美国信息安全最新发展综述

郝文江,马晓明

(公安部第一研究所,北京 100048;中国人民公安大学,北京 100038)

现代社会中信息安全开始渗透到社会生活的各个领域,对传统的行政权力划分提出挑战。美国现有的网络安全部门结构非常复杂,国防部、国家安全局、国土安全部之间存在职能冲突,信息安全行政主管权的职能冲突也同样延伸到了立法领域。美国政府历来高度重视网络空间的安全部署,奥巴马执政以来则出台了一系列网络安全战略,使之成为美国国家安全战略的一部分。国家层面的战略计划、法律法规也集中出炉,体现了美国将迎来信息安全政策的重大调整。

一、奥巴马政府的信息安全战略部署[1]

奥巴马政府高度重视网络安全在美国国家安全战略中的作用,将信息安全战略列为执政的首要任务之一。其内容包括:任命白宫网络安全协调官协调美国的网络安全事务;把网络基础设施列为战略资产加以保护;成立网络战司令部,加强网络攻防能力。奥巴马政府网络安全战略的实质是谋求网络威慑,实现制网权。

(一)确立了信息安全的集中领导权

奥巴马执政以来出台了一系列信息安全机构的调整政策,如:增设白宫网络安全事务协调官和白宫网络安全办公室。白宫网络安全办公室是直接对国家安全委员会和美国总统负责的网络安全机构,凌驾于军队和政府情报部门之上,负责统筹全国网络安全事务。

面对美国政府、民间力量和军方在应对网络突发事件时各自为政的局面,2009年 5月底,在经过为期两个月的网络安全评估后,奥巴马宣布将成立一个新的用于保护网络安全的白宫办公室,其指导人被称为“网络沙皇”。奥巴马宣布,要把保护美国最重要的计算机网络的安全作为美国国家和经济安全的最优先项目。“我们将确保这些网络是安全的、值得信赖的并且轻易恢复的,”奥巴马说,“我们将防备、阻止、跟踪和防备那些网络攻击,并且迅速从任何攻击中恢复过来。”2009年 12月 22日,奥巴马正式任命网络安全专家霍华德·施密特为美国网络安全协调官,统筹协调美国网络安全政策和行动。

网络安全协调官指导下的网络安全办公室将为总统提供网络安全方面的决策和方针,并协调美国全国的网络安全力量,特别是在主要的网络突发事件或网络攻击中,调整美国政府的反应能力。之所以称其“网络沙皇”,是因为奥巴马总统给予了强有力的支持。用奥巴马的话说,“我将依赖这个办公室解决涉及网络安全的问题,这个办公室正规的权力将得到我的全力支持”。“网络沙皇”的自身任务也不轻,他将担任“整个美国所依赖的要害的网络基础设施的安全”,这些网络基础设施并不限于联邦政府。他还将同各州当地政府的官员以及对抗网络攻击的国际性组织联合工作,而且也将同私人部门联合,以确保对未来的网络突发事件采取有组织的、统一的行动。

(二)高度重视网络基础设施

2009年 2月制定的“国家网络安全综合倡议”对美国目前的网络安全状况进行为期 60天的评估。这期间,美国国会研究服务局和政府问责局分别出台了两份有关美国网络安全的报告。

2009年 3月 10日,美国国会研究服务局针对小布什政府提出的 CNC I,发布了《国家网络安全综合倡议:法律授权和政策考虑》的报告。这是一份关于美国网络战争及国防法律与政策问题的报告。报告认为对政府关键基础设施的网络攻击是要高度关注的首要威胁,奥巴马政府的网络安全重点是加强行政和立法部门应对网络安全挑战的能力。同一天,美国国会政府问责局公布《国家网络安全战略》报告,提出了美国需要进一步采取措施加强的五大网络安全领域,即支持网络分析和预警能力,完成网络演习中提出的行动,增强基础设施控制系统的网络安全性,加强国土安全部对网络攻击的恢复能力,控制网络犯罪。

2009年 5月 29日,奥巴马指导了一个 60天全面广泛的、对美国网络安全政策和结构“彻底清查(clean-slate)”的评论评估。经过几个月的工作,评论小组公布了一份结论性报告——《网络空间政策评估——保障可信和可恢复的信息和通信基础设施》,该报告概述了朝向未来的可靠、可恢复、可信的数字基础设施的起始之路。网络安全政策包括关于网络空间操作和安全的战略、方针和标准,网络安全政策不包括其他与国家安全和基础设施安全不相关的信息通信政策。政府网络安全专家评论小组参考并接收了工业、学术界、公民自由保密团体、州政府、国际伙伴、立法执法部门各个方面的反馈意见。报告指出:国家正处于一个十字路口;现状已不可接受;必须马上开始全国性的网络空间安全对话;美国不可能独自确保网络空间的安全;联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色;与私营部门合作,必须定义下一代基础设施的性能和安全目标;白宫必须在提高网络安全方面起领导作用。

2010年 6月 25日,白宫公布了网络空间可信身份战略,建立网络空间的身份生态环境。6月下旬,美国网络安全协调官霍华德·施密特在白宫网站上发布了《国家网络安全网络空间可信身份国家战略》(NSTIC)草案。NSTIC是为了响应奥巴马总统批准的《网络空间政策评估》中提出的要求,在综合了政府关键部门、龙头企业和个人隐私等各方面的基础上撰写而成。最终的目的是建立一个以用户为中心的身份生态认证系统,该系统在对用户进行身份认证的同时,能够更多地控制相关个人信息。并且,在通常情况下,个人无需提供不必要的个人隐私及相关信息。这个系统建成后,无论是个人还是组织都能够在信任状态下进行在线业务,保证业务双方的身份认可,以及运行这些业务的基础设施的身份认可。

(三)提高网络攻防能力,实施积极防御

2009年 6月 23日,美国国防部 (DOD)部长盖茨正式下令创建网络战司令部,以协调美军的网络安全以及指挥网络战。根据盖茨当天签署的一份长达 3页的备忘录,网络战司令部将于 2010年 10月全部投入运行。

关于美国网络战司令部使命的许多方面是保密的。在此前参议院海陆空三军委员会听证会上,A lexander就参议员询问的问题(共有 98个)进行回答,其中 29个书面回答是“在保密附录中提供答案”,这些问题如:对于网络战司令部你的优先权是什么?你怎样定义美国网络司令部的使命? DOD具有在网络空间在战术、战斗和战略层面上指挥军事战斗的重大能力吗?美国有适合于网络战争的威慑学说和威慑战略吗?到什么程度DOD考虑某些美国关键基础设施的防御必须包括延伸到国外的网络?等等。

该司令部隶属于美国战略司令部,驻马里兰州米德堡基地。该司令部将对目前分散在美国各军种中的网络战指挥机构进行整合,最终可能完全独立运作。2010年 3月 17日,美战略司令部司令奇尔顿表示,美军目前已经基本完成网络战司令部组建准备工作,美国国家安全局局长亚历山大中将已经被提名兼任该司令部司令,经国会批准后网络战司令部正式投入运行。据分析,国防部的网络战司令部主要完成三项任务:首先是保护军方的网络免遭敌方入侵和破坏。其次是在网络安全办公室的协调下,与政府及民间的网络安全组织和公司一起,反制敌方黑客对诸如电力控制系统、供水控制系统等美国重要民用网络的破坏和入侵。第三则是对感兴趣的别国网络进行侵入和破坏,争夺网络空间的控制权。届时,国防部的网络战司令部既是美国民间网络安全力量的骨干,又将在为总统提供决策建议时,作为网络安全办公室的一个有益补充。

2010年 2月 16日,美国两党间政策问题研究中心组织了“网络风暴”演习,旨在使美国领导人演练应对未来灾难性的网络袭击。

网络战司令部的成立被外界称为从被动响应到积极防御的战略转变,甚至有人认为美国成立网络战司令部的目的是在网络空间实施“先发制人”的政策。早在 2009年 4月,一个美国空军官员就对BBC说过:“美国应当构建一个攻击性的僵尸网络,把向美国发起网络攻击的任何力量作为目标。”几乎同时美国报纸也透露,“国防部确实在开发进攻性网络武器”。可以设想,网络战司令部非常可能利用在美国国内众多的僵尸网络及其命令和通过控制服务器来隐蔽其秘密的军用进攻性僵尸网络。美国建立网络司令部可能在网络战空间中引起新的军备竞赛。

二、近年美国政府信息安全法律动向[2]

信息安全开始渗透到社会生活的各个领域,对传统的行政权力划分提出挑战。美国现有的网络安全部门结构非常复杂,国防部、国家安全局、国土安全部之间存在职能冲突,许多新成立的机构严重缺员。信息安全行政主管权的职能冲突也同样延伸到了立法领域。近几年的网络安全立法更像是信息安全主管权的争夺战。各部门都想通过立法来分未来信息安全主导权的一杯羹。美国在近十年间一直努力构建严密而复杂的网络监管体系。美国政府对互联网的监管措施越来越严密,并呈现出“法制化”、“规范化”的特点。

(一)已通过的信息安全法律

1.《美国信息与通讯增强法案》修订法案

2009年 8月 13日通过了《美国信息与通讯增强法案》修订法案(U.S.ICE),该法案是对《联邦信息安全管理法案》(FISMA)所规定的 IT安全指导的更新。U.S.ICE修订本将监督联邦机构信息安全的职责从白宫的OMB转移到DHS。

修订版删除了在总统行政办公室中设置国家网络安全办公室的规定。U.S.ICE改为将大多数政府的 IT安全监管授予国土安全部部长及其国家保护的项目部门。OMB将不会失去所有的职权,他将保留对预算内容的最终发言权。但是,按修订版,DHS将检查所有部门和机构网络安全开销计划并且向OMB发布他的建议。从OMB到DHS转移职权背后的想法是国土安全部具有网络安全专门技术而OMB精通的是预算。依据委员会的高级委员,“国土安全部”已经是关于网络安全的协调机构。该法案授权国家标准和技术研究所(N IST)作为制定 IT安全规范指导重要政府机构,但是授权DHS指导具有优先权的政府机构。

U.S.ICE修订版的其他规定包括:

(1)在DHS内构建一个机构间网络安全委员会,提供来自不同机构研究联邦网络安全政策的专家。来自每个机构负责 IT安全政策的资深人员将是委员会成员。在有些机构这些成员将是首席信息官,而在其他机构则是首席信息安全官。

(2)与 IT供应商合作,以驱动成本效能为目标,为商业现货供应产品设立 IT安全基线。

(3)构成一个包括DHS、N IST和政府服务局的机构间联合小组,为安全技术建立通用认证和认可框架。政策将不允许机构建立它们自己的C&A标准。

2.2010 年通过的决议

2010年的美国信息安全立法提案不少,但真正获得通过的仅是几个决议,而非实质性的法律法规。在通过的《国土安全部拨款法案 2010》和《国土安全法律和技术授权法案2010》中,2010年财年预算给予国土安全部的科学与技术局10亿美元,用于诸如网络安全等研究。这些预算不包括国防部用于网络安全的费用。这些费用主要用于研发、部署新的网络攻防技术设施,如小布什政府 CNC I中的爱因斯坦 3型(Einstein3)等网络侦测设备,以及国家网络靶场 (National CyberRange,NCR)和网络风暴 3(Cyber Storm 3)演习等项目。

为研发网络新技术和保护网络安全,美政府通过一系列决议来培养信息安全人才,为信息安全做人才储备。2010年6月 29日众议院教育和劳工委员会提案通过,决定未来 5年内推进全国高校中网络安全课程的学习,并举办全国大学生网络防御比赛。另外,《网络安全研究和发展法案》修正案旨在促进学院、大学和制造技术推广中心之间的合作。

(二)2010年具有影响力的信息安全法提案

2010年,最受关注的两个提案是《国家网络基础设施保护法案 2010》和《网络空间作为国有资产保护法案 2010》。

1.《国家网络基础设施保护法 2010》(NationalCyber Infrastructure Protection A ctof 2010)

该提案提出了三点建议:一是国会应该在网络基础设施保护领域设置“安全线”,以保障美国的网络基础设施安全,当然要留给政府和私营部门一定的灵活性。二是提议成立国家网络中心,并由参议院指定一个人作为中心主任,直接向国会、美国人民和总统就信息安全问题负责。提案未提及在总统行政办公室设立法定的协调中心来解决网络安全问题。因为目前白宫的网络安全协调中心既没有权限也没有人员来协调政府范围内的网络运营和战略。三是提议在政府和私营部门之间建立网络防御联盟的伙伴关系,以促进私营部门和政府之间关于网络威胁和最新技术信息的信息互通。私营部门往往是遭受网络攻击的前沿阵地,该网络攻击的信息可以提高政府对网络威胁性质的认识,政府也应该分享其掌握的网络威胁信息,包括机密或解密的情报。该联盟将成为传递敏感信息和网络威胁信息的交换所,当然该联盟的工作必须严格遵守《信息自由法》、《反垄断法》等法律法规的规定。

2.《网络空间作为国有资产保护法案 2010》(Protecting Cyberspace as a NationalA ssetA ctof 2010)

美国国土安全委员会主席、资深参议员乔·利伯曼日前向美国参议院提出该法案。该法案已经由参议院国土安全与政府事务委员会通过,提案授权国土安全部对国家机构的IT系统进行维护监管。该法案同样遭到了质疑,不少人认为该法案授权美国国土安全部监管新 IT安全产品的测试和政府采购,而国土安全部并没有这方面的专门人才。去年 12月,总统任命了一个新的白宫网络安全协调官,该法案似乎试图绕过网络安全协调官及其办公室的权限。

该法案中最有争议的条款,是它规定总统可以宣布国家紧急网络状态,并强制私营业主对关键 IT系统采取补救措施,以保护国家的利益。根据该提案,当美国政府认为美国安全将因互联网的开放而受到侵犯时,总统可以命令谷歌、雅虎等搜索引擎运营商暂停互联网服务。其他以美国为基地的互联网服务提供商,在全国发生互联网安全紧急事件时,都将受到总统的管制,违者将遭到严厉的处罚。若如此,美国总统就正式拥有开启和关闭“互联网按钮”的权力。

三、对我国信息安全战略的几点启示

通过控制互联网来控制世界一直是美国的主导战略。通过对近两年来美国的信息安全战略和立法分析看出,美国的国家信息安全战略已经进入了奥巴马时代的“网络威慑”期,经历了一个“从预防为主到先发制人”的演化过程,手段经历了“从控制互联网软硬件系统到控制互联网内容”的演化过程。拥有开启和关闭互联网的“总开关”成为美国通过互联网来控制世界最终目的的重要手段。而更令人担忧的是,根据《网络空间作为国有资产保护法案 2010》的提案,以美国为基地的互联网服务提供商,在全国发生互联网安全紧急事件时,都将受到总统的管制。与此同时,美国在近十年间一直努力构建严密而复杂的网络监管体系。由于互联网本身的“活跃”属性和美国社会对公权力膨胀的担心,“管”与“放”的矛盾一直十分激烈,且将长期争论下去。但总的来看,美国政府对互联网的监管措施将越来越严密,并呈现出“法制化”、“规范化”的特点。我国应该加快信息安全的立法工作,为我国信息化健康发展提供法制保障。

(一)加快制定信息安全立法规划

我国在网络安全立法方面以 2004年通过的《电子签名法》为标志实现了零的突破,随后,各部门发布了电信条例、信息网络传播权条例、互联网信息服务管理办法、计算机信息系统安全保护条例、互联网视听节目服务管理规定等。与发达国家和一些发展中国家相比,我国在信息安全方面的立法明显滞后,表现在不仅已有立法的范围只覆盖了网络安全的个别领域,而且立法的效力层次较低。信息安全涉及各行各业,由某一个行业主管部门出台的行政性规制很难做到全面公正。鉴于此,我们建议我国应尽快制定信息安全立法规划,明确立法时间表。

(二)加强对国家信息基础设施的保护

信息基础设施已经在国家社会生活的各个领域中发挥着不可替代的作用,政治生活、经济运作、商业活动、军事安全和文化娱乐,都依赖庞大而复杂的网络系统。而政府、社会团体、公司的网站每天都会面临各种网络攻击,给国家的政治经济和国家安全带来严重隐患。在今天的经济形势下,所有个人和组织都需要为网络攻击关键基础设施导致的不稳定性做好准备。为消除这一日益增加的隐患,我国应该尽快出台国家信息基础设施保护方面的法律法规,不仅包括对光缆和移动通信基础设施的保护,而且包括对非法接入行为的界定,对黑客和制造病毒等网络系统中的恶意破坏行为进行处罚。

(三)明确国家在重大安全事件时可以对网络进行管制

网络世界从来不是一个不用现实的法律条例约束的独立王国。高声宣扬“网络自由”的美国,从来都没有对互联网“疏于”防范和管控。美国通过各种途径,对网络实施着当今世界最成熟和最有效率的监控和管制措施。不论是战略层面还是策略层面,不论是技术层面还是管理层面,美国都是当今世界在这一领域最具实力和最具执行力的国家。政府有对网络行为进行管制的必要性和正当性。我国应该制定完备的信息安全法对网络进行管控。有消息称《信息安全条例》已纳入 2011年国务院立法规划。我国的信息安全法应该包括国家在重大安全应急事件情况下对通信网络的管制权力的授予,尤其是把在有理由相信国家安全受到威胁时,可以将采取临时管制措施纳入信息安全法的规定当中。

四、结语

互联网是一个开放的世界,但“没有规矩,不成方圆”,互联网上一旦出现法律和监管上的真空,国家安全、信息安全、电子商务、个人隐私、未成年人保护等合法行为、合法权益、合理诉求必将遭受冲击和破坏。依法管理互联网已成国际惯例,只有明确互联网法律保护什么、禁止什么,明确互联网主体参与者的权利和义务,才能保障互联网健康、有序、快速的发展。只有让法律法规适应日新月异的互联网技术发展,依法管理好互联网,才能让网民安全使用互联网,共享互联网科技进步带来的硕大成果。

[1]John Ro llins&Anna C.Henning.Comp rehensive National Cybersecurity Initiative:Legal Au tho rities and Po licy Considerations[R].Congressional Research Service,10 m ach2009.

[2]United StatesGovernm entA ccountabilityO ffice(GAO).NationalCybersecurity Strategy:Key Im p rovem entsA reNeeded to Strengthen theNationp s Posture[EB/OL].http://www. gao.gov/new.item s/d09432 t.pdf.