摘要: 近期,川普政府在網絡安全領域動作頻繁,相繼發布多份重磅文件,以美國優先、防禦前置等為關鍵詞,明確網絡威懾的路徑和戰略對手,大肆渲染網絡威懾意圖,同時,提出優先保護、風險管理、信息共享相結合的關鍵信息基礎設施保護新理念,通過完善機制、審查評估、政企協作等方式改進和增強供應鏈安全管理,推動新一代網絡安全關鍵技術和系統平臺建設,著力打造領先的網絡空間安全防禦能力,謀求塑造以美為主的網絡空間治理格局。為應對美高壓威懾,我宜加快建立完善關鍵信息基礎設施安全風險管理體系,強化供應鏈安全管理,增強網絡威脅預警防禦能力,爭取網絡空間治理競爭的主動權。
川普政府在沿承歐巴馬時期網絡威懾戰略基礎上,將治網理念「主動防禦」更新為「防禦前置」,並在法律制度、組織授權、反擊機制等方面進行了針對性設計。
(一)密集發布多份國家戰略文件,營造威懾氛圍。川普政府網絡安全領域戰略政策發布異常頻繁。2017年5月川普籤署《增強聯邦政府網絡與關鍵性基礎設施網絡安全》行政令;12月白宮發布《國家安全戰略》;2018年5月國土安全部發布《網絡安全戰略》;8月川普籤署《2019財年國防授權法案》(以下簡稱《NDAA 2019》);9月白宮發布《國家網絡戰略》、國防部發布《2018網絡戰略》。這些層層迭代的「頂層」文件,反覆宣誓美網絡主張,進攻反制色彩濃厚,震懾力空前。
(二)推行「以實力求和平」,給予網絡空間軍事行動明確授權。2017年8月,美國將網絡司令部升格為一級作戰司令部,目前其下屬的133支網絡任務部隊已具備作戰能力。《NDAA 2019》給予美國防部發起網絡空間軍事行動(包括秘密行動)授權,針對俄羅斯、中國、朝鮮、伊朗「活躍的、持續的」網絡攻擊行動,可採取適當網絡行動並配合傳統軍事活動,破壞、挫敗和懾止對手的攻擊行為。
(三)提高對網絡攻擊行為的實施成本和懲罰力度。執行成本增加策略(Cost Imposition Strategies),對網絡入侵等攻擊行為及危害進行分級界定,通過揭露對美網絡攻擊或惡意網絡活動證據、徵收賠償費用、國家權力工具施壓等方式讓攻擊者承受「反應快速、代價巨大、清晰可見的後果」。
建立優先保護、風險管理、信息共享相結合的關鍵信息基礎設施保護新思路針對關鍵基礎設施保護,川普政府按照優先保護、風險管理、信息共享三大理念,出臺了一系列新舉措。
(一)堅持「優先保護」原則,針對網絡安全的「重中之重」採取優先行動。明確優先保護領域。在歐巴馬政府頒布的16個關鍵基礎設施領域基礎上,川普政府進一步聚焦國家安全、通信、能源與電力、銀行與金融、衛生與安全、信息技術和交通運輸7大關鍵領域,優先開展風險消除行動,給予優先保障措施。在人員方面,藉助「黑客馬拉松」項目,將國防部有關部隊資源暫時分配給國土安全部,為航空等關鍵基礎設施提供技術支持和保障;在工具方面,國土安全部推出網絡安全工具共享計劃,與醫院、機場等共享網絡安全工具;在協同方面,國土安全部將調動資源,聯合多方力量共同保護關鍵基礎設施。
(二)踐行以風險管理為核心保護思路。一是通過反覆強調將「風險管理」上升為網絡安全保護的核心理念。《國家網絡戰略》提出國家基礎設施保護遵循風險管理原則與「結果導向」的方法。國土安全部《網絡安全戰略》將風險識別作為五大戰略方向之首,提出要「持續評估網絡安全風險,確定優先級,為風險管理活動提供指引」。二是打造網絡安全風險登記平臺。美國國土安全部成立國家風險管理中心,組織16個關鍵基礎設施保護部門對國家重要數字資產進行登記,並開展風險識別行動,確定風險等級,掌握風險態勢。三是持續推動《關鍵基礎設施網絡安全框架》(以下簡稱《框架》)實施和完善。通信、金融、能源等部門制定專項保護計劃,促進《框架》落地應用。2014年至今,美國標準化研究院(NIST)結合實踐持續更新完善《框架》內容,確保與時俱進。四是注重風險管理措施有效性衡量,構建風險管理閉環。能源、IT等領域依託網絡安全成熟度模型(C2M2),建立評價指標體系,衡量有關單位安全政策、實踐和防護措施採用情況及成效。
(三)進一步深化網絡安全威脅信息共享。一是打造威脅信息共享新樞紐。美國土安全部國家保護和計劃局組織成管理國家風險管理中心,整合美基礎設施協調中心等的網絡安全監測預警能力,以及企業掌握的網絡威脅信息,打造網絡安全威脅全景視圖,藉助企業專業技能還原網絡威脅全貌。目前,美國政府正與關鍵基礎設施合作夥伴等對接信息共享需求,減少共享障礙。二是在安全建設、風險通報、防禦能力等方面提供支持。美國政府將加強公私部門風險管理決策指導,激勵網絡安全投入並促進投入效率提升;為關鍵基礎設施運營單位和保護團隊提供必要的權限、信息和能力。
近年來,美國對供應鏈的完整性及脆弱性表示出了越來越多的擔憂,認為供應鏈安全問題對於美國技術領先以及美國的經濟和國家安全的未來至關重要,不斷強化供應鏈安全管理。
(一)推動供應鏈安全風險管理機制完善及相關立法。一是優化供應鏈風險管理機制。美政府將推動供應鏈風險管理與政府採購、網絡安全風險管理的流程整合;創建供應鏈風險評估共享服務,強化供應鏈安全風險信息共享;在特定情況下排除有風險的供應商、產品和服務,確保信息系統安全可靠;要求在產品交付時內置安全能力,開展產品和系統網絡安全和彈性定期測試,促進產品全生命周期網絡安全。二是加大外資安全審查力度。2018年8月,美出臺《外國投資風險審查現代化法案(FIRRMA)》,擴大投資審查類型,重新界定「關鍵技術」範圍,大幅增加網絡安全考量因素,強化美國對關鍵基礎設施與關鍵技術全球供應鏈安全的管控。
(二)開展ICT供應商網絡安全能力評估。在政府領域,對聯邦政府信息系統供應商開展風險管理實踐審查,評估其網絡安全和數據安全保護能力。在重點行業,制定跨部門的供應鏈安全解決方案,構建行業驅動的供應鏈安全認證機制。在國防領域,開展關鍵系統軟體安全性評估,為國防工業供應鏈中的小型製造商、大學等提供安全協助,舉措包括:開發自我評估機制、共享技術和威脅信息等。
(三)加強政企供應鏈安全交流協作。一是增進供應鏈安全交流協作。國土安全部、國防部、NIST、總務局(GSA)共同制定了供應鏈保證計劃(SSCA),並建立工作小組。工作小組匯集了供應鏈安全利益攸關方,通過定期舉辦論壇、工作組會議等方式促進供應鏈安全管理實踐交流。二是引導信息和通信技術供應商成為網絡安全推動者。發揮供應商在發現、預防和消減風險上的重要作用,建立一個適應性強、可持續且安全的技術供應鏈。
為保持美國在新資訊時代領導地位,美國政府積極推動網絡攻防技術、大型武器系統平臺、攻防模擬環境等的建設。
(一)著力打造網絡攻擊歸因溯源等關鍵能力。《NDAA 2019》提出要加快推進歸因溯源技術、內部安全威脅識別、用戶行為監控、戰場空間感知、人工智慧分析等關鍵技術研發應用。此外,美政府也將加大對技術創新獎勵和推廣力度,支持創新安全技術的發展、採用和演進。
(二)推進大型網絡武器系統平臺項目研發應用。2018年7月,美國國防部發布4580萬美元採購計劃,擬開發武器系統「網絡航母」,輔助情報偵察、網絡攻擊等行動執行。8月,國防信息系統局將承接國安局高級威脅檢測項目「Sharkseer」,防範基於Web的惡意軟體、零日漏洞和高級持續威脅。
(三)推動網絡攻防模擬環境建設完善。2018年2月,美陸軍司令部委託洛克希德·馬丁公司開展針對國家網絡靶場的能力提升項目,旨在使國家網絡靶場具備測試和驗證更先進的網絡戰技術能力。《NDAA 2019》也提出創建網絡安全試點項目,包括關鍵基礎設施網絡攻擊的建模與仿真試點項目等。
為應對美網絡安全威懾,建議我國從以下五方面入手,切實加強網絡安全保障能力:
(一)緊密跟蹤美網絡安全政策動向,積極防範美渲染「中國網絡威脅論」。緊密跟蹤美戰略落實舉措,開展關聯研判,把握政策走向和要點,汲取美治網新理念和實踐經驗,推動納入我治網體系。高度警惕美借中期選舉、中美貿易摩擦契機,炒作「中國網絡威脅論」,以輿論攻擊攫取政治利益或抬高貿易談判要價。我宜主動發聲,有力回擊美不實指控,同時,進一步藉助多邊平臺宣傳倡導我網絡空間治理主張,爭取國際輿論支持。
(二)加快開展重點領域基礎設施風險管理實踐,打造風險管理閉環。根據《網絡安全法》《關鍵信息基礎設施安全保護條例(徵求意見稿)》確立的關鍵信息基礎設施重點領域和工作格局,加快推進保護工作落地,建立網絡風險管理框架及效果評估體系,明確風險識別、評估、應對、效果檢驗等關鍵流程及要求,推進關鍵信息基礎設施安全風險綜合防禦能力建設。推動財政、監管等部門加強考核、獎懲等引導,促進風險管理措施落地。
(三)建立全周期、可追溯的供應鏈管理機制,推動實施關鍵環節檢測評估。在我國激發創新活力、深化對外開放的大背景下,如雲計算服務、網際網路金融等關鍵領域開放程度越來越高,供應鏈安全風險日益突出、潛在危害日漸加劇。建議加快建立供應鏈安全管理機制,構建監測、識別、分析、預警、治理等多層次供應鏈風險管控能力,系統提升ICT供應鏈安全可控水平。儘快實施供應鏈關鍵環節安全檢測,建立供應商可信度跟蹤與評估機制,開展供應商網絡安全能力檢測,有效防範關鍵產品和服務在研發、生產、交付、運營等各個階段安全風險。
(四)加快推動網絡安全態勢感知能力建設,積極應對美網絡武器裝備威脅。根據國家有關部署,基礎電信企業、網際網路企業、安全企業等正加緊打造自身網絡安全態勢感知能力。建議電信、金融、能源等重點行業在現有能力基礎上,推進能力聚合,打造網絡安全感知平臺,建立威脅感知、風險預警、攻擊溯源等關鍵能力。加緊研究網絡威懾應對措施,推動形成包括防禦、舉證、警告、反制等在內的必要手段和能力。
(五)打造國家級網絡威脅情報交換樞紐,促進情報高效共享。以工信部網絡安全威脅信息共享平臺為基礎,暢通網絡威脅信息共享機制和接口,擴大威脅情報收集服務範圍,提升情報分析管理能力,服務國家網絡安全保障需求。建立更為緊密的政企合作聯絡機制,通過政策研討、實戰演習、模擬推演等方式強化實質性交流協作,匯聚多方力量,築牢安全防線。
(作者:中國信息通信研究院 安全研究所 孟楠 趙爽 樊曉賀 謝瑋 魏亮)