一、《战略》的几个重要指导思想
(一)必须对建设数字生态系统的底层驱动力做出根本性转变,使防护者拥有优势,使威胁始终面临挫败。
《战略》始终将维护美国的国家利益放在第一位,提出的目标是要重新建立一个可防御的、有弹性的数字生态系统,这一系统更容易防御而不是更容易被攻击,攻击者将比防护者付出更高昂的代价,能充分保护敏感信息和私人信息,一般性安全事件和错误也不会导致灾难性的系统性后果。虽然这些理念也是网络安全界长期追求的目标,但美国政府认为目前的指导思想和安全体系建设难以达成这样的目标,为此《战略》认为要重塑网络安全底层动力,需要从网络安全角色、责任和资源分配方式上进行两个根本性的转变,并推动国家在未来十年实现这样的战略目标。
这是《战略》提出的两个重要转变之一。确定网络安全的主体责任是进行网络空间安全治理的基础。《战略》认为:当前终端用户在对抗网络风险方面承担了太大的责任,但实际上个人、小企业和地方政府以及基础设施运营者的资源有限,难以承担如此巨大的责任。某些普通工作人员短暂的判断失误,使用一个过时的密码,或错误地点击一个可疑的链接,都不应该对国家安全造成后果。但目前实际情况是某个人的一个简单失误真可能导致了某些关键基础设施的失陷,甚至引发灾难性的后果,并对国家网络安全产生重大影响。比如一个电力公司网络的失陷往往来自一封钓鱼邮件,或者遭受过一次水坑攻击,导致一台个人电脑失陷,然后攻击者通过该电脑不断地横向移动渗透,最终导致整个电力网络的失陷。所以说,网络的安全和弹性不应依赖于一个小的组织和每个公民个人的持续警惕。相反,必须要求更多最有能力和处于最有利地位的机构承担更多保护网络安全和弹性的责任,需要通过部署有效的安全防护机制来阻断威胁和保障安全。
该观点反映了美国政府对个人能力的认知,也非常符合客观现实,因为现实中即使一个经验丰富的安全专家往往也很难识别钓鱼邮件和恶意链接,甚至AI技术的加持导致恶意APT攻击更加隐蔽和巧妙,普通人很难识别。该思想将转变对传统网络安全角色、责任的认知,会影响相关法规制度和网络安全技术路径的选择,引起我们对网络安全防御机制的深入思考。虽然个人网络安全意识的培训必不可少,但网络安全防御体系的效能显然不能依赖普通人的判断和个人能力。
这是《战略》提出的另一条重要转变。经济和社会必须激励为维持网络空间长期弹性和防御性的决策,要平衡短期需求和长期愿景目标,不仅必须保护好存量系统,同时要建设一个更具内在防御性和弹性的未来数字生态系统。联邦政府将利用所有可用的工具来重塑激励措施,并以协作、公平和互利的方式实现力量的统一。联邦政府将重塑激励机制,确保市场力量和公共项目都能促进安全和弹性,建立一个强大和多样化的网络人才队伍,鼓励拥抱安全和弹性,战略性地协调网络安全方面的研发投资,并促进数字生态系统的协作管理。为了实现这些目标,联邦政府将重点关注平衡点,以最小的投入实现在防御性和系统弹性方面的最大收益。网络安全投入会增加企业和机构的运营成本,通常情况下回报不太显性,但对保障机构网络安全、维护国家安全是必不可少的,需要有广泛的激励、合规政策才能引导更多的投资和系统建设,这是美国政府提出重新调整激励政策的原因。既要充分发挥现有安全产业的能力和商业化产品的作用,做好对存量信息系统的安全防护,同时还要着眼于国家网络空间安全的长期愿景,鼓励技术创新,做好短期需求和长期愿景的平衡。
(二)《战略》将中俄伊朝锁定为美国的对手,将中国看成有可能重塑国际秩序的最大战略竞争对手。
美国为了确保其在经济领域和军事领域的绝对领先优势,《战略》将中俄伊朝锁定为竞争对手,认为中国、俄罗斯、伊朗、朝鲜等国家政府正在积极地利用先进的网络能力,追求违背美国利益和国际规范的目标,漠视网络空间的法治和人权,对美国构成威胁,认为中国倡导的网络安全愿景是黑暗的。《战略》认为中国是唯一一个有意重塑国际秩序,并越来越多地有意重塑经济、外交、军事和技术力量的国家。可以看出美国对可能失去霸权地位的担忧溢于言表,将中国作为网络空间最大的战略对手来对待。该观点充满冷战对抗思维和双标思想,美国拥有全球最强大的网络攻防实力,无数证据证明美国是世界网络空间中最大的威胁,却总将网络空间威胁的帽子扣在中国头上。美国政府追求的是美国利益优先,制定维护其网络空间霸权的规则,相反中国政府是站在全球各国共同利益的基础上,强调的是维护全球各国网络空间的公平权益,倡议构建全球网络空间命运共同体,实现对全球网络空间的共同治理,代表了人类的未来。
(三)联邦政府网络将全面向零信任迁移,为关键基础设施网络安全打造样板
《战略》将零信任作为能实现战略目标的最佳安全实践,联邦政府将以十年时间实现联邦政府网络向零信任的全面迁移,与《战略》制定的数字生态建设十年目标完全一致。传统安全防御体系侧重于威胁的检测和阻断,大量部署的安全措施处于被动防御地位,造成安全投入成本高、效能低,攻击者往往以很小的代价就能实现对关键信息基础设施的突破、控制和破坏,甚至引发灾难性的后果,无数案例证明,传统边界已被打破,传统安全防御思想已经无能为力,零信任是目前认为唯一可能改变现状的技术选择。联邦政府通过使自己的系统更加具有防御能力和弹性,致力于通过长期努力实施零信任架构战略和使IT和OT基础设施现代化,来改善联邦网络安全。同时,联邦网络安全可以成为美国各地如何成功构建和运行安全和弹性系统的关键基础设施的典范。OMB零信任架构策略指导FCEB机构实施安全机制,行政管理和预算局将领导制定多年生命周期计划,以加速FCEB技术现代化。该计划明确将删除所有无法在十年内实现零信任战略的遗留系统,或以其他方式减轻那些无法在该时间段内替换的系统的风险。美国政府认为,零信任是下一代网络安全架构的必然演进方向,现已将其列为国家层面的优先事项,发布一系列战略文件为零信任发展提供顶层指导,并通过增加预算投入,多措并举、多方协作,共同推进零信任架构的研究与落地,并将政府部门推动的零信任架构打造为保护关键基础设施等网络安全的标杆。基于零信任可以达成建设安全、弹性的更容易防御的数字生态系统的战略目标,这是美国政府今后十年在网络安全方面的终极目标。
(四)强调监管并不等于取消和削弱市场的作用,而是要通过政策引导,塑造驱动安全和弹性的市场力量。
美国是一个典型的商业化社会,非常重视保护创新和竞争,而监管往往不利于保护创新和竞争。《战略》认为市场力量虽然仍是敏捷和创新的首选途径,但市场并不优先考虑国家核心经济和安全利益,仅凭市场力量还不足以推动网络安全和弹性方面最佳实践的广泛应用,所以《战略》强调网络安全监管的重要性,但同时也不能完全依赖监管,政府将推出一系列的激励措施,激励网络安全领域的长期投资,引导市场力量,同时联邦政府还将通过政府采购和投资的方式来推动网络安全技术的创新,弥补市场力量的不足。网络空间对抗重在棋高一着、领先一步,但创新技术往往需要经过很长时间的技术验证和市场推动才能得到市场的认可,这也是《战略》提出政府行为和市场力量相结合的原因所在。
二、观察与思考
《战略》立足美国商业化社会的特点,试图从网络空间安全治理的底层驱动逻辑来阐述美国政府对网络空间安全治理的最新理念,能够看出美国在网络空间安全治理方面的理念变化,也能给我们带来一些启示。
(一)美国首次在国家网络安全战略中强调政府监管,是一次重大突破,将会带来在关键基础设施领域网络安全相关政策法规的出台和调整,值得关注。
《战略》围绕五大支柱阐述了美国政府网络空间安全治理的最新理念。监管、打击、市场、投资、伙伴五大关键词贯穿《战略》全文,强调了对关键基础设施要加强监管,对网络威胁者要采取包括军事打击在内的各种打击手段,网络安全治理还要尊重市场规则,保护竞争和创新,通过激励政策纠正市场失灵,同时要加大对网络安全的未来投资,在全球建立网络安全合作联盟共同对抗网络威胁。美国是一个商业化社会,长期强调“小政府,大市场”的市场驱动原则,但在网络空间美国政府认识到仅仅通过坚持公私合作和市场驱动原则无法给关键基础设施提供足够的保护,因为市场是逐利的,在关键时候并不总是考虑国家安全和国家利益。联邦政府已在石油、天然气管道等重点行业制定了网络安全监管要求,同时还将与国会合作继续立法填补网安的监管空白,政府和国会将在市场机制无法满足要求的情况下,采取措施来弥补不足。拜登政府首次将监管写入《战略》中,从国家战略层面来看是一次重大突破,但由于企业对监管的抵制,也必然面临配套法规政策、落地实施等层面的巨大挑战,为此《战略》大篇幅讨论监管和市场机制的关系,讨论监管要求与可落地性的关系,在加强监管的同时,通过政策激励引导私人机构加大网络安全方面的投入。驱动网络空间安全发展的潜在动力除了来自国家监管层面形成的责任驱动,更来自商业层面的利益驱动。《战略》提出的两项根本性转变反映了政府对网络空间安全治理底层逻辑的最新认知,要从主体责任调整、投资引导两个方向形成政策激励,会带来各重点行业网络安全相关政策法规的出台或重大调整,并对网络安全产业的投资力度和产业发展方向产生重大影响,所以我们后续要重点关注美国各行业网络安全政策法规的调整和变化。
(二)《战略》强调持续加大网络空间安全治理的投资,值得我们学习和借鉴。
《战略》认为美国公共和私营部门对网络安全的投资长期以来一直落后于面临的威胁和挑战,解决这一投资差距的需求变得更加迫切。美国作为在网络安全建设投资巨大的世界头号网络强国尚且认为自己在能力建设方面投入不足,作为网络安全投资相对美国存在巨大差距的跟随者,我国的网络安全投资占信息化的投资比例远远落后于美国,更需要在政策法规层面进一步加大推动网络安全领域投入的力度。近年来我国一系列法律法规的出台为网络空间安全建设提供了法律支撑和监管要求,极大促进了网络安全的投入和产业发展,但全民对网络空间安全的重视程度仍然亟待提高。我国的关键基础设施基本都是由国有企业负责运营,但随着市场经济的发展,也有越来越多的信息基础设施由民营企业运营,还有大量的消费类产品采集越来越多的个人敏感信息,所以我们既要发挥我国在监管方面的制度、体制优势,同时还要学习美国的商业化社会安全治理经验,从政府监管、投资政策激励等方面出台具体的政策,推动我国网络安全防御体系的建设和发展,加大在网络安全、数据安全方面的投入。
(三)零信任是《战略》肯定的唯一技术路线,我们需要在零信任思想基础上,实现我国网络安全防御思想的自主创新。
技术层面《战略》唯一强调了零信任安全理念的重要性。最近,美国国防信息系统局宣布博思艾伦咨询公司完成了美军首个零信任项目“雷霆穹顶”的原型设计,已进入试用阶段,标志着美军向零信任愿景迈出了一大步。长期以来,美国实施了持续诊断和缓解(CDM)、NCPS(爱因斯坦)等一系列联邦网络安全项目,通过检测和阻断对联邦政府网络的攻击来达到安全的目的,但NCPS等长期受到无法检测未知威胁的质疑,并且威胁经常隐藏在加密流量中,美国政府认为这些系统都不能对联邦政府网络提供足够的保护,经过多年实践,联邦政府机构达成一个共识:零信任能够实现网络安全的最终愿景。纵观我国网络安全产业几十年的发展历程,我国的网络安全防御思想基本还处于追随阶段,当美国产生重大技术思想转变时,我们怎么办?零信任是否是网络安全的最终方向?目前我国在等保 2.0 标准中,国产化基础软硬件与可信计算相结合已成为今后我国网络安全技术发展的主要方向,国内也有一些部门和机构在推动零信任、微隔离技术的试点应用。如何结合我国不同行业的信息化水平和安全管理机制,采取一种既符合行业信息化发展现状,又能够有效抵抗网络空间威胁的技术路线,是我们目前迫切需要回答的问题,什么才是网络安全的终极之路?如何实现我国在网络安全领域的颠覆性技术创新,打造我国自主创新的下一代网络安全防御体系,值得我们深入思考。
(四)发挥中国体制机制优势,通过技术和管理创新加速推进国家网络安全防御体系建设,有效维护我国网络空间主权和安全。
《战略》对网络空间安全治理既认识到了政府监管的必要性,同时也深刻理解美国商业化社会的底层驱动逻辑,期望通过协同能在监管方和被监管方形成基本的共识,形成监管和被监管方从商业代价、实现可行性等方面的合理平衡。美国早在奥巴马时期就尝试构建联邦政府主导下的监管机制,确保能够将网络安全责任落实到大型软件企业和关键基础设施的大型运营商身上,但是一直都没有在政府和社会层面达成共识,此次《战略》明确做出了政府监管的决策,说明在联邦政府层面在一定程度上达成了共识。但是《战略》的落地还需要一系列法律法规的支撑,立法还需要经过美国国会的复杂程序,在美国两党撕裂严重的情况下,仍有很长的路要走。虽然我国在网络安全技术层面离美国尚有一定的差距,但网络安全治理不仅仅需要依靠技术,更需要依靠良好的体制机制。依托我们国家的制度优势和强大的执行力,依托法规监管、商业逻辑、技术创新三个维度的有效驱动,我们一定能扬长避短,通过不断技术创新和管理创新,打造我国数字产业安全发展底座,有效维护我国网络空间主权和安全。
三、结语
《战略》不仅仅影响美国网络空间安全的治理和安全产业发展,而且从战略层面和技术路径形成对建设美国数字生态系统的宏观指导,具有普遍的指导意义。我国自2016年12月发布《国家网络空间安全战略》以来,已经过去了近七年时间,在该战略的推动下,我国相继出台了《网络安全法》、《数据安全法》等一系列的法律法规,极大地推动了我国网络安全产业的发展,为维护国家网络空间安全发挥了重要的作用。同时我们也要看到,近年来世界政治、经济形势和世界军事格局发生了巨大的变化,俄乌战争、台海局势也在深刻变革着世界格局,全球网络空间对抗博弈日益激烈。当前数字中国建设已进入整体布局、全面推进的新阶段,网络安全要成为数字中国建设的安全底座,我们应深入分析美国的国家战略,直面网络空间威胁和数字产业安全发展规律,做出更加清晰和明确的战略决策,维护网络安全市场有序竞争、良性发展,创新网络安全的技术路径,保障我国数字产业安全发展,相信我国的新版国家网络空间安全战略在不久的将来也会到来。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。