美国2023版《国家网络安全战略》四大看点

罗希

https://mp.weixin.qq.com/s/0SZyykaUnmkMo-w7CZ07Kw

2023年3月2日，美国拜登政府正式发布新版《国家网络安全战略》（National Cybersecurity Strategy ，以下简称《战略》），围绕“建立可防御、有韧性、符合美国价值观的数字生态系统”愿景，从“重新平衡保卫网络空间责任”、“重新调整激励措施以进行长期投资”两方面出发，提出实现美国国家网络安全战略目标的5大支柱及具体27项举措。

此份战略距2018年特朗普政府时期的《国家网络战略》（National Cyber Strategy）已过去5年。五年来，在国际局势经历深刻变化、全球数字化进程不断推进、中美战略博弈加剧的大背景下，美国国家安全战略也历经调整演进，网络安全战略作为国家安全战略的重要组成部分，势必亦反映其中的变化。通过两份战略的对比不难看出，这些变化反映出两届政府在美国网络安全理念认知、战略目标、对华定位及政策举措上的重大调整。

看点一：认知观念

从两份战略文件名称可以看出，与2018版《国家网络战略》相比，2023版《国家网络安全战略》增加“安全”二字，体现出拜登政府更加突出安全的重要性，高度重视将网络安全对于实现美国国家安全与经济繁荣等方面的重要性。上一版战略出台时，特朗普政府虽已看到网络空间中广泛存在的竞争性风险及其对美国全球领导地位带来的挑战，但其对网络空间安全认知显然没有拜登政府深刻到位。拜登的上台即伴随2020年底美国“太阳风”网络攻击事件、2021年科洛尼尔管道运输黑客攻击两大网络安全事件，加之俄乌冲突爆发以来针对国防、政府、关键基础设施等的全方位网络攻击不断发生并愈演愈烈，以上种种均使拜登将网络议题视为对美国国家安全至关重要的“安全性议题”，并将网络攻防能力建设视为赢得大国博弈及地缘政治冲突优势的关键要素及工具加以思考与布局。

看点二：战略目标

特朗普政府的网络安全战略目标核心在于塑造美国在全球网络空间中的领导地位，维持美国网络及数字优势，具体而言包括维持美国在新兴技术创新领域领导地位，引领网络空间负责任行为体、跨境数据自由流动等国际规则制定等。而此次《战略》体现出拜登政府的网络安全战略明显更具对抗与攻击性，试图为美国打赢“网络战”做准备。《战略》通篇从大国竞争与网络空间对抗视角看待网络安全问题，为美网络攻防能力建设、网络韧性提升寻求方案，提出要整合外交、信息、军事、金融、情报和执法等在内的一切国家力量，将企业进一步纳入网攻力量，整合盟友间网络战略与行动协调，以破坏瓦解威胁美国利益的行为者，并提前为美国打赢“网络战”做准备。

看点三：对华定位

美国对网络空间主要风险威胁的判断，以及网络安全战略目标的调整，突出体现在其对华“网空定位”的变化之上。2018年版战略中，美国将俄罗斯、中国、伊朗、朝鲜等一并视作对美国构成挑战的“长期竞争对手”，尤其强调中国是美国网络空间及新兴技术领域造成挑战的“竞争对手”。而2023版《战略》则反映出拜登政府在网络安全领域对华定位发生根本性转变——《战略》在前言部分用三个“最”形容中国，即提出中国是“对美国政府及私营部门网络最广泛、最活跃、最持久的威胁；是唯一一个既有意愿重塑国际秩序，又越来越有经济、外交、军事、技术实力实现这一目标的国家”，标志着美国在国家网络安全战略中对华定位由“竞争对手”正式转变为“最大威胁”。可以预见，此对华定位转变势必会带来更多的对华举措。

看点四：政策举措

在上述战略目标与愿景之下，《战略》提出美国要实现两大根本性转变，即“重新平衡保卫网络安全的责任”与“重新调整激励政策以支持长期投资”，具体而言包括几大关键举措：

第一，更加合理高效地分配责任。《战略》提出，美国当前个人、小企业、地方政府承担了过多的网络安全责任，但具有更大能力和资源优势的公共和私营部门则未承担与其能力相匹配的安全责任。对此，应赋予后者更大的责任与义务，使之成为保护美国网络、数据与关键基础设施等安全的关键。

第二，更加灵活务实地发挥公私合力。《战略》指出，要通过美国网络安全和基础设施安全局（CISA）与部门风险管理机构（SRMAs)间协调，实现加强政府各部门间，联邦政府与行业、私营部门、关键技术设施所有者和运营商间协调。同时，企业要在重构美国网络安全技术体系与配合政府采取对外网络攻击行动上发挥更大作用，鼓励私营部门在应对网络安全威胁时采取“临时单元”模式迅速进行信息共享并破坏对手。

第三，提供更加强力的法律支撑。《战略》提出联邦政府要针对关键部门制定网络安全具体要求，根据需要更新、调整、协调现有的各网络安全法律条例，根据各部门面临的不同风险制定灵活的监管框架，确保“监管前置”，即在危机发生前建立完善的监管框架。对数据，要通过立法手段加大对个人数据的收集、使用、转移等的监管，特别是要对敏感数据进行强有力的保护。对关键技术，要剥离“涉华”技术，通过立法重新划分安全责任，对使用对手国家的“不安全”产品的供应商进行问责和严惩。

第四，大力投资数字未来。《战略》提出对美国未来关键十年领导力起决定性作用的“三大技术家族”——微电子、量子、人工智能等计算相关技术，生物技术及清洁能源技术。美国要对这些关键技术进行重点投资，并要提前为后量子时代量子技术可能对网络系统造成的安全风险进行考虑，如更换易被量子技术破坏的软硬件、打造能够适应量子抗密码环境的公共网络系统等。

第五，大力推动网空集体行动。《战略》提出，既要通过《互联网未来宣言》、“四方安全对话”（QUAD）、“印太经济框架”（IPEF）、美欧贸易和技术委员会（TTC）、美英澳三边安全伙伴关系（AUKUS）等机制与既有盟友协调，也要通过价值观与“民主愿景”等吸引更多国家进行网络安全合作，实现与盟友伙伴共享威胁信息，建立集体防御态势，加强网络军事合作，共同开展打击网络犯罪等合作，并对不遵守网络空间负责任国家行为规范的国家进行集体的外交孤立、经济制裁、声明谴责等行动。