2022年度美国网络安全政策回顾与简析
文 | 深信服产业研究院 孔勇
2022 年,勒索软件、数据泄露、网络攻击等安全事件频繁发生,直接影响美国政府和重要行业的正常运行。“太阳风”(SolarWinds)供应链攻击和科洛尼尔管道公司(Colonial Pipeline)输油管道遭受网络攻击事件,以及开源软件 Log4j 漏洞等重大网络安全事件的影响,在 2022 年不断扩大。美国在 2022 年发布系列网络安全政策文件,在其主要方向和重点领域持续发力,以便应对愈发严峻的网络空间安全态势。
一、2022 年度美国网络安全政策三大特点
从 1996 年美国总统克林顿签署第 13010 号行政令《关键基础设施保护》(Critical Infrastructure Protection)开始至今,美国关键基础设施安全保护工作已有 26 年的历史,经历了定目标、划范围、建体系、强执行四个阶段。回顾 2022 年美国网络安全政策,关键基础设施保护依然是其重点。此外,美国希望继续维系其“世界霸主”身份,抢占“太空领导地位”,加强网络安全国际规则的制定。美国还不断加强其国防军事实力,通过新兴先进技术的研究与应用,提升其网络空间威慑和网络安全攻击能力。
(一)重视自身网络安全防御,加强关键基础设施保护
美国于 2018 年成立美国网络安全和基础设施安全局(CISA),标志着美国关键基础设施保护工作“强执行”阶段的开始。随后,CISA 在强化政策落地执行方面发挥重要作用。
2022 年,CISA 主要在协同防御、漏洞管理、事件报告和安全演习等方面,对关键基础设施保护提供建议指导和强制要求。CISA 在 2022 年 9 月发布其成立以来首个战略规划《2023-2025 年战略规划》(Strategic Plan 2023-2025),阐述了日益复杂的网络安全威胁形势,重点申明该机构是美国联邦政府网络安全的领导者,又是保护关键基础设施安全的国家协调员,提出未来三年的主要工作目标是加强网络空间安全防御和关键基础设施安全韧性。其中,增强自身产业和创新能力被美国视为保持竞争优势的第一要务,而与私营部门的紧密合作则是保护关键基础设施网络安全的重要一环。
在协同防御方面,CISA 在 2 月编制并发布 2022 年免费网络安全工具和服务清单(a list of free cybersecurity services and tools),鼓励网络防御者利用免费网络安全服务和工具增强组织网络安全防御能力。11 月,CISA 发布更新版《基础设施韧性计划框架》(Infrastructure Resilience Planning Framework)和《跨部门网络安全绩效目标 2022》(Cross-Sector Cybersecurity Performance Goals 2022),以便更好帮助州、地方和地区做好基础设施安全保护计划,明确网络安全绩效目标,从账户安全、终端安全、数据安全、监管和培训、漏洞管理、供应链安全、响应与恢复等方面给出明确行动要求,为关键基础设施建立一套共同的网络安全实践基本规则。
在漏洞管理方面,CISA 推出了专门网站“已知漏洞目录”(Known Exploited Vulnerabilities Catalog),披露相关漏洞信息。5 月,CISA 发布“缓解 VMware 漏洞紧急指令 22-03”(Emergency Directive 22-03 Mitigate VMware Vulnerabilities),要求运行使用特定 VMware 产品的机构进行 VMware 更新或删除该产品。6 月,CISA 通知美国各州,“至少有 16 个州使用的一款电子投票机存在软件漏洞,如果不解决问题,则很容易受到黑客攻击”。11 月,CISA 发布《利益相关者特定漏洞分类指南》(CISA Stakeholder-Specific vulnerability Categorization Guide),用于指导如何使用评分决策树对漏洞进行分类管理。
在事件报告方面,《2022 年关键基础设施网络事件报告法案》(Cyber Incident Reporting For Critical Infrastructure Act of 2022)在 3 月正式发布,强制关键基础设施实体在遇到网络事件 72 小时内、被勒索软件勒索付款的在 24 小时内,必须上报。此举有助于美国政府及时获取关键基础设施实体遭受网络事件和勒索软件攻击的情况,及时给予响应,确保美国政府即时感知关键基础设施网络安全态势。9 月,CISA 就落实《2022 年关键基础设施网络事件报告法案》实施网络安全事件和勒索软件事件报告规则和要求征求公众意见,涉及履行报告义务的主体、应报告的网络事件类型、报告内容及程序等细节内容。针对勒索软件,美国国家标准与技术研究院(NIST)于 2022 年 1 月发布《勒索软件风险管理网络安全框架指南》(Cybersecurity Framework Profile for Ransomware Risk Management),帮助组织实现勒索软件事件的识别、保护、检测、响应和恢复能力。7 月,美国众议院通过《被监督和监控的国家发起网络和勒索软件攻击报告法案》(Reporting Attacks from Nations Selected for Oversight and Monitoring Web Attacks and Ransomware from Enemies Act),即《勒索软件法案》(RansomwareAct),强制要求对国外个人、政府或其他组织发起的勒索软件等攻击事件进行报告。
在安全演习方面,CISA 在 3 月组织了第八届“网络风暴”(Cyber Storm VIII)演习。“网络风暴”演习是同类演习中涉及部门最广泛的网络安全演习,通过模拟对影响美国关键基础设施的网络危机的响应,旨在评估网络安全准备情况并检查事件响应流程、程序和信息共享的能力。
(二)抢占太空主导地位,扩大国际秩序控制权
在特朗普政府“必须让美国在太空中占据主导地位”思想指导下,2020 年 9 月,关于太空网络安全的指令 SPD-5《太空系统网络安全原则》(Cybersecurity Principles for Space Systems)发布,列出了保护太空系统免受网络威胁和网络攻击的建议和最佳实践,旨在为美国政府和商业运营的所有太空飞船、系统、网络和通信链路建立网络安全基线。2022 年 4 月,美国国防情报局(DIA)发布新版《2022 年太空安全挑战》(Challenges to Security in Space 2022)报告。这是继 2019 年版本之后发布的第二份非机密太空威胁评估报告。7 月,美国土安全部(DHS)发布更新的 2022 版《国土安全部太空政策》(DHS Space Policy),强调了 DHS 在太空系统基础设施网络安全方面的作用。DHS 将在三个主要领域发挥主导作用:一是保护太空系统基础设施网络安全,二是保障国土安全任务规划执行,三是制定应急计划应对因太空环境破坏对国土安全的潜在影响。综上可见,2022 年,美国继续强化太空威慑与作战能力,强调太空网络安全,抢占“太空领导地位”。
美国十分重视网络安全国际规则的制定。7 月,美国与英国、德国等国家联合发布《全球供应链合作联合声明》(Joint Statement on Cooperation on Global Supply Chains),加强全球供应链合作。10 月,美国发布新版《国家安全战略》(National Security Strategy),明确与相关国家共同构筑网络安全国际规则,扩大全球国际秩序的控制权。
(三)加大先进新型技术投入,提升网络安全攻击能力
随着俄乌冲突持续,美国认识到新型技术正在改变战争形态,必须加强美军网络空间作战能力。美国重视投资包括网络安全和人工智能等在内的先进技术,并及时向战场部署新能力,提升军队作战能力。
在美国国防部(DOD)层面,2 月,DOD 批准发布《国防部软件现代化战略》(DOD Software Modernization Strategy),提出了软件现代化工作的统一原则和工作框架,并总结了三大长期目标:加快建设国防部的企业级云环境;打造面向整个国防部的软件工厂生态体系;以流程改革提升软件安全和开发速度。6 月,DOD 发布《负责任的人工智能战略和实施路径》(Responsible Artificial Intelligence Strategy and Implementation Pathway),提出了 DOD 实施人工智能的基本原则、框架和实施路径。10 月,DOD 发布《2022 年美国国防战略》(2022 National Defense Strategy),提出通过运用网络威慑手段、开展进攻性网络空间行动和提高网络空间能力等方式应对竞争挑战并获取军事优势。
在美军网络司令部层面,11 月,美国网络司令部与国防高级研究计划局(DARPA)签署合作谅解备忘录,建立合作伙伴关系,启动“星座”计划试点项目,旨在将新的战术和战略网络能力迅速交付给作战人员。在未来合作项目开展过程中,网络司令部将直接参与其中并提供意见建议,再共同将项目成果转化为与网络司令部现有的“联合平台”“持续网络训练环境”等与网络战生态系统主要构件相匹配的网络武器。
可见,美国十分重视国防军事领域新兴先进技术研究与应用,尤其重视网络安全攻击能力和网络空间威慑手段。
二、美国网络安全政策聚焦四大重点领域
2022 年,美国网络安全政策重点聚焦零信任、5G 云基础设施安全、后量子密码和供应链安全四大领域。随着网络威胁攻击种类越来越多,终端种类越来越多,网络防御逐渐从“以边界为核心”向“以身份为核心”演进,零信任技术也随之成为网络身份安全的重要发展方向。云计算和 5G 网络基础设施是未来网络空间最重要的计算和通信基础能力,5G云基础设施安全至关重要。面对量子计算的挑战,作为网络安全核心技术的密码技术开始向后量子密码技术发展。随着供应链全球化大分工的不断加深,供应链安全成为美国逆全球化进程中最关键要素。
(一)零信任
美国十分重视零信任技术在网络身份安全中的作用,通过不断加大政策指引和技术文件指导,明确提出了各机构实现零信任目标的时间节点,加快零信任战略落地。
从 2021 年 5 月美国发布第 14028 号行政令《改善国家网络安全》(Improving the Nation's Cybersecurity)明确要求采用多因子认证技术增强身份安全以来,零信任已上升为美国国家战略。2022年 1 月,美国管理和预算办公室(OMB)发布《美国政府向零信任网络安全原则的迁移》(Moving the US Government Toward Zero Trust Cybersecurity Principles),全面启动美国政府零信任工作落地。随后,美国司法部(DOJ)和 DOD 等多个政府机构推出了零信任落地路线图。11 月,DOD 还专门发布了《国防部零信任战略》(DOD Zero Trust Strategy),提出包括战略愿景、战略目标和实施方法等内容的国防部零信任能力实施规划。期间,CISA 和 NIST 分别发布《基于零信任架构的企业移动安全计划》(Applying Zero Trust Principles to Enterprise Mobility)和《零信任架构规划:联邦行政人员规划指南》(Planning for a Zero Trust Architecture:A Planning Guide for Federal Administrators)白皮书,从技术角度进一步指导零信任架构落地。
通过前期零信任架构的实践,美国政府已经对零信任有了清晰的认知。11 月,美国政府问责局(GAO)发布的《零信任架构》(Zero Trust Architecture)技术简报,指出零信任并非单一的技术产品,而是由系列安全技术产品共同组成,由于所需各种技术产品在不同场景并不总是协同工作,因此,实施零信任解决方案达到最终目标并非一蹴而成,需要根据实际场景融合多项技术产品逐渐改造形成零信任能力。
(二)5G 云基础设施安全
美国在大力推进零信任战略落地的同时,不断加快 5G 云基础设施安全业务的应用。
在云计算安全领域,2022 年 CISA 发布系列技术指南,包括《安全云业务应用程序技术参考框架》(Secure Cloud Business Applications Technical Reference Architecture)、《可信互联网连接 3.0:云计算用例》(Trusted Internet Connections 3.0:Cloud Use Case)、《针对 Microsoft 365 的推荐安全配置基线》(A Series of Recommended Security Configuration Baselines for Microsoft 365)等,加强云计算环境下的安全能力。此外,美国大力推进国家安全和情报系统的云计算安全业务应用。1 月,美国白宫发布《提升国家安全、国防和情报系统网络安全备忘录》(Memorandum on Improving the Cybersecurity of National Security,Department of Defense, and Intelligence Community Systems),明确要求构建国家安全系统云技术网络安全能力。3 月,美国国务院情报研究局(INR)发布《国务院情报研究局网络安全战略》(United States Department of State Bureau of Intelligence and Research Cybersecurity Strategy),强调加快云计算环境迁移,改进网络安全风险管理。云计算是未来数字化推进的重要方向,除国家安全和情报系统外,美国也必将在其他政府机构大力推广。
在 5G 网络基础设施安全领域,继 CISA 在 2021 年发布系列《保护 5G 云基础设施安全指南》(Security Guidance for 5G Cloud Infrastructures)之后,美国国家安全局(NSA)、NIST 和 CISA 在 2022 年发布多项技术指南报告,指导 5G 网络基础设施安全实践,包括《网络基础设施安全指南》(Network Infrastructure Security Guidance)、《5G 网络安全:方法、架构和安全特性》(5G Cybersecurity:Approach,Architecture and Security Characteristics)、《5G安全评估流程指南》(5G Security Evaluation Process Investigation)、《开放式无线接入网络安全因素报告》(Open Radio Access Network Security Considerations)和《先进通信技术标准》(Advanced Communications Technologies Standards)报告等。可见,美国重视作为未来重要基础设施的 5G 网络,并已经通过安全指南和安全评估等技术手段增强其网络安全。
(三)后量子密码
量子技术飞速发展使现有保护网络和数据安全的密码技术面临巨大挑战,密码技术迎来后量子密码时代。5 月,美国白宫发布《关于加强国家量子倡议咨询委员会的行政令》(Executive Order on Enhancing the National Quantum Initiative Advisory Committee)和《关于促进美国在量子计算领域的领导地位降低易受攻击的密码系统风险的国家安全备忘录》(National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems),重申美国对量子计算和后量子密码技术的高度重视。
随后,美国通过政策立法、技术标准、行动计划多方面推进后量子密码技术研究与应用推广。在政策立法方面,美国众议院通过《量子计算网络安全防御法案》(the Quantum Computing Cybersecurity Preparedness Act),为后量子密码技术奠定法律基础。在技术标准方面,NIST 公布了首批 4 个后量子密码算法标准。在行动计划方面,CISA 发布《关键基础设施向后量子密码迁移的新见解》(CISA Insights:Preparing Critical Infrastructure for Post-Quantum Cryptography),并启动后量子密码学计划(Post-Quantum Cryptography Initiative)。NSA 发布了《国家商用密码安全算法套件 2.0》(Commercial National Security Algorithm Suite 2.0),要求在 2035 年前完成后量子密码技术全面替换,为进入量子计算时代做好安全准备。综上可见,美国对后量子密码技术研究具有前瞻性,多措并举推进技术应用,体现出顶层设计能力。
(四)供应链安全
2022 年 2 月,按照美国第 14017 号《美国供应链行政令》(America's Supply Chains)的要求,美国商务部(DOC)和 DOD 制定了《支持美国信息和通信技术行业的关键供应链评估》(Assessment of the Critical Supply Chains Supporting the US Information and Communications Technology Industry)报告,评估了美国供应链状况,提出了相关安全建议,降低风险并加强供应链安全。随后,美国在出口管制、人才培养和软件供应链安全方面发布系列政策文件,强化供应链安全,尤其重视软件供应链安全。
在出口管制方面,美国不断加快其逆全球化进程。5 月,DOC 发布《信息安全管制:网络安全物项》(Information Security Controls:Cybersecurity Items),进一步加强网络安全与漏洞信息的出口管控。针对芯片产业,美国总统于 8 月签署《2022 年芯片与科学法案》(CHIPS and Science Act 2022),为美国芯片研究和生产提供约 527 亿美元的政府补贴,为芯片工厂提供投资税抵免等政策,希望将芯片制造转移至国内,从而确保美国技术制造和国防供应链安全。同时,美国召集日本、韩国与中国台湾组建芯片四方联盟(Chip 4),旨在通过对核心技术实施严格的技术管控等措施,限制中国在芯片领域的发展。
在人才培养方面,美国总统在 6 月签署通过《2021 年供应链安全培训法案》(Supply Chain Security Training Act of 2021),旨在保护美国政府免受网络攻击和供应链安全脆弱性带来的影响。法案要求美国政府各机构均应制定供应链安全培训计划,帮助负责采购的工作人员增强供应链安全风险意识和网络安全能力。
在软件供应链安全方面,NIST 在 5 月发布《系统和组织网络安全供应链风险管理实践指南》(Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations),旨在提高系统和组织在供应链中管理网络安全风险的能力。9 月,美国白宫发布《通过安全的软件开发增强软件供应链安全备忘录》(Enhancing the Security of the Software Supply Chain through Secure Software Development Practices),推进软件供应链安全计划。随后,CISA 和 NSA 联合发布《软件供应链安全开发实践建议指南》(Securing the Software Supply Chain:Recommended Practices Guide for Developers)、《软件供应链安全供应商实践建议指南》(Securing the Software Supply Chain:Recommended Practices Guide for Suppliers)、《软件供应链安全客户实践建议指南》(Securing the Software Supply Chain:Recommended Practices Guide for Customers)系列文件,进一步加大力度指导软件供应链安全应用推广。通过以上系列文件发布可见,CISA 在推进美国网络安全重要政策落地方面具有举足轻重的地位,能够充分发挥对各机构组织的统筹协调作用,共同制定法律法规、技术标准和规范指南,指导政策在政府、行业和企业中有效落地执行。
三、结 语
美国 2022 版《国家安全战略》指出,美国面临巨大挑战和前所未有的机遇,正处于塑造国际秩序未来的战略竞争中。2022 年美国网络安全政策体现了美国网络安全发展的三大特点,即在逆全球化的大国竞争形势下,美国通过国家政策和法律法规发布,凸显了对关键基础设施保护和自身网络安全防御的重视;抢占“太空领导地位”,扩大国际秩序的控制权;不断加大国防军事领域新兴先进技术的研究与应用,增强网络安全攻击能力。同时,美国通过可执行、可操作的技术标准和指南规范文件的发布,聚焦零信任、5G云基础设施安全、后量子密码、供应链安全四大领域,指导相关技术在关键基础设施行业、政府和企业中有效落地执行,发挥保护网络安全的重要作用。未来,美国网络安全政策必将影响全球网络空间态势,对其他国家网络空间安全和互联网企业发展带来重要挑战。
(本文刊登于《中国信息安全》杂志2023年第1期)
- 0000
- 0000
- 0000
- 0000
- 0000