵活的支付制度。OPM后来,为了帮助联邦管理人员利用这些报告,提供了一些信息。-哈里斯政府应该评估OPM判断现有系统是否能有效管理网络人才。如果没有,美国政府应该指示OPM设置一系列网络职位,以更好地利用特殊的招聘权限和灵活的付薪制度。
3. 扩大“网络企业服务奖学金”计划范围
“网络企业服务奖学金”(SFS)该计划是一个基于现有大学和大学教育基础设施的经济、可放大的在线人才培训计划。然而,近年来,它的预算没有增加,这阻碍了它SFS充分发挥其潜力。拜登在向国会提交预算申请时-哈里斯政府应该优先考虑“服务奖学金”(1)增加参与计划的学院和大学数量,以及(2)增加参与机构颁发的奖学金数量。受实际情况限制,美国政府只能逐步扩大计划范围:10年内,预算年均增长率应高于通货膨胀率20%至30%,这意味着2022年计划预算将达到8000万美元。为了促进网络劳动力的多样性(目前这种多样性明显不足),美国政府还应努力鼓励以少数民族为主的机构参与计划。
(三) 增加我国对基础设施弹性的投资
私营部门拥有和经营网络领域对竞争对手有吸引力的大部分资产、功能和实体;因此,御是一种共同的责任,但它在很大程度上取决于私人网络和基础设施的所有者和运营商的努力。
1. 启动经济延续规划
2021财年NDAA要求总统“为了维持和恢复美国经济,制定并维持应对重大事件的计划13”。拜登-哈里斯政府应该开始制定连续的经济计划。虽然美国政府保持着经营和政府计划的连续性,但没有同样的措施来确保经济的连续性,经济是美国国力的重要来源。规划应包括国土安全部、国防部、国防部、商务部、财政部、能源部、卫生和公共服务部、小企业管理局和总统确定的其他部门或机构。
行政部门作为规划制定的一部分,应当确定灾难发生时实施计划所需的任何额外权力或资源,或者制定支持和维护部门和机构的计划,使其能够实现经济的连续性。规划过程应分析国家关键职能14,重点关注美国经济可靠运行所需的货物和服务的国家分配;它还应概述构成或集成到这些分配机制中的关键私营部门实体,主要负责特定部门或地区整体经济的维护和运行。此外,计划应确定关键材料、货物和服务;响应和恢复优先级;投资恢复领域;以及必须保存数据的领域。
2. 以机器速度探索共享信息的可行性
拜登-哈里斯(Biden-Harris)政府应指示土地安全部部长和国家情报局局长起草报告,建立基于云建立联合信息共享环境的可行性和合理性,在这种环境下,联邦政府非机密和机密网络威胁信息、恶意软件证据收集和监控程序网络数据一般可用于查询和分析。
3. 改善对私营部门的情报支持
虽然信息安全在美国政府为保护者的情况下足够强大,但它缺乏适当的政策和措施来处理不在美国政府范围内的主要责任。私营部门拥有和运营的数字基础设施迫切需要依靠美国情报行业的独家情报进行防御,外国恶意行为比过去更诡计多端,但目前的情报政策和程序并没有考虑到这些问题。因此,情报行业仍然严格限制在对不断进化的网络威胁的警惕对美国实体进行攻击时提供必要的警告能力范围内。美国政府必须向所有私营部门的利益相关者和相关组织(如信息共享和分析中心、系统风险分析和弹性中心)提供情报支持,以确定更常见的限制。
为此,拜登-哈里斯政府应对六个月的情报政策、程序和资源进行全面审查,以确定和解决向私营部门提供情报支持的能力的关键限制。行政部门应当在审查结束后向国会报告调查结果,包括对报告中确定的挑战的具体建议或者计划。审查情报机构,确定当前支持私营部门利益相关者收集的限制,审查情报行业和私营部门利益相关者共享情报的能力限制,审查威胁情报降级和解密的程序,审查与竞争相关的信息共享承诺程序。此外,拜登-哈里斯政府应建立正式程序,征求和汇编私营部门的意见,通知国家情报优先事项和情报收集需求,更加关注美国对私营部门网络安全行动的情报支持。
(4) 保护美国的高科技供应链
就信通技术供应链而言,正如欧盟委员会在2020年10月的白皮书中所指出的,“美国有一个个中国问题”。由于中国政府的干预,关键技术领域国际商业体系既不自由也不公平,这阻碍了美国合作伙伴争夺全球市场共享,成为安全可靠供应链的一部分。然而,正如太阳风事件所强调的,尽管中国对美国供应链构成了重大风险,但威胁并不局限于中国。美国必须做更多的工作来识别我们的信通技术供应链中的风险,并投资资源来管理它们。
1. 制定和颁布信通技术产业基本战略战略
尽管2021财年NDAA为了帮助美国了解问题的范围,开放一些公共投资工具,更积极地参与至关重要的标准BBS,但美国仍缺乏全面的总体战略来确保美国信息技术供应链,确保规则有利于我们的工人和我们的经济,并帮助我们的公司和合作伙伴和盟国公司面临全球竞争的反竞争。-哈里斯政府应的高科技未来,哈里斯政府应该制定并发布一项产业战略。该战略应以坚实的伙伴关系为基础——外国公司与美国工业、盟国政府、盟国和合作伙伴——并应建立在五个不同的支柱上。战略应该是:
关键技术、设备和原材料通过政府审查和行业咨询确定。
(2)将私人投资与关键制造业需求相结合,在绝对必要的地方提供政府投资,结合混合投资和经济保护,帮助经济集群,确保关键领域的最低可行制造能力。
(3)通过联邦政府层面更好的协调,加强对私营部门的情报支持,对关键技术进行更强的脆弱性测试,保护供应链免受损害。
(4)通过释放更多的中频频谱,将未来政府对信通技术的投资与开放和可互操作的标准联系起来,刺激信通技术的国内市场。
(5)通过在美国进出口银行、美国国际国国际发展金融公司、美国贸易发展署和美国国际发展署的现有工具,增强美国公司和合作伙伴的全球竞争力。
(五) 维护美国的军事网络优势
美国拥有世界上最成熟、最先进的军事网络能力之一。然而,除非增加关注、评估和投资,否则这种军事网络优势可能会萎缩或消失。然而,除非关注、评估和投资增加,否则这种军事网络优势可能会萎缩或消失。下面的许多建议出现在2021财年的NDAA但需要行政部门的关注和实施。
1. 对网络任务部队进行部队结构评估
网络任务部队(CMF)目前被认为具有综合作战能力,共有133支队伍,约6200人。然而,这些要求是在2013年确定的,早在美国政府对对对手网络威胁的紧迫性和重要性的理解之前,也早在国防部制定前沿防御战略之前。今天,组成CMF该团队负责国防部信息网络保卫等一系列不同的网络任务(DoDIN),地理作战司令部支持军事行动,在日常竞争中保卫国家对抗恶意对手。这些活动代表CMF扩大任务范围(在DoDIN外部执行) 及其行动规模(增加行动以应对更危险的环境),尽管其军事结构目标保持不变。-哈里斯国防部应评估美国网络司令部的网络任务部队,以反映其任务需求和日益增长的预期范围和规模。
2. 建立网络司令部的主要部队计划
拜登-哈里斯国防部应提交预算理由,包括美国网络司令部的培训、人员配备和装备。(MFP)类别。根据《美国法典》第10编第238条,国防部必须向包括网络任务部队在内的国会提交预算证明MFP类别。然而,该法律于2014年颁布,当时美国网络司令部尚未被提升为统一的作战司令部。因此,需要一个新的预算论证来建立一个美国网络司令部MFP类别。该基金类别将为美国网络总部提供特殊需要的货物和服务的采购权限。它还应该提供一个快速解决战斗指挥/服务资金纠纷的程序,以及国防部的指示5100.03.17尽管2021财年的意图是一致的NDAA它确实包含了一些改进。最重要的是呼吁提出建议,使网络总部能够执行超出有限预算和采购要求的年度支出上限,并取消7500万美元——但它并没有为网络司令部创建一个主要的部队项目类别17 18。
3. 更新网络使用武力的战斗规则和指南
《常规交战规则》(SROE)《武力常规使用规则》(SRUF)它已经有十多年的历史了。拜登是下一次网络情况评估的一部分-哈里斯国防部应编制研究报告,评估美军的常规交战规则和武力使用规则,必要时提出修改建议。本研究应根据具体情况进行,并考虑部队分配的任务。鉴于网络空间行动的独特性,特别是在使用武力的门槛下,SROE/SRUF该指南必须与网络空间和通过网络空间采取的行动有关。
4. 评估建立军事网络储备
2021财年NDAA要求行政部门审查建立军事网络储备的必要性。-哈里斯国防部应评估军事网络储备的需求和要求,其可能的组成和结构(即保留模式、非传统储备、战略技术储备或其他模式)。对军事网络储备力量的评价应讨论如何解决不同类型的储备力量模式中更广泛的人才管理问题,并考虑如何有意招募关键私营部门的参与者。此外,评估还应研究如何有效地招募和保留没有军事专业知识和有意服役的文职人才;同时,评估网络储备人才对私营部门和政府非国防部工作人员吸引文职人才的可能影响。最后,评估应涉及国防部如何利用现有机制,在需要时引进技术专业知识,以应对危机和危机,通过更有针对性的招聘实践找出网络专业知识的缺陷。
5. 审查防御前沿概念和进攻性网络行动的授权
国防部继续稳步提高其进攻性网络能力。国防部在2018年国防网络战略中明确提出了一项建议“防御前沿”该策略干扰或减少其内部恶意网络活动的来源。这种积极的方法是利用美国网络司令部的方法“持续参与”概念,提高了美国在网络战场上的地位。新战略还得到了2019财年NDAA支持三个关键条款,授权现有进攻性网络行动的框架。第1632节授权国防部作为传统军事活动进行网络监控和侦察;第1636节制定了美国应对外国势力的网络攻击和其他恶意网络活动的政策;第1642节授权国防部应对俄罗斯、中国、朝鲜或伊朗的恶意网络活动。行政部门随后制定了国家安全总统备忘录13,授权进攻性网络行动。
(6) 保护美国免受网络威胁的全方位作战和威慑能力
美国的全面战斗和威慑对我们持续的国家安全至关重要,为网络威慑奠定了坚实的基础。如果这些能力失败,分层网络威慑就会崩溃。因此,美国必须保护这些能力免受网络威胁。以下所有建议都出现在2021财年NDAA,但行政部门需要立即关注和实施。
1. 制定防御核指挥、控制和通信网络攻击计划
美国的核能力是我们整体威慑局势的基石。如果没有可操作的核能力,我们可以阻止对手行动的各个方面——包括网络攻击——都会失败的。拜登为了保证我们核武器系统的持续运行,降低其脆弱性-为了制定防御核指挥、控制和通信系统免受网络攻击的作战理念,哈里斯政府应实施《2021财年国防授权法》。
2. 要求国防工业基地参与威胁情报共享计划
2021财年,NDAA要求国防部长提交项目可行性和适用性报告,要求国防工业基地和国防工业基地与国防部共享威胁情报23。这是一个很好的开始,但拜登哈里斯政府应该超过一份报告,要求构成国防工业基地的公司作为与国防部合同条款的一部分,参与一个威胁情报共享计划,该计划将在国防部的一部分。
3. 国防工业基地网络需要威胁搜索
24.国防预算局在互联网上搜索威胁计划的可行性和适用性。拜登哈里斯政府应该超越一份报告,要求构成国防工业基地的公司作为其与国防部合同条款的一部分,建立允许的机制DIB强制在互联网上搜索威胁。
四、拜登-哈里斯政府积极的网络立法议程
行政部门利用现有权力和拨款,可以在重建美国网络安全方面取得巨大进展,但没有国会的支持和批准,网络空间日光浴委员会(CSC)有些建议是无法实施的。-哈里斯政府应与国会合作,确保美国最有能力预防、防御和应对重大网络事件,并最终恢复。美国政府积极的网络安全立法议程应注重提高政府的网络专业知识,建立国际网络合作体系,促进更安全的国家网络生态系统,投资网络灵活性,支持网络犯罪受害者,保护美国民主。
(一) 提高政府网络专业知识
联邦政府的行政和立法部门将从更好的网络政策专业知识和更稳定的指标和数据中受益,从而更好地实施网络政策。-哈里斯政府应与国会合作CSC在最终报告中建立这一能力的两个建议:(1)在行政部门建立网络统计局;(2)将网络威胁情报集成中心纳入法律范畴,加强中心。
1. 建立网络统计局
虽然人们普遍认为,针对美国公民和企业的网络攻击的频率和严重性正在增加,但美国政府其它市场主体需要进一步了解这些攻击的性质和范围,以便制定细致入微且有效的对策。为了填补其它政策领域的类似空白,美国成立了经济分析局、劳工统计局和人口普查局等统计机构,以便为公共决策和私人决策提供信息。拜登-哈里斯政府应与国会合作,在商务部或其他部门或机构设立网络统计局。作为政府机构,该局收集、处理、分析并向公众、国会、其他联邦机构、州、地方政府和私营部门发布网络安全、网络事件和网络生态系统的基本统计数据。
2. 将网络威胁情报整合中心纳入法律范畴,加强中心
网络威胁情报整合中心在政府对影响美国的重大网络威胁的总体认识上(CTIIC)它起着关键作用,可以围绕快速准确的归因进行必要的分析和协调。
但是,为了完成所有的任务,CTIIC需要足够的资源,包括足够的资金、人力和分析资源,以充分支持联邦部门和机构的业务,并向私营部门和国际合作伙伴提供情报产品。-哈里斯政府应与国会合作,通过立法建立网络威胁情报整合中心,确保其资源充足。
(二) 建立国际网络合作制度
虽然拜登-哈里斯政府可以采取一些措施,重新安排国际网络合作的优先顺序,有意义地改善国际网络合作,制度化,但拜登-哈里斯政府必须建立一个与网络空间政策和新兴技术相关的新和新兴技术相关的大使,等级相当于助理部长。为了为世界重要的网络安全能力建设项目提供更有效的结构性支持,还应修改《对外援助法》第二部分。
1. 在国务院设立网络政策局
拜登-哈里斯政府应当与国会合作,将专门负责网络空间政策的国务院部门写入法律,由网络空间政策大使领导,相当于助理部长,并向政治事务副部长或者更高级别的官员报告。拟议的《2019年网络外交法》为未来立法提供了基础。
除了指导志同道合的合作伙伴和盟友组成联盟外,局还应负责一系列任务,包括倡导国家行为准则和相互信任措施,与国际社会外交,倡导互联网自由,确保数字经济的安全,培养合作伙伴和盟友的能力,促进网络安全,打击网络犯罪,执行国务卿指定的任何其他任务。-哈里斯政府应与国会合作,为新机构提供额外资金,以及执行国际网络任务(特别是建立强大联盟的任务)所需的人员和项目。
2. 最大限度地提高国际网络安全能力建设的灵活性
网络安全能力建设的目的是为遵守既定规范的国家提供资源和专业知识,鼓励负责任的国家行为。此外,网络安全能力建设为志同道合的外国政府提供了帮助这些国家的网络安全企业变得更加成熟的切实可行的途径。对于那些想要遏制网络犯罪和其他恶意活动但无处开始的国家,提供这些支持将有助于改善全球网络安全。虽然美国政府通过广泛的机制参与网络能力建设,但主要资源之一——经济支持基金——只能用于支持“军事或准军事”以外的活动。
然而,由于许多外国政府将其民用公共部门的网络安全基础设施设置在军事或准军事机构,这一限制将阻止那些对民用网络安全至关重要的人提供支持。由于资助的网络安全机构位于特定机构,拜登-哈里斯政府应当与国会合作,授权有关部门不受限制地分配资金,以提高外国民用网络的安全性。
(3) 促进实现更安全的国家网络生态系统
如今,网络生态系统不仅是互联网技术(即信息、网络和操作技术),还包括使用这些技术的人员、流程和组织以及由此产生的数据。该生态系统提高了我们的通信速度、效率、功能和经济增长。虽然这个生态系统对国家的运作至关重要,但它也给美国带来了巨大的挑战和潜在的危害。
竞争对手利用其漏洞及其对我们社会的广泛影响,获得不对称优势,发展能力,使我们的关键基础设施面临风险,破坏我们的选举,窥探和损害美国人民的数据、系统和恢复能力。-哈里斯政府应采取措施,将安全负担从最终用户转移到能够更有效地实施安全解决方案的所有者、运营商、开发人员和制造商,以巩固整个生态系统。
1. 创建国家网络安全认证和标签管理局
虽然统一的安全标准和最佳实践有助于减少信息技术产品中的漏洞,但如果产品开发人员将安全视为产品的独特之处,他们可以更有效地利用这些标准和实践。如果没有证书和标签,关键基础设施的所有者和运营商在制定购买决策时很难确定安全价值。-哈里斯政府应当与国会合作,立法授予商务部相应的资金和权限(由国土安全部和国防部合作),以招标形式成名称“国家网络安全认证和标签管理局”非营利性非政府组织,并为该局提供资金。
2. 通过物联网安全法
在新冠肺炎疫情期间,相当一部分美国人在家工作,使得家用物联网设备(尤其是家用路由器)成为国家网络生态系统中重要但脆弱的一部分,美国对手也可以通过这些设备发起网络攻击。第116届国会通过了《2020年物联网网络安全改进法》,规定了联邦政府购买物联网设备的基本安全要求,从而在改善美国物联网生态系统安全的道路上迈出了重要的第一步。-哈里斯政府应通过物联网安全法与国会合作,确保在美国市场销售的物联网产品采取基本安全措施。该法律应关注已知的挑战(如无线路由器的不安全),并要求物联网设备采取合理的安全措施,如最近发布的国家标准和技术研究所“建议物联网设备制造商的基本网络安全活动”等。
3. 为州、地方、部落和地方政府制定现代信息技术补贴计划
新冠肺炎改变了当前的社会现实,展示了关键服务数字化的意义。疫情爆发期间,美国人越来越依赖联邦和州级援助项目,但这些项目的旧系统濒临崩溃。为了生存未来的流行病或灾难性网络事件,中国需要安全可靠的远程数字服务。虽然现代化和数字化改革在短期内成本昂贵,但从长远来看,这种改革可以提高提供服务的效率和灵活性,降低支出,提高生产率,缩小掌握数字技术者和未掌握数字技术者之间的经济差距。
尽管如此,州、地方、部落和属地政府及小企业通常会优先考虑短期内的资金需求,以至于推迟其数字化进程。这种以短期为重的思路会带来破坏性的长期后果,而美国正在为几十年来的短视付出沉重代价。拜登-为此,拜登政府打算在美国投资实体基础设施-哈里斯政府应与国会合作,通过未来新冠肺炎疫情刺激立法中,向州、地方、部落和地方政府提供补贴,使这些实体能够更快地迁移到云端,实现数字基础设施的现代化。拟议的《国家和地方信息技术现代化网络安全法》将为未来立法奠定基础。
4. 澄清硬件、软件和固件最终产品组装者的法律责任
美国竞争对手将试图利用我们系统中的软件漏洞。如果补丁程序能够及时创建和安装,就可以缩短漏洞的存在时间,使竞争对手难以放开手脚使用这些漏洞,提高竞争对手的行动成本,使其无法从使用漏洞中受益。拜登为了鼓励硬件、软件和固件的最终产品组装者通过更快的开发和发布补丁程序来缩短漏洞的存在时间-哈里斯政府应当与国会一起制定有关法律,规定如果交付过程中有漏洞或者事后发现漏洞,未及时修复,软件、硬件、固件的最终产品组装人应当对此负责。
5. 通过《国家数据泄露通知法》
各种数据泄露通知方法要求数据泄露方(无论泄露原因如何)通知消费者和其他相关方,并采取措施弥补泄露造成的损害。虽然所有50个州、哥伦比亚特区、关岛、波多黎各和维尔京群岛都以某种形式通过了法律,但没有国家标准来保护美国人的数据。中国需要围绕消费者的期望建立一个国家框架,并以明确的方式监督从事国际和全球贸易的美国企业。-哈里斯政府应通过国家数据泄露通知法与国会合作,为美国制定标准化的数据泄露通知要求,取代54个州、地区和地区现有的数据泄露通知法。
(4) 投资网络弹性
美国政府应该增加对私营部门网络防御行动的支持。然而,由于资源和能力有限,联邦政府应该优先考虑管理系统重要的关键基础设施“一旦中断,可能会对美国的国家安全、经济安全或公共卫生和安全产生连锁影响,并陷入动荡”资产的系统和关键基础设施实体。
1. 将具有系统重要性的关键基础设施纳入法律
从第13636号行政命令第9条可以看出,奥巴马政府已经意识到一个关键问题:并非所有关键基础设施都将在维护公共卫生和安全、经济安全或国家安全方面发挥同样重要的作用。虽然该命令认为有必要在网络安全方面建立共同责任和相互合作的社会合同关系,但它既没有编制或完全建立这种关系。
此外,第九条一方面不允许美国政府使用任何新的要求、资源或权限来支持具有系统重要性的关键基础设施,另一方面也该条款约束的机构提出任何额外的期望。-哈里斯政府应在第13636号行政命令的基础上,与国会合作通过法案“具有系统重要性的关键基础设施”法律中包含了这一概念。法律应确保责任“具有系统关键和资产”该实体得到了美国政府的特别援助,并要求该实体履行其独特的地位和重要性。
2. 建立国家风险管理循环
拜登-哈里斯政府应通过法案与国会合作,建立国家风险管理周期和国家关键基础设施弹性战略,协调和简化国家风险管理。这个周期应该由国土安全部领导,但一切都应该由国土安全部领导SRMA也应参与其中;信息化部门在规定了识别、评估和区分风险优先级的程序后,应将此认知转化为相关部门和机构的战略、预算和计划优先事项。这些流程和程序应与关键基础设施所有者和运营商协商制定,然后公开发布并征求公众意见。此外,这些过程和程序也应该是适应性和迭代性的,以便考虑上一个循环的经验和教训。“关键基础设施弹性策略”这种循环中的风险识别和评估事项直接体现在这个循环中,从而为每个人做出贡献SRMA规定将在下一个“五年国家风险管理循环”优先考虑计划和预算。
(五) 支持网络犯罪受害者
在新冠肺炎疫情期间,欺诈等恶意活动激增,说明犯罪分子在重大紧急情况下有更多的漏洞可钻,使本已沉重的公共服务和美国人民陷入更大的困境。-通过创建,哈里斯政府应该与国会合作“国家网络犯罪受害者援助与恢复中心”其他机构向网络犯罪受害者提供支持,并制定补贴项目,帮助支持网络犯罪受害者的非营利性机构。
(6) 保护美国民主
美国政府应确保其选举的安全性和民主韧性。美国人民对其民主制度的信任和信心仍然是国家恢复能力的基本要素,也是恶意行为的目标。中国的选举制度实际上是一个由各种制度、工具和人员组成的网络,它依赖于互联网和数据,为破坏美国的政治制度(无论是投票还是其他方面)提供了机会。负责保护我们选举过程的联邦机构需要对组织进行改革,获得持续资金,并及时获得授权,以确保各州和中国政治体系中的其他合作伙伴(包括政党和竞选团队)能够提高和维护其网络安全能力。
此外,美国人还必须有更好的设备来识别依赖网络的信息行动,以尽量减少损害。需要指出的是,这些信息行动可能会削弱各方对美国民主及其制度(包括选举和其他民主和制度)的信任和信心,从而危及国家安全。
1. 加强和改进选举协助委员会的结构
负责保护我们选举过程的联邦机构,包括选举协助委员会,需要对组织进行改革,获得持续资金,并及时授权,以确保各州和中国政治体系中的其他合作伙伴能够提高和维护其网络安全能力。-为了保护美国民主,哈里斯政府应与国会合作,加强选举协助委员会的能力。
2. 促进数字素养、国民教育和公众意识
美国的竞争对手将依靠互联网发起信息行动,破坏公众对民主制度的信任,然后危害美国的民主。竞争对手将通过这些行动传播各种坏事,让观众相信某种观点,认为该制度正在不可逆转地恶化,但也加剧了人民之间的差异。为了让公众抵制这些不良信息,我们必须首先重视公民教育,提醒美国人民主的内涵:民主不是天赐的,而是必须为之奋斗;我们拥抱民主不是因为它是完美的,而是因为它可以带来积极的变化;我们每个人都必须通过法律手段有效地促进这一变化。-哈里斯政府应与国会合作,支持振兴中国的数字素养和公民教育。