(盘古智库,北京 100093)
美国当地时间2017年12月18日,特朗普公布任内首份《国家安全战略》报告(下文简称“报告”)。在共计68页的“报告”中,“网络”(cyber)一词出现46次,而2015年和2010年的同类报告分别出现19次和23次。有美国学者认为,“报告”是将网络安全作为国家安全核心利益而开出了一整套“治疗方案”,完整程度超过以往任何一份同类报告 。①Michael Sulmeyer.Cybersecurity in the 2017 National Security Strategy[EB/OL].(2017-11-19).https://www.lawfareblog.com/cybersecurity-2017-national-security-strategy.详细解读“报告”相关内容,结合特朗普执政一年来在网络安全领域所采取的措施,可以从总体上分析把握特朗普政府的网络安全政策特点、走向及其影响。[1]
“报告”称,美国的国家安全有四大支柱,分别是保卫美国本土、促进美国繁荣、以实力维护和平、提升美国影响,而“互联网作为美国的发明,应该反映我们的价值观”,且“强大、可靠的网络基础设施应促进经济增长、捍卫自由、保卫国家安全” 。②The White House.National Security Strategy of the United States of America[R].2017.11: 13.据此,“报告”在四个部分中分别阐述了对网络安全的看法和政策规划。
“报告”强调,“美国在网络时代应对机遇与挑战的能力,将决定国家未来的繁荣与安全”①The White House.National Security Strategy of the United States of America[R].2017.11: 12.,“在网络时代确保美国安全”是保卫国家安全的重要内容。网络空间的安全风险主要源于三大问题:一是网络空间全球互联互通,各类行为主体无需跨越有形国界就可采取行动,影响美国的政治、经济和安全利益;二是网络空间攻击成本低廉、难以溯源,却能制造巨大损失,美国的关键基础设施、商业与联邦政府网络、民众日常生活所需设备与技术,均有可能遭受严重毁伤;三是互联网在设计之初并未将安全作为主要考虑因素,具有先天的不安全特性。[2]
为应对这些挑战,需优先完成五项任务:一是找出需优先应对的风险,以维护关键基础设施的安全与弹性;二是运用最新商业能力、共享服务和最佳规范来建设可防护的政府网络;三是威慑和摧毁恶意网络行为体;四是与关键基础设施领域的伙伴合作,降低信息共享障碍,提升溯源能力;五是与私营部门合作,实施分层防御,在网络内应对恶意行为,确保在恶意行为抵达预定目标前将其击败。
美国自20世纪90年代以来就一直将网络与信息技术作为提振经济的主要驱动力。“报告”首次提出“经济安全就是国家安全”③The White House.National Security Strategy of the United States of America[R].2017.11: 19.,对借助网络驱动经济发展更是高度重视,并做出以下规划:
一是为增加国家的竞争力,政府应与私营企业一起,改进包括电信在内的多种基础设施,特别是要增加带宽、改进带宽连接;二是必须对基础设施加以保护,防止其遭受网络攻击,且保护对象除网络自身还包括网络上的数据;三是阻止网络窃取知识财产、专利技术和早期创意的行为,减少外国竞争者通过不公平竞争获利的机会。四是为维持国家优势,优先发展对于美国经济发展与安全有关键意义的前沿技术,包括数据科学、加密、自动化技术、人工智能等与网络高度相关的技术。
重塑美国军事实力,是特朗普竞选期间就给出的承诺,就任以来也确实成为其施政重点之一④2017年1月27日,美国总统特朗普签发“重建美国武装部队”(Rebuilding of the armed services of the United States)的总统指令。。“报告”从军事和外交两个层面强调“以实力求和平”,认为从军事上看,精确、廉价的武器及网络工具的使用,使得各类行为体可以在各个空间对美国构成巨大伤害,而其投入很小,也很难被追踪。这一状况使得“美国直到近期还拥有的陆、海、空、天、网主导权受到了挑战”⑤The White House.National Security Strategy of the United States of America[R].2017.11:27.。“报告”认为,提升网络军事实力,需要在以下三个方面优先采取措施:
一是提升溯源、问责和响应能力,特别是增加对溯源技术的研究并提供更多资助;二是改进冲突各个频谱中的网络工具,改进专业技术,保护美国政府设施和关键基础设施,保护数据与信息的完整性,并招募、培训和维持一支专业力量,确保能够在行动各频谱进行操作;三是实现美国政府各部门资源与程序的高度集成,协调相关机构的网络行动,与国会合作改善情报与信息共享、规划与行动、开发必要网络工具。
“报告”以“信息治国之道”为题设立专门的篇幅,谈论如何利用信息工具开展外交活动,以应对“竞争者将信息变成武器,攻击作为自由社会基础的价值观与机制”①The White House.National Security Strategy of the United States of America[R].2017.11:34.。这是之前同类报告中从未出现过的。虽然相关内容出现在“以实力求和平”部分,但其实质与第四大支柱“扩展美国影响”高度相关。
“报告”认为,当前美国面临三类安全挑战:以中、俄为代表的“修正主义国家”,以朝、伊为代表的“专制政权”,以及恐怖组织、跨国犯罪集团等非国家行为体。这些行为体都以不同的方式运用信息扩大影响。需通过以下方式,充分运用信息工具应对挑战:一是改进公共外交,将创新性技术整合到外交与发展项目当中;二是充分调动私营部门、外国政府、地方机构的积极性,以可信的声音替代那些宣扬暴力与仇恨的信息;三是充分利用多边论坛,在联合国、国际电信联盟(ITU)、互联网治理论坛(IGF)、互联网名称与数字地址分配机构(ICANN)等重要组织中积极开展接触活动。
通读新版“报告”,结合特朗普就任以来在网络安全领域采取的举措可以发现,虽然特朗普在很多问题都显得与美国建制派格格不入,但在网络安全事务上大体保持了政策的稳定性和连贯性,同时依据自身的执政理念和行事风格做出调整。其网络安全政策的主要特点包括:
“报告”的一个基本判断是,“当今世界是大国竞争的新时代”②The White House.National Security Strategy of the United States of America[R].2017.11: 27.,“对信息的争夺加剧了竞争”③The White House.National Security Strategy of the United States of America[R].2017.11: 12.。随着网络与信息技术的爆炸性发展,大国围绕网络空间主导权的斗争持续升温,网络空间与传统国际政治博弈之间的关系日渐紧密。
基于这一背景,这份具有“强现实主义”色彩的报告④达巍.不能低估下阶段中美关系的困难[EB/OL].环球网.(2017-12-26).http://opinion.huanqiu.com/hqpl/2017-12/11474925.html.,在网络安全相关部分也对中、俄给予高度关注,认为两国在网络空间对美国构成的威胁最为严峻,也是全方位的。如中国等竞争者借用网络手段窃取美国的知识产权,这构成了“以网络驱动的经济战”⑤The White House.National Security Strategy of the United States of America[R].2017.11: 21.;俄罗斯运用信息手段开展“影响行动”①The White House.National Security Strategy of the United States of America[R].2017.11: 35.;他们还控制数据和信息以“压迫”本国社会和扩大国际影响。与奥巴马政府利用“互联网自由”推广美国价值观的做法一脉相承,特朗普在其任期内将继续以网络空间为外交工具和博弈手段,且其假想敌更加明确地瞄准了中、俄这样的主要“竞争对手”,更加突显对抗和冲突的一面。
与奥巴马政府相比,特朗普的外交与安全理念全面回归以军事等硬手段达成安全目标的旧思路。在网络空间,特朗普政府的各种政策也显示出咄咄逼人的特性。如,经济上重启“301条款”,审查美国企业在华技术转让、知识产权等问题,全面禁用俄罗斯卡巴斯基公司的安全软件;军事上宣布网络空间司令部升格为一级司令部,《2018财年国防授权法案》全额批准网络作战行动预算要求并增拨17亿,总额达80亿。“报告”还用相当强硬的口吻表示,对于那些“对美国使用网络能力的恶意行为体”,美国如有机会采取措施,“将在选择行动手段时关注各种手段可能带来的风险,但不会因为这些风险而放弃行动”②The White House.National Security Strategy of the United States of America[R].2017.11: 32.。
在突出进攻色彩的同时,特朗普也高度关注威慑手段在网络空间的运用。2017年2月,美国防部国防科学委员会发布《关于网络威慑的工作组报告》,建议制订网络威慑计划和提高能力。5月,特朗普发布《增强联邦政府网络与关键基础设施网络安全》行政令,将网络威慑列为优先事项。之后的《2018财年国防授权法案》再度要求大幅提升网络威慑预算投入。“报告”多次提及网络威慑,并有以下突出特点:一是突出跨域威慑,称“威慑必须延伸到所有空间,应对所有可能的战略攻击”③The White House.National Security Strategy of the United States of America[R].22017.11: 27.;二是同时提出报复威慑和拒止威慑,称要“通过让攻击方付出惨痛代价”和“加强防御以降低攻击成功的可能性”④The White House.National Security Strategy of the United States of America[R].2017.11: 13.两种途径达成威慑效应;三是漠视延伸威慑,要求欧洲盟友“在网络安全等领域切实履行自身责任和义务”⑤The White House.National Security Strategy of the United States of America[R].2017.11: 48.,而未提及向盟友和伙伴提供网络空间安全保护的问题。
《国家安全战略》报告是美国对国家安全的总体筹划,网络安全议题虽受到高度重视,但内容通常较为泛化。相比之下,“报告”提出建设防治结合、具有弹性的网络④,措施更加务实和聚焦。其中比较值得关注的两个变化是:
一对重点防护的“关键基础设施”目标做出调整。克林顿1998年颁布第63号总统令“关键基础设施保护政策”,自此历届政府都将此作为网络防护重点,但其定义和范畴不断演变。⑥2004年美国国会研究服务局(CRS)提交题为《关键基础设施与重要资产:定义与辨别》的报告,对过去20年间“关键基础设施”一词的演变进行了考察。详细论述参见:John Moteff and Paul Parfomak, Critical Infrastructure and Key Assets: Definition and Identification, CRS Report for Congress, October 2004, available at: http://www.fas.org/sgp/crs/RL32631.pdf.2003年小布什颁布的《确保网络空间安全国家战略》列举了14个领域①分别是:农业、食品、水、公共卫生、紧急救援、政府机构、国防工业基地、信息和电信、能源、运输、银行和财政、化学品和危险材料、邮政和货运。详情参见:布什政府《确保网络安全国家战略》(2003年3月),中国国际战略学会军控与裁军研究中心:《美国网络空间安全战略文件汇编》,军事谊文出版社,2009年,第4页。,奥巴马政府2013年“总统指令”列举16项②分别是:化学、贸易设施、通讯、关键制造业、大坝、国防工业、紧急服务、能源、金融服务、食物与农业、政府设施、医保和公共健康、信息技术、核设施与核原料和核废料、交通系统、水循环系统。详情参见:The White House, Presidential Policy Directive -- Critical Infrastructure Security and Resilience, 2013, available at: https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidentialpolicy-directive-critical-infrastructure-security-and-resil,2017年5月特朗普出台的“网络安全行政令”则针对这16个领域提出具体要求。“报告”进一步将需要保护的关键基础设施聚焦到6个领域:国家安全、能源和电力、银行和金融、健康和安全、通信和运输。二是在军事领域,不再像过去那样反复强调必须“主导网络空间”③The White House.National Security Strategy of the United States of America[R].2017.11: 27.,而是要求国防部“开发新的作战概念与能力,以便在无法确保陆、海、空、天、网主导权的情况下,依然能够取得军事行动的胜利”④The White House.National Security Strategy of the United States of America[R].2017.11: 29.。减少需防护的重点领域,调低安全目标的前提条件,实现资源相对集中,是美国认识到不可能在网络空间形成绝对优势的情况下做出的理性选择,显示出相当务实的一面。
基于“报告”考察特朗普政府的网络安全政策,除了解其内容和特点外,还要关注相关规划在美国国内落实的可行性,以及其对网络空间国际形势、特别是对于中国的影响。
新版“报告”虽非专门针对网络安全事务,但相关内容并非只是远期规划,很多都具有相当强的现实指导意义。一个典型的例子是,“报告”声称,“政府应与私营企业一起,改进包括电信在内的多种基础设施,如在全国范围内部署安全的5G互联网能力”⑤The White House.National Security Strategy of the United States of America[R].2017.11: 19.,要尊重政府有限但相当重要的作用,“在构建下一代数字化基础设施的过程中,将有机会把自身经验用于实践”⑥The White House.National Security Strategy of the United States of America[R].2017.11: 13.。而在“报告”发布后仅1个月,美国科技网站Axios便发布消息称,特朗普政府的国家安全团队正在讨论由政府主导建设集中化5G网络。
当然,特朗普行事风格独特,不按常理出牌,其网络安全政策的实施也因此面临巨大阻碍。例如,政府主导建设全国5G网络的消息一经披露,便在国内引起强烈反弹,白宫发言人不得不出面予以否认。同样遭遇强烈反对的举措还有,关闭成立6年之久的国务院“网络事务协调员办公室”、废除奥巴马时期制定的“网络中立”等。此外,奥巴马政府关于俄运用网络手段干扰美大选的调查报告和特朗普竞选团队的“通俄门”事件,使得特朗普在处理网络安全议题时处境颇为尴尬,想大刀阔斧地落实规划并非易事。
与奥巴马政府专门发布《网络空间国际战略》,将国际政策目标与互联网政策结合在一起①TJoseph Menn.US Unveils International Internet Strategy, in Financial Times[EB/OL].(2011-05-17).http://www.ft.com/cms/s/0/930e0be4-800c-11e0-866d-00144feabdc0.html#axzz1XpjLXSgk.相比,“报告”虽也谈及网络国际合作问题,但所占用篇幅极小,且主要是强调为塑造、治理网络空间提供领导力和所需技术,通过国际交流“促进数据的自由流动和保护自身利益”②The White House.National Security Strategy of the United States of America[R].2017.11: 41.加注。
网络空间国际合作始于20世纪90年代末,但在美国持消极态度的21世纪前十年,多数成果仅限于地区层面,全球范围内重要进展不多。奥巴马就任总统后态度明显转变,虽然意在维持本国的绝对主导权,但客观上推动了网络空间国际治理的进程。2004年成立的联合国信息安全“政府间专家组”,于 2010年、2013年和2015年三次发布建议报告,就建立网络空间国际准则达成部分共识。2017年,第五届政府间专家组会谈无果而终,网络空间国际规则制定进入“深水区”,这时尤其需要各方以积极姿态直面以往被掩盖的矛盾分歧,寻找解决之道。美国在这样的关键时期“开倒车”,必将给网络空间国际治理合作带来巨大的负面效应。
另外,美国作为信息时代的领跑者,其网络政策对于其他国家具有明显的示范作用。特朗普网络政策高度突出大国博弈中竞争的一面,在具体政策设计中强调“美国优先”,强化攻势色彩,有可能带动其他国家采取类似举措。届时,有可能出现的局面是,世界主要国家纷纷扩大网络实力特别是进攻性网络军事实力,结果反而陷入安全困境,由此开启网络军备竞赛的恶性循环。
美国国内对中国所谓“网络黑客”的炒作始于20世纪90年代末期。进入21世纪第二个十年,中美在网络空间经历了一系列重大事件,如2010年谷歌公司宣布撤离中国大陆市场、希拉里发布“互联网自由”演讲,2013年“曼迪昂特”信息安全公司发布关于解放军“网络偷窃”的报告、美多位高级政要出面表态,2014年美国司法部以“窃取美商业信息”为名起诉5名解放军军官、中方宣布中止战略安全对话框架下的“网络工作组”对话,等等。这些事件导致中美关系不断趋紧,引发双方冲突对抗的可能性持续增加。2015年9月习近平主席赴美访问期间,与奥巴马总统达成有关网络空间安全的5点共识,双方关系明显趋缓。
新版“报告”将中国定性为头号挑战者,在网络安全议题上多次点名批评中国。随着中美贸易摩擦升温,除了继续炒作中国网络黑客之外,美国的“301调查”、网络安全审查都直接瞄准中国,在人工智能、机器人、5G网络建设等新技术领域也将中国视为主要竞争对手和压制对象,未来还有可能采取更多的针对性措施,这必将给中国制造更大的压力。
[1]王桂芳.网络安全是特朗普版国家安全战略报告的最大增量[J].中国信息安全,2018(02):41-43.
[2] 刘国柱.美国国家安全战略的连续性与多变性——21世纪《美国国家安全战略报告》比较研究[J].当代世界,2018(02):26-30.