奥巴马和特朗普时期美国网络安全战略体制研究对我国的启示*

2021-04-04 07:31廖蓓蓓孟繁瑞于进洲
信息安全与通信保密 2021年3期
关键词:网络空间网络安全特朗普

廖蓓蓓,邢 松,孟繁瑞,冀 冰,于进洲

(1.国家计算机网络应急技术处理协调中心山东分中心,山东 济南 250002;2.中国联合网络通信有限公司青岛市分公司,山东 青岛 266071)

0 引 言

网络空间已成为继陆海空天之后的第五疆域,网络安全关乎国家的政治、经济、文化和社会发展的方方面面。随着全球网络对抗态势的升级,各国更加注重网络安全治理。美国网络安全战略体系经历了从无到有、从分散到系统的过程,一直处在发展演变中。网络安全体制也日渐成熟,值得研究与借鉴。

1 奥巴马政府和特朗普政府网络安全战略体制梳理

美国作为拥有最复杂信息网络的国家之一,高度重视网络安全战略体制建设,已经形成了较为科学高效的管理体制,通过多项措施,全方位保障美国网络空间安全。

1.1 形成全方位的网络空间安全战略

1.1.1 政策层面:网络安全应急管理体系逐步成型

随着技术的发展,网络安全事件日益增多,对社会的正常运转产生了极大威胁。建立健全应急管理体系,对未雨绸缪,将网络安全事件的负面影响降到最低是大有裨益的。

2009 年5 月,奥巴马政府公布了《网络空间政策评估》报告,规定建议设立网络安全协调官一职,以统筹协调全国的网络安全事件。同年,成立了国家网络安全与通信综合中心(NCCIC)。2014 年《联邦信息安全现代法》与2015 年《网络安全信息共享法》赋予了该中心在网络安全预警方面的11 项职能,同时在联邦和非联邦实体之间扮演着应急信息共享的“桥梁”角色。2010 年9 月《国家网络安全应急预案(草案)》的出台和2016 年12 月正式版本的《国家网络安全应急预案》,均体现了在国家层面对网络安全的重视,标志着网络安全应急管理行动有了明确的标准与导向。奥巴马政府时期的网络应急管理体系快速发展、日趋成熟。

随着多项网络安全战略文件的相继密集出台,特朗普政府时期的网络安全职能更加细化和具有层次性,进入成熟期。2017 年5 月,特朗普签署《增强联邦政府网络与关键性基础设施网络安全》行政令,将美国政府机构内部的网络安全风险纳入管理范畴,各联邦机构对各自网络安全负责。同年12 月,白宫发布《国家安全战略报告》,确定了保卫美国安全、促进美国繁荣、捍卫和平和提升美国影响力的四大核心国家利益。2018 年5 月国土安全部发布《网络安全战略》,8 月特朗普签署《2019 财年国防授权法案》,9 月白宫发布《国家网络战略》、国防部发布《2018 国防部网络战略概要》。这些层层迭代的“顶层”文件,反复宣扬美国网络主张,进攻反制色彩浓厚,震慑力空前[1]。

1.1.2 行动层面:网络安全作战体系形成

奥巴马政府时期致力于组建网络作战指挥机构,增强自身威慑力。2010 年5 月21 日,美国网络司令部正式成立,标志着美国“网军”的形成。2016 年12 月,奥巴马签署的《国防授权法案》,将网络司令部提升至更加重要的位置,升格为作战司令部。司令部在作战方面涉及三大领域,一是国家电网、核电站等重要基础设施保障;二是美国国防部信息网络安全维护;三是具体网络作战任务[2]。2011 年美国出台《网络空间国际战略》,宣布将“网络威慑”作为重要的战略部署,将网络空间作为与陆、海、空、天并驾齐驱的“行动领域”。在网络空间,美国不断增强其持续的作战能力,并且保证自身能在其他国家对其发动网络攻击时利用军事力量予以反击。2012 年,美国政府签发《20 号总统政策指令》,该指令要求美国在没有任何警告的前提下,为实现其国家安全的目标,可以发动网络攻击。这种攻击不仅仅局限在报复范围之内。一系列的政策措施表明,美国已经将网络作战列为自身的战略核心,加剧了全球对互联网军事化的恐慌。

特朗普政府时期的政策将上述恐慌进一步升级,赋予在网络空间开展军事行动明确的权限。特朗普上任初期,将美国军队中具有网络战职能的不同部门联合形成单独的高级别的司令部门。2018 年5 月,美军网络司令部完成升级,升级后的网络司令部,与太平洋司令部和欧洲司令部同级,可向国防部长作直接汇报[3]。本次升级具有里程碑意义,突显美国网络空间作战能力。在网络攻击方面也给予网络司令部更大权限。同年8 月,特朗普撤销奥巴马的《第20 号总统政策令》,20 号政策令中要求发动重大网络进攻前需要获得层层审批,而此撤销举动赋予美国发动网络攻击更大的自主性。同月特朗普签署的第13 号国家安全总统备忘录赋予网络司令部可以更自由地部署先进网络武器的权限,从而使网络空间行动效率大大提升。

1.2 形成关键信息基础设施保护管理体系

布什政府在2003 年12 月发布的第7 号国土安全总统令赋予国土安全部在民事领域的网络安全职能。2008 年,布什政府出台的《第54号国家安全总统指令/第23 号国土安全总统指令》,其中提出了《国家网络安全综合计划》,该项战略规定由国土安全部制定《国家基础设施保护计划》,以及时迅速地将网络威胁等相关信息报送至持有或者运营关键基础设施的机构。奥巴马政府时期,国土安全部统筹协调职责确立。2013 年奥巴马政府签署第13636 号行政令《提高关键基础设施网络安全》,行政令要求国土安全部提高态势感知、应急协调等方面的能力,致力于降低关键基础设施网络安全风险。特朗普政府对关键基础设施保护战略进行了进一步升级。2018 年,国土安全部宣布成立国家风险管理中心,作为风险评估单位对关键基础设施企业评估其存在的网络安全威胁。2019 年8 月,美国政府问责署发布《关键基础设施保护:采取措施应对电网面临的重大网络安全风险》,报告分析了美国电网所面临的网络威胁,指出其不足并提出相关的改进建议。

1.3 对重点行业的外国投资审查成为重点

奥巴马政府时期,国防部在2013 年发布国防联邦采购补充条例,即第2012-D050 号临时政策。要求国防部在采购信息技术时着重审查供应链的相关情况。如果存在供应链风险审查不通过的情况,国防部具有不披露具体原因也不接受申诉就拒绝供应商的产品或者服务的权利。特朗普政府时期尤其在中美贸易战期间,美国加大了审查力度。2018 年,美国国会出台《国防授权法案》,其中附带的《外国投资风险审查现代化法案》,规定扩大外国投资委员会的审查权,并将网络安全作为重点考虑因素。伴随着中美贸易摩擦的升级,美国总统特朗普于2019 年发布了《确保信息通信技术与服务供应链安全》行政令,其内容涉及对特定国家提供的电信产品或者服务具有禁止或取消的权力,在某种程度上成为遏制中国发展的重要手段。

1.4 注重网络安全人才培养

早在20 世纪90 年代,美国对网络安全人才就非常重视,2003 年,小布什政府《网络空间安全国家战略》[4]提出的五项优先计划中,第三项为“国家级网络安全意识和培训计划”[5]。2008 年,时任美国总统小布什出台的《第54号国家安全总统指令/第23 号国土安全总统指令》中提出了《国家网络安全综合计划》,即CNCI[6]。CNCI 将扩大网络教育作为内容之一,强调网络安全技术发展需要相应人员具备一定的技能,并提出要加强网络安全人才队伍建设。奥巴马政府对布什政府时期的人才培养政策具有一定的延续性,尤其是对CNCI 中的人才培养计划进行了继承与发展。2009 年,奥巴马政府发布的首份网络空间报告《网络空间政策评估》,其中对加强网络安全教育、加强联邦政府信息技术人才队伍建设等内容有所涉及。同年,奥巴马宣布每年10 月为美国网络安全意识月,从提高公众的网络安全意识出发,呼吁掌握基本的网络安全知识与技能。次年,美国正式启动“国家网络安全教育计划”,也就是“NICE 计划”,在未来大约每5 年对计划进行一次更新与调整。NICE 计划是美国进行网络安全人才培养的指导性纲领,具有里程碑意义。

特朗普政府时期的人才培养政策具有延续性和创新性。2018 年3 月,美国的NICE 计划创新设立“网络安全学徒制”,用于培养网络安全多能人才。同年9 月,总统签署发布美国《国家网络战略》,强调要把加强网络安全人才队伍建设、培养卓越的网络安全人才上升为国家网络安全战略目标。2019 年,特朗普签署了《网络安全人才行政令》,提出通过开展网络安全竞赛、实行轮岗计划等措施,从而加强网络安全队伍建设,留住人才、填补人才空缺。

2 奥巴马政府和特朗普政府网络安全战略比较

作为美国历史上的两届政府,虽然在网络安全战略、关键信息基础设施保护、对外审查等方面有着一脉相承之处,但是在网络空间治理方面也有着不同的态度与主张,从而折射出各自的治网理念。

在对国际互联网治理模式方面,奥巴马当政时期是美国出台网络安全政策指令、网络空间战略文件最多的时期,反映了美国政府对网络空间事务和网络空间治理的极度重视[7]。奥巴马时期对国际网络空间治理的意愿是比较强烈的,其当政时期签署过《网络空间国际战略》,阐述美国“在日益与网络相联的世界如何建立繁荣、增进安全和保护开放”。与以往的互联网空间治理政策措施不同,该战略显示了美国将网络空间治理的范围扩展到全球以及谋求掌握全球互联网发展、治理主导权的野心。特朗普上台后,战略侧重点有所变化,更加倾向建立双边关系,对国际网络空间的治理欲望明显下降,在一定程度上影响了美国在国际网络空间的主导地位。2017 年6 月,联合国政府专家组(UNGGE)第五次会议中就出现了比较大的分歧,各成员国从各自国家利益出发,尤其是针对自卫权和《国际人道主义法》对网络冲突的适用性方面问题无法达成一致,最终会议在没有形成共识性报告的情况下不了了之。美国白宫安全顾问在此次会议后发表声明表示,建立网络空间各方行为规范的努力,可能无法通过联合国的机制来实现,将考虑与小范围的伙伴进行合作,如果需要可以与合作国家达成双边协议。可见特朗普政府在网络空间行为规范制定方面,对联合国框架下的机制并不看好,更倾向与“志同道合”的国家合作,以双边协议为基础搭建国际网络空间行为规范的蓝本[8]。

在网络空间治理理念方面,奥巴马和特朗普也有着不同的思路。奥巴马秉承“互联网应该自由公开”的理念,并在执政生涯内多次强调“网络中立”。“互联网自由”战略背后是出自美国政府的深谋远虑,是为美国打造网络空间主导权做出的铺垫。奥巴马上台后相继出台《国家网络安全战略报告》《网络空间政策评估》等一系列文件,并采取设立网络空间司令部等多项举措,均是站在美国的立场上定义互联网领域的是与非,意味着美国已将网络空间纳入传统的公共外交范畴,互联网已经成为美国加紧在海外推进民主的重要工具和全新领域[9]。

特朗普上台后,“互联网自由”的观念逐渐趋于淡化,推行以“规则为基础的国际秩序”,推行美国主张的国际规则成为网络外交的使命[10]。特朗普时期,以互联网为旗号的外交被严重弱化,以“互联网自由”为目的的项目也陆续边缘化。对前任主张的弱化并不代表特朗普放松对网络安全的重视,特朗普治网更倾向于将发力的抓手朝向国内,加强美国自身的网络安全能力建设,从重视安全和经济发展的角度促进美国倡导国际规则的构建。

3 美国网络安全管理体系发展趋势

不同时期的政府在网络安全管理方面的侧重点有差异,但是总体趋势的总基调依然是从早期的分散状态逐步走向系统、从局部走向整体,网络安全管理体制实现递进式的调整。

网络安全的战略地位不断上升。克林顿政府通过一系列的政策措施,将对网络信息安全的关注上升到国家安全的高度。“9·11 事件”给予布什政府一定冲击,布什政府认识到保障网络安全迫在眉睫,将网络安全置于国家安全战略的核心位置,并重视职能部门的建设,赋予当时新成立的美国国土安全部维护国内民事领域网络安全职能。奥巴马政府时期维护网络安全的工作重心集中在保护网络基础设施。特朗普总统上台后,网络安全战略措施进一步升级,并带有更加浓重的反制色彩。

战略目标逐渐向全球蔓延。克林顿和布什政府时期,网络安全防护的范围不断拓展,美国政府于2003 年发布的《保护网络空间国家战略》具有里程碑意义,标志着美国网络安全管理体系初具雏形。随着奥巴马政府时期网络安全政策措施的出台,美国对网络安全管理的触角延伸至全球。特朗普总统上台后,致力于打造网络安全空间的国际秩序,更强调网络安全的全局性和战略性。

战略侧重点发生改变,由以防为主转变为以攻为主。在克林顿政府时期,网络安全战略的思路以防御为主,注重信息安全保护和信息保障。小布什时代,因遭受“9·11 事件”的冲击,网络安全战略的重心转移到攻防结合,更加重视反恐,并且加强军方的网络作战能力。奥巴马上台后,战略手段更加强硬,转为利用武力进行威慑。成立网军,并且将网络威慑上升为战略部署。特朗普政府时期,将网络安全领域视为国际竞争和防范的重要战场,将增强网络技术能力作为提升综合国力的重要环节。

4 对我国的影响

一是为美国针对我国收紧的网络安全审查制度做好应对方案。近年来,美国历届总统将网络安全保护的重点之一转移到网络安全审查上来。尤其是特朗普上台以来,美国的网络安全审查职能实现了国防部、国土安全部、商务部等跨部门性的全面覆盖。网络安全审查也成为美国反制他国、提升国际话语权的有力武器。历史上,日本、德国等很多国家都曾遭受过美国网络安全审查制度的强力打击。以华为为例,中国的互联网高科技企业也在美国的压力下,其发展面临重重阻碍,在国际竞争中处于备受阻挠的境地。

二是警惕美国网络安全战略的转变。奥巴马时代,美国的网络安全战略就开始进行主动攻击。到了特朗普总统上台以后,网络安全战略导向以防转攻,更加带有“激进攻击”的色彩。美国成立网络司令部,标志着美国对网络空间实行军事化的管理,威慑、防御和攻击的力度加大,为其网络霸权护持提供了强有力的保障和军事上的威慑。

三是推行网络战,加剧全球网络空间的“不信任”危机。美国曾公开宣布对伊朗实施网络战,并借助其拥有完备、庞大的计算机病毒库、计算机硬件软件漏洞库的技术优势,开创了运用网络手段攻击其他国家电力能源等关键信息基础设施的先例,引发全球陷入网络战阴影[11]。美国扩充网络军队的举措,加剧了国际社会的不信任危机,进而影响国际网络空间的合作与发展。

5 对策建议

一是针对美国网络安全政策动向,加快形成网络安全应急法律体系,不断完善网络应急管理体系。美国形成了以法律、行政令、总统令等为主体的网络安全应急法律体系。作为制度保障,为网络安全应急管理体制机制提供了基本依据和重要保障[12]。以美国相关的战略措施为借鉴,汲取美国治网新理念和实践经验。出台相应的应急法律法规。尤其注意在关键时间阶段,如美国大选、中美贸易摩擦期间,我国更应当完善机制,加强对网络安全态势感知,并且主动发声,给予美国所倡导的“中国威胁论”以强有力回击。

二是增强互联网攻防能力,为网络战做能力储备。研制出具有自主知识产权的网络技术和培养出世界水平的人才队伍需要国家加强网络核心技术研发,加大网络教育投资力度[13]。发挥技术和人才优势,加强顶层设计,从国家层面构筑网络攻防体系,提高网络安全防御能力。

三是立足顶层设计,将关键信息基础设施安全的防护纳入网络安全能力评估框架中。提高关键信息基础设施网络安全防护能力,应当从我国国情出发,突出威胁信息共享、监测预警、应急处置等横向协同的安全域内容,将关键信息基础设施安全防护与网络安全能力评估有机结合[14],找差距、补短板,从而逐步强化关键信息基础设施的安全保护能力。

四是将网络安全审查贯穿到全球供应链中。美国对其他国家开展网络安全审查过程中,往往夹杂着政治因素、经济因素的考量。我国应当借鉴相关经验,以全球供应链视角审视网络安全审查,将网络安全管理渗透到信息技术产品生产的全生命周期,将技术审查、产品审查、资质审查、企业审查全面结合,并以立法的形式予以确认,在维护我国关键信息基础设施安全的基础上,最大限度地维护我国网络空间主权、安全和发展利益[15]。

五是加强人才队伍建设。要从国家层面制定网络安全人才培养战略,明确人才培养目标和具体措施。构建全方位的人才培养体系,致力于培养跨学科、跨领域的网络安全多面手。政府可与高校等科研单位联合进行人才的定向培养,致力于填补我国网络安全人才的缺口,将满足国家需求同个人职业发展有机结合,形成网络空间安全人才创造力迸发、活力涌流的良好局面。

六是深化国际互信关系,提升我国在世界上的话语权。积极参与制定网络空间的国际规则,加强与各国的合作交流,增进战略互信关系,让更多国家能够倾听中国声音,避免网络空间成为新的战场。构建网络空间命运共同体,追求更加公正、合理的国际空间网络安全治理模式,进一步打破美国等少数国家对网络空间安全的绝对控制,提高我国对美国联盟体系的网络攻击抵御能力[11]。

6 结 语

美国仗着全球最强大的网军和网络武器库,将网络战付诸实践,一步步将网络空间引向战争深渊[16]。近年来,美国丝毫没有放松对中国的网络安全攻击。中国计算机网络应急技术处理协调中心(CNCERT)2020 年发布的《2019 年中国互联网网络安全态势综述》中提到,我国境内被植入后门的网站数量较2018 年增长超过2.59 倍。其中约有4 万个境外IP 地址(占全部IP 地址总数的90.9%)对境内约8 万个网站植入后门,位于美国的IP 地址最多,占境外IP 地址总数的33.5%[17]。通过对美国不同当政者所采取的网络安全战略进行研究分析,希望给我国在网络空间治理方面提供参考,在展现大国担当、构建网络空间命运共同体方面也是有意义的。

猜你喜欢
网络空间网络安全特朗普
共建诚实守信网络空间
特朗普为何执意买格陵兰
网络安全
网络安全人才培养应“实战化”
网络空间并非“乌托邦”
特朗普放话要会鲁哈尼
上网时如何注意网络安全?
特朗普表示美国不支持G7 公报
特朗普访华
网络空间安全人才培养探讨