拨云见日：拜登政府的网络安全战略实施计划

关键要点

拜登政府于3月发布了《国家网络安全战略》NCS，提出了更安全的数字环境愿景。7月，该政府推出了《国家网络安全战略实施计划》NCSIP，包含65个具体举措，涵盖政府和私营部门的合作。NCSIP的重点在于针对关键基础设施的网络安全需求，推动新规定的实施，以增强全国网络安全。值得注意的是，计划中的“协调漏洞披露”CVD将显著提升国家的网络安全状态。国际经验教训能够引导美国在实施CVD时避免潜在问题。

拜登政府在今年3月公布了《国家网络安全战略》NCS，为了构建一个更安全、稳固的数字环境，为网络安全专家发出了全国性的行动号召，突显了他们多年努力解决的诸多挑战。然而，大家仍然关心的问题是：拜登政府将如何实施NCS？

我们在7月得到了答案，政府发布了《国家网络安全战略实施计划》NCSIP，这让人感到鼓舞。该计划涵盖了五大核心支柱，划分为65项具体举措，涉及政府和私营行业共同保护关键基础设施，打击威胁行为者，鼓励软件透明度，以及加强与盟友的沟通。NCSIP为每项举措设定了目标，指定了负责的部门，并建立了预期完成日期。这比以往任何时候都更清晰透明地展现了国家网络安全战略的实施。

考虑到当前的威胁环境，这项行政计划踏入时机极为关键。在NCSIP发布的同周，有报道称一个中国黑客组织入侵了多个联邦机构，这标志着来自多个国家的高端黑客攻击愈发频繁。

尽管NCSIP包含了众多广泛的举措，但最具潜在影响力的仍然是一个全新的项目：计划中的“在关键基础设施部门设定网络安全要求” initiative 112，它可能会显著提升各类组织的网络安全水平。该项目要求为关键基础设施制定新的网络安全规定。

新规如何增强网络安全

这些新规可以通过加强与私营部门的合作、将更多责任分配给企业以实施“安全设计”、改善网络安全劳动力以及加强全球网络卫生的努力来支持国家安全和公共安全。这些新规将提升高层管理人员对网络安全威胁的关注，并推动公司在减少和缓解那些威胁方面进行投资。简而言之，法规能够迫使公司制定多已在许多行业中实施的最佳实践。

其中一项最佳实践是在计划中列出的“协调漏洞披露”CVD，该项目承诺会对我们国家的网络安全态势产生重大影响。

CVD的重要性可以归结为一个简单的事实：当今世界依赖于软件。无论是公共还是私营组织，都是由协助办公生产、任务交付和财务管理的复杂软件架构所构成。

几乎所有系统和软件都存在漏洞，恶意行为者能够发现并利用这些漏洞。CVD旨在解决这些问题。根据CERT漏洞披露指南，CVD被定义为“从漏洞发现者收集信息，协调相关利益相关者之间的信息共享，并向公众等各方披露软件漏洞及其解决方案的过程。”

全球漏洞披露要求

正确的漏洞披露在美国以外也是一个热门话题，由其他国家推动的倡议为美国CVD的实施提供了有益的借鉴。欧盟提议的《网络韧性法案》CRA旨在提升硬件和软件的安全性，但该立法存在明显的担忧。包括HackerOne在内的50多位网络安全领袖向欧盟立法者发出了一封公开信，质疑CRA第11条，要求组织在被利用后的24小时内向政府机构报告漏洞，不论是否已被修补。

这一CRA要求与CVD最佳实践相悖。在漏洞修复之前

白鲸官网