美国致力于建立持久有效的协同防御模式,公平分配风险和责任,为数字生态系统提供基本的安全和韧性,具体包括五项举措。
美国将动用包括外交、信息、军事、金融、情报和执法能力在内的一切国家力量,瓦解威胁美国利益的威胁行为者,具体包括五项举措。
战略目标1:整合联邦政府的干扰活动
打击活动必须具有持续性和针对性,使网络犯罪活动无利可图,让从事恶意网络活动的外国政府行为者不再将其视为实现其目标的有效手段。必须整合美国司法部、国防部、情报部门现有的打击活动,进一步开发技术和组织平台,以实现持续、协调的行动。美国国家网络调查联合任务部队(NCIJTF)作为协调整个政府破坏行动的多机构协调中心,将以更快的速度、规模和频率协调这些行动。
战略目标2:加强公私作战合作,扰乱对手
战略目标3:提高情报共享和受害者通报的速度和规模
联邦政府将加快和扩大网络威胁情报共享的速度和规模,以便在政府掌握某个组织正在成为积极攻击目标或可能已经被入侵的信息时,主动警告网络防御者并通知受害者。
战略目标4:防止滥用基于美国的基础设施
联邦政府将与云和其他互联网基础设施提供商合作,快速识别对美国基础设施的恶意使用,与政府共享恶意使用的报告,使受害者更容易报告这些系统的滥用,并使恶意行为者从一开始就难以获得这些资源。
战略目标5:打击网络犯罪,打败勒索软件
鉴于勒索软件对关键基础设施服务的影响,美国将利用国家力量采取四方面举措:利用国际合作,破坏勒索软件生态系统,孤立那些为犯罪分子提供安全避风港的国家;调查勒索软件犯罪,并利用执法部门和其他部门破坏勒索软件基础设施和行为者;增强关键基础设施抵御勒索软件攻击的能力;解决滥用虚拟货币洗钱的问题。
美国将通过塑造市场力量让数字生态系统中最有能力降低风险的人承担责任,具体包括六项举措。
战略目标1:让我们的数据管理员负起责任
政府支持立法努力,对收集、使用、转移和维护个人数据的能力施加强有力的、明确的限制,并为地理位置和健康信息等敏感数据提供强有力的保护。
战略目标2:推动安全的IOT设备的发展
政府将继续根据《2020年物联网网络安全改进法案》的指导,通过联邦研发(R&D)、采购和风险管理工作改善物联网网络安全。此外,政府将继续推进物联网安全标签项目的发展,根据EO14028“改善国家网络安全”的指导。通过扩大物联网安全标签,消费者将能够比较不同物联网产品提供的网络安全保护,从而在整个物联网生态系统创造更高安全性的市场激励。
战略目标3:将责任转移到提供不安全的软件产品和服务的实体上
战略目标4:利用联邦拨款和其他激励措施来建立安全设施
政府将与SLTT实体、私营部门和其他合作伙伴合作,通过技术援助和其他形式的支持平衡申请人的网络安全需求。推动对设计上具有安全性和韧性的关键产品和服务的投资,并在关键基础设施的整个生命周期维持和激励安全性和韧性。联邦政府还将优先为旨在加强关键基础设施网络安全和韧性的网络安全研究、开发和演示(RD&D)项目提供资金。
战略目标5:利用联邦采购来提高问责制
第14028条行政令“改善国家网络安全”要求加强和标准化联邦机构的网络安全合同要求。通过采购继续试点设置、执行和测试网络安全要求的新概念,产生新颖且可扩展的方法。
战略目标6:探索一个联邦网络保险的支持
在灾难性事件发生之前构建应对机制,而不是在事件发生后匆忙制定一揽子援助计划,可以为市场提供确定性,并使国家更具韧性。政府将评估联邦保险应对灾难性网络事件的需求和可能的结构,支持现有的网络保险市场。
美国将通过战略投资和协调合作的行动,建立一个更安全、更有韧性、更保护隐私、更公平的数字生态系统,具体包括六项举措。
战略目标1:保护互联网的技术基础
维护和扩展开放、自由、全球、互操作、可靠和安全的互联网,政府将持续参与标准制定过程,灌输美国的价值观,并确保技术标准产生更安全、更有韧性的技术。
战略目标2:重振联邦网络安全研发
联邦政府将确定研究、开发和演示社区,确定优先级并促进其积极预防和减轻现有和下一代技术的网络安全风险。各部门和机构将指导研发项目,推进人工智能、运营技术和工业控制系统、云基础设施、电信、加密、系统透明度和关键基础设施使用的数据分析等领域的网络安全和韧性。
战略目标3:为我们的后量子时代的未来做好准备
联邦政府将优先考虑脆弱的公共网络和系统向基于量子抗密码学的环境过渡,并制定互补的缓解策略,在面对未知的未来风险时提供加密的灵活性。私营部门应该效仿政府的模式,为后量子时代的未来准备自己的网络和系统。
战略目标4:保障我们清洁能源的未来
政府正在加速向清洁能源的未来过渡,新一代互联的硬件和软件系统正在投入使用,这些系统有可能加强美国电网的韧性、安全性和效率。这些技术包括分布式能源、“智能”能源生产和存储设备、先进的基于云的电网管理平台,以及为高容量可控负荷设计的输配电网络,比前几代电网系统更加复杂、自动化和数字化互联。
战略目标5:支持发展数字身份生态系统
联邦政府将鼓励并支持投资强大的、可验证的数字身份解决方案,促进安全性、可访问性和互操作性、金融和社会包容、消费者隐私和经济增长。
战略目标6:制定一个国家战略来加强我们的网络劳动力
采取全面和协调的方法,扩大国家网络安全人才储备,提高其多样性,并增加获得网络教育和培训途径的机会。
美国将致力于建立一个由各国组成的广泛联盟,维护一个所谓的开放、自由、全球、可互操作、可靠和安全的互联网,具体包括五项举措。
战略目标1:建立联盟来对抗对我们的数字生态系统的威胁
美国将召集志同道合的国家、国际商界和其他利益攸关方,推进对互联网未来的愿景,促进安全和可信的数据流动,尊重隐私,促进人权,并推动在更广泛的挑战方面取得进展。
战略目标2:加强国际合作伙伴的能力
能够帮助盟友和伙伴确保关键基础设施网络的安全,建立有效的事件检测和响应能力,共享网络威胁信息,寻求外交合作,通过行动合作建立执法能力和有效性,并通过遵守国际法和加强负责任的国家行为准则支持在网络空间的共同利益。
战略目标3:扩大美国协助盟友和合作伙伴的能力
推动美国与遭受重大网络攻击的盟国和合作伙伴合作,帮助其调查、应对和从此类事件中恢复过来。
战略目标4:建立联盟,以加强负责任的国家行为的全球规范
战略目标5:为信息、通信和运营技术产品和服务提供安全的全球供应链
美国将与盟友和伙伴合作,包括通过IPEF、四方关键和新兴技术工作组以及TTC等区域伙伴关系,确定并实施跨境供应链风险管理的最佳做法,并努力将供应链转移到伙伴国家和值得信赖的供应商。