美国发布《网络安全战略》：培育更加安全可靠的网络生态系统

近日，美国国土安全部（Department of Homeland Security，DHS）发布《网络安全战略》（Cybersecurity Strategy）。该战略由国土安全部战略、政策和计划办公室（The DHS Office of Strategy, Policy, and Plans，PLCY）牵头，联合国土安全部各相关部门，根据2017年《国防授权法案》第1912节制定。《网络安全战略》描绘了国土安全部未来五年在网络空间的路线图，指导该机构未来五年履行网络安全职责的方向，以减少漏洞、增强弹性、打击恶意攻击者、响应网络事件等为主要目标，以期培育更加安全和更具弹性的网络生态系统，跟上不断变化的网络风险形势。本文对其主要内容进行摘编。

一、《网络安全战略》的提出背景及战略愿景

1.网络威胁日益严峻

在过去几十年中，网络接口的大量增长、互联网设备的使用以及高速信息技术系统和大型移动设备的普及大大促进了社会生产力的提高。预计到2020年，将有超过200亿台设备连接到互联网，越来越多的此类设备接入也将带来巨大风险。当前，越来越多的不法分子利用网络空间进行犯罪活动，跨国犯罪组织也越来越多地通过网络空间进行合作。2015年，针对联邦机构的黑客攻击共导致400多万名联邦雇员的人事记录被窃取，总共影响近2200万人。此外，关键基础设施内网络和物理系统的日益互联也会造成可能存在恶意网络活动的潜在风险。例如，2015年12月，黑客攻击了乌克兰约60座变电站，导致大规模停电事件，造成严重的经济损失。像WannaCry和NotPetya这样的勒索软件事件表明，互联网的快速增长使得日常设备更有可能成为黑客的攻击目标，网络安全变得更加复杂。

2.《网络安全战略》愿景

美国国土安全部此次发布的《网络安全战略》和实施计划将用于协调网络安全规划、预算、培训和执行活动，并确定其优先顺序。预计到2023年，DHS将通过加强政府网络和关键基础设施的安全性和弹性，提高国家网络安全风险管理水平；减少非法网络活动；改善对网络事件的反应；通过统一的部门方法、强有力的领导和与其他联邦和非联邦机构的密切合作，培育更加安全和可靠的网络生态系统。

二、《网络安全战略》的方向与目标

《网络安全战略》确定了DHS管理网络安全风险的五大主要方向及七个明确目标（表1）。该战略中的交叉目标旨在确保DHS最大限度地利用其独特的资源，以作为国家网络安全风险管理方法的一部分实现有影响力的政策和运营成果。

首先是更好地识别美国当前的国家网络安全风险态势（方向一），在战略层面了解在当前的风险态势下，如何有效地分配资源并确定优先级，以解决网络安全活动中的漏洞和威胁。其次，在确定资源分配优先级的基础上，制定重点目标以减少漏洞、潜在的威胁以及网络安全事件可能造成的不良后果（方向二和方向三）。DHS致力于保护国家信息系统、关键基础设施以及涉及国家安全、公共健康和经济安全的其他系统，以进一步加强应对恶意网络活动的能力。

为了减轻恶意网络事件的后果，除了加强网络保护和执法能力之外，DHS还应充分调动其在应急管理方面的经验和能力（方向四）。DHS在联邦应对许多网络事件中发挥着主导作用，应进一步加强与其他联邦机构和利益相关方合作，将未来恶意网络安全事件的影响降至最低，并确保将从事故中汲取的经验教训纳入下一步的风险管理工作。最后，DHS还致力于使网络空间更具防御性，支持网络安全风险管理（方向五）。DHS作为全国性网络安全管理部门，会大力开展与国际社会合作，吸引世界顶尖人才，共同推动安全创新的研究、开发和技术转让工作。

表1 DHS管理网络安全风险的主要方向及目标

三、网络安全战略实施的指导原则

1.风险优先排序

DHS的首要责任是保护美国人民，必须优先考虑美国人民和国家所面临的系统性风险和最大的网络安全威胁。

2.成本效益

网络空间非常复杂，必须不断评估和更新DHS为增加网络安全所做的努力，以确保投资的最佳结果。

3.创新与灵活

网络空间是一个具有紧急风险的不断发展的领域。虽然技术的激增会带来新的风险，但它也为创新提供了机会。DHS必须努力在研究、开发、调整和应用网络安全方面取得成功，并努力跟上不断变化的威胁和技术，保持灵活性。

4.协作

互联网的增长和发展主要是由私营部门推动的，网络空间的安全性本质上是跨领域的挑战。为了实现网络安全目标，必须以协作的方式在联邦各部门以及其他联邦和非联邦合作伙伴中开展工作。

5.全球参与

为实现网络安全战略目标，需要强有力的国际参与和协作。DHS必须在国际上参与管理全球网络风险，应对全球事件，破坏日益增长的跨国网络威胁，并鼓励其他国家和外国实体采用必要的政策来创建开放、可互操作、安全可靠的互联网。

6.平衡经济

网络空间赋予人们权利并促进全球繁荣。网络安全本身并不是目的。减轻网络安全风险的努力也必须支持国际商业，加强国际贸易安全，促进民主自由和创新。

7.国家价值观

DHS的所有行为必须遵守美国法律，维护公民隐私、公民权利和公民自由。

总而言之，DHS将在其所有网络安全任务领域保持领导作用，与其他联邦机构、私营部门和利益相关方合作，确保有效管理网络安全风险，保护关键网络，减少漏洞，防范网络威胁，及时响应网络安全事件，构建更有弹性、更安全的网络生态系统。要实现这一战略目标，需要DHS采取统一、长期的方法，将网络保护和执法与传统的风险管理、信息共享和危机事件公关结合起来，努力推进DHS网络安全的工作，为国家提供一个安全的网络空间。

来源：微信公众号创新研究