楊靜言 劉勝超
近年來,美國持續(xù)加大對網(wǎng)絡(luò)安全建設(shè)的投入,雖然相關(guān)建設(shè)已經(jīng)取得了重大進展,但無論是在技術(shù)實力、創(chuàng)新勞動力或者應(yīng)對風(fēng)險能力等方面,美國已經(jīng)不再享有網(wǎng)絡(luò)空間的傳統(tǒng)優(yōu)勢?;诖苏J識,美國2019財年約翰·麥凱恩國防授權(quán)法案要求國會成立網(wǎng)絡(luò)空間日光浴室委員會(以下簡稱委員會),“研究并制定維護美國網(wǎng)絡(luò)安全的戰(zhàn)略方針”。2020年3月,委員會發(fā)布《網(wǎng)絡(luò)空間日光浴室委員會報告》,2020年5月又發(fā)布《從疫情中汲取的網(wǎng)絡(luò)安全教訓(xùn)》白皮書,作為3月份報告的補充。該委員會通過這兩份文件,提出了維護美國網(wǎng)絡(luò)安全的“分層網(wǎng)絡(luò)威懾”戰(zhàn)略,明確了維護美國網(wǎng)絡(luò)安全的政府機構(gòu)改革、網(wǎng)絡(luò)安全標準制定、公私部門合作等建設(shè)重點以及79項具體的建議舉措。
美國網(wǎng)絡(luò)空間日光浴室委員會徽標
一是網(wǎng)絡(luò)空間地位不斷提高和網(wǎng)絡(luò)安全威脅日趨嚴重?!熬W(wǎng)絡(luò)空間已經(jīng)成為美國經(jīng)濟、國防和政治活動不可或缺的組成部分。”確保網(wǎng)絡(luò)安全,不僅是影響美國繁榮發(fā)展的重要因素,也是維護美國國家安全的核心內(nèi)容。與此同時,美國認為其競爭對手和敵國,正在不斷通過網(wǎng)絡(luò)空間從事有害的經(jīng)濟間諜和惡意網(wǎng)絡(luò)活動。這些活動無視美國在軍事、經(jīng)濟和政治方面的強大實力,以低成本、低代價損害美國利益,威脅美國的網(wǎng)絡(luò)安全。
二是美國的國家戰(zhàn)略由注重多邊主義和大國合作轉(zhuǎn)向大國競爭。美國的國家戰(zhàn)略從奧巴馬政府注重“大國合作”轉(zhuǎn)向特朗普政府以“大國競爭”為重點,戰(zhàn)略重心的轉(zhuǎn)變,要求美國在包括網(wǎng)絡(luò)空間領(lǐng)域在內(nèi)的所有領(lǐng)域提高對中國和俄羅斯等國的競爭優(yōu)勢。2018年的《美國國家網(wǎng)絡(luò)戰(zhàn)略》將網(wǎng)絡(luò)空間視作與中國、俄羅斯等國競相爭奪的戰(zhàn)場,并提出,“提升網(wǎng)絡(luò)空間的優(yōu)勢是實現(xiàn)大國競爭勝利的關(guān)鍵因素”。
三是美國政府目前的組織和體制無法為維護網(wǎng)絡(luò)安全提供所需的速度和靈活性。首先,美國在工業(yè)時代所形成的官僚體制和錯綜復(fù)雜的規(guī)則、法律和法規(guī),嚴重限制了網(wǎng)絡(luò)時代維護網(wǎng)絡(luò)安全所需的速度和靈活性。其次,私營和政府部門之間缺乏協(xié)調(diào)和合作也增加了政府維護網(wǎng)絡(luò)安全的難度。
四是美國政府缺乏保護自身網(wǎng)絡(luò)安全所需的專業(yè)人才。根據(jù)美國網(wǎng)絡(luò)搜索項目發(fā)布的《網(wǎng)絡(luò)安全供需圖》顯示,美國政府中有超過3萬多個網(wǎng)絡(luò)安全職位空缺,美國各地有50萬個職位空缺。此外,2015年,邁克菲和國際與戰(zhàn)略研究中心通過對來自美國信息技術(shù)高管的調(diào)查發(fā)現(xiàn),76%的受訪者認為美國政府在網(wǎng)絡(luò)安全人才方面投入的資金不足。
美國日光浴室委員會報告封面
強化國會在網(wǎng)絡(luò)安全問題上的監(jiān)督和權(quán)力。美國國會在維護國家網(wǎng)絡(luò)安全方面一直承擔著立法和監(jiān)督任務(wù)。根據(jù)美國國會研究部統(tǒng)計數(shù)據(jù)顯示,從20世紀80年代至21世紀初,美國國會通過涉及網(wǎng)絡(luò)安全的相關(guān)法律、條文達36部,涉及網(wǎng)絡(luò)安全的法案、決議案多達114件,如此多的法律條文和議案決案為美國維護網(wǎng)絡(luò)安全提供了完善的法律保障。但是近年來,隨著美國行政和軍事網(wǎng)絡(luò)部門的成立和快速發(fā)展,分散在美國國會兩院眾多委員會的網(wǎng)絡(luò)安全立法、預(yù)算管轄和監(jiān)督權(quán),反而成為了阻礙行政和軍事部門維護網(wǎng)絡(luò)安全的“絆腳石”。報告認為,要想發(fā)揮國會在網(wǎng)絡(luò)安全方面的傳統(tǒng)作用,必須精簡國會在網(wǎng)絡(luò)安全方面的監(jiān)督和權(quán)力。
一是在眾議院設(shè)立網(wǎng)絡(luò)安全常設(shè)特別委員會和在參議院設(shè)立網(wǎng)絡(luò)安全特別委員會。正如美國國會在1975年通過成立眾議院和參議院情報特別委員會,來解決國會對情報監(jiān)督不力的情況一樣。這兩個委員會的設(shè)立也將加強國會對政府內(nèi)部,以及政府與私營部門之間系統(tǒng)性網(wǎng)絡(luò)安全戰(zhàn)略和政策的立法管轄權(quán)。同時,它們還將對行政部門應(yīng)對國內(nèi)外網(wǎng)絡(luò)安全威脅、政府涉及網(wǎng)絡(luò)部門的重組、保護聯(lián)邦網(wǎng)絡(luò)等活動負責。
二是國會應(yīng)該重建并資助技術(shù)評估辦公室。從成立到1995年解散,技術(shù)評估辦公室在近25年中,為國會和公眾提供了超過750份報告,確保立法部門在其權(quán)限內(nèi)充分了解與技術(shù)相關(guān)的立法問題。現(xiàn)如今,國會決策者面臨的科學(xué)和技術(shù)挑戰(zhàn)正變得越來越復(fù)雜,而技術(shù)評估辦公室的重建能夠及時就網(wǎng)絡(luò)和技術(shù)政策問題向兩院提供敏捷、深度、廣泛和具有客觀性的分析和建議。
加強行政部門在網(wǎng)絡(luò)安全管理工作中統(tǒng)一領(lǐng)導(dǎo)。一是成立國家網(wǎng)絡(luò)總監(jiān),統(tǒng)一領(lǐng)導(dǎo)國家層面的網(wǎng)絡(luò)安全工作。美國涉及網(wǎng)絡(luò)安全的行政部門數(shù)量眾多,且相互獨立,無直接隸屬關(guān)系,日常網(wǎng)絡(luò)安全統(tǒng)籌協(xié)調(diào)較為困難。因此,報告提出,要在總統(tǒng)的行政辦公室成立一個國家網(wǎng)絡(luò)總監(jiān)。其職責:首先,作為總統(tǒng)在網(wǎng)絡(luò)安全和相關(guān)新興技術(shù)問題方面的主要顧問,協(xié)調(diào)國家層面的網(wǎng)絡(luò)安全戰(zhàn)略、政策和防御性網(wǎng)絡(luò)安全行動;其次,在征得國家安全顧問或國家經(jīng)濟顧問同意后,可召開內(nèi)閣級或國家安全委員會負責人級會議;最后,將對行政部門涉及網(wǎng)絡(luò)安全活動的預(yù)算進行審查。
二是成立網(wǎng)絡(luò)安全和新興技術(shù)局,統(tǒng)一領(lǐng)導(dǎo)國際間的網(wǎng)絡(luò)安全行為規(guī)范活動。從2009年的《塔林手冊1.0》到2011年的《網(wǎng)絡(luò)空間國際戰(zhàn)略》,再到2017年的《塔林手冊2.0》,美國一直致力于引領(lǐng)網(wǎng)絡(luò)空間國際規(guī)則的制定。但是,報告認為,來自中國和俄羅斯等國的競爭,正在削弱這些規(guī)則的作用。因此,除了制定國際規(guī)則,美國還必須領(lǐng)導(dǎo)其伙伴和盟友,開展網(wǎng)絡(luò)安全行為規(guī)范活動。基于此,報告建議成立一個由助理國務(wù)卿領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全和新興技術(shù)局,其工作重點及努力方向是:首先,指導(dǎo)伙伴和盟友組成網(wǎng)絡(luò)安全國際聯(lián)盟,倡導(dǎo)網(wǎng)絡(luò)安全規(guī)范;其次,聯(lián)合伙伴和盟友,通過集體強制實施制裁、起訴等非軍事手段來懾止網(wǎng)絡(luò)安全惡意行為。
三是建立聯(lián)合網(wǎng)絡(luò)規(guī)劃小組,統(tǒng)一領(lǐng)導(dǎo)公私部門間的網(wǎng)絡(luò)安全協(xié)調(diào)工作。維護美國網(wǎng)絡(luò)安全需要及時防范惡意網(wǎng)絡(luò)安全事件以及有效打擊對手惡意網(wǎng)絡(luò)活動。這些任務(wù)要求美國能夠有效規(guī)劃以及全面協(xié)調(diào)政府和私營部門的網(wǎng)絡(luò)防御和安全活動。但是,美國政府和私營部門通常是各自獨立進行著網(wǎng)絡(luò)安全行動,這極大增加了維護網(wǎng)絡(luò)安全的成本,降低了有效應(yīng)對惡意網(wǎng)絡(luò)事件的能力。報告指出,應(yīng)該在網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局下建立一個聯(lián)合網(wǎng)絡(luò)規(guī)劃小組,該小組由中央計劃人員和來自聯(lián)邦機構(gòu)的代表組成,具備防御關(guān)鍵基礎(chǔ)設(shè)施方面的網(wǎng)絡(luò)能力和權(quán)限。并且,該小組將促進跨機構(gòu)的防御性、非情報網(wǎng)絡(luò)安全活動的全面規(guī)劃,同時將把這些規(guī)劃工作與私營部門的網(wǎng)絡(luò)安全工作結(jié)合起來。
網(wǎng)絡(luò)安全人才供需圖
提高軍事部門在網(wǎng)絡(luò)空間的威懾能力。軍事部門的威懾能力是是維護國家安全的重要支柱之一,而軍事部門在網(wǎng)絡(luò)空間的威懾能力也是阻止敵人發(fā)動網(wǎng)絡(luò)攻擊的有效手段。報告認為,網(wǎng)絡(luò)空間已經(jīng)是一個戰(zhàn)略競爭的舞臺,各國在這里角力,保護自己的利益,懲罰對手,美國想要維護自身的網(wǎng)絡(luò)安全就必須提高包括軍事部門網(wǎng)絡(luò)威懾能力在內(nèi)的所有國家力量工具。
一是審查網(wǎng)絡(luò)行動授權(quán),提高軍事部門執(zhí)行網(wǎng)絡(luò)任務(wù)的敏捷性。網(wǎng)絡(luò)空間行動的速度需要決策和授權(quán)的無縫鏈接,以追求并實現(xiàn)對抗目標的效果。美國國防部目前存在許多與網(wǎng)絡(luò)相關(guān)的機構(gòu),但是網(wǎng)絡(luò)行動的授權(quán)權(quán)力卻分散在職能司令部、作戰(zhàn)司令部和各軍種部中。例如:有的機構(gòu)執(zhí)行美國法典編號50范圍的網(wǎng)絡(luò)情報活動,但沒有執(zhí)行美國法典編號10范圍網(wǎng)絡(luò)作戰(zhàn)的權(quán)限,往往是發(fā)現(xiàn)了敵方的網(wǎng)絡(luò)活動卻不能進行即刻的溯源、打擊行動。因此,報告認為,國防部應(yīng)審查網(wǎng)絡(luò)行動授權(quán)的權(quán)限,以及授權(quán)的條件。內(nèi)容包括:首先,評估將信息戰(zhàn)的授權(quán)權(quán)限賦予網(wǎng)絡(luò)司令部的可能性,以提高網(wǎng)絡(luò)司令部快速反應(yīng)和挫敗對手的能力;其次,審查授權(quán)給國家安全局有關(guān)機構(gòu)的網(wǎng)絡(luò)行動授權(quán),提高該機構(gòu)將相關(guān)情報分發(fā)給構(gòu)成國防工業(yè)基地的私營實體及其服務(wù)提供商的能力。
二是評估網(wǎng)絡(luò)預(yù)備役的建設(shè)情況,提高軍事網(wǎng)絡(luò)部門的人員實力。美國預(yù)備役網(wǎng)絡(luò)人才,是美軍網(wǎng)絡(luò)人才的重要組成部門,加強預(yù)備役網(wǎng)絡(luò)人才的招募、培訓(xùn)和保留工作能夠提高軍事網(wǎng)絡(luò)部門的作戰(zhàn)實力,增強網(wǎng)絡(luò)威懾力。報告認為:首先,要評估不同類型的預(yù)備役網(wǎng)絡(luò)人才模式,包括不那么傳統(tǒng)但要求更靈活的模式,以及如何解決更廣泛的人才管理問題(如留住從現(xiàn)役轉(zhuǎn)為預(yù)備役的人才);其次,評估預(yù)備役如何招募私營部門的關(guān)鍵網(wǎng)絡(luò)人才,從而確保國防部能夠在危機時期網(wǎng)羅私營部門的頂尖網(wǎng)絡(luò)人才;最后,評估預(yù)備役從私營部門和其他非國防部政府機構(gòu)中吸引文職網(wǎng)絡(luò)人才的影響力。
重塑網(wǎng)絡(luò)生態(tài)系統(tǒng),提高安全性。網(wǎng)絡(luò)生態(tài)系統(tǒng)不僅僅是構(gòu)成互聯(lián)網(wǎng)的技術(shù),也是將技術(shù)和數(shù)據(jù)連接起來以形成產(chǎn)品的過程和組織。報告認為,重塑網(wǎng)絡(luò)生態(tài)系統(tǒng),應(yīng)從技術(shù)、組織、過程3個方面來實施。
一是提高信息技術(shù)安全性方面。設(shè)立國家網(wǎng)絡(luò)安全認證與標簽機構(gòu),對信息技術(shù)的設(shè)計、測試、開發(fā)和維護提出明確的標準,并激勵信息技術(shù)產(chǎn)品供應(yīng)商在其產(chǎn)品的開發(fā)生命周期中遵循這些標準,同時以可訪問的形式向消費者提供這些信息,幫助他們在購買信息技術(shù)產(chǎn)品時做出明智的決策。
二是確保組織的網(wǎng)絡(luò)安全方面。首先,設(shè)立一個網(wǎng)絡(luò)統(tǒng)計局,負責收集、處理、分析和向美國公眾、國會、其他聯(lián)邦機構(gòu)、州和地方政府以及私營部門傳播有關(guān)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)事故和網(wǎng)絡(luò)生態(tài)系統(tǒng)的重要統(tǒng)計數(shù)據(jù)。該統(tǒng)計局提供的統(tǒng)計分析將有助于通報國家風(fēng)險,幫助保險業(yè)創(chuàng)建更準確的網(wǎng)絡(luò)風(fēng)險模型,并為美國政府制定網(wǎng)絡(luò)安全政策和計劃提供依據(jù)。其次,成立一個聯(lián)邦政府資助的研發(fā)中心,以便與州級監(jiān)管機構(gòu)合作開發(fā)網(wǎng)絡(luò)安全保險產(chǎn)品的認證。由于保險屬于州監(jiān)管機構(gòu)的職權(quán)范圍,聯(lián)邦政府幾乎無法直接影響特定行業(yè)保險市場的發(fā)展。因此,為了使網(wǎng)絡(luò)安全保險走向成熟并改善市場,國會應(yīng)該撥出資金,在國土安全部中成立一個研發(fā)中心,為保險人和理賠人的培訓(xùn)和認證開發(fā)模型。
三是把控信息技術(shù)產(chǎn)品供應(yīng)鏈風(fēng)險方面。評估美國的信息技術(shù)供應(yīng)鏈,制定和實施信息技術(shù)產(chǎn)業(yè)基地戰(zhàn)略,減少信息技術(shù)產(chǎn)品生產(chǎn)方面對外國的依賴,確保這些關(guān)鍵技術(shù)的安全性和可用性。這一措施應(yīng)側(cè)重于確保生產(chǎn)被認為對國家安全和經(jīng)濟安全影響重大的信息技術(shù)所需的組件、產(chǎn)品和材料的可用性和完整性。鑒于貿(mào)易和供應(yīng)鏈的全球性和關(guān)聯(lián)性,該措施應(yīng)與可信賴的合作伙伴和盟友協(xié)調(diào)制定。
加強公私部門在網(wǎng)絡(luò)安全中的合作。在網(wǎng)絡(luò)空間,美國政府通常不是主要的參與者,大部分時間,它扮演著支持和扶持私營部門的角色。報告建議,加強與私營部門的網(wǎng)絡(luò)安全合作。
一是改善政府對私營部門的支持。首先,將“具有系統(tǒng)重要性的關(guān)鍵基礎(chǔ)設(shè)施”這一概念納入法典,確保負責支持國家網(wǎng)絡(luò)安全的關(guān)鍵系統(tǒng)和設(shè)施得到美國政府的充分支持,并根據(jù)其獨特的地位和重要性承擔額外的安全要求。其次,行政部門必須從情報政策、程序和資源3個方面入手,審查情報界在為私營部門提供網(wǎng)絡(luò)安全情報支持方面的主要局限。另外,行政部門應(yīng)在審查結(jié)束后向國會報告其調(diào)查結(jié)果,其中應(yīng)包括解決報告中指出問題的具體建議或計劃。
二是提高網(wǎng)絡(luò)威脅的綜合態(tài)勢感知能力。建立并資助一個公共和私營部門可實現(xiàn)互操作的聯(lián)合協(xié)作環(huán)境,提供在聯(lián)邦政府內(nèi)部以及公共和私營部門之間共享和融合威脅信息、見解和其他相關(guān)數(shù)據(jù)的技術(shù)支撐。
三是整合公共和私營部門的網(wǎng)絡(luò)防御努力。首先,行政部門加強網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局中公私一體化網(wǎng)絡(luò)中心的建設(shè),改善與其他網(wǎng)絡(luò)安全中心的網(wǎng)絡(luò)連通性,包括聯(lián)邦調(diào)查局的國家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣部隊,情報總監(jiān)辦公室的網(wǎng)絡(luò)威脅情報一體化中心,國防部一體化網(wǎng)絡(luò)中心和聯(lián)合作戰(zhàn)中心,國家安全局的網(wǎng)絡(luò)安全處,并確保通過相互協(xié)作和整合使維護網(wǎng)絡(luò)安全的系統(tǒng)、流程和人員充分發(fā)揮作用,以支持維護關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和恢復(fù)的任務(wù)。其次,行政部門應(yīng)在網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局之下建立一個聯(lián)合網(wǎng)絡(luò)規(guī)劃小組,以協(xié)調(diào)聯(lián)邦政府之間,以及公共和私營部門之間針對重大網(wǎng)絡(luò)事件和惡意網(wǎng)絡(luò)活動的網(wǎng)絡(luò)安全計劃和準備情況。
此報告作為維護美國網(wǎng)絡(luò)安全及優(yōu)勢的戰(zhàn)略方針,提出的80條建議意見一經(jīng)發(fā)布必然影響美國的國會、行政部門以及私營部門。首先,對于國會來說,網(wǎng)絡(luò)委員會報告將直接影響正在制定的2021年國防授權(quán)法案。根據(jù)眾議員伊莉絲·斯特凡尼克在眾議院軍事小組委員會關(guān)于情報和新出現(xiàn)的威脅聽證會上的證詞顯示,眾議院通過的國防授權(quán)法案的最終版本中,將至少包含網(wǎng)絡(luò)委員會報告中提出的22項立法建議。而參議院也有包括《應(yīng)對網(wǎng)絡(luò)攻擊的經(jīng)濟連續(xù)性計劃》《通過教育獲取美國網(wǎng)絡(luò)安全知識》在內(nèi)的多項提案,涉及網(wǎng)絡(luò)委員會報告的建議。
其次,對于行政部門來說,報告中加強行政部門力量的建議舉措必然會得到行政部門的支持。例如,加強網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局的建設(shè)舉措。相反,那些有可能影響行政部門現(xiàn)有力量結(jié)構(gòu)的建議很難得到行政部門的支持。甚至,在這些建議成為法律后,行政部門也會根據(jù)自身的需求對其進行解讀和執(zhí)行。例如,國會建議設(shè)立國家網(wǎng)絡(luò)總監(jiān)一職。
最后,對于私營部門來說,報告中的建議既要求加強公私部門在維護網(wǎng)絡(luò)安全方面的合作,又要求突出私營部門在維護網(wǎng)絡(luò)安全方面的責任,這就使得私營部門在未來維護網(wǎng)絡(luò)安全的任務(wù)中扮演著更加重要的角色。