【原】技经观察 | 新兴技术和数据主导的新时代：网络及通信安全篇

美国大西洋理事会设立“新兴技术与数据的地缘政治影响委员会”（GeoTech Commission），并发布《新兴技术与数据的地缘政治影响》报告，以应对数字技术发展所带来的挑战，确保数字经济、实体经济以及相关基础设施的可持续发展。

本章所讨论内容分为两个部分：第一部分聚焦网络安全，为如何巩固美国的网络安全提出了建议；第二部分侧重于量子信息科学（QIS），为保障美国及其盟友在QIS领域的世界领导地位，提出了具体建议。

一、网络安全

安全的数据和通信对美国的数字基础设施以及全球数字经济至关重要。目前，美国的网络安全面临着以下几个挑战：

• 美国政府能够通过法规影响但不能确保私营部门为网络安全做好准备；

• 中小型企业无力承担聘用及培养专业网络安全人才所需的费用；

• 美国确保网络安全的政府机构和法律没有完全适应网络攻击不断演变的特征。

为了保障数据和通信的安全，美国必须克服上述挑战，防止对手利用美国网络和终端的漏洞危害美国网络安全。

（一）不断扩大的网络安全漏洞需要公共部门和私营部门合作

网络安全漏洞的范围和影响正在扩大：更广泛的连接产生了更多的攻击载体，相互依赖的网络产生了级联效应，数据和隐私泄露事件与日俱增，应对手段的脱节限制了反应和行动速度。

网络攻击者利用数字基础设施的相互依赖性，以“胁迫、破坏、间谍活动或勒索”为目的，向网络发起攻击。连接的设备数量越多，就越可以为攻击者提供新的、防御力较低的系统和网络访问点；例如，攻击者通过入侵网络控制器，便可以实现破坏电力系统网络的目的。当公司未能施行最佳网络安全实践时，软件供应链也会出现新的网络攻击漏洞。

数据是气候监测、全球健康、农业和网络空间的基础。大数据收集对于人工智能的应用以及医学和教育领域的创新至关重要。包括存储、分析以及传递在内的数据基础设施，是网络攻击的重要目标。

高级网络攻击利用的是政府网络安全专家与私营行业之间的信息屏障，网络攻击者可以花几周或几个月的时间仔细地探测目标系统，而不被察觉。

1. 对经济或国家安全至关重要的私营部门基础设施需要加强合作

私营部门由于网络安全专业知识不足，可能成为网络攻击的重要目标。根据《保护网络资产，应对关键基础设施面临的网络威胁》，联邦政府在网络防御和维护网络韧性中发挥着关键作用。然而，其有效性却受到如下限制：

• 私营部门对“联邦网络安全能力”认识有限

• 获得“联邦网络安全”的支持受到多重法律和行政限制

• “联邦网络安全能力”分散于广泛的政府机构和部门中

以下措施将有利于加强私营部门与政府的协调：

• 政府应共享有关网络威胁的关键信息。这些信息可以帮助私营部门集中网络防御资源，并使其更加灵活;

• 国家网络战略应将私营部门作为不可或缺的参与者;

• 美国政府应鼓励私营部门建立培养网络安全人才的激励措施，以使私营部门更加安全。

2. 公共和私营部门需共同参与网络安全人才的培养和相关专业知识的普及

2019年5月2日“第13870号行政命令：美国网络安全人才”确立了国家要求——扩大联邦以及州、地方、学术界、私营部门等利益相关者的网络安全人才队伍。目前，美国有52.1万个网络安全相关职位空缺，其中3.7万个在联邦政府。该项行政命令还支持网络安全工作者在公共部门和私营部门之间流动，并指导各部门之间共享招聘政策和工具。

2017年8月，美国国家标准与技术研究院（NIST）发布了国家网络安全教育倡议 (NICE) 框架。该框架定义了网络安全类别、专业领域、知识、任务、技能和工作角色。公共和私营部门可以利用该框架更好地匹配具备所需技能的候选人。

3. 网络安全治理必须跟上网络威胁环境变化的速度，并及时采取行动

美国国家标准与技术研究院 (NIST) 网络安全框架包括五项能力：识别、保护、检测、响应和恢复。时效性对于以上五项能力及任何网络安全行动都至关重要。然而目前的网络安全态势仍是处于防御状态，因此，我们应该：

• 快速修补。火眼公司（FireEye）的一项研究报告显示，补丁的发布和使用时间平均约需9天。相关机构应尽量缩短这一时长。
• 及时反应对于防止损害及连锁效应非常必要。这种能力依赖于预警系统，有时还需要全面的态势感知，使人们能够密切监控网络事件并精确部署防御工具。
• 网络能否及时恢复依赖于数字基础设施的韧性。然而，复杂的攻击可能需要一年以上的时间才能完全恢复。
• 所有核心网络安全功能都依赖于公共和私营部门之间及其内部的有效信息共享。

（二） 在国家安全系统中建立全面的网络安全风险态势感知意识

对关键国家安全基础设施状态的全面感知是制定有效网络安全战略的基础。全面感知应建立在持续收集关键指标、制定风险优先级、评估软件/IT 供应链能力、告知最佳实践标准以及评估网络防御和韧性实际水平的基础之上。

（三） 美国应更新《国家网络战略》，重点关注公共和私营实体如何监测数字环境

1. 审查、更新并重新制定《国家网络战略》实施计划

政府应定期更新《国家网络战略》，使该战略保持最新状态，以应对未来的网络安全威胁和挑战。该战略应考虑以下内容：统一规则，并强调所有政府活动应遵守网络安全实践标准；在组织中加入专业的负责网络安全的官员；将提高个人网络安全意识纳入国家教育计划。 

2. 对联邦政府使用的软硬件建立有效的持续监控

联邦政府应对支持美国政府职能的网络安全软硬件系统，进行持续监控，并确保联邦政府所有相关部门之间的协调。监控范围包括：外部网络流量、内部网络行为、漏洞暴露、资产跟踪、安全状况、供应商合规性、产品合规性和产品更新。有四项活动有助于充分实现持续监控： 

• 根据网络位置、权限和供应链方面的漏洞和风险，评估美国政府所使用的软硬件的可信度；

• 加强首席信息官(CIO)与国土安全部（DHS）之间关于政府网络的联系，进一步授权DHS执行网络评估； 

• 向地方和州政府提供软硬件风险评估； 

• 支持私营部门，尤其是中小型企业。美国政府制定的风险评估也可以与合作伙伴共享，以实现有保障的供应链和可信的数字环境。

二、量子信息科学（QIS）

美国、欧盟、中国、俄罗斯、英国、加拿大和其他国家均通过本国/本地区的QIS战略，扩大对QIS的投资。量子计算机的迅猛发展，增加了人们对于先进技术安全性的担忧。然而，量子通信和量子密钥分配(QKD)方法可以帮助增强数字基础设施的安全性，防止数据和通信受到侵害。

（一） 国家/地区的量子信息科学战略

1. 美国的量子信息科学战略

《量子信息科学国家战略概览》为实现美国在量子信息科学应用方面的领导地位提供了战略路径。六大政策范畴如下：

• 科学为先:加强基础研究和跨学科合作。

• 培育量子人才:通过加大对产业界、学术界和政府实验室的投资，培养QIS技术熟练的劳动力，扩大QIS研究、开发和教育范围。

• 加深与量子产业的接触：加强联邦政府、产业界与学术界之间的协调。加强联邦政府、产业界和学术界之间的协调，提高需求意识。

• 提供关键基础设施：鼓励必要的投资，创建并提供对QIS基础设施的访问，并建立测试平台。

• 维护国家安全和经济增长：保持对QIS收益和风险的认识。

• 推进国际合作：寻求国际合作机会，扩大美国人才库，提高对QIS发展的认识。

2. 中国正将量子信息科学视作战略性技术

量子通信和计算是中国“十四五”规划（2021-2025）所重点关注的战略技术之一。中国的目标是成为全球创新领导者，并利用大型示范项目推进其科学技术（S&T），包括量子研究与研发（R&D）、QKD 和量子计算以及新建量子信息科学国家重点实验室等。中国能够在量子研发方面取得进展，部分原因在于政府、大学和产业界的密切协调，这有助于科学的进步和熟练劳动力的培养。

3. 欧盟的量子科技战略

欧盟的量子科技战略有三个组成部分：

• “地平线欧洲”计划在2021-2027年投资155亿欧元到数字、工业和太空领域;

•  “数字欧洲计划”，将为发展QIS等科技资助75亿欧元;

•  “欧洲太空计划”拟议资助132亿欧元。

欧盟委员会正在征集量子通信基础设施的建议，以上三个计划将为落实这些建议提供资金。

(二) 与盟友和合作伙伴协调，为量子信息科学建立人力资本，克服国家和地区间资金和数据共享政策带来的限制

在持续的QIS研发中，跨学科技术人才的规模、技能和协作是QIS竞争的关键因素。美国在推进国内投资和研究战略的同时，必须与国际伙伴合作。

（三） 美国应该与盟友一起，制定优先的全球计划，利用革命性的量子信息科学，促进相关人才和基础设施的发展，从而促进下一代量子信息科学应用

1. 建立一套通用的量子数据和通信安全示范

2. 制定专注于数字经济新兴问题的量子信息科学研究和开发计划

3. 制定方案，加快量子信息科学技术的可操作性

4. 随着量子信息科学的发展，美国应在制定数据和通信安全国际标准方面发挥主导作用

5. 建立国家QIS研究、开发和测试基础设施；资助量子示范项目