杨静言 刘胜超
近年来,美国持续加大对网络安全建设的投入,虽然相关建设已经取得了重大进展,但无论是在技术实力、创新劳动力或者应对风险能力等方面,美国已经不再享有网络空间的传统优势。基于此认识,美国2019财年约翰·麦凯恩国防授权法案要求国会成立网络空间日光浴室委员会(以下简称委员会),“研究并制定维护美国网络安全的战略方针”。2020年3月,委员会发布《网络空间日光浴室委员会报告》,2020年5月又发布《从疫情中汲取的网络安全教训》白皮书,作为3月份报告的补充。该委员会通过这两份文件,提出了维护美国网络安全的“分层网络威慑”战略,明确了维护美国网络安全的政府机构改革、网络安全标准制定、公私部门合作等建设重点以及79项具体的建议举措。
美国网络委员会报告
出台背景
一是网络空间地位不断提高和网络安全威胁日趋严重。“网络空间已经成为美国经济、国防和政治活动不可或缺的组成部分。”确保网络安全,不仅是影响美国繁荣发展的重要因素,也是维护美国国家安全的核心内容。与此同时,美国认为其竞争对手和敌国,正在不断通过网络空间从事有害的经济间谍和恶意网络活动。这些活动无视美国在军事、经济和政治方面的强大实力,以低成本、低代价损害美国利益,威胁美国的网络安全。
二是美国的国家战略由注重多边主义和大国合作转向大国竞争。美国的国家战略从奥巴马政府注重“大国合作”转向特朗普政府以“大国竞争”为重点,战略重心的转变,要求美国在包括网络空间领域在内的所有领域提高对中国和俄罗斯等国的竞争优势。2018年的《美国国家网络战略》将网络空间视作与中国、俄罗斯等国竞相争夺的战场,并提出,“提升网络空间的优势是实现大国竞争胜利的关键因素”。
三是美国政府目前的组织和体制无法为维护网络安全提供所需的速度和灵活性。首先,美国在工业时代所形成的官僚体制和错综复杂的规则、法律和法规,严重限制了网络时代维护网络安全所需的速度和灵活性。其次,私营和政府部门之间缺乏协调和合作也增加了政府维护网络安全的难度。
四是美国政府缺乏保护自身网络安全所需的专业人才。根据美国网络搜索项目发布的《网络安全供需图》显示,美国政府中有超过3万多个网络安全职位空缺,美国各地有50万个职位空缺。此外,2015年,迈克菲和国际与战略研究中心通过对来自美国信息技术高管的调查发现,76%的受访者认为美国政府在网络安全人才方面投入的资金不足。
美国网络委员会报告提出的网络安全建设重点
强化国会在网络安全问题上的监督和权力。美国国会在维护国家网络安全方面一直承担着立法和监督任务。根据美国国会研究部统计数据显示,从20世纪80年代至21世纪初,美国国会通过涉及网络安全的相关法律、条文达36部,涉及网络安全的法案、决议案多达114件,如此多的法律条文和议案决案为美国维护网络安全提供了完善的法律保障。但是近年来,随着美国行政和军事网络部门的成立和快速发展,分散在美国国会两院众多委员会的网络安全立法、预算管辖和监督权,反而成为了阻碍行政和军事部门维护网络安全的“绊脚石”。报告认为,要想发挥国会在网络安全方面的传统作用,必须精简国会在网络安全方面的监督和权力。
一是在众议院设立网络安全常设特别委员会和在参议院设立网络安全特别委员会。正如美国国会在1975年通过成立众议院和参议院情报特别委员会,来解决国会对情报监督不力的情况一样。这两个委员会的设立也将加强国会对政府内部,以及政府与私营部门之间系统性网络安全战略和政策的立法管辖权。同时,它们还将对行政部门应对国内外网络安全威胁、政府涉及网络部门的重组、保护联邦网络等活动负责。
二是国会应该重建并资助技术评估办公室。从成立到1995年解散,技术评估办公室在近25年中,为国会和公众提供了超过750份报告,确保立法部门在其权限内充分了解与技术相关的立法问题。现如今,国会决策者面临的科学和技术挑战正变得越来越复杂,而技术评估办公室的重建能够及时就网络和技术政策问题向两院提供敏捷、深度、广泛和具有客观性的分析和建议。
加强行政部门在网络安全管理工作中统一领导。一是成立国家网络总监,统一领导国家层面的网络安全工作。美国涉及网络安全的行政部门数量众多,且相互独立,无直接隶属关系,日常网络安全统筹协调较为困难。因此,报告提出,要在总统的行政办公室成立一个国家网络总监。其职责:首先,作为总统在网络安全和相关新兴技术问题方面的主要顾问,协调国家层面的网络安全战略、政策和防御性网络安全行动;其次,在征得国家安全顾问或国家经济顾问同意后,可召开内阁级或国家安全委员会负责人级会议;最后,将对行政部门涉及网络安全活动的预算进行审查。
二是成立网络安全和新兴技术局,统一领导国际间的网络安全行为规范活动。从2009年的《塔林手册1.0》到2011年的《网络空间国际战略》,再到2017年的《塔林手册2.0》,美国一直致力于引领网络空间国际规则的制定。但是,报告认为,来自中国和俄罗斯等国的竞争,正在削弱这些规则的作用。因此,除了制定国际规则,美国还必须领导其伙伴和盟友,开展网络安全行为规范活动。基于此,报告建议成立一个由助理国务卿领导的网络安全和新兴技术局,其工作重点及努力方向是:首先,指导伙伴和盟友组成网络安全国际联盟,倡导网络安全规范;其次,联合伙伴和盟友,通过集体强制实施制裁、起诉等非军事手段来慑止网络安全恶意行为。
三是建立联合网络规划小组,统一领导公私部门间的网络安全协调工作。维护美国网络安全需要及时防范恶意网络安全事件以及有效打击对手恶意网络活动。这些任务要求美国能够有效规划以及全面协调政府和私营部门的网络防御和安全活动。但是,美国政府和私营部门通常是各自独立进行着网络安全行动,这极大增加了维护网络安全的成本,降低了有效应对恶意网络事件的能力。报告指出,应该在网络安全和基础设施安全局下建立一个联合网络规划小组,该小组由中央计划人员和来自联邦机构的代表组成,具备防御关键基礎设施方面的网络能力和权限。并且,该小组将促进跨机构的防御性、非情报网络安全活动的全面规划,同时将把这些规划工作与私营部门的网络安全工作结合起来。
提高军事部门在网络空间的威慑能力。军事部门的威慑能力是是维护国家安全的重要支柱之一,而军事部门在网络空间的威慑能力也是阻止敌人发动网络攻击的有效手段。报告认为,网络空间已经是一个战略竞争的舞台,各国在这里角力,保护自己的利益,惩罚对手,美国想要维护自身的网络安全就必须提高包括军事部门网络威慑能力在内的所有国家力量工具。
一是审查网络行动授权,提高军事部门执行网络任务的敏捷性。网络空间行动的速度需要决策和授权的无缝链接,以追求并实现对抗目标的效果。美国国防部目前存在许多与网络相关的机构,但是网络行动的授权权力却分散在职能司令部、作战司令部和各军种部中。例如:有的机构执行美国法典编号50范围的网络情报活动,但没有执行美国法典编号10范围网络作战的权限,往往是发现了敌方的网络活动却不能进行即刻的溯源、打击行动。因此,报告认为,国防部应审查网络行动授权的权限,以及授权的条件。内容包括:首先,评估将信息战的授权权限赋予网络司令部的可能性,以提高网络司令部快速反应和挫败对手的能力;其次,审查授权给国家安全局有关机构的网络行动授权,提高该机构将相关情报分发给构成国防工业基地的私营实体及其服务提供商的能力。
二是评估网络预备役的建设情况,提高军事网络部门的人员实力。美国预备役网络人才,是美军网络人才的重要组成部门,加强预备役网络人才的招募、培训和保留工作能够提高军事网络部门的作战实力,增强网络威慑力。报告认为:首先,要评估不同类型的预备役网络人才模式,包括不那么传统但要求更灵活的模式,以及如何解决更广泛的人才管理问题(如留住从现役转为预备役的人才);其次,评估预备役如何招募私营部门的关键网络人才,从而确保国防部能够在危机时期网罗私营部门的顶尖网络人才;最后,评估预备役从私营部门和其他非国防部政府机构中吸引文职网络人才的影响力。
重塑网络生态系统,提高安全性。网络生态系统不仅仅是构成互联网的技术,也是将技术和数据连接起来以形成产品的过程和组织。报告认为,重塑网络生态系统,应从技术、组织、过程3个方面来实施。
一是提高信息技术安全性方面。设立国家网络安全认证与标签机构,对信息技术的设计、测试、开发和维护提出明确的标准,并激励信息技术产品供应商在其产品的开发生命周期中遵循这些标准,同时以可访问的形式向消费者提供这些信息,帮助他们在购买信息技术产品时做出明智的决策。
二是确保组织的网络安全方面。首先,设立一个网络统计局,负责收集、处理、分析和向美国公众、国会、其他联邦机构、州和地方政府以及私营部门传播有关网络安全、网络事故和网络生态系统的重要统计数据。该统计局提供的统计分析将有助于通报国家风险,帮助保险业创建更准确的网络风险模型,并为美国政府制定网络安全政策和计划提供依据。其次,成立一个联邦政府资助的研发中心,以便与州级监管机构合作开发网络安全保险产品的认证。由于保险属于州监管机构的职权范围,联邦政府几乎无法直接影响特定行业保险市场的发展。因此,为了使网络安全保险走向成熟并改善市场,国会应该拨出资金,在国土安全部中成立一个研发中心,为保险人和理赔人的培训和认证开发模型。
三是把控信息技术产品供应链风险方面。评估美国的信息技术供应链,制定和实施信息技术产业基地战略,减少信息技术产品生产方面对外国的依赖,确保这些关键技术的安全性和可用性。这一措施应侧重于确保生产被认为对国家安全和经济安全影响重大的信息技术所需的组件、产品和材料的可用性和完整性。鉴于贸易和供应链的全球性和关联性,该措施应与可信赖的合作伙伴和盟友协调制定。
加强公私部门在网络安全中的合作。在网络空间,美国政府通常不是主要的参与者,大部分时间,它扮演着支持和扶持私营部门的角色。报告建议,加强与私营部门的网络安全合作。
一是改善政府对私营部门的支持。首先,将“具有系统重要性的关键基础设施”这一概念纳入法典,确保负责支持国家网络安全的关键系统和设施得到美国政府的充分支持,并根据其独特的地位和重要性承担额外的安全要求。其次,行政部门必须从情报政策、程序和资源3个方面入手,审查情报界在为私营部门提供网络安全情报支持方面的主要局限。另外,行政部门应在审查结束后向国会报告其调查结果,其中应包括解决报告中指出问题的具体建议或计划。
二是提高网络威胁的综合态势感知能力。建立并资助一个公共和私营部门可实现互操作的联合协作环境,提供在联邦政府内部以及公共和私营部门之间共享和融合威胁信息、见解和其他相关数据的技术支撑。
三是整合公共和私营部门的网络防御努力。首先,行政部门加强网络安全和基础设施安全局中公私一体化网络中心的建设,改善与其他网络安全中心的网络连通性,包括联邦调查局的国家网络调查联合特遣部队,情报总监办公室的网络威胁情报一体化中心,国防部一体化网络中心和联合作战中心,国家安全局的网络安全处,并确保通过相互协作和整合使维护网络安全的系统、流程和人员充分发挥作用,以支持维护关键基础设施网络安全和恢复的任务。其次,行政部门应在网络安全和基础设施安全局之下建立一个联合网络规划小组,以协调联邦政府之间,以及公共和私营部门之间针对重大网络事件和恶意网络活动的网络安全计划和准备情况。
美国网络委员会报告的影响
此報告作为维护美国网络安全及优势的战略方针,提出的80条建议意见一经发布必然影响美国的国会、行政部门以及私营部门。首先,对于国会来说,网络委员会报告将直接影响正在制定的2021年国防授权法案。根据众议员伊莉丝·斯特凡尼克在众议院军事小组委员会关于情报和新出现的威胁听证会上的证词显示,众议院通过的国防授权法案的最终版本中,将至少包含网络委员会报告中提出的22项立法建议。而参议院也有包括《应对网络攻击的经济连续性计划》《通过教育获取美国网络安全知识》在内的多项提案,涉及网络委员会报告的建议。
其次,对于行政部门来说,报告中加强行政部门力量的建议举措必然会得到行政部门的支持。例如,加强网络安全与基础设施安全局的建设举措。相反,那些有可能影响行政部门现有力量结构的建议很难得到行政部门的支持。甚至,在这些建议成为法律后,行政部门也会根据自身的需求对其进行解读和执行。例如,国会建议设立国家网络总监一职。
最后,对于私营部门来说,报告中的建议既要求加强公私部门在维护网络安全方面的合作,又要求突出私营部门在维护网络安全方面的责任,这就使得私营部门在未来维护网络安全的任务中扮演着更加重要的角色。
责任编辑:葛 妍