來源:中國科協創新戰略研究院《創新研究報告》
第42期(總第243期)2018-7-31
編者按:2018年5月15日,美國國土安全部(Department of Homeland Security,DHS)發佈《網絡安全戰略》(Cybersecurity Strategy)。該戰略由國土安全部戰略、政策和計劃辦公室(The DHS Office of Strategy, Policy, and Plans,PLCY)牽頭,聯合國土安全部各相關部門,根據2017年《國防授權法案》第1912節制定。《網絡安全戰略》描繪了國土安全部未來五年在網絡空間的路線圖,指導該機構未來五年履行網絡安全職責的方向,以減少漏洞、增強彈性、打擊惡意攻擊者、響應網絡事件等為主要目標,以期培育更加安全和更具彈性的網絡生態系統,跟上不斷變化的網絡風險形勢。本文對其主要內容進行摘編。
一、《網絡安全戰略》的提出背景及戰略願景
1.網絡威脅日益嚴峻
在過去幾十年中,網絡接口的大量增長、互聯網設備的使用以及高速信息技術系統和大型移動設備的普及大大促進了社會生產力的提高。預計到2020年,將有超過200億臺設備連接到互聯網,越來越多的此類設備接入也將帶來巨大風險。當前,越來越多的不法分子利用網絡空間進行犯罪活動,跨國犯罪組織也越來越多地通過網絡空間進行合作。2015年,針對聯邦機構的黑客攻擊共導致400多萬名聯邦僱員的人事記錄被竊取,總共影響近2200萬人。此外,關鍵基礎設施內網絡和物理系統的日益互聯也會造成可能存在惡意網絡活動的潛在風險。例如,2015年12月,黑客攻擊了烏克蘭約60座變電站,導致大規模停電事件,造成嚴重的經濟損失。像WannaCry和NotPetya這樣的勒索軟件事件表明,互聯網的快速增長使得日常設備更有可能成為黑客的攻擊目標,網絡安全變得更加複雜。
2.《網絡安全戰略》願景
美國國土安全部此次發佈的《網絡安全戰略》和實施計劃將用於協調網絡安全規劃、預算、培訓和執行活動,並確定其優先順序。預計到2023年,DHS將通過加強政府網絡和關鍵基礎設施的安全性和彈性,提高國家網絡安全風險管理水平;減少非法網絡活動;改善對網絡事件的反應;通過統一的部門方法、強有力的領導和與其他聯邦和非聯邦機構的密切合作,培育更加安全和可靠的網絡生態系統。
二、《網絡安全戰略》的方向與目標
《網絡安全戰略》確定了DHS管理網絡安全風險的五大主要方向及七個明確目標(表1)。該戰略中的交叉目標旨在確保DHS最大限度地利用其獨特的資源,以作為國家網絡安全風險管理方法的一部分實現有影響力的政策和運營成果。
首先是更好地識別美國當前的國家網絡安全風險態勢(方向一),在戰略層面瞭解在當前的風險態勢下,如何有效地分配資源並確定優先級,以解決網絡安全活動中的漏洞和威脅。其次,在確定資源分配優先級的基礎上,制定重點目標以減少漏洞、潛在的威脅以及網絡安全事件可能造成的不良後果(方向二和方向三)。DHS致力於保護國家信息系統、關鍵基礎設施以及涉及國家安全、公共健康和經濟安全的其他系統,以進一步加強應對惡意網絡活動的能力。
為了減輕惡意網絡事件的後果,除了加強網絡保護和執法能力之外,DHS還應充分調動其在應急管理方面的經驗和能力(方向四)。DHS在聯邦應對許多網絡事件中發揮著主導作用,應進一步加強與其他聯邦機構和利益相關方合作,將未來惡意網絡安全事件的影響降至最低,並確保將從事故中汲取的經驗教訓納入下一步的風險管理工作。最後,DHS還致力於使網絡空間更具防禦性,支持網絡安全風險管理(方向五)。DHS作為全國性網絡安全管理部門,會大力開展與國際社會合作,吸引世界頂尖人才,共同推動安全創新的研究、開發和技術轉讓工作。
表1 DHS管理網絡安全風險的主要方向及目標
三、網絡安全戰略實施的指導原則
1. 風險優先排序
DHS的首要責任是保護美國人民,必須優先考慮美國人民和國家所面臨的系統性風險和最大的網絡安全威脅。
2. 成本效益
網絡空間非常複雜,必須不斷評估和更新DHS為增加網絡安全所做的努力,以確保投資的最佳結果。
3.創新與靈活
網絡空間是一個具有緊急風險的不斷髮展的領域。雖然技術的激增會帶來新的風險,但它也為創新提供了機會。DHS必須努力在研究、開發、調整和應用網絡安全方面取得成功,並努力跟上不斷變化的威脅和技術,保持靈活性。
4.協作
互聯網的增長和發展主要是由私營部門推動的,網絡空間的安全性本質上是跨領域的挑戰。為了實現網絡安全目標,必須以協作的方式在聯邦各部門以及其他聯邦和非聯邦合作伙伴中開展工作。
5.全球參與
為實現網絡安全戰略目標,需要強有力的國際參與和協作。DHS必須在國際上參與管理全球網絡風險,應對全球事件,破壞日益增長的跨國網絡威脅,並鼓勵其他國家和外國實體採用必要的政策來創建開放、可互操作、安全可靠的互聯網。
6.平衡經濟
網絡空間賦予人們權利並促進全球繁榮。網絡安全本身並不是目的。減輕網絡安全風險的努力也必須支持國際商業,加強國際貿易安全,促進民主自由和創新。
7.國家價值觀
DHS的所有行為必須遵守美國法律,維護公民隱私、公民權利和公民自由。
總而言之,DHS將在其所有網絡安全任務領域保持領導作用,與其他聯邦機構、私營部門和利益相關方合作,確保有效管理網絡安全風險,保護關鍵網絡,減少漏洞,防範網絡威脅,及時響應網絡安全事件,構建更有彈性、更安全的網絡生態系統。要實現這一戰略目標,需要DHS採取統一、長期的方法,將網絡保護和執法與傳統的風險管理、信息共享和危機事件公關結合起來,努力推進DHS網絡安全的工作,為國家提供一個安全的網絡空間。
https://www.dhs.gov/sites/default/files/publications/DHS-Cybersecurity-Strategy_1.pdf
編譯:曹學偉 張新玲
感謝您的支持與關注,歡迎賜稿交流
投稿郵箱:[email protected]
閱讀更多 中國科協創新院 的文章
