《美國國家網(wǎng)絡(luò)安全戰(zhàn)略（2023版）》

3）一、背景概述互聯(lián)網(wǎng)繁榮互聯(lián)的未來愿景能否實現(xiàn)，將取決于各種基礎(chǔ)技術(shù)和系統(tǒng)的網(wǎng)絡(luò)安全與韌性。網(wǎng)絡(luò)安全對于國家經(jīng)濟關(guān)鍵功能、關(guān)鍵基礎(chǔ)設(shè)施的正常運行、民主制度的力量建設(shè)、數(shù)據(jù)和通信隱私保護，以及國防安全保障都至關(guān)重要。因此，自拜登政府成立之初，美國就果斷采取多項行動加強網(wǎng)絡(luò)安全，包括任命白宮高級網(wǎng)絡(luò)安全官員、簽署旨在改善國家網(wǎng)絡(luò)安全的行政命令、與私營部門和盟友密切合作等，來提高美國抵御和應(yīng)對專制國家網(wǎng)絡(luò)威脅的能力，保護美國國家利益。整體來看，通過吸取過往經(jīng)驗教訓，近些年美國在數(shù)字生態(tài)體系協(xié)同防御方面取得了重大進展。然而，美國數(shù)字生態(tài)體系基礎(chǔ)架構(gòu)的不穩(wěn)定性減弱了這些工作成效，數(shù)字生態(tài)體系的組成部分仍然容易被破壞和利用，且常常為惡意行為體所利用。因此，美國必須從根本上改變數(shù)字生態(tài)體系基礎(chǔ)的不穩(wěn)定性，將優(yōu)勢轉(zhuǎn)化給生態(tài)體系的保衛(wèi)者，并不斷挫敗威脅它的力量為建立一個可防御有韌性的數(shù)字生態(tài)體系，攻擊者將付出比防御者更高的代價，敏感或私人信息將得到安全保護不會因某些事件或錯誤引發(fā)災(zāi)難性系統(tǒng)性的后果《戰(zhàn)略》將使美國及其盟友和伙伴得以共同構(gòu)建這一安全可信的數(shù)字生態(tài)體系，使之先天就更容易防御、更具韌性，且契合美國的價值觀。美國預(yù)計利用十年的時間實現(xiàn)這些成果?！稇?zhàn)略》從兩方面著手建立制度機制，一方面，建立強有力的合作，特別是公共和私營部門之間的合作，對于保護網(wǎng)絡(luò)空間至關(guān)重要。合作還有助于應(yīng)對系統(tǒng)性挑戰(zhàn)，可為個人用戶和小型機構(gòu)分擔部分網(wǎng)絡(luò)安全責任。通過與產(chǎn)業(yè)、民間團體以及州、地方、部落和屬地政府合作，美國將重新平衡網(wǎng)絡(luò)安全的責任，使之更加有效和公平另一方面重新調(diào)整激勵機制鼓勵對安全、韌性和有前景的新技術(shù)的長期投資。美國將與盟友和伙伴合作，推行負責任的國家行為規(guī)范，追究各國在網(wǎng)絡(luò)空間中不負責任的行為，并斬斷全球危險網(wǎng)絡(luò)攻擊背后的罪犯鏈條。美國將提供必要的資源和工具，以確保在最關(guān)鍵的基礎(chǔ)設(shè)施中實施有效的網(wǎng)絡(luò)安全措施。（一）《戰(zhàn)略》發(fā)布的宏觀環(huán)境、新興趨勢在新興技術(shù)和日益復(fù)雜且相互依存的系統(tǒng)的發(fā)展推動下，未來10年將成倍增加因不安全信息系統(tǒng)所衍生的系統(tǒng)性風險。一是，世界正在進入到一個對數(shù)字化更加依賴的新階段，各種軟件和系統(tǒng)變得越來越復(fù)雜，在為企業(yè)和消費者提供價值的同時，也增加了美國國家層面的不安全感。美國常常以犧牲安全性和韌性為代價，將新的功能和技術(shù)疊加到本已錯綜復(fù)雜而脆弱的系統(tǒng)上。尤其是人工智能系統(tǒng)（這些系統(tǒng)能夠以自身開發(fā)者意想不到的方式行事）的廣泛應(yīng)用，正在加劇美國許多重要技術(shù)系統(tǒng)的復(fù)雜性和風險。二是，數(shù)字技術(shù)越來越多地觸及美國人生活中的敏感地帶，技術(shù)在提供便利的同時，也帶來了新的、往往不可預(yù)見的風險。隨著人們的生活與視頻/音頻流可穿戴設(shè)備和生物識別技術(shù)交織在一起，所收集個人數(shù)據(jù)的數(shù)量和私密性呈指數(shù)級增長，而對這些數(shù)據(jù)的竊取行動也在迅速增加，這為各種惡意行為體提供了對個人實施監(jiān)視、操縱和勒索的新載體。三是，互聯(lián)網(wǎng)不斷通過各種共享平臺將個人企業(yè)、社區(qū)和國家連接起來，使規(guī)?；纳虡I(yè)解決方案和國際交流成為可能。但這種全球互聯(lián)互通的加快也帶來了網(wǎng)絡(luò)安全風險，如對某一機構(gòu)、行業(yè)或國家的攻擊可以迅速蔓延至其他行業(yè)和地區(qū)。就像2017年俄羅斯對烏克蘭實施的“非佩提亞”（NotPety）網(wǎng)絡(luò)攻擊，最終就波及到了歐洲、亞洲和美洲，造成了數(shù)十億美元的損失。隨著世界系統(tǒng)網(wǎng)絡(luò)相互依存度的提高，這類攻擊的潛在破壞性會繼續(xù)加大。四是下一代互聯(lián)互通正在打破數(shù)字和物理世界之間的界限，使美國一些最重要的系統(tǒng)正面臨著被破壞的風險。美國的工廠、電網(wǎng)和水處理設(shè)施，以及其他重要的基礎(chǔ)設(shè)施，正越來越多地淘汰舊的模擬控制系統(tǒng)并迅速引入數(shù)字運營技（O先進的無線技術(shù)、物聯(lián)網(wǎng)和太空資產(chǎn)，包括民用和軍用的定位、導(dǎo)航和授時，環(huán)境和氣象監(jiān)測，以及從銀行到遠程醫(yī)療的日常互聯(lián)網(wǎng)活動，將加速這一趨勢，迫使美國將許多基礎(chǔ)系統(tǒng)聯(lián)網(wǎng)，這會使網(wǎng)絡(luò)攻擊能夠?qū)θ藗兊娜粘Ｉ钤斐筛蟮钠茐暮陀绊?。、惡意行為體惡意的網(wǎng)絡(luò)活動已經(jīng)從蓄意破壞，發(fā)展到了間諜活動與竊取知識產(chǎn)權(quán)、針對關(guān)鍵基礎(chǔ)設(shè)施的破壞性攻擊、勒索軟件攻擊，以及旨在破壞公眾對美國民主基礎(chǔ)信任的網(wǎng)絡(luò)影響活動。攻擊性黑客工具和服務(wù)（包括外國商業(yè)間諜軟件）曾經(jīng)僅有少數(shù)資源豐富的國家能夠獲取，而現(xiàn)在卻嚴重泛濫。在這些工具和服務(wù)的支持下，犯罪集團的網(wǎng)絡(luò)行動已經(jīng)對美國及其盟友和合作伙伴的國家安全、公共安全和經(jīng)濟繁榮構(gòu)成了威脅。尤其是勒索軟件攻擊已經(jīng)擾亂了從能源管道和食品企業(yè)到學校和醫(yī)院等美國和世界各地的關(guān)鍵服務(wù)和運營。近些年，勒索軟件攻擊造成的經(jīng)濟損失持續(xù)攀升，每年高達數(shù)十億美元。（二）《戰(zhàn)略》以“通向具有韌性的網(wǎng)絡(luò)空間之路”為目標整個數(shù)字生態(tài)體系的利益相關(guān)方之間開展深入而持久的合作是實現(xiàn)生態(tài)體系可防御更具韌性且契合美國價值觀的基礎(chǔ)本《戰(zhàn)略》旨在圍繞以下五個支柱建立和加強合作：保衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施；瓦解和摧毀威脅行為體；造市場力量以推動安全性和韌性；加大投入，打造有韌性的未來；建立國際伙伴關(guān)系以追求共同目標。上述每項工作都需要各個利益相關(guān)群體開展前所未有的合作，包括公共部門、私營企業(yè)、民間團體以及國際盟友和合作伙伴。本《戰(zhàn)略》圍繞五大支柱闡明了各方的共同目標和優(yōu)先事項愿景，重點闡述了在實現(xiàn)該愿景的過程中將面臨的挑戰(zhàn)，并確定了各機構(gòu)工作的具體戰(zhàn)略目標。為了實現(xiàn)上述支柱提出的愿景，本《戰(zhàn)略》將就美國的網(wǎng)絡(luò)空間作用、責任和資源的分配方式做出兩項根本性轉(zhuǎn)變。在實現(xiàn)這些轉(zhuǎn)變的過程中，美國渴望的不僅僅是提高自身的防御能力，而且要應(yīng)對那些目前與美國利益相悖的基礎(chǔ)的不穩(wěn)定性。、重新平衡保護網(wǎng)絡(luò)空間安全的責任網(wǎng)絡(luò)空間中最具能力和條件的參與者必須更好地管理數(shù)字生態(tài)體系。目前，降低網(wǎng)絡(luò)風險的重任更多是落在終端用戶側(cè)。某個人一時的判斷失誤，使用了過期的密碼，或錯誤點擊了某個可疑鏈接，不應(yīng)該影響到國家安全。美國的總體網(wǎng)絡(luò)韌性不能依賴最小的機構(gòu)和公民個人的持續(xù)警惕。相反，無論在公共或私營部門，美國必須對最具能力和條件的參與者提出更高要求，以確保美國數(shù)字生態(tài)體系的安全性和韌性。在一個自由和互聯(lián)互通的社會中，美國的數(shù)據(jù)會被各種系統(tǒng)所掌握并依賴其運行，而保護數(shù)據(jù)并確保關(guān)鍵系統(tǒng)的可靠性，是各系統(tǒng)所有者、運營商及相關(guān)技術(shù)供應(yīng)商的責任。政府的作用包括：保護自身的系統(tǒng)；確保私人實體（特別是關(guān)鍵基礎(chǔ)設(shè)施實體）保護他們的系統(tǒng)；履行政府的核心職能，比如從事外交、收集情報、征收經(jīng)濟成本、執(zhí)法，以及采取打擊行動來應(yīng)對網(wǎng)絡(luò)威脅。產(chǎn)業(yè)和政府必須共同推動有效和公平的合作，糾正市場失靈，最大限度地減少網(wǎng)絡(luò)事件對社會最弱勢群體的傷害，并保護美國共享的數(shù)字生態(tài)體系。、重新調(diào)整激勵機制以鼓勵長期投資美國有必要重新平衡必要的激勵機制，為構(gòu)建未來的數(shù)字生態(tài)體系奠定更強大、更具韌性的基礎(chǔ)。本《戰(zhàn)略》概述了聯(lián)邦政府將如何利用一切可用的工具來重塑激勵機制，并以合作、公平和互利的方式來實現(xiàn)共同目標。美國必須確保市場力量和公共計劃均鼓勵安全性和韌性，打造一支強大且多元化的網(wǎng)絡(luò)人才隊伍，通過設(shè)計追求安全性和韌性，戰(zhàn)略性地協(xié)調(diào)網(wǎng)絡(luò)安全的研發(fā)投入，并促進美國數(shù)字生態(tài)體系的合作管理。為實現(xiàn)這些目標，聯(lián)邦政府將著力于平衡和協(xié)調(diào)上，以最小的代價實現(xiàn)最大的防御能力和系統(tǒng)韌性。事實上，聯(lián)邦政府正在不斷加大投入，如更新維護美國的基礎(chǔ)設(shè)施、對美國的能源系統(tǒng)進行數(shù)字化轉(zhuǎn)型并實現(xiàn)脫碳、保護美國的半導(dǎo)體供應(yīng)鏈、使美國的加密技術(shù)現(xiàn)代化，以及重振美國的外交和國內(nèi)政策重點。（三）《戰(zhàn)略》內(nèi)容依據(jù)現(xiàn)行政策制定本《戰(zhàn)略》是在過往塑造美國戰(zhàn)略環(huán)境和數(shù)字生態(tài)體系的重大成就的基礎(chǔ)之上，為美國網(wǎng)絡(luò)安全管理制定的全新方法?！稇?zhàn)略》是基于第13800號行政命令《加強聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》、第13691號行政命令《促進私營部門網(wǎng)絡(luò)安全信息共享第13636號行政命《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全、第21號總統(tǒng)政策指令《關(guān)鍵基礎(chǔ)設(shè)施安全性和韌性》和第41號總統(tǒng)政策指令《美國網(wǎng)絡(luò)事件協(xié)調(diào)》所建立的框架，目標是確保聯(lián)邦系統(tǒng)的安全和與私營部門的合作?！稇?zhàn)略取代了2018年《國家網(wǎng)絡(luò)戰(zhàn)略但保留了包括數(shù)字生態(tài)體系的協(xié)同防御等諸多優(yōu)先事項，《戰(zhàn)略》還延續(xù)了第14028號行政命（E《改善國家網(wǎng)絡(luò)安全《第5號國家安全備忘錄（NSM“改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)的網(wǎng)絡(luò)安全”、《第8號國家安全備忘錄》“改善國家安全機構(gòu)、國防部和情報系統(tǒng)的網(wǎng)絡(luò)安全《2008年國家網(wǎng)絡(luò)安全綜合計劃等行政措施的基本方向。本《戰(zhàn)略》與《國家安全戰(zhàn)略》和《國防戰(zhàn)略》均是由一支跨部門團隊制定的，其經(jīng)過了與私營部門和民間團體長達數(shù)月的磋商。二、支柱一：保護關(guān)鍵基礎(chǔ)設(shè)施美國致力于建立持久有效的協(xié)同防御模式，公平分配風險和責任，為數(shù)字生態(tài)系統(tǒng)提供基本的安全和韌性，具體包括五項舉措。（一戰(zhàn)略目標1.1制定支持國家安全和公共安全的網(wǎng)絡(luò)安全要求目前美國政府已在多個關(guān)鍵行業(yè)建立了網(wǎng)絡(luò)安全自律要求，包括運輸安全管理局牽頭的石油和天然氣管道、航空和鐵路，以及環(huán)境保護署牽頭的供水系統(tǒng)等，旨在確保關(guān)鍵基礎(chǔ)設(shè)施安全和有韌性地運營。但目前美國缺乏統(tǒng)籌性的、強制性的監(jiān)管要求，導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施安全管理出現(xiàn)了諸多不一致和不充分的效果。當下，美國的戰(zhàn)略環(huán)境需要現(xiàn)代和靈活的網(wǎng)絡(luò)安全監(jiān)管框架，可針對不同行業(yè)的風險特征，通過統(tǒng)籌協(xié)調(diào)來避免監(jiān)管重復(fù)，同時顧及到實施成本。事實上，最有效的監(jiān)管框架是那些在危機發(fā)生前就已到位的框架，而不是在危機發(fā)生后出臺緊急法規(guī)。、制定網(wǎng)絡(luò)安全法規(guī)在制定關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全法規(guī)時：一是應(yīng)以績效為基礎(chǔ)，利用現(xiàn)有的網(wǎng)絡(luò)安全框架、自愿一致的標準和指南，包括網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全（CISA的網(wǎng)絡(luò)安全績效目標和國家標準與技術(shù)研究院（NIS）的改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架。二是具有一定的靈活性，在對手提高能力和改變戰(zhàn)術(shù)時有足夠的敏捷性來調(diào)整應(yīng)對。三是鼓勵監(jiān)管機構(gòu)推動采用安全設(shè)計原則，優(yōu)先考慮基本服務(wù)的可用性，確保系統(tǒng)設(shè)計能夠應(yīng)對安全故障并快速恢復(fù)。法規(guī)將界定最低預(yù)期網(wǎng)絡(luò)安全做法或目標，但本屆政府鼓勵并將支持各實體進一步努力超越這些要求。四是本屆政府將審視各機構(gòu)的權(quán)力差距，并通過與行業(yè)、國會和監(jiān)管機構(gòu)的合作來彌補這些差距，以更好地在云計算和其他重要第三方服務(wù)行業(yè)中推進網(wǎng)絡(luò)安全實踐。、理順和精簡新的和現(xiàn)行的法規(guī)有效的法規(guī)可以最大限度地降低合規(guī)成本和負擔，使各機構(gòu)能夠投入資源來建立韌性并保衛(wèi)其系統(tǒng)和資產(chǎn)。通過以符合現(xiàn)行政策和法律的方式利用現(xiàn)有的國際標準，監(jiān)管機構(gòu)可以最大限度地減少獨特要求的負擔，并減少對監(jiān)管協(xié)調(diào)的需求。此外，在聯(lián)邦法規(guī)存在沖突、重復(fù)或過于繁瑣的情況下，各監(jiān)管機構(gòu)必須攜手合作盡量降低這些危害必要時美國將尋求跨境監(jiān)管協(xié)調(diào)，以防止網(wǎng)絡(luò)安全要求阻礙數(shù)字貿(mào)易往來。在可行的情況下，監(jiān)管機構(gòu)不僅要努力協(xié)調(diào)法規(guī)和細則，還要協(xié)調(diào)對受監(jiān)管實體的評估和審計。、使受監(jiān)管實體能夠承受安全成本不同的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)承受網(wǎng)絡(luò)安全成本的能力各不相同，包括不加干預(yù)就不會輕易增加投資的低利潤行業(yè)，以及可以承受改善網(wǎng)絡(luò)安全的邊際成本的行業(yè)等。在某些行業(yè)，監(jiān)管可能是必要的，可以創(chuàng)造一個公平的競爭環(huán)境，使企業(yè)不會在網(wǎng)絡(luò)安全方面競相比爛而在其他行業(yè)則鼓勵監(jiān)管機構(gòu)通過調(diào)節(jié)稅率稅收結(jié)構(gòu)或其他措施來激勵在網(wǎng)絡(luò)安全方面的必要投資。在制定新的網(wǎng)絡(luò)安全要求時，鼓勵監(jiān)管機構(gòu)與受監(jiān)管實體進行協(xié)商，以了解如何滿足這些要求。（二）戰(zhàn)略目標1.2：擴大公私合作規(guī)模保護關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)安全威脅，需要一種仿照互聯(lián)網(wǎng)分布式結(jié)構(gòu)的網(wǎng)絡(luò)防御模式。美國將借助結(jié)構(gòu)化的職能職責，以及數(shù)據(jù)、信息和知識的自動共享交換所帶來的強大連通性，以加強各個主體之間的合作，從而實現(xiàn)這種分布式的網(wǎng)絡(luò)模式這本質(zhì)上是將機構(gòu)的協(xié)作與技術(shù)驅(qū)動的連通性相結(jié)合，創(chuàng)造一個基于信任的“網(wǎng)絡(luò)中的網(wǎng)絡(luò)”，進而建立態(tài)勢感知系統(tǒng)，促使網(wǎng)絡(luò)安全保護主體采取集體和的同步行動保護美國的關(guān)鍵基礎(chǔ)設(shè)施。網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局是關(guān)鍵基礎(chǔ)設(shè)施安全性和韌性的國家協(xié)調(diào)機構(gòu)，負責與行業(yè)風險管理機構(gòu)（SRMAs）進行協(xié)調(diào)，使聯(lián)邦政府能夠擴大與全美關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商之間的協(xié)調(diào)。聯(lián)邦政府將繼續(xù)加強網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局與其他行業(yè)風險管理機構(gòu)之間的協(xié)調(diào)，投資于行業(yè)風險管理機構(gòu)能力的發(fā)展，并督促他們積極呼應(yīng)行業(yè)內(nèi)關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商的需求。此外，聯(lián)邦政府將與產(chǎn)業(yè)合作，確定各行業(yè)的需求，并評估當前行業(yè)風險管理機構(gòu)能力方面的差距。聯(lián)邦政府還將加強深化與軟件、硬件以及管理服務(wù)提供商等私營部門的戰(zhàn)略合作，旨在借助這些供應(yīng)商的技術(shù)能力來重塑網(wǎng)絡(luò)環(huán)境，以提高安全性和韌性。網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局和行業(yè)風險管理機構(gòu)將探索技術(shù)和組織機制，以加強和發(fā)展機器對機器的數(shù)據(jù)共享。（三）戰(zhàn)略目標1.3：整合聯(lián)邦各網(wǎng)絡(luò)安全中心聯(lián)邦政府必須協(xié)調(diào)各部門的權(quán)力和能力，使之共同承擔保障關(guān)鍵基礎(chǔ)設(shè)施防御的責任。聯(lián)邦網(wǎng)絡(luò)安全中心將作為協(xié)作節(jié)點，負責整合政府在國土防御、執(zhí)法、情報、外交、經(jīng)濟和軍事任務(wù)上的職能。一旦整合成功，這些職能將推動政府內(nèi)部的協(xié)調(diào)，并使聯(lián)邦政府能夠有效和果斷地支持非聯(lián)邦合作伙伴。接下來，聯(lián)邦政府需要進一步努力加強和整合聯(lián)邦政府的運營能力，完善聯(lián)邦網(wǎng)絡(luò)安全中心的整合。國家網(wǎng)絡(luò)總監(jiān)辦公室將主導(dǎo)政府的各項工作，加強各中心的整合、找出能力差距，并制定實施方案，以實現(xiàn)迅速和大規(guī)模的合作。（四）戰(zhàn)略目標1.4：更新聯(lián)邦事件響應(yīng)計劃和流程私營部門有能力在沒有聯(lián)邦直接援助的情況下緩解大多數(shù)網(wǎng)絡(luò)事件。而當他們需要聯(lián)邦援助時，聯(lián)邦政府必須做到統(tǒng)一、協(xié)調(diào)、全面響應(yīng)。遭受網(wǎng)絡(luò)威脅的機構(gòu)必須了解在哪種情況下應(yīng)該聯(lián)系哪些政府機構(gòu)。聯(lián)邦政府必須提供明確的指導(dǎo)，說明私營部門的合作伙伴在網(wǎng)絡(luò)事件中如何聯(lián)系聯(lián)邦機構(gòu)尋求支持，以及聯(lián)邦政府可以提供何種形式的支持。（五）戰(zhàn)略目標1.5：實現(xiàn)聯(lián)邦防御現(xiàn)代化本屆政府將推動基于零信任原則的聯(lián)邦系統(tǒng)現(xiàn)代化策略。通過提高自身網(wǎng)絡(luò)的防御能力和韌性，聯(lián)邦政府將成為私營部門效仿的典范。、共同保護聯(lián)邦文職機構(gòu)由于各機構(gòu)的組織結(jié)構(gòu)、任務(wù)、能力和資源各有不同，聯(lián)邦文職行政部門的網(wǎng)絡(luò)安全成果也大相徑庭。美國必須為聯(lián)邦網(wǎng)絡(luò)安全制定一個模式，以平衡各機構(gòu)單獨的權(quán)力和能力以及通過共同防御方法實現(xiàn)的安全利益。美國將繼續(xù)通過整個聯(lián)邦政府的重點行動來建立聯(lián)邦的凝聚力：行政管理和預(yù)算局將與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局進行協(xié)調(diào)，制定一項行動計劃，通過行使共同防御，提升集中共享服務(wù)的可用性，以及緩解軟件供應(yīng)鏈的風險，以確保聯(lián)邦文職行政部門系統(tǒng)的安全性。、發(fā)展現(xiàn)代化的聯(lián)邦系統(tǒng)聯(lián)邦政府必須更換或升級無法抵御復(fù)雜網(wǎng)絡(luò)威脅的信息技術(shù)和運營技術(shù)系統(tǒng)。行政管理和預(yù)算局將領(lǐng)導(dǎo)制定一項多年生命周期計劃，淘汰維護成本高昂且不堪一擊的陳舊系統(tǒng)，以加快聯(lián)邦文職行政部門的技術(shù)現(xiàn)代化。該計劃預(yù)期在10年內(nèi)淘汰所有無法落實美國《零信任架構(gòu)戰(zhàn)略》的陳舊系統(tǒng)，或以其他方式降低該時間段內(nèi)無法取代的系統(tǒng)的風險，如通過加速遷移至基于云的服務(wù)，提升整個聯(lián)邦政府的網(wǎng)絡(luò)安全態(tài)勢，進而提升其向美國人民提供數(shù)字服務(wù)的安全性和韌性。、保護國家安全系統(tǒng)國家安全系統(tǒng)（NSS）負責存儲和處理聯(lián)邦政府的一些最敏感的數(shù)據(jù)必須確保其免受各種網(wǎng)絡(luò)和物理威脅包括來自內(nèi)部網(wǎng)絡(luò)犯罪分子和其他國家對手的威脅。國家安全局局長作為國家安全系統(tǒng)的國家管理者，將與行政管理和預(yù)算局進行協(xié)調(diào)，為聯(lián)邦文職行政部門各機構(gòu)的國家安全系統(tǒng)制定一項計劃，以確保實施《第8號國家安全備忘錄》對增強網(wǎng)絡(luò)安全的要求。三、支柱二：瓦解和摧毀威脅行為者美國將動用外交、信息、軍事（動能和網(wǎng)絡(luò)）、金融、情報和執(zhí)法能力等一切國家力量和手段來瓦解和摧毀試圖威脅美國利益的行為者。美國的目標是讓惡意行為者無法通過持續(xù)的網(wǎng)絡(luò)活動來威脅美國的國家安全或公共安全。（一）戰(zhàn)略目標2.1：整合聯(lián)邦政府的打擊活動打擊活動必須具有持續(xù)性和針對性，使網(wǎng)絡(luò)犯罪活動無利可圖，讓從事惡意網(wǎng)絡(luò)活動的外國政府行為者不再將其視為實現(xiàn)其目標的有效手段。聯(lián)邦政府必須整合美國司法部、國防部、情報部門現(xiàn)有的打擊活動進一步開發(fā)技術(shù)和組織平臺以實現(xiàn)持續(xù)協(xié)調(diào)的行動美國國家網(wǎng)絡(luò)調(diào)查聯(lián)合任務(wù)部（NCIJTF作為協(xié)調(diào)整個政府破壞行動的多機構(gòu)協(xié)調(diào)中心，將以更快的速度、規(guī)模和頻率協(xié)調(diào)這些行動。（二）戰(zhàn)略目標2.2：加強公私業(yè)務(wù)合作以擾亂對手鼓勵私營部門合作伙伴與國家網(wǎng)絡(luò)取證和培訓聯(lián)盟（NCFTA等一個或多個非營利組織進行聯(lián)合協(xié)作針對特定威脅的合作，由少數(shù)值得信賴的運營商組成，并由相關(guān)樞紐負責托管并提供支持。此外，應(yīng)加強利用虛擬協(xié)作平臺促進信息共享，并迅速開展工作以瓦解對手。（三戰(zhàn)略目標2.3提升情報共享和通知受害者的速度和規(guī)模一是聯(lián)邦政府將提高網(wǎng)絡(luò)威脅情報共享的速度和規(guī)模，以便政府在掌握某機構(gòu)即將被攻擊或可能已經(jīng)受到威脅的信息時，主動給網(wǎng)絡(luò)保護者發(fā)出警報并通知受害者。二是行業(yè)風險管理機構(gòu)將與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局、執(zhí)法機構(gòu)以及網(wǎng)絡(luò)威脅情報整合中心進行協(xié)調(diào)，確定其部門內(nèi)的情報需求和優(yōu)先事項，并制定與政府和非政府合作伙伴共享警報、技術(shù)指標、威脅背景及其他相關(guān)信息的流程。這些流程必須為私營部門提供機制，以便他們及時向聯(lián)邦政府提供反饋和與自身相關(guān)的威脅情報，從而優(yōu)化對網(wǎng)絡(luò)威脅的瓦解和進一步的情報收集。三是聯(lián)邦政府還將審查解密政策和流程，以確定在哪些情況下有必要擴大額外的機密訪問和許可，以便向關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營商提供可操作的情報。（四）戰(zhàn)略目標2.4：防止濫用美國網(wǎng)絡(luò)基礎(chǔ)設(shè)施惡意網(wǎng)絡(luò)行為者利用美國的云基礎(chǔ)設(shè)施、域名注冊商、主機和電子郵件提供商以及其他數(shù)字服務(wù)，對美國及國外的個人、企業(yè)政府和其他機構(gòu)實施犯罪活動惡意操作和間諜活動通常，這些服務(wù)都是通過外國轉(zhuǎn)售商租賃的，轉(zhuǎn)售商與美國供應(yīng)商之間存在多級隔離，制約了這些供應(yīng)商處理投訴或回應(yīng)美國當局法律程序的能力。聯(lián)邦政府將與云計算和其他互聯(lián)網(wǎng)基礎(chǔ)設(shè)施提供商合作，快速發(fā)現(xiàn)對美國基礎(chǔ)設(shè)施的惡意使用，與政府共享惡意使用的報告，使受害者更容易報告這些系統(tǒng)的濫用情況，并使惡意行為體從一開始就更難獲得這些資源。（五）戰(zhàn)略目標2.5：打擊網(wǎng)絡(luò)犯罪和勒索軟件鑒于勒索軟件對關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的影響，美國將利用國家力量采取四方面舉措：利用國際合作，破壞勒索軟件生態(tài)系統(tǒng)，孤立那些為犯罪分子提供安全避風港的國家；調(diào)查勒索軟件犯罪，并利用執(zhí)法部門和其他部門破壞勒索軟件基礎(chǔ)設(shè)施和行為者；增強關(guān)鍵基礎(chǔ)設(shè)施抵御勒索軟件攻擊的能力；解決濫用虛擬貨幣洗錢的問題。四、支柱三：塑造市場力量以推動安全性和韌性美國將通過塑造市場力量讓數(shù)字生態(tài)系統(tǒng)中最有能力降低風險的人承擔責任，具體包括六項舉措。（一）戰(zhàn)略目標3.1：讓數(shù)據(jù)管理者負起責任政府支持各項數(shù)據(jù)保護立法工作，對收集、使用、傳輸和維護個人數(shù)據(jù)的數(shù)據(jù)處理主體的能力制定強有力的明確要求，加強地理位置、健康信息等敏感數(shù)據(jù)保護。相關(guān)立法應(yīng)確保個人數(shù)據(jù)安全保護制度與國家標準與技術(shù)研究院制定的標準和指導(dǎo)原則相一致。（二）戰(zhàn)略目標3.2：推動安全物聯(lián)網(wǎng)設(shè)備的發(fā)展政府將按《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案的指示通過聯(lián)邦研（R&D采購和風險管理工作持續(xù)改善物聯(lián)網(wǎng)網(wǎng)絡(luò)安全。此外，政府也將按照第14028號行政命令“改善國家網(wǎng)絡(luò)安全”的指示，繼續(xù)推進物聯(lián)網(wǎng)安全標簽計劃的開發(fā)。通過推廣物聯(lián)網(wǎng)安全標簽，消費者將能夠比較不同的物聯(lián)網(wǎng)產(chǎn)品所提供的網(wǎng)絡(luò)安全保護，從而創(chuàng)造一種市場激勵機制，讓整個物聯(lián)網(wǎng)生態(tài)體系更加安全。（三戰(zhàn)略目標3.3讓提供不安全軟件產(chǎn)品和服務(wù)的實體承擔責任一是，政府將與國會和私營部門合作，立法規(guī)定軟件產(chǎn)品和服務(wù)的責任。任何此類立法都應(yīng)防止具有市場支配力的制造商和軟件發(fā)行商通過合同完全免除責任，并為軟件的特定高風險場景制定更高的注意義務(wù)標準二是，為制定安全軟件開發(fā)的注意義務(wù)標準，政府將推動制定一個可調(diào)節(jié)的免責框架，以保護那些安全開發(fā)和維護其軟件產(chǎn)品和服務(wù)的企業(yè)免于承擔責任三是，為進一步鼓勵采用安全軟件開發(fā)實踐，政府將鼓勵跨技術(shù)門類、跨行業(yè)協(xié)調(diào)的漏洞披露；促進軟件物料清單的進一步發(fā)展；開發(fā)一個流程來發(fā)現(xiàn)和減輕被廣泛使用或支持關(guān)鍵基礎(chǔ)設(shè)施的軟件所帶來的風險四是，通過與私營部門和開源軟件社區(qū)合作，聯(lián)邦政府還將繼續(xù)投資于安全軟件的開發(fā)，包括內(nèi)存安全語言和軟件開發(fā)技術(shù)、框架和測試工具。（四戰(zhàn)略目標3.4利用聯(lián)邦撥款和其他激勵措施加強安全投入政府將與SLTT實體、私營部門和其他合作伙伴合作，通過技術(shù)援助和其他形式的支持平衡申請人的網(wǎng)絡(luò)安全需求。推動對設(shè)計上具有安全性和韌性的關(guān)鍵產(chǎn)品和服務(wù)的投資，并在關(guān)鍵基礎(chǔ)設(shè)施的整個生命周期維持和激勵安全性和韌性。聯(lián)邦政府還將優(yōu)先為旨在加強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和韌性的網(wǎng)絡(luò)安全研究、開發(fā)和演示（RD&D）項目提供資金。（五）戰(zhàn)略目標3.5：利用聯(lián)邦采購機制來改進問責制對聯(lián)邦政府供應(yīng)商的合同要求一直是提升網(wǎng)絡(luò)安全的有效手段第14028號行政命“改善國家的網(wǎng)絡(luò)安全”要求加強和標準化聯(lián)邦機構(gòu)的網(wǎng)絡(luò)安全合同要求。政府將繼續(xù)嘗試通過采購來制定、執(zhí)行和測試網(wǎng)絡(luò)安全要求的新概念，進而帶來新穎且可擴展的方法。（六）戰(zhàn)略目標3.6：探索聯(lián)邦網(wǎng)絡(luò)保險的保障機制在災(zāi)難性事件發(fā)生之前構(gòu)建應(yīng)對機制，而不是在事件發(fā)生后匆忙制定一攬子援助計劃，可以為市場提供確定性，并使國家更具韌性。政府將評估聯(lián)邦保險應(yīng)對災(zāi)難性網(wǎng)絡(luò)事件的需求和可能的結(jié)構(gòu)，支持現(xiàn)有的網(wǎng)絡(luò)保險市場五、支柱四：投資于有韌性的未來美國將通過戰(zhàn)略投資和協(xié)調(diào)合作的行動，建立一個更安全、更有韌性、更保護隱私、更公平的數(shù)字生態(tài)系統(tǒng)，具體包括六項舉措。（一）戰(zhàn)略目標4.1：保護互聯(lián)網(wǎng)的技術(shù)基礎(chǔ)要維護和拓展開放、自由、全球化、可互操作、可靠和安全的互聯(lián)網(wǎng)需要持續(xù)參與標準的制定過程以融入美國的價值觀確保技術(shù)標準能夠帶來更安全和有韌性的技術(shù)。美國將與行業(yè)領(lǐng)袖、國際盟友、學術(shù)機構(gòu)、專業(yè)協(xié)會、消費者團體和非營利組織合作，以確保新興技術(shù)的安全、實現(xiàn)互操作性、促進全球市場競爭，并保護美國的國家安全和經(jīng)濟優(yōu)勢。（二）戰(zhàn)略目標4.2：重振聯(lián)邦網(wǎng)絡(luò)安全研發(fā)借助聯(lián)邦的力量，優(yōu)先研發(fā)可防御且有韌性的架構(gòu)，并減少基礎(chǔ)技術(shù)的漏洞，是聯(lián)邦網(wǎng)絡(luò)安全研究和發(fā)展戰(zhàn)略計劃中重要的內(nèi)容。聯(lián)邦政府將加強研發(fā)和示范（RD&D）社區(qū)建設(shè)，積極預(yù)防和降低現(xiàn)有和下一代技術(shù)中的網(wǎng)絡(luò)安全風險。各部門和機構(gòu)將指導(dǎo)研發(fā)和示范項目，以推進關(guān)鍵基礎(chǔ)設(shè)施所使用的人工智能、運營技術(shù)和工業(yè)控制系統(tǒng)、云基礎(chǔ)設(shè)施、電信、加密技術(shù)、系統(tǒng)透明度和數(shù)據(jù)分析等領(lǐng)域的網(wǎng)絡(luò)安全性和韌性。（三）戰(zhàn)略目標4.3：為美國未來的后量子做準備聯(lián)邦政府將優(yōu)先推動脆弱公共網(wǎng)絡(luò)和系統(tǒng)向量子加密環(huán)境過渡，并制定相應(yīng)的緩解策略，以便在面對未來的未知風險時具備提供加密敏捷性的能力。私營部門應(yīng)遵循政府的模式，為美國未來的后量子準備自己的網(wǎng)絡(luò)和系統(tǒng)。（四）戰(zhàn)略目標4.4：確保未來的清潔能源安全政府將協(xié)調(diào)聯(lián)邦政府、產(chǎn)業(yè)以及州、地方、部落和屬地各利益相關(guān)方的工作，部署安全、可互操作的電動汽車充電器網(wǎng)絡(luò)、零排放充電基礎(chǔ)設(shè)施以及零排放公共交通和校車。能源部還將與行業(yè)、州、聯(lián)邦監(jiān)管機構(gòu)、國會和其他機構(gòu)合作，持續(xù)促進配電和分布式能源資源的網(wǎng)絡(luò)安全。（五）戰(zhàn)略目標4.5：支持數(shù)字身份生態(tài)體系的發(fā)展聯(lián)邦政府將鼓勵并支持對強大、可驗證的數(shù)字身份解決方案的投資，以加強和保護個人隱私、公民權(quán)利和公民自由；防止意外后果、偏見和潛在的濫用；允許個人選擇供應(yīng)商和自愿使用；提高安全性和互操作性；促進包容性和可及性；以及完善技術(shù)和個人數(shù)據(jù)使用的透明度和問責制。（六）戰(zhàn)略目標4.6：制定國家戰(zhàn)略加強網(wǎng)絡(luò)安全人才儲備增加網(wǎng)絡(luò)教育和培訓的獲取途徑，不斷擴充網(wǎng)絡(luò)人才隊伍，解決經(jīng)濟部門對網(wǎng)絡(luò)安全專業(yè)知識的需求，解決公共部門在招聘、留住和發(fā)展人才與能力方面面臨的獨特挑戰(zhàn)，進而滿足保護聯(lián)邦數(shù)據(jù)和信息技術(shù)基礎(chǔ)設(shè)施的要求。六、支柱五：建立國際伙伴關(guān)系以追求共同目標美國將致力于建立一個由各國組成的廣泛聯(lián)盟，維護一個開放、自由、全球、可互操作、可靠和安全的互聯(lián)網(wǎng)，具體包括五項舉措。（一戰(zhàn)略目標5.1建立聯(lián)盟來對抗對數(shù)字生態(tài)系統(tǒng)的威脅美國將召集志同道合的國家、國際商界和其他利益攸關(guān)方，推進建設(shè)互聯(lián)網(wǎng)未來愿景，促進安全和可信的數(shù)據(jù)流動，聯(lián)合應(yīng)對更廣泛的潛在安全挑戰(zhàn)。美國將與其盟友和伙伴合作，為數(shù)字時代制定新的協(xié)作執(zhí)法機制。例如，歐洲網(wǎng)絡(luò)犯罪中心在推動法律框架現(xiàn)代化培訓執(zhí)法人員改進溯源與私營部門伙伴合作，以及應(yīng)對歐洲的惡意網(wǎng)絡(luò)活動方面發(fā)揮了重要作用。為了擴大這種模式，美國將支持與其他地區(qū)的合作伙伴建立類似的有效樞紐。（二）戰(zhàn)略目標5.2：加強國際合作伙伴的能力美國將調(diào)集各公共和私營部門以及先進地區(qū)合作伙伴的專業(yè)知識，開展協(xié)調(diào)有效的國際網(wǎng)絡(luò)能力建設(shè)和業(yè)務(wù)合作。在執(zhí)法領(lǐng)域，司法部將繼續(xù)通過雙邊和多邊接觸以及協(xié)議、正式和非正式合作，提供國際和區(qū)域領(lǐng)導(dǎo)，建立更強大的網(wǎng)絡(luò)犯罪合作模式。國防部將繼續(xù)加強與各國軍方之間關(guān)系，以獲取盟友和伙伴的獨特技能和視角，同時幫助其建設(shè)自身能力，為美國的集體網(wǎng)絡(luò)安全態(tài)勢做出貢獻。（三）戰(zhàn)略目標5.3：擴大美國援助盟友和伙伴的能力推動美國與遭受重大網(wǎng)絡(luò)攻擊的盟國和