楊靜言 劉勝超

近年來，美國持續(xù)加大對網(wǎng)絡(luò)安全建設(shè)的投入，雖然相關(guān)建設(shè)已經(jīng)取得了重大進展，但無論是在技術(shù)實力、創(chuàng)新勞動力或者應(yīng)對風(fēng)險能力等方面，美國已經(jīng)不再享有網(wǎng)絡(luò)空間的傳統(tǒng)優(yōu)勢?；诖苏J識，美國2019財年約翰·麥凱恩國防授權(quán)法案要求國會成立網(wǎng)絡(luò)空間日光浴室委員會（以下簡稱委員會），“研究并制定維護美國網(wǎng)絡(luò)安全的戰(zhàn)略方針”。2020年3月，委員會發(fā)布《網(wǎng)絡(luò)空間日光浴室委員會報告》，2020年5月又發(fā)布《從疫情中汲取的網(wǎng)絡(luò)安全教訓(xùn)》白皮書，作為3月份報告的補充。該委員會通過這兩份文件，提出了維護美國網(wǎng)絡(luò)安全的“分層網(wǎng)絡(luò)威懾”戰(zhàn)略，明確了維護美國網(wǎng)絡(luò)安全的政府機構(gòu)改革、網(wǎng)絡(luò)安全標準制定、公私部門合作等建設(shè)重點以及79項具體的建議舉措。

美國網(wǎng)絡(luò)空間日光浴室委員會徽標

美國網(wǎng)絡(luò)委員會報告出臺背景

一是網(wǎng)絡(luò)空間地位不斷提高和網(wǎng)絡(luò)安全威脅日趨嚴重?！熬W(wǎng)絡(luò)空間已經(jīng)成為美國經(jīng)濟、國防和政治活動不可或缺的組成部分。”確保網(wǎng)絡(luò)安全，不僅是影響美國繁榮發(fā)展的重要因素，也是維護美國國家安全的核心內(nèi)容。與此同時，美國認為其競爭對手和敵國，正在不斷通過網(wǎng)絡(luò)空間從事有害的經(jīng)濟間諜和惡意網(wǎng)絡(luò)活動。這些活動無視美國在軍事、經(jīng)濟和政治方面的強大實力，以低成本、低代價損害美國利益，威脅美國的網(wǎng)絡(luò)安全。

二是美國的國家戰(zhàn)略由注重多邊主義和大國合作轉(zhuǎn)向大國競爭。美國的國家戰(zhàn)略從奧巴馬政府注重“大國合作”轉(zhuǎn)向特朗普政府以“大國競爭”為重點，戰(zhàn)略重心的轉(zhuǎn)變，要求美國在包括網(wǎng)絡(luò)空間領(lǐng)域在內(nèi)的所有領(lǐng)域提高對中國和俄羅斯等國的競爭優(yōu)勢。2018年的《美國國家網(wǎng)絡(luò)戰(zhàn)略》將網(wǎng)絡(luò)空間視作與中國、俄羅斯等國競相爭奪的戰(zhàn)場，并提出，“提升網(wǎng)絡(luò)空間的優(yōu)勢是實現(xiàn)大國競爭勝利的關(guān)鍵因素”。

三是美國政府目前的組織和體制無法為維護網(wǎng)絡(luò)安全提供所需的速度和靈活性。首先，美國在工業(yè)時代所形成的官僚體制和錯綜復(fù)雜的規(guī)則、法律和法規(guī)，嚴重限制了網(wǎng)絡(luò)時代維護網(wǎng)絡(luò)安全所需的速度和靈活性。其次，私營和政府部門之間缺乏協(xié)調(diào)和合作也增加了政府維護網(wǎng)絡(luò)安全的難度。

四是美國政府缺乏保護自身網(wǎng)絡(luò)安全所需的專業(yè)人才。根據(jù)美國網(wǎng)絡(luò)搜索項目發(fā)布的《網(wǎng)絡(luò)安全供需圖》顯示，美國政府中有超過3萬多個網(wǎng)絡(luò)安全職位空缺，美國各地有50萬個職位空缺。此外，2015年，邁克菲和國際與戰(zhàn)略研究中心通過對來自美國信息技術(shù)高管的調(diào)查發(fā)現(xiàn)，76%的受訪者認為美國政府在網(wǎng)絡(luò)安全人才方面投入的資金不足。

美國網(wǎng)絡(luò)委員會報告提出的網(wǎng)絡(luò)安全建設(shè)重點

美國日光浴室委員會報告封面

強化國會在網(wǎng)絡(luò)安全問題上的監(jiān)督和權(quán)力。美國國會在維護國家網(wǎng)絡(luò)安全方面一直承擔著立法和監(jiān)督任務(wù)。根據(jù)美國國會研究部統(tǒng)計數(shù)據(jù)顯示，從20世紀80年代至21世紀初，美國國會通過涉及網(wǎng)絡(luò)安全的相關(guān)法律、條文達36部，涉及網(wǎng)絡(luò)安全的法案、決議案多達114件，如此多的法律條文和議案決案為美國維護網(wǎng)絡(luò)安全提供了完善的法律保障。但是近年來，隨著美國行政和軍事網(wǎng)絡(luò)部門的成立和快速發(fā)展，分散在美國國會兩院眾多委員會的網(wǎng)絡(luò)安全立法、預(yù)算管轄和監(jiān)督權(quán)，反而成為了阻礙行政和軍事部門維護網(wǎng)絡(luò)安全的“絆腳石”。報告認為，要想發(fā)揮國會在網(wǎng)絡(luò)安全方面的傳統(tǒng)作用，必須精簡國會在網(wǎng)絡(luò)安全方面的監(jiān)督和權(quán)力。

一是在眾議院設(shè)立網(wǎng)絡(luò)安全常設(shè)特別委員會和在參議院設(shè)立網(wǎng)絡(luò)安全特別委員會。正如美國國會在1975年通過成立眾議院和參議院情報特別委員會，來解決國會對情報監(jiān)督不力的情況一樣。這兩個委員會的設(shè)立也將加強國會對政府內(nèi)部，以及政府與私營部門之間系統(tǒng)性網(wǎng)絡(luò)安全戰(zhàn)略和政策的立法管轄權(quán)。同時，它們還將對行政部門應(yīng)對國內(nèi)外網(wǎng)絡(luò)安全威脅、政府涉及網(wǎng)絡(luò)部門的重組、保護聯(lián)邦網(wǎng)絡(luò)等活動負責。

二是國會應(yīng)該重建并資助技術(shù)評估辦公室。從成立到1995年解散，技術(shù)評估辦公室在近25年中，為國會和公眾提供了超過750份報告，確保立法部門在其權(quán)限內(nèi)充分了解與技術(shù)相關(guān)的立法問題。現(xiàn)如今，國會決策者面臨的科學(xué)和技術(shù)挑戰(zhàn)正變得越來越復(fù)雜，而技術(shù)評估辦公室的重建能夠及時就網(wǎng)絡(luò)和技術(shù)政策問題向兩院提供敏捷、深度、廣泛和具有客觀性的分析和建議。

加強行政部門在網(wǎng)絡(luò)安全管理工作中統(tǒng)一領(lǐng)導(dǎo)。一是成立國家網(wǎng)絡(luò)總監(jiān)，統(tǒng)一領(lǐng)導(dǎo)國家層面的網(wǎng)絡(luò)安全工作。美國涉及網(wǎng)絡(luò)安全的行政部門數(shù)量眾多，且相互獨立，無直接隸屬關(guān)系，日常網(wǎng)絡(luò)安全統(tǒng)籌協(xié)調(diào)較為困難。因此，報告提出，要在總統(tǒng)的行政辦公室成立一個國家網(wǎng)絡(luò)總監(jiān)。其職責：首先，作為總統(tǒng)在網(wǎng)絡(luò)安全和相關(guān)新興技術(shù)問題方面的主要顧問，協(xié)調(diào)國家層面的網(wǎng)絡(luò)安全戰(zhàn)略、政策和防御性網(wǎng)絡(luò)安全行動；其次，在征得國家安全顧問或國家經(jīng)濟顧問同意后，可召開內(nèi)閣級或國家安全委員會負責人級會議；最后，將對行政部門涉及網(wǎng)絡(luò)安全活動的預(yù)算進行審查。

二是成立網(wǎng)絡(luò)安全和新興技術(shù)局，統(tǒng)一領(lǐng)導(dǎo)國際間的網(wǎng)絡(luò)安全行為規(guī)范活動。從2009年的《塔林手冊1.0》到2011年的《網(wǎng)絡(luò)空間國際戰(zhàn)略》，再到2017年的《塔林手冊2.0》，美國一直致力于引領(lǐng)網(wǎng)絡(luò)空間國際規(guī)則的制定。但是，報告認為，來自中國和俄羅斯等國的競爭，正在削弱這些規(guī)則的作用。因此，除了制定國際規(guī)則，美國還必須領(lǐng)導(dǎo)其伙伴和盟友，開展網(wǎng)絡(luò)安全行為規(guī)范活動。基于此，報告建議成立一個由助理國務(wù)卿領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全和新興技術(shù)局，其工作重點及努力方向是：首先，指導(dǎo)伙伴和盟友組成網(wǎng)絡(luò)安全國際聯(lián)盟，倡導(dǎo)網(wǎng)絡(luò)安全規(guī)范；其次，聯(lián)合伙伴和盟友，通過集體強制實施制裁、起訴等非軍事手段來懾止網(wǎng)絡(luò)安全惡意行為。

三是建立聯(lián)合網(wǎng)絡(luò)規(guī)劃小組，統(tǒng)一領(lǐng)導(dǎo)公私部門間的網(wǎng)絡(luò)安全協(xié)調(diào)工作。維護美國網(wǎng)絡(luò)安全需要及時防范惡意網(wǎng)絡(luò)安全事件以及有效打擊對手惡意網(wǎng)絡(luò)活動。這些任務(wù)要求美國能夠有效規(guī)劃以及全面協(xié)調(diào)政府和私營部門的網(wǎng)絡(luò)防御和安全活動。但是，美國政府和私營部門通常是各自獨立進行著網(wǎng)絡(luò)安全行動，這極大增加了維護網(wǎng)絡(luò)安全的成本，降低了有效應(yīng)對惡意網(wǎng)絡(luò)事件的能力。報告指出，應(yīng)該在網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局下建立一個聯(lián)合網(wǎng)絡(luò)規(guī)劃小組，該小組由中央計劃人員和來自聯(lián)邦機構(gòu)的代表組成，具備防御關(guān)鍵基礎(chǔ)設(shè)施方面的網(wǎng)絡(luò)能力和權(quán)限。并且，該小組將促進跨機構(gòu)的防御性、非情報網(wǎng)絡(luò)安全活動的全面規(guī)劃，同時將把這些規(guī)劃工作與私營部門的網(wǎng)絡(luò)安全工作結(jié)合起來。

網(wǎng)絡(luò)安全人才供需圖

提高軍事部門在網(wǎng)絡(luò)空間的威懾能力。軍事部門的威懾能力是是維護國家安全的重要支柱之一，而軍事部門在網(wǎng)絡(luò)空間的威懾能力也是阻止敵人發(fā)動網(wǎng)絡(luò)攻擊的有效手段。報告認為，網(wǎng)絡(luò)空間已經(jīng)是一個戰(zhàn)略競爭的舞臺，各國在這里角力，保護自己的利益，懲罰對手，美國想要維護自身的網(wǎng)絡(luò)安全就必須提高包括軍事部門網(wǎng)絡(luò)威懾能力在內(nèi)的所有國家力量工具。

一是審查網(wǎng)絡(luò)行動授權(quán)，提高軍事部門執(zhí)行網(wǎng)絡(luò)任務(wù)的敏捷性。網(wǎng)絡(luò)空間行動的速度需要決策和授權(quán)的無縫鏈接，以追求并實現(xiàn)對抗目標的效果。美國國防部目前存在許多與網(wǎng)絡(luò)相關(guān)的機構(gòu)，但是網(wǎng)絡(luò)行動的授權(quán)權(quán)力卻分散在職能司令部、作戰(zhàn)司令部和各軍種部中。例如：有的機構(gòu)執(zhí)行美國法典編號50范圍的網(wǎng)絡(luò)情報活動，但沒有執(zhí)行美國法典編號10范圍網(wǎng)絡(luò)作戰(zhàn)的權(quán)限，往往是發(fā)現(xiàn)了敵方的網(wǎng)絡(luò)活動卻不能進行即刻的溯源、打擊行動。因此，報告認為，國防部應(yīng)審查網(wǎng)絡(luò)行動授權(quán)的權(quán)限，以及授權(quán)的條件。內(nèi)容包括：首先，評估將信息戰(zhàn)的授權(quán)權(quán)限賦予網(wǎng)絡(luò)司令部的可能性，以提高網(wǎng)絡(luò)司令部快速反應(yīng)和挫敗對手的能力；其次，審查授權(quán)給國家安全局有關(guān)機構(gòu)的網(wǎng)絡(luò)行動授權(quán)，提高該機構(gòu)將相關(guān)情報分發(fā)給構(gòu)成國防工業(yè)基地的私營實體及其服務(wù)提供商的能力。

二是評估網(wǎng)絡(luò)預(yù)備役的建設(shè)情況，提高軍事網(wǎng)絡(luò)部門的人員實力。美國預(yù)備役網(wǎng)絡(luò)人才，是美軍網(wǎng)絡(luò)人才的重要組成部門，加強預(yù)備役網(wǎng)絡(luò)人才的招募、培訓(xùn)和保留工作能夠提高軍事網(wǎng)絡(luò)部門的作戰(zhàn)實力，增強網(wǎng)絡(luò)威懾力。報告認為：首先，要評估不同類型的預(yù)備役網(wǎng)絡(luò)人才模式，包括不那么傳統(tǒng)但要求更靈活的模式，以及如何解決更廣泛的人才管理問題（如留住從現(xiàn)役轉(zhuǎn)為預(yù)備役的人才）；其次，評估預(yù)備役如何招募私營部門的關(guān)鍵網(wǎng)絡(luò)人才，從而確保國防部能夠在危機時期網(wǎng)羅私營部門的頂尖網(wǎng)絡(luò)人才；最后，評估預(yù)備役從私營部門和其他非國防部政府機構(gòu)中吸引文職網(wǎng)絡(luò)人才的影響力。

重塑網(wǎng)絡(luò)生態(tài)系統(tǒng)，提高安全性。網(wǎng)絡(luò)生態(tài)系統(tǒng)不僅僅是構(gòu)成互聯(lián)網(wǎng)的技術(shù)，也是將技術(shù)和數(shù)據(jù)連接起來以形成產(chǎn)品的過程和組織。報告認為，重塑網(wǎng)絡(luò)生態(tài)系統(tǒng)，應(yīng)從技術(shù)、組織、過程3個方面來實施。

一是提高信息技術(shù)安全性方面。設(shè)立國家網(wǎng)絡(luò)安全認證與標簽機構(gòu)，對信息技術(shù)的設(shè)計、測試、開發(fā)和維護提出明確的標準，并激勵信息技術(shù)產(chǎn)品供應(yīng)商在其產(chǎn)品的開發(fā)生命周期中遵循這些標準，同時以可訪問的形式向消費者提供這些信息，幫助他們在購買信息技術(shù)產(chǎn)品時做出明智的決策。

二是確保組織的網(wǎng)絡(luò)安全方面。首先，設(shè)立一個網(wǎng)絡(luò)統(tǒng)計局，負責收集、處理、分析和向美國公眾、國會、其他聯(lián)邦機構(gòu)、州和地方政府以及私營部門傳播有關(guān)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)事故和網(wǎng)絡(luò)生態(tài)系統(tǒng)的重要統(tǒng)計數(shù)據(jù)。該統(tǒng)計局提供的統(tǒng)計分析將有助于通報國家風(fēng)險，幫助保險業(yè)創(chuàng)建更準確的網(wǎng)絡(luò)風(fēng)險模型，并為美國政府制定網(wǎng)絡(luò)安全政策和計劃提供依據(jù)。其次，成立一個聯(lián)邦政府資助的研發(fā)中心，以便與州級監(jiān)管機構(gòu)合作開發(fā)網(wǎng)絡(luò)安全保險產(chǎn)品的認證。由于保險屬于州監(jiān)管機構(gòu)的職權(quán)范圍，聯(lián)邦政府幾乎無法直接影響特定行業(yè)保險市場的發(fā)展。因此，為了使網(wǎng)絡(luò)安全保險走向成熟并改善市場，國會應(yīng)該撥出資金，在國土安全部中成立一個研發(fā)中心，為保險人和理賠人的培訓(xùn)和認證開發(fā)模型。

三是把控信息技術(shù)產(chǎn)品供應(yīng)鏈風(fēng)險方面。評估美國的信息技術(shù)供應(yīng)鏈，制定和實施信息技術(shù)產(chǎn)業(yè)基地戰(zhàn)略，減少信息技術(shù)產(chǎn)品生產(chǎn)方面對外國的依賴，確保這些關(guān)鍵技術(shù)的安全性和可用性。這一措施應(yīng)側(cè)重于確保生產(chǎn)被認為對國家安全和經(jīng)濟安全影響重大的信息技術(shù)所需的組件、產(chǎn)品和材料的可用性和完整性。鑒于貿(mào)易和供應(yīng)鏈的全球性和關(guān)聯(lián)性，該措施應(yīng)與可信賴的合作伙伴和盟友協(xié)調(diào)制定。

加強公私部門在網(wǎng)絡(luò)安全中的合作。在網(wǎng)絡(luò)空間，美國政府通常不是主要的參與者，大部分時間，它扮演著支持和扶持私營部門的角色。報告建議，加強與私營部門的網(wǎng)絡(luò)安全合作。

一是改善政府對私營部門的支持。首先，將“具有系統(tǒng)重要性的關(guān)鍵基礎(chǔ)設(shè)施”這一概念納入法典，確保負責支持國家網(wǎng)絡(luò)安全的關(guān)鍵系統(tǒng)和設(shè)施得到美國政府的充分支持，并根據(jù)其獨特的地位和重要性承擔額外的安全要求。其次，行政部門必須從情報政策、程序和資源3個方面入手，審查情報界在為私營部門提供網(wǎng)絡(luò)安全情報支持方面的主要局限。另外，行政部門應(yīng)在審查結(jié)束后向國會報告其調(diào)查結(jié)果，其中應(yīng)包括解決報告中指出問題的具體建議或計劃。

二是提高網(wǎng)絡(luò)威脅的綜合態(tài)勢感知能力。建立并資助一個公共和私營部門可實現(xiàn)互操作的聯(lián)合協(xié)作環(huán)境，提供在聯(lián)邦政府內(nèi)部以及公共和私營部門之間共享和融合威脅信息、見解和其他相關(guān)數(shù)據(jù)的技術(shù)支撐。

三是整合公共和私營部門的網(wǎng)絡(luò)防御努力。首先，行政部門加強網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局中公私一體化網(wǎng)絡(luò)中心的建設(shè)，改善與其他網(wǎng)絡(luò)安全中心的網(wǎng)絡(luò)連通性，包括聯(lián)邦調(diào)查局的國家網(wǎng)絡(luò)調(diào)查聯(lián)合特遣部隊，情報總監(jiān)辦公室的網(wǎng)絡(luò)威脅情報一體化中心，國防部一體化網(wǎng)絡(luò)中心和聯(lián)合作戰(zhàn)中心，國家安全局的網(wǎng)絡(luò)安全處，并確保通過相互協(xié)作和整合使維護網(wǎng)絡(luò)安全的系統(tǒng)、流程和人員充分發(fā)揮作用，以支持維護關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和恢復(fù)的任務(wù)。其次，行政部門應(yīng)在網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局之下建立一個聯(lián)合網(wǎng)絡(luò)規(guī)劃小組，以協(xié)調(diào)聯(lián)邦政府之間，以及公共和私營部門之間針對重大網(wǎng)絡(luò)事件和惡意網(wǎng)絡(luò)活動的網(wǎng)絡(luò)安全計劃和準備情況。

美國網(wǎng)絡(luò)委員會報告的影響

此報告作為維護美國網(wǎng)絡(luò)安全及優(yōu)勢的戰(zhàn)略方針，提出的80條建議意見一經(jīng)發(fā)布必然影響美國的國會、行政部門以及私營部門。首先，對于國會來說，網(wǎng)絡(luò)委員會報告將直接影響正在制定的2021年國防授權(quán)法案。根據(jù)眾議員伊莉絲·斯特凡尼克在眾議院軍事小組委員會關(guān)于情報和新出現(xiàn)的威脅聽證會上的證詞顯示，眾議院通過的國防授權(quán)法案的最終版本中，將至少包含網(wǎng)絡(luò)委員會報告中提出的22項立法建議。而參議院也有包括《應(yīng)對網(wǎng)絡(luò)攻擊的經(jīng)濟連續(xù)性計劃》《通過教育獲取美國網(wǎng)絡(luò)安全知識》在內(nèi)的多項提案，涉及網(wǎng)絡(luò)委員會報告的建議。

其次，對于行政部門來說，報告中加強行政部門力量的建議舉措必然會得到行政部門的支持。例如，加強網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局的建設(shè)舉措。相反，那些有可能影響行政部門現(xiàn)有力量結(jié)構(gòu)的建議很難得到行政部門的支持。甚至，在這些建議成為法律后，行政部門也會根據(jù)自身的需求對其進行解讀和執(zhí)行。例如，國會建議設(shè)立國家網(wǎng)絡(luò)總監(jiān)一職。

最后，對于私營部門來說，報告中的建議既要求加強公私部門在維護網(wǎng)絡(luò)安全方面的合作，又要求突出私營部門在維護網(wǎng)絡(luò)安全方面的責任，這就使得私營部門在未來維護網(wǎng)絡(luò)安全的任務(wù)中扮演著更加重要的角色。