拜登政府发布国家网络安全战略

关键要点

本月，拜登政府发布了国家网络安全战略NCS，这是推动信息技术安全进步的一项大胆尝试。尽管通常对政策变更会产生抵制，但此次战略的推出反应相对平和。NCS提出通过五大支柱来加强网络安全，并建议实施数据驱动的方法、增加透明度以及实践严格的成本控制，以实现有效的网络政策和计划。

拜登政府本月公布了美国首个国家网络安全战略，这是一项大胆的尝试，旨在超越渐进式的变化，加速信息技术安全的成熟。大多数政策提案通常会引起抵制，特别是当监管变更给公司带来新成本时。然而，对NCS公布的初步反应异常温和。将网络安全责任转移给软件制造商的计划并没有引起足够的反对声浪。

缺乏明显的抵制很可能反映出广泛的共识：我们需要一项大胆的战略来中和威胁国家网络安全及其基础设施的风险。NCS建议通过强化五大支柱来稳定网络安全：防御关键基础设施、打击和拆解威胁行为者、促使市场力量推动安全与韧性、投资于韧性未来，以及建立国际伙伴关系以追求共同目标。

这是一个扎实的战略，接下来我们该如何前进？实现合理的网络政策和计划需要什么？执行的一致性将至关重要。遵循关键的操作基石将有助于保持运动的轨道并加速实施。通过以下三种策略，我们可以积极推动这一进程：

利用数据驱动的方法

量化网络安全挑战和提出的解决方案将最大化从NCS中获得的价值。重要的是要测量正确的指标，特别是网络安全的先行指标。迄今为止，大多数网络安全指标关注的是滞后指标，例如在勒索软件攻击后收集的数据。

在部署或交付软件之前，我们需要关注软件安全测试的结果。这类信息将提供进展的前瞻性指标。这种方法将有助于判断供应商是否能够提供能够抵御网络攻击的软件即服务SaaS。

要求更大透明度

我们不再可以接受在为政府开发产品时使用不透明的开源软件。行业需要对使用开源代码的产品中的脆弱性追究供应商的责任。与国防组织相比，民用机构及其用于推动使命的软件到目前为止受到的审查少得多。展望未来，它们将不得不遵循国防部施加的相同或类似的严格标准，而国防部的更高网络安全保障水平为NCS中的条款制定提供了依据。

考虑软件物料清单SBOMs，实际上是应用程序中的成分列表。如果不能了解开源代码的内容，我们就无法确保这些应用程序的安全。国防部将领先于其他民用机构采纳SBOMs，并遵循NCS中应适用于供应商或供应商的条款。若国防承包商未随其软件提供SBOMs，其他机构又有多少能够做到呢？

实践严格的成本控制

合规成本显然是实施的障碍。一些软件公司可能会抵制采取行动以增强网络安全，以避免经济影响。这是一个非常大的挑战，其范围我们并不完全确定。像谷歌这样的公司已经表明，它们打算通过设计内置安全