Pansin note

切换主题

基于GAO审计视角的美国国家网络安全战略:执行阻滞、机制内耗与结构性漏洞深度研判报告

字数
9881 字
阅读时间
39 分钟

第一部分:绪论与战略背景

1.1 报告背景与研究目的

作为全球网络空间的超级大国,美国的网络安全战略演进不仅重塑了其国内的防御态势,也深刻影响着全球网络地缘政治格局。然而,战略文本的完善并不等同于战略能力的落地。美国政府问责局(Government Accountability Office, GAO)作为国会的“监督看门人”,在2023年至2025年间发布的一系列高风险清单(High-Risk Series)及专项审计报告,为外界提供了一个独特的、穿透性的视角,得以窥见美国庞大的网络安全机器在运转过程中发出的“摩擦声”。

本报告旨在基于GAO发布的《国家网络安全:战略、挑战与创新》及相关配套审计文件,深度解构美国在执行《国家网络安全战略》(National Cybersecurity Strategy, NCS)过程中面临的体制性障碍、执行难点与机制漏洞。不同于一般的政策分析,本报告侧重于“执行层面的病理学分析”,即探讨为何拥有最强技术资源和最完备法律体系的美国联邦政府,在面对勒索软件、供应链污染及关键基础设施防护时,仍频频陷入“被动应对”的困局。

报告最后将基于对美方教训的总结,结合中国推进网络强国建设的实际需求,提出具有前瞻性和操作性的借鉴与优化建议。

1.2 GAO高风险清单的演进与战略警示

GAO自1997年首次将信息安全列为政府范围内的“高风险领域”(High-Risk Area),至今已近三十年。然而,在2025年2月发布的最新一期高风险报告中,网络安全依然赫然在列,且被明确标记为“需要重点关注”(Needing Significant Attention)的领域 1。这一持续近三十年的“高风险”标签本身就揭示了一个核心事实:美国的网络安全挑战已从单纯的技术问题演变为一种顽固的“行政与管理痼疾”。

根据GAO的定义,移除高风险名单需满足五个核心标准:领导力承诺(Leadership Commitment)、能力(Capacity)、行动计划(Action Plan)、监测(Monitoring)和已证实的进展(Demonstrated Progress)。GAO在2025年的评估中指出,尽管联邦政府在过去两年采取了行动并产生了约840亿美元的财务效益,但在网络安全这一关键领域,进展仍然参差不齐,部分领域甚至出现了退步 3。

表 1.1 GAO高风险评估五大标准在美国网络安全领域的执行现状

评估标准执行现状描述GAO审计发现的核心问题
领导力承诺表面强劲,深层割裂虽有白宫层面的战略发布,但跨部门(ONCD、CISA、OMB)权责不清,导致顶层意志在传导至执行层时衰减 1。
能力建设资源错配,人才匮乏网络劳动力短缺成为常态,且缺乏准确的数据来量化缺口;关键技术岗位(如OT安全)人员严重不足 5。
行动计划宏大有余,细节不足2023年《实施计划》列出了大量举措,但缺乏具体的成本估算和资源配置路线图,导致计划的可行性存疑 7。
监测机制指标缺失,盲目飞行缺乏“以结果为导向”的绩效指标,过于依赖“活动量”(如会议次数)而非“效果量”(如攻击减少率)来评估安全态势 7。
已证实的进展局部改善,整体脆弱尽管联邦机构修补了部分漏洞,但关键基础设施、供应链和隐私保护等核心领域的风险敞口依然巨大 3。

这一评估结果表明,美国网络安全战略的执行困境并非一时之失,而是深植于其联邦体制、公私分权结构以及官僚体系惯性之中的结构性矛盾。

---

第二部分:顶层设计的落地“摩擦”——战略统筹与绩效管理的双重失效

美国在2023年发布了雄心勃勃的《国家网络安全战略》,并设立了国家网络总监办公室(ONCD)以统筹协调各方。然而,GAO的审计揭示,这一新的指挥中枢在建立权威和推动落实方面面临重重阻力。

2.1 “结果导向”指标的缺位:战略执行的“盲人摸象”

战略管理的黄金法则是“无法衡量,就无法管理”(You can't manage what you don't measure)。GAO在审查ONCD发布的《国家网络安全战略实施计划》时发现了一个致命缺陷:缺乏以结果为导向的绩效衡量指标(Outcome-Oriented Performance Measures)。

2.1.1 官僚体系对量化考核的抵触

GAO报告指出,ONCD并未确立能够衡量战略总体目标成功与否的具体指标。当GAO质询ONCD工作人员时,得到的答复是“制定以结果为导向的指标在当前阶段是不现实的(not realistic)”,理由是网络安全领域缺乏公认的度量标准,且难以将具体的安全成果直接归因于某项特定的政府举措 7。

这种辩解实际上反映了美国官僚体系在面对复杂系统性风险时的“避责心态”。GAO反驳认为,尽管困难,但并非不可行。例如,针对“破坏勒索软件基础设施”这一关键举措,美国财政部实际上已经掌握了勒索软件相关事件的数量和美元价值(2021年报告总价值约为8.86亿美元)7。这些现成的数据完全可以转化为衡量战略有效性的核心KPI,如“勒索软件支付总额的同比下降率”或“攻击者基础设施的平均存活时间”。

2.1.2 “活动”与“效果”的混淆

由于缺乏结果指标,美国联邦机构倾向于使用“产出指标”(Outputs)来替代“结果指标”(Outcomes)。机构会报告“我们发布了5份指南”、“我们举办了3次跨部门演习”或“我们分享了1000条情报”,并以此作为工作成效的证明。然而,GAO尖锐地指出,这些活动并不等同于国家安全水平的实质性提升。如果没有证据表明这些指南被企业采纳并有效阻断了攻击,那么这些活动仅仅是行政资源的空转 8。

这种指标体系的缺失导致了战略执行的“盲目性”。国会和公众无法判断纳税人的数十亿美元投入是否真正换来了更安全的网络环境,决策者也无法依据客观数据来动态调整资源分配。

2.2 成本估算的缺失与预算黑洞

除了绩效指标,GAO还发现《实施计划》未对各项举措进行具体的资源和成本估算。ONCD声称估算整个战略的实施成本是“不切实际的”,因为预算分散在各个机构的基线预算中 7。

2.2.1 资金不确定性带来的执行风险

GAO警告,这种缺乏成本核算的战略规划将导致严重的执行风险。首先,执行机构(如CISA、FBI、DOE等)可能因缺乏明确的专项资金支持而推迟或缩减关键项目。其次,在缺乏总成本视图的情况下,国会难以履行其“钱袋子”职能,无法评估网络安全支出的合理性。这种“先上车后买票”甚至“只上车不买票”的做法,使得许多战略构想最终沦为无米之炊 7。

2.3 ONCD与CISA的职能摩擦与协调困境

拜登政府设立ONCD旨在解决以往网络安全领导力分散的问题,但在实际运行中,ONCD与负责运营的网络安全和基础设施安全局(CISA)之间存在显著的职能重叠和磨合阵痛。

2.3.1 角色定位的模糊地带

理论上,ONCD负责战略制定与协调,CISA负责运营与执行。但在具体业务中,界限往往模糊不清。例如,在推动联邦机构采用零信任架构、协调跨部门事件响应时,两个机构都试图发挥主导作用。GAO报告暗示,这种双头马车结构在初期导致了沟通成本的上升和各部门的无所适从。CISA作为国土安全部(DHS)的下属机构,拥有庞大的预算和现场人员,而ONCD作为白宫机构,拥有接近总统的政治优势。两者之间的张力如果处理不好,将演变为内耗 11。

2.3.2 跨部门协调的效率瓶颈

GAO指出,在信息共享这一核心议题上,CISA与ONCD的合作并未达到最优状态。GAO建议CISA评估当前的威胁信息共享机制(集中式与联邦式混合)是否最优,并呼吁ONCD介入协调。然而,CISA表示将与ONCD合作,但进展缓慢,并未形成书面的评估报告或明确的改进路径。这种拖延反映了在庞大的联邦官僚体系中,即使是最高层级的协调机构,在推动跨部门变革时也面临着巨大的惯性阻力 12。

---

第三部分:关键基础设施保护的内生失效——自愿原则与监管碎片的博弈

美国关键基础设施(Critical Infrastructure, CI)保护面临的最大悖论在于:国家安全依赖于这些设施的可靠运行,但这些设施的绝大部分(约85%)却掌握在私营企业手中。GAO的审计报告深刻揭示了这种“公私分立”结构下的治理失灵。

3.1 “自愿性”合规框架的局限性

长期以来,美国政府依赖“公私伙伴关系”和自愿性标准(如NIST网络安全框架)来引导企业提升安全性。然而,GAO发现,在面对利润最大化的商业逻辑时,自愿性标准往往显得苍白无力。

3.1.1 市场失灵与投资不足

私营企业在进行网络安全投资时,遵循的是商业风险回报逻辑,而非国家安全逻辑。GAO报告指出,许多企业认为防御国家级高级持续性威胁(APT)是政府的责任,属于“不可抗力”,因此缺乏动力投入巨资建设高等级防御体系。这种心态被称为“网络安全领域的道德风险” 14。

GAO在对电网网络安全的审计中发现,虽然联邦能源管理委员会(FERC)批准了部分强制性标准,但这些标准并未完全覆盖NIST框架的所有核心功能。更严重的是,现行的合规门槛是基于过时的风险模型设定的,未充分考虑针对地理分布目标的协同攻击风险(Coordinated Cyberattack on Geographically Distributed Targets)。这意味着,许多关键节点虽然在合规报表上是“绿色”的,但在面对真实的高烈度攻击时,其防御能力可能瞬间崩溃 16。

3.1.2 监管碎片化导致的“合规疲劳”

对于那些确实受到监管的行业,问题则走向了另一个极端:监管重叠与冲突。ONCD在2023年针对监管协调发布的RFI(信息征询书)收到了来自11个关键行业的86份回复。行业普遍反映,缺乏协调的监管导致了巨大的合规成本。

表 3.1 私营部门对美国网络安全监管体系的主要反馈(基于ONCD RFI汇总)

反馈维度具体痛点GAO/ONCD 发现的证据后果
重复监管多头管理企业需同时应对CISA、FBI、行业监管机构(如EPA, FERC)及州级监管者的不同要求 17。资源被合规文档工作挤占,而非用于实质性安全防御。
标准冲突指令不一联邦机构与州机构对同一事件的报告时限、内容要求存在差异 19。造成企业合规混乱,增加法律风险。
跨境壁垒缺乏互认跨国运营企业面临美国与欧盟(GDPR/NIS2)等国际标准的兼容性问题 17。削弱美国企业的全球竞争力,阻碍数据跨境流动。
供应链盲区关注度低监管多聚焦于运营商本身,对上游ICT供应商的标准要求不一致 19。供应链攻击(如SolarWinds)成为监管死角。

3.2 工业控制系统(OT)与物联网(IoT)的防御真空

随着数字化转型,运营技术(OT)与信息技术(IT)加速融合,导致物理基础设施直接暴露在网络攻击之下。GAO审计发现,联邦政府在这一领域的监管能力严重滞后。

3.2.1 CISA在OT领域的专业能力短板

CISA虽然被指定为保护关键基础设施的牵头机构,但GAO在审计中发现,CISA内部严重缺乏懂OT(工业控制系统)的专业人才。审计显示,CISA在应对涉及多个地点的OT系统攻击时,仅有极少数联邦雇员和承包商具备相应的响应能力 5。
这一短板是致命的。IT安全专家可能精通服务器和数据库,但往往不懂PLC(可编程逻辑控制器)、SCADA(数据采集与监视控制系统)以及工业协议。如果CISA无法提供针对性的OT防御指导,那么水厂、电厂等基础设施在遭受攻击时,将难以获得有效的国家级技术支援。

3.2.2 物联网设备的“带病运行”

GAO指出,在能源、医疗和交通等关键行业,物联网(IoT)和OT设备的网络风险管理仍处于初级阶段。由于这些设备往往具有长生命周期(10-20年),且难以打补丁,大量存量设备长期处于“裸奔”状态。尽管《2020年物联网网络安全改进法案》试图改善这一状况,但GAO发现,联邦机构在推动设备制造商实施“设计安全”(Security by Design)方面缺乏强制力手段,导致市场上依然充斥着带有默认密码和已知漏洞的设备 21。

3.3 威胁情报共享的“最后一公里”断裂

尽管建立了诸如ISAC(信息共享与分析中心)等机制,但GAO发现公私之间的情报共享依然低效。

  • 滞后性: 在某些案例中,私营合作伙伴在FBI识别出威胁五个月后才收到相关简报,此时攻击者早已完成渗透或转移阵地 22。
  • 单向性: 共享往往是单向的(企业向政府报告),政府向企业反馈的高价值、可操作情报较少。
  • 工具落后: 许多共享仍依赖于人工简报和电子邮件,缺乏自动化的机器对机器(M2M)数据交换标准,难以应对秒级传播的自动化攻击。

---

第四部分:国防供应链的“黑箱”危机——看不见的敌人与假冒品

国防部(DOD)供应链的安全性直接关系到美军的作战能力。然而,GAO的系列审计报告描绘了一幅令人不安的图景:DOD对其庞大、全球化的供应链缺乏基本的穿透力和控制力。

4.1 无法穿透的“次级”迷雾与外国依赖

DOD的武器系统由数以万计的零部件组成,涉及层层分包的供应商网络。GAO指出,DOD对一级供应商(Prime Contractors)有较好的掌控,但对于二级、三级乃至原材料供应商几乎“两眼一抹黑”。

4.1.1 数据盲区与“友岸外包”的虚幻

GAO在2025年的报告中严厉指出,DOD的主要采购数据库几乎无法提供关于零部件制造地或原材料供应商国别的可视性。DOD目前尚未确定整合供应链数据的资源、优先级和时间表,也未指定负责实施领先商业实践的组织机构 23。
这意味着,DOD无法准确回答“我们的导弹中有多少稀土来自中国?”或“F-35的电路板中有多少电容来自受制裁实体?”这样的核心问题。在缺乏数据支撑的情况下,美国政府推行的“友岸外包”和“去风险”战略在操作层面缺乏抓手,更多停留在政治口号上。

4.1.2 供应商数据整合的停滞

尽管DOD认识到供应链可见性的重要性,但其努力往往是孤立的、未协调的。不同的军种(陆海空)和项目办公室使用不同的系统和标准来追踪供应商,导致数据孤岛林立。GAO建议DOD测试使用合同要求来强制供应商提供原产国信息,但DOD官员以成本高昂和供应商抵触为由,对这一建议持保留态度 24。

4.2 假冒伪劣产品的系统性渗透

供应链不透明的直接后果是假冒伪劣产品流入关键武器系统。GAO的审计报告通过具体案例展示了这一问题的严重性。

4.2.1 触目惊心的案例

GAO在审计中发现或引用了多个假冒部件案例,这些并非简单的商业欺诈,而是直接威胁生命的隐患:

  • GPS振荡器: 空军和海军在超过4000个系统(包括导弹制导)中使用的GPS振荡器被发现是假冒品,可能导致导航失效 25。
  • 制动系统: 用于航空制动的自锁螺母出现裂纹;甚至发现了用干海藻和其他杂质填充的假冒刹车片 25。
  • 劣质钛合金: 用于战斗机引擎支架的钛合金被发现材料不达标,可能导致引擎在飞行中脱落 25。
  • 直升机密封圈: 一名加州男子将廉价的台湾产橡胶密封圈伪造成DOD认证产品,出售给黑鹰和海鹰直升机使用,直接威胁飞行安全 26。

4.2.2 报告机制(GIDEP)的彻底失灵

政府-工业数据交换计划(GIDEP)本应是防范假冒零件的防火墙,但GAO发现其已形同虚设。

  • 定义缺失: DOD甚至没有一个全军统一的“假冒零件”定义,导致各部门认定标准不一 27。
  • 沉默螺旋: 承包商极少主动在GIDEP上报告疑似假冒零件。GAO数据(2011-2015)显示报告数量极低。原因在于法律责任——报告假冒零件可能招致调查、合同终止或股价下跌。这种激励机制的错位导致承包商选择沉默 28。
  • 信息封锁: 即便有报告,也往往被标记为仅限政府内部查看,使得其他行业伙伴无法获知风险,同一批假冒零件可以通过其他分销商继续销售 28。

4.3 核武器供应链的特殊挑战

即使在安全等级最高的国家核安全管理局(NNSA),供应链风险依然存在。GAO审计了NNSA的高能炸药供应链,发现了66个已识别的风险,包括原材料供应中断和制造挑战。虽然NNSA在管理上相对较好,遵循了大部分领先实践,但在供应商风险审查流程和复原力战略上仍有待完善。这表明,即便是美国最核心的威慑力量,其物质基础也并非无懈可击 29。

---

第五部分:数据治理与新兴技术监管的滞后——从隐私到AI的监管真空

在数据即战略资产的时代,美国联邦政府在隐私保护和人工智能(AI)监管方面表现出明显的立法滞后和执行疲软。

5.1 隐私执法的“无牙老虎”

美国至今缺乏统一的联邦隐私法,主要依赖联邦贸易委员会(FTC)利用反欺诈职权进行“拼凑式”监管。

5.1.1 缺乏民事处罚权的FTC

GAO多次建议国会赋予FTC针对违反《格雷姆-里奇-比利雷法案》(GLBA)隐私条款行为的民事处罚权(Civil Penalty Authority)。目前,FTC在处理数据泄露案件(如Equifax造成1.45亿人数据泄露)时,必须证明消费者遭受了具体的金钱损失才能寻求赔偿。然而,隐私泄露的危害往往是长期的、隐性的(如身份盗窃风险增加),难以量化为具体的美元损失。缺乏直接开具罚单的权力,使得FTC的威慑力严重不足,无法迫使大型科技公司和征信机构真正重视数据安全 30。

5.1.2 消费者选择权的丧失

在征信和数据经纪(Data Brokers)行业,消费者实际上是被出售的“商品”而非客户。GAO指出,消费者无法通过市场行为(如转换服务商)来倒逼Equifax等公司提升安全性,因为消费者无法选择谁收集他们的数据。这种市场机制的彻底失灵,必须通过强有力的政府干预来纠正,但目前的监管框架显然未能做到这一点 31。

5.2 人工智能监管的“影子”危机

随着联邦机构加速采纳AI技术,监管体系的建立速度远远落后于技术应用速度。

5.2.1 “影子AI”与库存造假

GAO审计发现,联邦机构的AI用例库存普遍存在数据不完整、不准确的问题。最典型的案例是美国国税局(IRS)与ID.me的合作。IRS使用ID.me提供的身份验证服务,该服务明确使用了涉及面部识别的AI技术。然而,IRS并未将其列入AI库存,也未对其进行应有的合规性监督。
这种“影子AI”现象意味着大量涉及公民敏感权益(如纳税、福利领取)的AI系统在没有任何风险评估和透明度审查的情况下运行。GAO指出,如果连拥有执法权的IRS都无法有效监管其AI供应商,其他技术能力更弱的联邦机构面临的挑战将更加严峻 34。

5.2.2 缺乏可衡量的监管目标

在IRS案例中,GAO发现IRS未能设定具体的、可衡量的绩效目标,导致无法独立验证服务商声称的防欺诈效果是否真实,也无法评估其对纳税人权益的潜在侵害。ID.me声称其技术有效,但IRS缺乏独立数据来验证这一点。这种对第三方技术黑箱的盲目依赖,构成了数字政府时代的新型系统性风险 35。

5.2.3 统筹缺失与合规混乱

GAO对23个联邦机构的AI库存审计显示,仅有5个机构提供了全面的信息,其他15个机构均存在数据缺失或不准确。部分机构甚至无法区分什么是AI,什么是普通软件。这反映出联邦层面缺乏统一的AI定义和识别标准,导致《第14110号行政令》(关于安全、可靠地开发和使用AI)的执行基础极其薄弱 36。

---

第六部分:人力资本困境——系统性造血功能的衰退

人才是网络安全的第一资源。GAO的高风险报告反复强调,技能差距(Skills Gaps)是导致网络安全高风险持续存在的主要原因之一。

6.1 数据真空下的劳动力管理

美国联邦政府甚至无法准确回答“我们需要多少网络人才”以及“我们拥有什么样的人才”这两个基本问题。

6.1.1 基础数据的缺失

GAO审计指出,NIST和OPM(人事管理局)在网络安全劳动力的定义和统计上存在长期缺陷。虽然设立了专门的工作角色代码,但各机构在执行时标准不一,导致联邦政府无法获得关于网络劳动力缺口的准确全景图。ONCD被指责未能采取行动解决各机构评估其劳动力计划有效性的数据缺口。没有准确的数据,所谓的人才战略就成了空中楼阁 6。

6.2 CyberCorps项目的“漏斗效应”

“CyberCorps: Scholarship for Service”(SFS)是美国政府核心的网络人才奖学金项目,旨在通过资助学费换取毕业生在政府服务。

6.2.1 留任率追踪失败

GAO发现NSF(国家科学基金会)和OPM甚至无法准确追踪这些奖学金获得者毕业后在政府工作的时长和留任率。由于问卷回复率低至32%-50%,政府无法判断数亿美元的投入是否真正为联邦机构输送并留住了人才。这反映了项目管理的粗放——政府只管“发钱”,不管“效果” 38。

6.3 薪酬与审查的双重门槛

GAO指出,联邦政府受限于僵化的薪酬体系(GS量表),难以与私营部门争夺顶级人才。此外,漫长的人员安全审查(Security Clearance)流程进一步加剧了人才流失。许多合格候选人在等待审查的数月甚至数年中选择了其他工作。这种行政效率的低下,使得联邦政府在人才争夺战中未战先败 3。

---

第七部分:深度总结与对中国的借鉴建议

7.1 美国网络安全战略执行的病理总结

综上所述,GAO的系列审计报告为我们描绘了一个**“战略巨人,执行跛足”**的美国网络安全形象。其核心病灶可以归纳为四点:

  1. 权责碎片化: 联邦体制下的多头管理导致协调成本极高,战略指令在层层传导中被稀释。
  2. 监管软弱化: 过度迷信“自愿合规”和市场机制,导致在涉及国家安全的底线问题上缺乏强制力。
  3. 数据黑箱化: 无论是供应链、劳动力还是AI应用,政府都缺乏穿透性的数据视野,决策往往基于模糊的估计而非精确的情报。
  4. 激励错位化: 私营部门的利润动机与国家安全目标不兼容,且缺乏纠正这种错位的法律和经济工具(如罚款、保险)。

7.2 对中国网络安全战略优化的建议

基于美方教训与中国国情,本报告提出以下针对性的优化建议:

建议一:强化“统筹强权”,构建结果导向的指挥体系

针对美方教训: ONCD与CISA职能重叠,缺乏KPI导致战略空转。
中国方案:

  • 确立绝对权威的统筹机构: 依托中央网络安全和信息化委员会,强化国家职能部门对关键行业(金融、能源、电信等)网络安全工作的督查权和考核权。避免出现“九龙治水”的局面。
  • 实施“实战化”绩效考核: 坚决摒弃“发文即合规”的形式主义。建立以**“实战攻防演练结果”、“关键业务系统无故障运行时长”、“威胁情报响应速度”**为核心的国家级KPI体系。
  • 预算强挂钩: 将网络安全预算的审批与上一年度的实战防御绩效直接挂钩,对防御不力的部门进行问责和预算以此倒逼其提升能力。

建议二:实施“穿透式”供应链监管,确立技术主权

针对美方教训: DOD对次级供应商无视力,假冒伪劣泛滥,GIDEP报告机制失灵。
中国方案:

  • 构建国家级供应链全景图谱: 利用大数据技术,强制要求关键信息基础设施运营者申报详细的供应商信息(穿透至原材料级)。建立国家级数据库,精准识别对特定国家或厂商的依赖风险。
  • 建立“电子身份证”溯源体系: 针对芯片、操作系统、工业软件等核心组件,建立全生命周期的溯源机制。在采购合同中强制加入溯源条款,一旦发现“挂羊头卖狗肉”或使用违规组件,对供应商实施“黑名单”制裁,并追究法律责任。
  • 打破“沉默螺旋”: 建立匿名举报与奖励机制,鼓励企业内部人员和第三方检测机构报告供应链中的假冒伪劣和安全漏洞,对主动报告的企业给予合规豁免,对隐瞒不报的实施严惩。

建议三:确立“底线强制”与“动态合规”并重的CII保护模式

针对美方教训: 关键基础设施保护过于依赖“自愿”,OT安全能力不足。
中国方案:

  • 法制化的强制基线: 在《关键信息基础设施安全保护条例》框架下,出台各行业强制性技术标准。明确安全是CII运营的“准入证”,而非“加分项”。
  • OT与IT融合防御: 吸取CISA教训,在国家应急体系中专门组建针对工控系统(OT)的专家队伍。加强对工业互联网、物联网设备的入网安全检测,强制推行“设计安全”标准,严禁带病上线。
  • 推广常态化实战演练: 深化“护网”行动模式,将其常态化、实战化。通过高强度的红蓝对抗,暴露深层次漏洞,迫使企业保持高水平的战备状态。

建议四:构建全生命周期的网安人才生态

针对美方教训: 人才数据缺失,奖学金项目缺乏留任跟踪,薪酬缺乏竞争力。
中国方案:

  • 建立人才数据底座: 开展全国性的网络安全人才普查,建立动态更新的人才数据库,精准掌握人才分布、技能结构和缺口情况。
  • 优化人才培养与留用: 在国家级网络安全人才培养项目中,明确服务义务和职业发展路径。
  • 打破薪酬体制束缚: 在关键科研机构和网络安全保卫部门,探索实行“协议薪酬制”或“特殊津贴制”,以具备市场竞争力的待遇留住顶尖攻防人才,避免人才单向流向私营部门。

建议五:前瞻性布局新兴技术监管

针对美方教训: “影子AI”泛滥,隐私监管乏力。
中国方案:

  • 建立算法备案与审查制度: 对应用于公共服务、社会治理等敏感领域的AI系统,实施强制性备案。严禁政府部门在无监管情况下外包核心数据处理业务。
  • 强化数据隐私执法: 赋予个人信息保护监管机构更强的执法权和处罚权,不仅要罚款,更要责令停业整顿。确保在数字经济发展中,公民隐私权益得到实质性保护,增强公众对数字政府的信任。

报告结语

GAO的数千页审计报告,实质上是美国这一网络超级大国的“体检报告”。它揭示了即使在资源最丰富、技术最先进的国家,网络安全战略的执行依然面临着官僚主义、市场失灵和机制僵化的巨大挑战。对于中国而言,最大的后发优势在于能够从对手的失误中学习。通过强化体制优势、坚持结果导向、实施穿透监管,中国完全有能力构建起比美国更为坚实、反应更为敏捷的国家网络安全防御体系。

(完)

Works cited

  1. High Risk List | U.S. GAO, accessed December 14, 2025, https://www.gao.gov/high-risk-list
  2. GAO-25-108125, HIGH-RISK SERIES: Heightened Attention Could Save Billions More and Improve Government Efficiency and Effectiveness, accessed December 14, 2025, https://files.gao.gov/reports/GAO-25-108125/index.html
  3. High-Risk Series: Heightened Attention Could Save Billions More and Improve Government Efficiency and Effectiveness - GAO, accessed December 14, 2025, https://www.gao.gov/products/gao-25-107743
  4. High-Risk Series: Heightened Attention Could Save Billions More and Improve Government Efficiency and Effectiveness | U.S. GAO, accessed December 14, 2025, https://www.gao.gov/products/gao-25-108125
  5. Cybersecurity: Improvements Needed in Addressing Risks to Operational Technology - GAO, accessed December 14, 2025, https://www.gao.gov/products/gao-24-106576
  6. GAO urges ONCD to evaluate cyber workforce initiatives, in report addressing data gaps, accessed December 14, 2025, https://insidecybersecurity.com/daily-news/gao-urges-oncd-evaluate-cyber-workforce-initiatives-report-addressing-data-gaps
  7. GAO-24-106916, CYBERSECURITY: National Cyber Director Needs to Take Additional Actions to Implement an Effective Strategy, accessed December 14, 2025, https://www.gao.gov/assets/d24106916.pdf
  8. National cybersecurity plans lack performance measures and estimated costs, GAO says, accessed December 14, 2025, https://cyberscoop.com/gao-national-cybersecurity-strategy/
  9. Heightened Attention to High-Risk Areas Could Yield Billions in Savings and A More Efficient and Effective Government - GAO, accessed December 14, 2025, https://files.gao.gov/reports/GAO-25-107743/index.html
  10. GAO-24-107231, HIGH-RISK SERIES: Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation, accessed December 14, 2025, https://www.gao.gov/assets/gao-24-107231.pdf
  11. Cybersecurity: National Cyber Director Needs to Take Additional Actions to Implement an Effective Strategy - GAO, accessed December 14, 2025, https://www.gao.gov/products/gao-24-106916
  12. GAO Adds Improving CISA Info Sharing to Priority Recs List - MeriTalk, accessed December 14, 2025, https://meritalk.com/articles/gao-adds-improving-cisa-info-sharing-to-priority-recs-list/
  13. GAO Calls for Better Info-Sharing by ONCD and CISA After Cyberattacks; May be Inconsistent with New Mandates - Wiley Connect, accessed December 14, 2025, https://www.wileyconnect.com/gao-calls-for-better-info-sharing-by-oncd-and-cisa-after-cyberattacks-may-be-inconsistent-with-new-mandates
  14. Why the Cybersecurity Framework Will Make Us Less Secure | Mercatus Center, accessed December 14, 2025, https://www.mercatus.org/research/research-papers/why-cybersecurity-framework-will-make-us-less-secure
  15. Addressing the Private Sector Cybersecurity Predicament: The Indispensable Role of Insurance | Carnegie Endowment for International Peace, accessed December 14, 2025, https://carnegieendowment.org/research/2018/11/addressing-the-private-sector-cybersecurity-predicament-the-indispensable-role-of-insurance?lang=en
  16. Critical Infrastructure Protection: Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid | U.S. GAO - Government Accountability Office, accessed December 14, 2025, https://www.gao.gov/products/gao-19-332
  17. ONCD summarizes cybersecurity RFI responses, cites harmonization and reciprocity issues across sectors - Industrial Cyber, accessed December 14, 2025, https://industrialcyber.co/regulation-standards-and-compliance/oncd-summarizes-cybersecurity-rfi-responses-cites-harmonization-and-reciprocity-issues-across-sectors/
  18. Cybersecurity Strategy: ONCD, GAO - KPMG International, accessed December 14, 2025, https://kpmg.com/us/en/articles/2024/cybersecurity-strategy-oncd-gao-reg-alert.html
  19. SUMMARY OF THE 2023 CYBERSECURITY REGULATORY HARMONIZATION REQUEST FOR INFORMATION - Biden White House Archives, accessed December 14, 2025, https://bidenwhitehouse.archives.gov/wp-content/uploads/2024/06/Cybersecurity-Regulatory-Harmonization-RFI-Summary-ONCD.pdf
  20. Regulatory harmonization in OT-critical infrastructure faces hurdles - IBM, accessed December 14, 2025, https://www.ibm.com/think/news/regulatory-harmonization-ot-critical-infrastructure-hurdles
  21. GAO-23-105327, Critical Infrastructure: Actions Needed to Better Secure Internet-Connected Devices, accessed December 14, 2025, https://www.gao.gov/assets/gao-23-105327.pdf
  22. GAO: National Cybersecurity Strategy Needs to Address Information Sharing Performance Measures and Methods - HSToday, accessed December 14, 2025, https://www.hstoday.us/subject-matter-areas/cybersecurity/gao-national-cybersecurity-strategy-needs-to-address-information-sharing-performance-measures-and-methods/
  23. Actions Needed to Address Risks Posed by Dependence on Foreign Suppliers - GAO, accessed December 14, 2025, https://files.gao.gov/reports/GAO-25-107283/index.html
  24. GAO-25-107283, DEFENSE INSUSTRIAL BASE: Actions Needed to Address Risks Posed by Dependence on Foreign Suppliers - Government Accountability Office, accessed December 14, 2025, https://www.gao.gov/assets/gao-25-107283.pdf
  25. GAO-GAO-10-389 Highlights, DEFENSE SUPPLIER BASE:: DOD Can Leverage Ongoing Initiatives in Developing its Program to Mitigate Ri, accessed December 14, 2025, https://www.gao.gov/assets/gao-10-389-highlights.pdf
  26. Counterfeit Parts in the U.S. Department of Defense Supply Chain, accessed December 14, 2025, https://a-capp.msu.edu/article/counterfeit-parts-in-the-u-s-department-of-defense-supply-chain/
  27. GAO-10-389 Defense Supplier Base: DOD Should Leverage Ongoing Initiatives in Developing Its Program to Mitigate Risk of Counterf, accessed December 14, 2025, https://www.gao.gov/assets/gao-10-389.pdf
  28. Counterfeit Parts: DOD Needs to Improve Reporting and Oversight to Reduce Supply Chain Risk - GAO, accessed December 14, 2025, https://www.gao.gov/products/gao-16-236
  29. GAO-25-107016, NATIONAL NUCLEAR SECURITY ADMINISTRATION: Explosives Program Is Mitigating Some Supply Chain Risks but Should Take Additional Actions to Enhance Resiliency - Government Accountability Office, accessed December 14, 2025, https://files.gao.gov/reports/GAO-25-107016/index.html
  30. GAO Recommends Beefing Up FTC, CFPB Enforcement of Nonbank Data Privacy, accessed December 14, 2025, https://bankingjournal.aba.com/2019/03/gao-recommends-beefing-up-ftc-cfpb-enforcement-of-nonbank-data-privacy/
  31. Actions Needed to Strengthen Oversight of Consumer Reporting Agencies | U.S. GAO, accessed December 14, 2025, https://www.gao.gov/products/gao-19-196
  32. GAO-19-196 Highlights, CONSUMER DATA PROTECTION, accessed December 14, 2025, https://www.gao.gov/assets/gao-19-196-highlights.pdf
  33. Consumer Privacy: Changes to Legal Framework Needed to Address Gaps | U.S. GAO, accessed December 14, 2025, https://www.gao.gov/products/gao-19-621t
  34. GAO-25-107273, TAXPAYER IDENTITY VERFICATION: IRS Should Strengthen Oversight of Its Identity-Proofing Program, accessed December 14, 2025, https://www.gao.gov/assets/gao-25-107273.pdf
  35. GAO: IRS Has an AI Oversight Problem With Vendor - MeriTalk, accessed December 14, 2025, https://www.meritalk.com/articles/gao-irs-has-an-ai-oversight-problem-with-vendor/
  36. ARTIFICIAL INTELLIGENCE Agencies Have Begun Implementation but Need to Complete Key Requirements - GAO, accessed December 14, 2025, https://www.gao.gov/assets/870/864589.pdf
  37. GAO-25-108739, VETERANS AFFAIRS: Key AI Practices Could Help Address Challenges, accessed December 14, 2025, https://www.hsdl.org/c/view?docid=897603
  38. GAO-22-105187, CYBERSECURITY WORKFORCE: Actions Needed to Improve CyberCorps Scholarship for Service Program, accessed December 14, 2025, https://www.gao.gov/assets/gao-22-105187.pdf
  39. 2023Biennial Report Cybercorps Scholarship for Service - National Science Foundation, accessed December 14, 2025, https://nsf-gov-resources.nsf.gov/files/2023SFSBiennialReport-r.pdf

贡献者

The avatar of contributor named as pansin pansin

文件历史

撰写

CC BY-SA 4.0 © 2022-PRESENT Nólëbase 的创作者们