一、 保護美國人民、國土及美國人的生活方式
目標:管控網絡安全風險,提升國家信息與信息系統的安全與韌性
(一) 保護聯邦網絡與信息
保護聯邦網絡與信息的關鍵在於明確相關責任機構,建立問責制,確立網絡安全風險管理的標準。對此,聯邦政府將採取5項優先行動。(1)深化聯邦民用網絡安全的集中管理和監督,授權國土安全部承擔聯邦政府網絡安全的主要職責,國土安全部可以出於網絡安全目的訪問各聯邦機構(國防部和情報部門除外)信息系統,並可直接採取行動保護網絡安全。(2)協調風險管理和信息技術活動,強調首席信息官(CIOs)的職責,各部門和機構領導人將授權並要求其首席信息官負責協調網絡安全風險管理決策、IT預算和採購決策,充分利用技術來完成機構任務,提高信息技術(IT)投資的有效性,減少重複。(3)改進聯邦供應鏈風險管理,為更好地確保聯邦政府部署的技術安全可靠,政府將供應鏈風險管理整合到機構採購和風險管理流程中。這要求各部門和機構之間更好地共享信息,提高對供應鏈威脅的認識,創建供應鏈風險評估共享服務,減少政府內部重複的供應鏈活動,在特定情況下排除有風險的供應商、產品和服務。(4)加強聯邦政府承包商的網絡安全,聯邦政府將對承包商,特別是國防工業基礎相關的承包商進行風險管理實踐審查,並對承包商系統進行測試,評估其數據的安全性;聯邦政府支持採用統一的採購戰略,以提高網絡安全。(5)強化政府在最佳和創新實踐方面起帶頭作用,聯邦政府應確保其擁有和運營的系統符合其向業界推薦的標準和網絡安全最佳實踐,積極利用購買力推動改善全行業產品和服務。聯邦政府還將在制定和執行新興領域的標準和最佳做法方面發揮引領作用。
(二) 保護關鍵基礎設施
聯邦政府與私營部門將共同保障國家關鍵基礎設施的安全,主要依靠風險管理原則與“結果導向”的方法,利用一系列工具(包括但不限於起訴和經濟制裁),向惡意網絡行動者及其贊助者進行威懾。保護關鍵基礎設施主要有以下8項優先項行動:(1)重新確定角色和責任,政府將明確聯邦機構與私營部門在關鍵基礎設施保護中的角色和責任,這將有利於實施積極的風險管理,彌補政府與私營部門在突發事件應對上的差距,並促進更常規的培訓、演習和協調。(2)根據國家風險優先採取行動,為更好地管理國家風險,聯邦政府將與私營部門合作通過國家設定的關鍵職能來全面了解國家風險,完善網絡安全產品和業務,並將在國家安全、能源與電力、銀行與金融、衛生與安全、通信、信息技術和交通運輸七個關鍵領域優先開展風險消控活動。(3)引導信息和通信技術(ICT)供應商成為網絡安全推動者,信息和通信技術供應商在發現、預防和消減風險上具有重要作用,聯邦政府必須與供應商緊密合作,共同提高信息和通信技術的安全性和彈性,包括加強信息共享,建立一個適應性強、可持續和安全的技術供應鏈,制定跨部門的解決方案,鼓勵行業驅動的認證機制。(4)保護民主,聯邦政府將針對州和地方政府的選舉基礎設施提供技術和風險管理服務,支持培訓和演練,協調製定網絡安全標準和指南,改進聯邦政府與州和地方的威脅情報共享。(5)激勵網絡安全投資,美國政府將與公私部門合作,加強對網絡安全風險的理解,以便他們做出更明智的風險管理決策,投資並獲益於適當的安全措施。(6)優先國家研究和發展投資,聯邦政府將更新國家關鍵基礎設施安全研究和發展計劃,各部門和機構將根據優先事項調整投資,重點是建立新的網絡安全方法,使用新興技術,改善信息共享和風險管理。(7)改善交通和海上網絡安全,美國的經濟和國家安全建立在全球貿易和運輸的基礎之上,隨着交通運輸部門的現代化,它們很容易受到網絡攻擊。鑑於海上運輸的重要性,海上網絡安全尤為令人擔憂,美國將迅速採取行動,確定海上網絡安全的責任,加強國際協調和信息共享機制,加速下一代具有網絡彈性的海上基礎設施的發展。(8)改善太空網絡安全,本屆政府將加強努力,保護美國的太空資產,支持基礎設施免受不斷演變的網絡威脅,並與業界和國際夥伴合作,加強現有和未來太空系統的網絡彈性。
(三)打擊網絡犯罪,完善事故報告制
美國經常成為惡意網絡活動的受害者,這些犯罪行為者既包括國家,也包括非國家行為者及其代理人,以及恐怖分子。美國政府將確保聯邦部門和機構擁有必要的法律權力和資源打擊網絡犯罪活動,相關優先行動主要有5項:(1)改進事故報告和應對,美國政府將繼續鼓勵網絡攻擊受害者,特別是關鍵基礎設施所有者,迅速向聯邦政府報告網絡事件。(2)現代化電子監視和計算機犯罪法,政府將與國會合作更新電子監視和計算機犯罪法,以提高執法能力,依法收集犯罪活動的必要證據。(3)減少來自網絡空間跨國犯罪組織的威脅,跨國犯罪集團進行的黑客攻擊對美國國家安全構成重大威脅,特別是海外擁有大量資金的有組織犯罪集團利用惡意軟件、魚叉式網絡釣魚大規模傳播勒索軟件,攻擊關鍵基礎設施,竊取知識產權,入侵敏感的金融系統,對此,政府將賦予執法部門有效的法律工具,以調查和起訴這類團體。(4)加強對海外犯罪分子的抓捕,美國政府將加強與各國的外交合作,對位於海外的犯罪分子進行懲罰。(5)幫助夥伴國家提升打擊網絡犯罪活動的執法能力,美國還應幫助夥伴國建立應對網絡犯罪活動的能力,改善惡意網絡活動調查的國際合作,包括制定方案解決收集和共享證據的障礙,發展互操作和互利的系統,鼓勵以執法目的而進行有效的跨境信息交流。特朗普政府將敦促有效使用現有的國際工具,如《聯合國打擊跨國有組織犯罪公約》和七國集團24/7網絡聯絡點,擴大支持《網絡犯罪公約》(《布達佩斯公約》)的國際共識。
二、 促進美國的繁榮
目的:維護美國在科技生態系統和網絡空間發展中的影響力。
(一) 培育一個充滿活力和彈性的數字經濟
經濟安全與國家安全息息相關。隨着我們經濟的基礎越來越植根於數字技術,美國政府將制定和推進標準來保護經濟安全,加強美國市場和美國創新的活力。對此,應從以下6項優先項進行着手:(1)激勵建立一個適應性強、安全的技術市場,為了增強網絡空間的彈性,政府希望技術市場支持和獎勵創新安全技術和流程的持續發展、採用和演進。本屆政府將與包括私營部門和民間社會在內的利益攸關方合作,促進最佳做法,制定戰略,克服採用安全技術的市場障礙。特朗普政府將提高網絡安全實踐的意識和透明度,以提高對更安全產品和服務的市場需求。最後,奧巴馬政府將與國際合作夥伴合作,在政府的支持下促進開放的、行業驅動的標準,並適當採用基於風險的方法來應對網絡安全挑戰。(2)優先創新,美國政府將促進標準和最佳實踐的實施和更新,這些標準和實踐應該以結果為導向,政府將減少相關政策障礙。(3)投資下一代基礎設施:政府將加速發展和推出下一代電信和信息通信基礎設施,同時利用政府購買力鼓勵向更安全的供應鏈發展。如美國政府將與私營部門合作促進5G的發展和安全,審查人工智能和量子計算等新興技術的運用情況。(4)促進數據跨境自由流動:數據本地化的規則對美國企業的競爭力產生了負面影響,美國將繼續抵制阻礙數據和數字貿易自由流動的壁壘,促進全球數據自由流動。(5)保持美國在新興技術領域的領導地位,美國政府將保護尖端技術防止被對手國竊取,通過貿易相關舉措在全球推進美國的網絡安全創新,揭露別國使用網絡破壞人權的做法,減少全球網絡安全市場的壁壘。(6)促進全生命周期網絡安全,美國政府將促進全生命周期網絡安全,要求在產品交付時內置強大的、默認的安全設置。政府在利用前沿行業的最佳實踐中,需加強對產品和系統的網絡安全和彈性的定期測試。
(二) 培育和保護美國的創造力
培育和保護美國的發明和創新是維護美國在網絡空間的戰略優勢的關鍵,主要包括3項優先行動。(1)更新審查外國在美國投資和運營的機制,美國電信網絡的保密性、完整性和可用性對我國經濟和國家安全至關重要,我們必須保持警惕保護我們在日常生活中所依賴的電信網絡,使其不被外國對手利用或危害美國。(2)保持強大和平衡的知識產權保護體系,美國政府將促進對敏感新興技術和商業秘密的保護,我努力防止對手國家以犧牲美國的利益為代價獲得不公平的優勢。(3)保護美國創新的機密性和完整性,政府將打擊外國競爭者竊取美國機密商業信息、技術數據和知識的行為。
(三) 培養優秀的網絡安全人才
優秀的網絡安全人員是國家安全的戰略優勢。美國將充分發展擴寬的美國人才庫,同時吸引最優秀、最聰明的海外人才加入我們。優先行動主要有4項:(1)建設和維持人才渠道,我們的競爭對手正在實施勞動力發展計劃,這些計劃可能會損害美國的長期網絡安全競爭力。美國政府將繼續投資和加強建設國內人才渠道,改革移民改革方案。(2)擴大美國工人的再技能和教育機會,政府將與國會合作,促進和重振教育和培訓機會。(3)強化聯邦政府網絡安全人才培養,政府將繼續使用國家網絡安全教育計劃(NICE)框架來擴大聯邦政府招聘和留住高素質的網絡安全專家,在國土安全部管理下建立分布式網絡安全人員的方案,參照私營部門給予適當的經濟補償以及培訓機會。(4)突出和獎勵優秀人才,美國政府將突出網絡安全教育者和網絡安全專業人員的重要性,利用公私部門合作開發和推廣NICE框架,同時還將採取行動,準備、發展和維持一支能夠保衛和加強美國關鍵基礎設施的勞動力隊伍。
三、 以實力求和平
目標:識別、反擊、破壞、降級和制止網絡空間中破壞穩定和違背國家利益的行為,同時保持美國在網絡空間中的優勢。
(一) 通過負責任的國家行為規範增強網絡穩定性
美國將推動建立在國際法基礎上的網絡空間負責任國家行為框架,遵守和平時期適用的自願、非約束性的國家行為準則,並考慮採取切實可行的建立信任措施。優先行動主要有1項,即鼓勵普遍遵守網絡規範,國際法和網絡空間中負責任的國家行為的自願無約束規範提供了穩定與安全的標準,極大地提高了網絡空間的可預測性和穩定性。美國將在多邊機制中鼓勵其他國家公開承認這些原則和觀點。
(二)對網絡空間中的不可接受的行為進行歸因和威懾,在美國促進負責任國家行為共識的同時,還必須確保不負責任的行為將會有嚴重的後果,對此,應利用所有的國家權力工具來防止針對美國的惡意網絡活動,包括外交、軍事、財政、情報、公開歸因和執法能力等,並與志同道合的夥伴國聯合行動。優先行動主要有4項:(1)情報領先,確保情報部門在全源網絡情報的使用上處於世界領先地位,以推動對惡意網絡活動進行甄別和歸因。美國政府和主要合作夥伴將共享客觀和可操作的情報以確定敵對國和非國家的網絡行動意圖、能力、研究和活動。(2)“後果”明確,美國將發展快速、公開和潛在的後果措施,以遏制潛在的惡意行為者。(3)構建網絡威懾倡議,美國將啟動一項國際網絡威懾倡議,以聯合志同道合的國家,協調對重大惡意網絡事件的回應,包括通過情報共享、支持歸因聲明與回應行動,以及聯合對惡意行為者施加後果。(4)反惡意網絡影響和信息行動,美國將使用所有國家權力工具來揭露和反擊網絡惡意影響和信息運動以及虛假信息的泛濫,識別、對抗和防止外國利用數字平台進行有害的信息活動。
四、 擴大美國影響力
目標:保持互聯網的長期開放性、互操作性、安全性和可靠性。
(一)促進開放、互操作、可靠和安全的互聯網
美國堅定維護和促進開放、互操作、可靠和安全的互聯網原則,並使之成為國際標準。優先行動主要有5項,(1) 保護和促進互聯網自由,美國政府將互聯網自由概念化為網上行使人權和基本自由,如言論自由、結社自由、和平集會自由、宗教或信仰自由、網上隱私權以及信息自由流動。鑑於其重要性,美國將鼓勵志同道合的國家通過自由網絡聯盟(freedom Online Coalition)等平台推進互聯網自由。(2)與志同道合的國家、產業界、學術界和公民社會合作,在全球範圍內推進人權和互聯網自由。美國政府將繼續支持技術開發、數字安全培訓、政策倡導和研究,促進互聯網自由。(3)促進互聯網治理的多利益攸關方模式:美國將繼續積極參與全球努力,確保互聯網治理的多利益攸關方模式較以政府為中心的模式中更有優勢,美國政府將通過積極參與關鍵組織,如ICANN、互聯網治理論壇、聯合國和國際電信聯盟,在多邊和國際論壇上捍衛互聯網開放、互操作的性質。(4) 促進可互操作和可靠的互聯網基礎設施,如支持和促進基於技術原則的開放的、行業主導的標準建設。(5)促進和維護美國在世界範圍內的創新市場,美國將繼續推動在海外的創新市場,包括低安全成本的新興技術,進一步擴大全球互聯網的覆蓋範圍,提高全球網絡安全最佳實踐的採用等。
(二)建設國際網絡能力
為了使美國政府和合作夥伴能夠更好地保護國內關鍵的基礎設施和全球供應鏈,美國將致力於提高合作夥伴網絡安全能力,優先行動有1項,即加強網絡能力建設,主要是加強盟友和合作夥伴的能力和互操作性,以提高美國優化技能、資源、能力以應對共同威脅的能力。包括擴大共享網絡威脅信息,加強網絡安全協調,幫助其加強其安全與執法能力。
