丰诗朵 中国信息通信研究院安全研究所助理工程师张彦超 中国信息通信研究院安全研究所工程师刘晓曼 中国信息通信研究院安全研究所助理工程师
美国强化“网络威慑”的立法趋势分析
丰诗朵中国信息通信研究院安全研究所助理工程师
张彦超中国信息通信研究院安全研究所工程师
刘晓曼中国信息通信研究院安全研究所助理工程师
近期,美国强化“网络威慑”的立法趋势已逐渐明朗,美国网络空间的战略基调开始从攻防并举转为主动进攻。本文分析了美国强化“网络威慑”的相关举措,并对我国夯实网络安全软硬实力基础,加强网络安全态势感知和威胁研判能力提出了具体建议。
美国;网络威慑;趋势;应对
2015年4月,美国国防部出台了新版网络空间战略,并在其中对“网络威慑”进行了具体阐述,这是美国首次在“宣示性”法律中明确了网络威慑的内涵和作用,标志着美国通过立法来强化“网络威慑”的趋势日渐明朗。对美国围绕“网络威慑”的立法行为进行分析,有助于我国有效应对国际网络空间未来的形势变化并进一步加强自身的网络安全综合实力。
自2014年底以来,美国制修订的主要战略和法案有《2015年网络空间战略》、《美国自由法案》、《增强网络安全法》等,这些战略和法案的内容侧重各有不同,但都与贯彻“网络威慑”这一理念相关。
2.1《2015年网络空间战略》:明确了“网络威慑”的作用
2015年4月23日,美国防部公布了《2015年网络空间战略》,更新和细化了美在网络空间的“五大战略目标”,包括:建设并维护网络安全力量,为网络行动做好准备;捍卫国防部数据安全,降低国防部军事行动风险;时刻准备保卫美国本土及国家利益,防御干扰性或破坏性的网络攻击,避免造成重大后果;建立并维护可行的网络方案及行动计划,使用方案来控制冲突升级,保持冲突各个阶段在美国可控范围内;建立并维护良好的国际联盟和合作伙伴关系,阻止共同威胁,加强国际安全与稳定。
该战略首次在官方文件中提出将“威慑”用于网络空间,明确了“网络威慑”的作用,丰富了“网络威慑”的内涵,是美国加强网络防御、实现网络威慑的纲领性文件。根据该战略,“网络威慑”的内涵包括加强政策宣告、举证与警告、摆明防御姿态、完善应对程序以及提升网络系统的抗攻击和恢复力等,事实上《2015年网络空间战略》本身作为“政策宣告”,就可视作“网络威慑”的一种形式。美国防部长卡特也于近日宣称:新版网络安全战略概要展示了美国将对网络攻击进行报复的决心。
2.2《美国自由法案》:规范政府网络监听行为
2015年6月2日,《美国自由法案》正式生效,并替代此前于6月1日失效的《爱国者法案》。新法案明确禁止美国家安全局(NSA)搜集美国民众的通讯信息,包含电话号码、通讯记录、电子邮件等。这是自“棱镜门”事件以来,美国首次对监控项目做出的重大立法改革。
根据新法案,NSA将在6个月的时间里逐步将大规模电话数据收集项目转给电信公司。今后在进行涉嫌恐怖主义活动的相关调查时,NSA必须获得情报监控法庭许可或在紧急状态下,才可向电信公司索取相关数据。不过,新法案仍允许美国情报机构开展用于追踪恐怖分子的监控项目,并允许情报机构对特定嫌疑人进行不间断的网络监视。
2.3《增强网络安全法》:加强网络安全热点领域研究
《2014加强网络安全法》于12月18日生效,该法案旨在推进互联网安全的相关研究以及加强网络安全标准建设。
在标准编制方面,该法案要求美国国家标准与技术 研 究 院(National Institute of Standards and Technology,NIST)加强对标准编制的管理,并特别强调NIST应以适当的方式保证联邦机构参与制定与信息系统相关的国际网络安全标准。在推进研究方面,列举了美国联邦下一步研究需要重点解答的10个问题,包括复杂信息系统安全保障、第三方软硬件安全风险排查及核心功能评估、个人隐私及关键数据保护、互联网协议安全性提升、网络信息溯源、关键软硬件设备内生风险控制以及网络安全宣传教育等。
该法案对联邦网络安全竞赛内容范围领域进行了扩展和细化,规定安全竞赛的具体竞技项目包括:合法监听技术、渗透测试技术、脆弱性评估技术、连续性系统操作、安全设计、网络取证以及网络攻防技术等。此外,该法案还通过设立奖学金等多项优待政策调动网络安全学界的研究积极性。
3.1美国明确提出提升“网络威慑”能力,战略基调从攻防并举转为主动进攻
(1)提出强化“网络威慑”姿态的具体要求,将“网络威慑”的对象拓展至“低烈度”安全威胁
美国在《2015年网络空间战略》明确提出要求国防部加强情报收集、攻击预警以及威胁溯源能力,并通过反制、主动打击等具体行动,强化其“网络威慑”姿态。根据该战略,美国的“网络威慑”不仅针对传统网络安全威胁或规模大、危害性高的网络攻击行为,更针对“低烈度”网络干扰行为(注:“低烈度”网络攻击,指破坏性、危害性相对比较轻微的网络攻击,通常不造成巨大损失或严重后果,常表现为干扰互联网正常运行的网络“骚扰”行为)。
《2015年网络空间战略》要求将网络安全需求加入作战命令计划,可以“在必要的情况下”主动发起网络进攻。在发起网络行动时,应能够对敌对势力网络指挥控制系统进行有效打击。
综上,随着新版网络战略的发布,美国发起网络威慑的频率和可能性将不断增加,美转变战略基调,进一步强调“主动攻击”的趋势已逐渐明朗。
3.2美国将数据安全作为提升“网络威慑”的重要保障,缓和政府与民众在网络监听方面的矛盾
(1)将数据安全上升到国家安全战略层面,把关键数据资源列为国家重要核心资产
《2015年网络空间战略》突破了网络空间战略仅着眼于国防部网络系统保护的局限,并将关键数据资源安全提升到与关键基础设施安全同等重要的位置,从保护国家利益的高度重视网络数据安全保护。
(2)在确保美情报部门对恐怖分子监控的同时,提出了兼顾美国公民隐私权的“折中方案”
《美国自由法案》收回了政府大规模监听公民隐私的权利,仅保留对恐怖分子等的监控权,缓和了民众对政府监控的强烈抵制;但美政府在获得法院许可后,仍可从电信公司等处获得公民通信信息。该法案事实上带有政府和民众相互妥协的“折中性质”。
(3)维持美在全球范围的监控行为,未对情报部门的海外行动予以新的约束
传记史学是以史学传记为主要研究对象,探索史传发展规律,属于历史学的边缘学科。传记史学基本理论的解决有利于传记史学的深度发展,传记史学定义的界定使得它的研究对象和研究目的日益明晰,传记史学学科属性的界定使它与其他人文学科划开界限,这种学科独立化是很有必要的。虽然传记史学还处于初级研究阶段,可喜的是现在已有部分学者开始关注到传记史学的研究,并有一定的研究成果,相信随着传记的日益发展和公民社会的崛起,传记史学的研究队伍会日益庞大。
《美国自由法案》对美国的海外监控项目不构成任何影响。新法案既没有限制美国情报机构通过科技公司等私有实体获取外国网站的数据,也没有触及如何规范政府部门对外国情报的收集。
近年来,美国政府和公众在网络监听等领域的矛盾已经一定程度上影响到了数据保护政策的落地实施。《美国自由法案》的出台意味着政府在隐私保护领域向民众做出了一定的让步,使得先前较为激烈的公权和民权冲突得以缓和,这也为政府集中精力实施关键数据资源保护策略和海外监控行为提供了便利。
3.3加强网络安全前沿技术的研究与应用,保证美国具备全球领先的“网络威慑”硬实力
(1)加大对安全技术研发和标准化应用的投入,维持在技术领域的全球话语权
美国在《增强网络安全法》中明确提出要求N IST通过积极参与国际标准的制定来促进美国本土技术的国际化。强调加大热点领域的技术研发投入,并将安全竞赛扩展到合法监听技术、渗透测试技术以及网络攻防技术等领域,通过竞赛来筛选应用效果良好的技术手段。
(2)制定多项技术演练和评估计划,确保安全从业人员具有过硬的技术水平
《2015年网络空间战略》多次提及要对网络防御力量进行技术能力评估并不断开展演练,以判定是否能针对不同的安全威胁展开有效的动态防御。据法案要求,网络安全防护团体(CyberProtection Team)和企业安全人员必须具备迅速发现、分析和修补安全漏洞的能力。
安全技术优势在美国“网络威慑”战略中有着双重地位,它既是实施威慑的硬实力保障,也是一种重要的威慑手段。有效的“网络威慑”离不开先进技术的支持,全球领先的网络安全硬实力是美国提出“网络威慑”战略的底气所在。
3.4加强政府部门间和公私实体间的网络安全合作,进一步推动“网络威胁”情报共享
(1)美国多次在各法案中提出加强合作,将其作为实现“网络威慑”的基本条件之一
构建完善的网络安全合作框架是美国推进“网络威慑”战略的基本方针之一。《2014年网络安全增强法》将“明确私营部门在联邦网络安全研究和发展计划中的作用,继续加强网络安全保护政企合作”列为落实《联邦网络安全研究和发展纲要》的三大要求之一。《2015年网络空间战略》也提出加强政府部门间、政府和企业间的安全威胁信息共享、数据保护和关键基础设施保护等网络安全合作。
(2)把完善威胁情报共享机制作为加强网络安全合作的核心工作
《2015年网络空间战略》中提出建立广泛的威胁情报共享机制,并在政府部门间实现威胁情报共享的自动化。此外,《美国自由法案》限制了政府的监听权,而将相关权利赋予了包括各电信运营商在内等企业,这将在客观上进一步扩大美国公私机构在网络监听和情报收集等领域的合作。
美国通常根据网络威胁情报分析研判的结果,来决定将要实施“网络威慑”或打击的对象。因此,美国将深化网络安全合作视为开展“网络威慑”的基础性工作之一,并将威胁情报共享作为加强网络安全合作的重要抓手。
4.1重视美国强化“网络威慑”的相关举措,提升对美国“网络威慑”的应对能力
我国应密切关注美国落实“网络威慑”战略的配套措施,尤其是涉及海外监听政策和实施网络打击的行动计划,研究其是否有针对我国的内容。尽快出台的网络空间国家战略,研究提出“积极应对网络威慑”的基本措施。对于关键信息基础设施、敏感数据和重要信息系统等美国“网络威慑”的重点打击目标,切实强化其抗侦听、抗攻击及恢复能力,完善包括防御、举证、警告、反制等环节在内的“网络威慑”应对程序。
4.2夯实网络安全软硬实力基础,使我客观上具备实施“网络威慑”的可能
面对美国“主动攻击”的威慑姿态,我国应加紧布局,不断提升自身的网络安全软硬实力,形成有效的“反威慑”。
一方面,将加强网络安全技术实力作为基础性工作,持续加大前沿网络安全攻防技术的研发与应用,不断通过试点示范等途径筛选防护效果突出的安全技术。
另一方面,通过资格认证、实践演练等形式,对安全从业人员以及基础、增值电信企业的安全团体进行技术实力评估,通过竞赛等促进网络安全专业教育及技术应用并从中选拔优秀人才。
4.3建立政府、企业等密切联合的网络威胁信息共享体系,强化网络安全态势感知和威胁信息研判能力
借鉴美国成功经验,建立健全跨行业、跨部门的网络威胁信息共享体系,进一步细化政府和企业间、企业和企业间安全威胁信息共享的范围、流程和时间节点,提升威胁信息的研判效率,进一步加强全局性网络安全态势感知能力和网络攻击的防范溯源,提升对美海外监听行为的抵御和取证能力。规范政府和基础电信企业间的数据资源共享行为,加强对数据跨境流动和个人信息保护的监管,避免因网络数据资源流失,而给美国的非法网络情报收集提供便利。
4.4在国际网络空间积极发声,防止美国“网络威慑”演变为网络“霸权主义”
积极鼓励网络安全相关企业、研究机构等参与ITU等国际组织的标准编制工作,大力推动本国标准的“国际化”,在云计算、工业互联网等新兴领域抢占标准编制的先机,将标准作为提升网络安全国际话语权的重要突破口。在国际上,要求美国对“网络威慑”的适用场景、范围和打击程度向国际社会做出说明和承诺,防止美国过分强调塔林手册以及“武力回击网络攻击”的相关理念。在美国以“威慑”之名行“网络霸权主义”之时,组织有效的国际联合抗议予以抵制和阻止。
[1]The U.S.Department of Defense:the 2015 DOD Cyber Strategy.2015.http://www.defense.gov/Portal-s/1/features/ 2015/0415_cyberstrategy/Final_2015_DoD_CYBER_ STRAT-EGY_for_web.pdf.
Analysis of the Legislation Trend of Strengthening the Cyber Deterrence of the United States
Feng Shiduo,Zhang Yanchao,Liu Xiaoman
Recently,the United States’legislation trend to strengthen the cyber deterrence has gradually clear,the focus of the US cyber space strategy began to change into‘active attack’.In this paper,we analyze the measures of the United States to strengthen the cyber deterrence,and put forward concrete suggestions for China to strengthen both the technology and management foundation of cyber security and to improve the cyber security situation assessment and threat deterrence ability. Keywords:America;cyber deterrence;trend;reaction
2015-12-17)