美国网络安全战略：构建网络韧性

重点摘要

• 拥抱网络事件不可避免的现实是创建有效国家战略的第一步，强调构建网络韧性。
• 网络安全是总统拜登政府的核心内容，并转移部分责任给技术制造商和服务提供商。
• 有效的信息共享需要政府和私营部门的双向合作。
• 系统韧性需要所有利益相关者共同努力，包括技术厂商、服务提供商及用户。

确保网络安全的首要前提是我们必须承认无法消除所有网络安全事件的现实。接受这一前提是建立有效国家战略的第一步，战略的核心在于增强网络韧性。这意味着在最大化安全性时，同时采取措施以最小化不可避免的安全失败所带来的后果。

构建系统韧性是一个“国家整体”的问题。这包括确保我们拥有安全的关键基础设施、制定国际标准和打击网络犯罪。尽管这一挑战艰巨，但它有助于定义问题的重要方面，并将其分解为可供行动的小块。

拜登总统及其团队将网络安全视为政府工作的基石。昨天发布的新国家网络安全战略专注于将减少网络风险的责任从个人、小型企业和地方公用事业等小型关键基础设施运营商转移给技术制造商和服务提供商。

这些群体通常资源不足，相比技术生态系统中的组织，例如技术制造商和服务提供商，在网络防范专业知识上显得短缺。后者由于其专业知识和资源，能够系统性地缓解网络风险，确保产品和服务自设计时就具备安全性，并默认配置为安全。

联邦政府作为变革推动者

美国政府拥有推动变革和塑造结果的杠杆。人们通常想到行政部门的规制措施和国会立法的“胡萝卜”和“棒子”。然而，政府还有其他工具可供使用，这些工具有时被忽视。

例如，零信任（Zero- Trust）并不是在2021年才出现的新概念——在被称为“零信任”之前，它反映了一种“知情需求”的原则，以及在冷战期间由政府所开创的访问控制和信息分割的技术实践。私营部门，尤其是那些在全球运营的大型科技公司，开发了技术和实践，使他们能够在不依赖于政府隔离网络的情况下保护信息。2021年发布的促进了政府思维领导力与商业能力之间的融合。随着联邦政府致力于全面转向零信任，私营部门的许多人开始认真考虑这一概念，并利用政府为其自身使用而创建的框架和实施路线图。

与发生了类似情况，该框架最初于2014年创建，以塑造联邦政府中的网络安全实践。很快，私营部门的公司也开始使用这一框架。如今，大多数网络安全专业人士都熟悉其“识别、检测、保护、响应、恢复”的范式。

展望未来，美国的公私合作伙伴关系将需要共同塑造国际标准。2022年10月发布的国家安全战略，为网络战略提供了更广泛的背景，描述了一个充满国际间竞争的互联网和信息技术角色的世界。互联网是否仍然是一个全球性平台，或者会分裂为不同的区域或国家的封闭圈，以及政府与私营部门如何定义信息技术的使用，都直接受到技术标准的影响。许多标准组织欢迎私营部门参与，但相对较少的美国公司参与到其中，对我们集体来说是一种损失。

如何影响供应链

尽管我们已经走过了冷战和太空竞赛时期的半个世纪，那时联邦资金广泛推动IT领域的创新，但联邦政府依然是一个庞大的市场，私营部门将会开发产品来满足这一市场需求。许多向联邦政府销售的公司不愿意承担为联邦政府和其他客户开发和维护不同产品线的费用。而资源丰富的客户往往希望采用“政府级别”的安全解决方案。在诸如零信任和供应链完整性等领域，政府只使用符合软件