域外观察|美国CSIS发布《投资于联邦网络弹性》报告

2023年2月24日，美国战略与国际问题研究中心（CSIS）发布《投资于联邦网络弹性》报告，该报告是“弹性创新：新安全框架”系列研究的组成部分。该系列研究涵盖国际事务多样性和领导力计划、能源安全和气候变化计划、国际安全计划和战略性技术计划，力求在上述领域倡导更广泛的国际合作伙伴关系。

报告强调，网络威胁和漏洞不断变化，很难预测未来的网络安全威胁载体。有效的网络弹性，特别是减少对网络功能的完全依赖，可以有效减轻各种原因导致的损害，因此联邦政府应当加大对弹性基础设施的投资。

根据美国国家标准与技术研究院 (NIST)定义，网络弹性是指“使用网络资源或者被网络资源使能的系统在面对不利条件、压力、攻击、损害时所展现出的预测、承受、恢复和适应能力”。一个机构或部门的网络弹性越强，其从网络安全事件中恢复、在恶劣环境下维持运行的能力就越强。报告指出，覆盖经济领域的系统性网络弹性可以使美国更加安全，联邦政府应当优先从下述三个关键领域加强网络弹性建设。

首先，将网络安全视为“风险管理”而非“风险消除”，制定相应的响应计划并确定其优先级。风险管理取决于对两方面的评估：一是突发事件会对关键功能、运行、声誉等产生的最大影响或后果；二是该突发事件发生的可能性，包括威胁因素和安全漏洞。目前，许多围绕网络安全的讨论都集中在第二方面，即对威胁因素和安全漏洞的讨论。报告指出，了解和减轻恶意网络活动的潜在影响和后果同样重要，甚至更为重要，因为这是强化网络弹性的关键。由于网络威胁和漏洞在不断变化，预测未来的网络威胁载体几乎是不可能的，持续性安全评估作用凸显。切实有效的网络弹性，特别是减少对网络功能的完全依赖，可以减轻由各种原因导致的损害。

其次，优化政府机构间职能分配，加大弹性基础设施投资。为了网络弹性的长期性和有效性，联邦政府应当继续协调网络安全和基础设施安全局（CISA）、国家网络总监办公室（ONCD）这两大关键政府部门之间的职能协作，避免将网络安全监管职能集中于一个政府部门。还应当联合证券交易委员会（SEC）和联邦贸易委员会（FTC）等政府机构，在各自领域作出提升网络弹性的监管努力，切实保证对网络风险的综合打击力度和多样化处置能力。此外，联邦政府还应当加大对弹性基础设施的投资。根据拜登总统2021年5月签署的《改善国家网络安全的行政令》，联邦各政府机构必须过渡到“零信任架构”（ZTA）以增加网络弹性，这是在有限预算和时间限制下对流程和技术的严峻考验。报告认为，一些弹性基础设施造价高昂且短期收益较小，探索其他非技术性的替代性解决方案也同样重要。

最后，加强公私部门合作，建立联合协作环境，优化人才队伍建设。由于大多数关键基础设施由私营机构、市政当局持有和运营，联邦政府应当与州和地方政府、准政府组织、私营部门加强有效合作，扮演好召集人、推动者和支持者角色，推动CISA的“联合网络防御协作行动”（JCDC）从信息共享升级为操作协同，建立联合协作环境，完善应对计划与后果处置分析。近期颁布的《2022年关键基础设施网络事件报告法》（CIRCIA）突破了自愿性信息共享，要求CISA制定配套实施的网络事件报告法规，完善网络风险评估和网络弹性建设。此外，联邦政府还应当在开展公私部门联合安全演习和应急演练、培养具有持续作战能力的人才队伍、招揽网络安全多样化特殊人才等方面作出持续努力。

总体而言，增强网络弹性和关键基础设施保护是美国政府近年来持续关注的重要议题，并为此出台了众多法律和政策文件。随着数字化转型的不断推进，网络空间中的系统安全与网络弹性愈发重要，建议我国持续关注。