美国专家组向下一届美国政府提供网络安全路线图

岛屿旅人

于 2024-11-28 23:23:28 发布

阅读量1k

点赞数 29

CC 4.0 BY-SA版权

分类专栏：网络安全人工智能文章标签： web安全安全网络网络安全人工智能

本文链接：https://blog.csdn.net/qq_41432686/article/details/144123047

网络安全同时被 2 个专栏收录

305 篇文章

订阅专栏

人工智能

72 篇文章

订阅专栏

文章目录

前言
一、报告提出的背景
二、报告概述的8个关键网络安全目标以及39项建议
总结

前言

作为“美国网络空间日光室委员会2.0”9月发布的《2024年实施年度报告》的后续行动，美国奥本大学麦克拉里网络和关键基础设施研究所和“网络空间日光室委员会2.0”于10月22日联合发布《确保美国的数字未来：下一届美国政府的两党网络安全路线图》报告。

该报告由40 名美国公私部门专家组成的专家组撰写，向下一届美国政府提供了8大网络安全目标、39项具体建议，其中包括5项应在新政府成立100天内完成的行动，旨在为新政府提供了确保美国数字未来的全面路线图。

在这里插入图片描述

一、报告提出的背景

报告提出，美国面临的网络威胁的范围和严重性前所未有，网络领域已成为对手试图破坏美国优势并利用美国弱点的战场，造成严重经济损失、损害国家安全并削弱民众信任；网络安全与美国在全球舞台上的经济竞争力密不可分，关乎保护资产以及维护美国的技术优势和经济领导地位；网络安全不仅仅是一项技术挑战，更是关系到国家弹性和全球领导力的根本问题，采取“折中措施”和“渐进措施”的时代已经过去，美国需要在网络安全处理方式上进行范式转变；改善网络安全需要以自太空竞赛以来从未有过的规模动员国家资源和意志，才能确保美国继续成为数字时代的领导者；与太空竞赛不同的是，网络安全不是一场“可以一劳永逸取胜的竞争”，而是需要不断警惕、适应和创新以及长期投入；挑战中也蕴藏着前所未有的机遇，新政府有机会采取果断行动，实施全民行动，利用政府、行业和个人的集体力量来保障美国的数字未来。

二、报告概述的8个关键网络安全目标以及39项建议

（1）统一网络安全监管格局，确保国家安全的一致性。

为改善当前的网络安全监管环境杂乱无章、甚至存在相互冲突的局面，必须迅速采取行动，建立一个连贯、精简的网络安全监管框架。具体建议包括：对网络安全相关法规和相关行业特定法规进行全面审查，找出阻碍有效网络安全工作的差距、不一致和过时的定义，并向国会提出解决问题的建议；同步《美国法典》相关的权限，以便军事、情报和执法机构在网络空间行动中进行更有效的协调；提出立法以解决已发现的差距，特别是在现有法律难以跟上快速发展的技术和威胁的领域；建立跨机构工作组，以简化和协调跨机构/部门的网络安全法规，减少冗余和相互冲突的要求；制定一套可适应特定部门需求的通用网络安全标准，同时保持关键基础设施的安全基线水平；建立定期审查和更新网络安全和特定部门安全法规的机制。

（2）协同网络保护，加强国家多利益相关方合作。

有效的网络安全需要各级政府和私营部门的无缝协调，必须打破各自为政的局面，加强信息共享，并建立快速、协调应对网络威胁的机制。具体建议包括：合理化、授权和加强行业风险管理机构（SRMA）的作用；建立国家网络安全研发协调机构；加强美国国家网络总监办公室的作用和权力；加强美国网络安全和基础设施安全局（CISA）的能力和职责；实施公私伙伴关系；增强州、地方、部落和领地（SLTT）网络安全能力和协调；加强情报共享和行动协调；利用关键机构的独特能力。

（3）制定综合战略，确保网络空间的威慑和成本施加。

需要超越单纯的防御态势，制定一项综合战略，充分利用外交、经济、军事等国家所有力量，让网络空间不良行为体付出代价。具体建议包括：维护并加速用于实施进攻性网络行动的法律框架，制定批准时间敏感的网络行动的简化流程，制定全面的进攻策略，主动破坏并削弱对手的能力；建立针对网络犯罪国家支持者的指定程序，创建网络攻击支持国名单，制定一系列外交、经济和针对网络的制裁措施，确保参与或支持恶意网络活动的国家承受真正的后果；定期审查和更新响应网络威胁的活动计划和行动手册，制定评估网络威慑活动有效性的指标，投资开发可以精确瞄准对手系统并最大限度地减少附带损害的先进网络能力，制定与盟友和合作伙伴共享网络事件相关情报和技术分析的归因标准和机制，增强追究攻击责任和追究不法行为者责任的能力。

（4）确保网络安全弹性，主动降低风险

。建立数字基础设施弹性不仅需要加强防御能力，还需要抵御、恢复和适应网络事件的能力。具体建议包括：建立一套全面的关键资产识别和优先排序系统；制定全面的云安全和弹性标准和认证流程；为IT和OT系统制定行业特定的安全标准；增强社会抵御恶意网络影响行动的能力；研究联邦政府作为“最后保险人”的模式

（5）实施网络治国方略，应对国际网络挑战。

网络安全需要全球性解决方案，美国必须发挥带头作用，制定网络空间的国际规范、标准和行为规则。具体建议包括：加强美国务院的网络外交努力；在全球范围内推动开放、可互操作的互联网；加强网络安全标准的国际合作。

（6）建设网络能力，打造强大的网络安全队伍。

必须投资发展多元化、高技能的网络劳动力，以应对当前和未来的挑战。具体建议包括：为小型和农村组织制定获取网络安全专业知识的支持机制；创建灵活的志愿者系统，允许网络安全专业人员在危机期间或特定项目中贡献自己的技能；实施允许更灵活就业安排的政策，例如兼职政府服务或私营部门专家的短期外派；制定国家K-12网络安全课程，以培养未来网络专业人员和具有网络素养的公民；扩大现有网络安全培训计划，以涵盖更广泛的网络安全专业和教育水平；发展和扩大离职后安置计划，帮助奖学金获得者过渡到政府和关键基础设施部门的关键网络安全角色。

（7）保障未来，保护关键新兴技术。

随着人工智能、量子计算和5G等技术重塑数字格局，必须确保从头开始将网络安全融入上述系统中。具体建议包括：制定并统一关键新兴技术及禁止实体的国家清单；加强关键技术供应链安全；制定量子安全密码过渡计划；提升美国在关键技术领域的领导地位。

（8）夯实网络弹性的基础，确保资源、经济和连续性。

有效的网络安全需要持续的投资和长期的投入，必须确保拥有足够的资源，并与更广泛的经济和国家安全目标保持一致。具体建议包括：大幅增加行业风险管理机构（SRMA）的预算和资源；增加美国国家标准与技术研究所（NIST）的资助；向美国网络安全和基础设施安全局（CISA）提供资源并向技术现代化基金提供资金，以保护联邦民用网络和关键基础设施；进行强有力的经济连续性规划。