一、 保护美国人民、国土及美国人的生活方式
目标:管控网络安全风险,提升国家信息与信息系统的安全与韧性
(一) 保护联邦网络与信息
保护联邦网络与信息的关键在于明确相关责任机构,建立问责制,确立网络安全风险管理的标准。对此,联邦政府将采取5项优先行动。(1)深化联邦民用网络安全的集中管理和监督,授权国土安全部承担联邦政府网络安全的主要职责,国土安全部可以出于网络安全目的访问各联邦机构(国防部和情报部门除外)信息系统,并可直接采取行动保护网络安全。(2)协调风险管理和信息技术活动,强调首席信息官(CIOs)的职责,各部门和机构领导人将授权并要求其首席信息官负责协调网络安全风险管理决策、IT预算和采购决策,充分利用技术来完成机构任务,提高信息技术(IT)投资的有效性,减少重复。(3)改进联邦供应链风险管理,为更好地确保联邦政府部署的技术安全可靠,政府将供应链风险管理整合到机构采购和风险管理流程中。这要求各部门和机构之间更好地共享信息,提高对供应链威胁的认识,创建供应链风险评估共享服务,减少政府内部重复的供应链活动,在特定情况下排除有风险的供应商、产品和服务。(4)加强联邦政府承包商的网络安全,联邦政府将对承包商,特别是国防工业基础相关的承包商进行风险管理实践审查,并对承包商系统进行测试,评估其数据的安全性;联邦政府支持采用统一的采购战略,以提高网络安全。(5)强化政府在最佳和创新实践方面起带头作用,联邦政府应确保其拥有和运营的系统符合其向业界推荐的标准和网络安全最佳实践,积极利用购买力推动改善全行业产品和服务。联邦政府还将在制定和执行新兴领域的标准和最佳做法方面发挥引领作用。
(二) 保护关键基础设施
联邦政府与私营部门将共同保障国家关键基础设施的安全,主要依靠风险管理原则与“结果导向”的方法,利用一系列工具(包括但不限于起诉和经济制裁),向恶意网络行动者及其赞助者进行威慑。保护关键基础设施主要有以下8项优先项行动:(1)重新确定角色和责任,政府将明确联邦机构与私营部门在关键基础设施保护中的角色和责任,这将有利于实施积极的风险管理,弥补政府与私营部门在突发事件应对上的差距,并促进更常规的培训、演习和协调。(2)根据国家风险优先采取行动,为更好地管理国家风险,联邦政府将与私营部门合作通过国家设定的关键职能来全面了解国家风险,完善网络安全产品和业务,并将在国家安全、能源与电力、银行与金融、卫生与安全、通信、信息技术和交通运输七个关键领域优先开展风险消控活动。(3)引导信息和通信技术(ICT)供应商成为网络安全推动者,信息和通信技术供应商在发现、预防和消减风险上具有重要作用,联邦政府必须与供应商紧密合作,共同提高信息和通信技术的安全性和弹性,包括加强信息共享,建立一个适应性强、可持续和安全的技术供应链,制定跨部门的解决方案,鼓励行业驱动的认证机制。(4)保护民主,联邦政府将针对州和地方政府的选举基础设施提供技术和风险管理服务,支持培训和演练,协调制定网络安全标准和指南,改进联邦政府与州和地方的威胁情报共享。(5)激励网络安全投资,美国政府将与公私部门合作,加强对网络安全风险的理解,以便他们做出更明智的风险管理决策,投资并获益于适当的安全措施。(6)优先国家研究和发展投资,联邦政府将更新国家关键基础设施安全研究和发展计划,各部门和机构将根据优先事项调整投资,重点是建立新的网络安全方法,使用新兴技术,改善信息共享和风险管理。(7)改善交通和海上网络安全,美国的经济和国家安全建立在全球贸易和运输的基础之上,随着交通运输部门的现代化,它们很容易受到网络攻击。鉴于海上运输的重要性,海上网络安全尤为令人担忧,美国将迅速采取行动,确定海上网络安全的责任,加强国际协调和信息共享机制,加速下一代具有网络弹性的海上基础设施的发展。(8)改善太空网络安全,本届政府将加强努力,保护美国的太空资产,支持基础设施免受不断演变的网络威胁,并与业界和国际伙伴合作,加强现有和未来太空系统的网络弹性。
(三)打击网络犯罪,完善事故报告制
美国经常成为恶意网络活动的受害者,这些犯罪行为者既包括国家,也包括非国家行为者及其代理人,以及恐怖分子。美国政府将确保联邦部门和机构拥有必要的法律权力和资源打击网络犯罪活动,相关优先行动主要有5项:(1)改进事故报告和应对,美国政府将继续鼓励网络攻击受害者,特别是关键基础设施所有者,迅速向联邦政府报告网络事件。(2)现代化电子监视和计算机犯罪法,政府将与国会合作更新电子监视和计算机犯罪法,以提高执法能力,依法收集犯罪活动的必要证据。(3)减少来自网络空间跨国犯罪组织的威胁,跨国犯罪集团进行的黑客攻击对美国国家安全构成重大威胁,特别是海外拥有大量资金的有组织犯罪集团利用恶意软件、鱼叉式网络钓鱼大规模传播勒索软件,攻击关键基础设施,窃取知识产权,入侵敏感的金融系统,对此,政府将赋予执法部门有效的法律工具,以调查和起诉这类团体。(4)加强对海外犯罪分子的抓捕,美国政府将加强与各国的外交合作,对位于海外的犯罪分子进行惩罚。(5)帮助伙伴国家提升打击网络犯罪活动的执法能力,美国还应帮助伙伴国建立应对网络犯罪活动的能力,改善恶意网络活动调查的国际合作,包括制定方案解决收集和共享证据的障碍,发展互操作和互利的系统,鼓励以执法目的而进行有效的跨境信息交流。特朗普政府将敦促有效使用现有的国际工具,如《联合国打击跨国有组织犯罪公约》和七国集团24/7网络联络点,扩大支持《网络犯罪公约》(《布达佩斯公约》)的国际共识。
二、 促进美国的繁荣
目的:维护美国在科技生态系统和网络空间发展中的影响力。
(一) 培育一个充满活力和弹性的数字经济
经济安全与国家安全息息相关。随着我们经济的基础越来越植根于数字技术,美国政府将制定和推进标准来保护经济安全,加强美国市场和美国创新的活力。对此,应从以下6项优先项进行着手:(1)激励建立一个适应性强、安全的技术市场,为了增强网络空间的弹性,政府希望技术市场支持和奖励创新安全技术和流程的持续发展、采用和演进。本届政府将与包括私营部门和民间社会在内的利益攸关方合作,促进最佳做法,制定战略,克服采用安全技术的市场障碍。特朗普政府将提高网络安全实践的意识和透明度,以提高对更安全产品和服务的市场需求。最后,奥巴马政府将与国际合作伙伴合作,在政府的支持下促进开放的、行业驱动的标准,并适当采用基于风险的方法来应对网络安全挑战。(2)优先创新,美国政府将促进标准和最佳实践的实施和更新,这些标准和实践应该以结果为导向,政府将减少相关政策障碍。(3)投资下一代基础设施:政府将加速发展和推出下一代电信和信息通信基础设施,同时利用政府购买力鼓励向更安全的供应链发展。如美国政府将与私营部门合作促进5G的发展和安全,审查人工智能和量子计算等新兴技术的运用情况。(4)促进数据跨境自由流动:数据本地化的规则对美国企业的竞争力产生了负面影响,美国将继续抵制阻碍数据和数字贸易自由流动的壁垒,促进全球数据自由流动。(5)保持美国在新兴技术领域的领导地位,美国政府将保护尖端技术防止被对手国窃取,通过贸易相关举措在全球推进美国的网络安全创新,揭露别国使用网络破坏人权的做法,减少全球网络安全市场的壁垒。(6)促进全生命周期网络安全,美国政府将促进全生命周期网络安全,要求在产品交付时内置强大的、默认的安全设置。政府在利用前沿行业的最佳实践中,需加强对产品和系统的网络安全和弹性的定期测试。
(二) 培育和保护美国的创造力
培育和保护美国的发明和创新是维护美国在网络空间的战略优势的关键,主要包括3项优先行动。(1)更新审查外国在美国投资和运营的机制,美国电信网络的保密性、完整性和可用性对我国经济和国家安全至关重要,我们必须保持警惕保护我们在日常生活中所依赖的电信网络,使其不被外国对手利用或危害美国。(2)保持强大和平衡的知识产权保护体系,美国政府将促进对敏感新兴技术和商业秘密的保护,我努力防止对手国家以牺牲美国的利益为代价获得不公平的优势。(3)保护美国创新的机密性和完整性,政府将打击外国竞争者窃取美国机密商业信息、技术数据和知识的行为。
(三) 培养优秀的网络安全人才
优秀的网络安全人员是国家安全的战略优势。美国将充分发展扩宽的美国人才库,同时吸引最优秀、最聪明的海外人才加入我们。优先行动主要有4项:(1)建设和维持人才渠道,我们的竞争对手正在实施劳动力发展计划,这些计划可能会损害美国的长期网络安全竞争力。美国政府将继续投资和加强建设国内人才渠道,改革移民改革方案。(2)扩大美国工人的再技能和教育机会,政府将与国会合作,促进和重振教育和培训机会。(3)强化联邦政府网络安全人才培养,政府将继续使用国家网络安全教育计划(NICE)框架来扩大联邦政府招聘和留住高素质的网络安全专家,在国土安全部管理下建立分布式网络安全人员的方案,参照私营部门给予适当的经济补偿以及培训机会。(4)突出和奖励优秀人才,美国政府将突出网络安全教育者和网络安全专业人员的重要性,利用公私部门合作开发和推广NICE框架,同时还将采取行动,准备、发展和维持一支能够保卫和加强美国关键基础设施的劳动力队伍。
三、 以实力求和平
目标:识别、反击、破坏、降级和制止网络空间中破坏稳定和违背国家利益的行为,同时保持美国在网络空间中的优势。
(一) 通过负责任的国家行为规范增强网络稳定性
美国将推动建立在国际法基础上的网络空间负责任国家行为框架,遵守和平时期适用的自愿、非约束性的国家行为准则,并考虑采取切实可行的建立信任措施。优先行动主要有1项,即鼓励普遍遵守网络规范,国际法和网络空间中负责任的国家行为的自愿无约束规范提供了稳定与安全的标准,极大地提高了网络空间的可预测性和稳定性。美国将在多边机制中鼓励其他国家公开承认这些原则和观点。
(二)对网络空间中的不可接受的行为进行归因和威慑,在美国促进负责任国家行为共识的同时,还必须确保不负责任的行为将会有严重的后果,对此,应利用所有的国家权力工具来防止针对美国的恶意网络活动,包括外交、军事、财政、情报、公开归因和执法能力等,并与志同道合的伙伴国联合行动。优先行动主要有4项:(1)情报领先,确保情报部门在全源网络情报的使用上处于世界领先地位,以推动对恶意网络活动进行甄别和归因。美国政府和主要合作伙伴将共享客观和可操作的情报以确定敌对国和非国家的网络行动意图、能力、研究和活动。(2)“后果”明确,美国将发展快速、公开和潜在的后果措施,以遏制潜在的恶意行为者。(3)构建网络威慑倡议,美国将启动一项国际网络威慑倡议,以联合志同道合的国家,协调对重大恶意网络事件的回应,包括通过情报共享、支持归因声明与回应行动,以及联合对恶意行为者施加后果。(4)反恶意网络影响和信息行动,美国将使用所有国家权力工具来揭露和反击网络恶意影响和信息运动以及虚假信息的泛滥,识别、对抗和防止外国利用数字平台进行有害的信息活动。
四、 扩大美国影响力
目标:保持互联网的长期开放性、互操作性、安全性和可靠性。
(一)促进开放、互操作、可靠和安全的互联网
美国坚定维护和促进开放、互操作、可靠和安全的互联网原则,并使之成为国际标准。优先行动主要有5项,(1) 保护和促进互联网自由,美国政府将互联网自由概念化为网上行使人权和基本自由,如言论自由、结社自由、和平集会自由、宗教或信仰自由、网上隐私权以及信息自由流动。鉴于其重要性,美国将鼓励志同道合的国家通过自由网络联盟(freedom Online Coalition)等平台推进互联网自由。(2)与志同道合的国家、产业界、学术界和公民社会合作,在全球范围内推进人权和互联网自由。美国政府将继续支持技术开发、数字安全培训、政策倡导和研究,促进互联网自由。(3)促进互联网治理的多利益攸关方模式:美国将继续积极参与全球努力,确保互联网治理的多利益攸关方模式较以政府为中心的模式中更有优势,美国政府将通过积极参与关键组织,如ICANN、互联网治理论坛、联合国和国际电信联盟,在多边和国际论坛上捍卫互联网开放、互操作的性质。(4) 促进可互操作和可靠的互联网基础设施,如支持和促进基于技术原则的开放的、行业主导的标准建设。(5)促进和维护美国在世界范围内的创新市场,美国将继续推动在海外的创新市场,包括低安全成本的新兴技术,进一步扩大全球互联网的覆盖范围,提高全球网络安全最佳实践的采用等。
(二)建设国际网络能力
为了使美国政府和合作伙伴能够更好地保护国内关键的基础设施和全球供应链,美国将致力于提高合作伙伴网络安全能力,优先行动有1项,即加强网络能力建设,主要是加强盟友和合作伙伴的能力和互操作性,以提高美国优化技能、资源、能力以应对共同威胁的能力。包括扩大共享网络威胁信息,加强网络安全协调,帮助其加强其安全与执法能力。