在网络这个前沿阵地,“推特总统”如鱼得水,可谓“牵一网而动全局”,以“推特”扰乱世界,成为股市、舆论、信心乃至行动的指挥棒,但无论其如何嚣张,也改变不了反趋势的本质;
除此之外,我们既要看到特朗普网络攻击伊朗的公开宣战,也要看到美网军在俄罗斯电网中预置恶意病毒的网络暗战,尤其在特朗普大选临近,贸易战极限施压如意算盘打错之后,我们必须严防其狗急跳墙,在网络空间挑事。
为此,应高度警惕网络安全风险,在国际范围内建立网络空间统一战线,最大限度遏制其可能的网络空间疯狂行动。
下面我们就美国的《国家安全战略》来具体谈谈美国的安全战略是如何部署的。
美国目前《国家安全战略》报告,以较大篇幅提及网络安全。“报告”从确保国家安全、促进经济、增强军事实力和扩展美国影响四个角度,就提升网络安全做出政策规划,反映了特朗普政府网络安全政策的一些突出特点,如竞争意味强、进攻性突出、更加务实聚集等。
虽然这些政策在美国国内的推行还将面临不少阻力,但其发展趋势将直接影响网络空间国际形势,也将使中国在未来可能面临更大压力。
“报告”有关网络安全的主要内容
“报告”称,美国的国家安全有四大支柱,分别是保卫美国本土、促进美国繁荣、以实力维护和平、提升美国影响,而“互联网作为美国的发明,应该反映我们的价值观”,且“强大、可靠的网络基础设施应促进经济增长、捍卫自由、保卫国家安全” 。 据此,“报告”在四个部分中分别阐述了对网络安全的看法和政策规划。
全面应对安全风险,“在网络时代确保美国安全”
“报告”强调,“美国在网络时代应对机遇与挑战的能力,将决定国家未来的繁荣与安全”,“在网络时代确保美国安全”是保卫国家安全的重要内容。网络空间的安全风险主要源于三大问题:
一是网络空间全球互联互通,各类行为主体无需跨越有形国界就可采取行动,影响美国的政治、经济和安全利益;
二是网络空间攻击成本低廉、难以溯源,却能制造巨大损失,美国的关键基础设施、商业与联邦政府网络、民众日常生活所需设备与技术,均有可能遭受严重毁伤;
三是互联网在设计之初并未将安全作为主要考虑因素,具有先天的不安全特性。
为应对这些挑战,需优先完成五项任务:
一是找出需优先应对的风险,以维护关键基础设施的安全与弹性;
二是运用最新商业能力、共享服务和最佳规范来建设可防护的政府网络;
三是威慑和摧毁恶意网络行为体;
四是与关键基础设施领域的伙伴合作,降低信息共享障碍,提升溯源能力;
五是与私营部门合作,实施分层防御,在网络内应对恶意行为,确保在恶意行为抵达预定目标前将其击败。
确保经济安全与促进经济繁荣,“创造财富依赖于可靠、安全的互联网”
美国自 20 世纪 90 年代以来就一直将网络与信息技术作为提振经济的主要驱动力。“报告”首次提出“经济安全就是国家安全”,对借助网络驱动经济发展更是高度重视,并做出以下规划:
一是为增加国家的竞争力,政府应与私营企业一起,改进包括电信在内的多种基础设施,特别是要增加带宽、改进带宽连接;
二是必须对基础设施加以保护,防止其遭受网络攻击,且保护对象除网络自身还包括网络上的数据;
三是阻止网络窃取知识财产、专利技术和早期创意的行为,减少外国竞争者通过不公平竞争获利的机会。四是为维持国家优势,优先发展对于美国经济发展与安全有关键意义的前沿技术,包括数据科学、加密、自动化技术、人工智能等与网络高度相关的技术。
网络攻击成为现代冲突的重要特性”,网络军事实力亟需揽升
重塑美国军事实力,是特朗普竞选期间就给出的承诺,就任以来也确实成为其施政重点之一。“报告”从军事和外交两个层面强调“以实力求和平”,认为从军事上看,精确、廉价的武器及网络工具的使用,使得各类行为体可以在各个空间对美国构成巨大伤害,而其投入很小,也很难被追踪。这一状况使得“美国直到近期还拥有的陆、海、空、天、网主导权受到了挑战” 。“报告”认为,提升网络军事实力,需要在以下三个方面优先采取措施:
一是提升溯源、问责和响应能力,特别是增加对溯源技术的研究并提供更多资助;
二是改进冲突各个频谱中的网络工具,改进专业技术,保护美国政府设施和关键基础设施,保护数据与信息的完整性,并招募、培训和维持一支专业力量,确保能够在行动各频谱进行操作;
三是实现美国政府各部门资源与程序的高度集成,协调相关机构的网络行动,与国会合作改善情报与信息共享、规划与行动、开发必要网络工具。
互联网“应当反映美国价值观”,成为推广美国影响的主要工具
“报告”以“信息治国之道”为题设立专门的篇幅,谈论如何利用信息工具开展外交活动,以应对“竞争者将信息变成武器,攻击作为自由社会基础的价值观与机制”。这是之前同类报告中从未出现过的。虽然相关内容出现在“以实力求和平”部分,但其实质与第四大支柱“扩展美国影响”高度相关。
“报告”认为,当前美国面临三类安全挑战:以中、俄为代表的“修正主义国家”,以朝、伊为代表的“专制政权”,以及恐怖组织、跨国犯罪集团等非国家行为体。这些行为体都以不同的方式运用信息扩大影响。需通过以下方式,充分运用信息工具应对挑战:
一是改进公共外交,将创新性技术整合到外交与发展项目当中;
二是充分调动私营部门、外国政府、地方机构的积极性,以可信的声音替代那些宣扬暴力与仇恨的信息;
三是充分利用多边论坛,在联合国、国际电信联盟(ITU)、互联网治理论坛(IGF)、互联网名称与数字地址分配机构(ICANN) 等重要组织中积极开展接触活动。
从“报告”看网络安全政策的主要特点
通读新版“报告”,结合特朗普就任以来在网络安全领域采取的举措可以发现,虽然特朗普在很多问题都显得与美国建制派格格不入,但在网络安全事务上大体保持了政策的稳定性和连贯性,同时依据自身的执政理念和行事风格做出调整。其网络安全政策的主要特点包括:
竞争意味浓厚,尤其关注中、俄等大国在网络空间构成的安全挑战
“报告”的一个基本判断是,“当今世界是大国竞争的新时代”,“对信息的争夺加剧了竞争”。随着网络与信息技术的爆炸性发展,大国围绕网络空间主导权的斗争持续升温,网络空间与传统国际政治博弈之间的关系日渐紧密。
基于这一背景,这份具有“强现实主义”色彩的报告,在网络安全相关部分也对中、俄给予高度关注,认为两国在网络空间对美国构成的威胁最为严峻,也是全方位的。如中国等竞争者借用网络手段窃取美国的知识产权,这构成了“以网络驱动的经济战”;俄罗斯运用信息手段开展“影响行动”;他们还控制数据和信息以“压迫”本国社会和扩大国际影响。
与奥巴马政府利用“互联网自由”推广美国价值观的做法一脉相承,特朗普在其任期内将继续以网络空间为外交工具和博弈手段,且其假想敌更加明确地瞄准了中、俄这样的主要“竞争对手”,更加突显对抗和冲突的一面。
进攻特点突出,强调威慑在确保网络安全中的作用
与奥巴马政府相比,特朗普的外交与安全理念全面回归以军事等硬手段达成安全目标的旧思路。在网络空间,特朗普政府的各种政策也显示出咄咄逼人的特性。如,经济上重启“301条款”,审查美国企业在华技术转让、知识产权等问题,全面禁用俄罗斯卡巴斯基公司的安全软件;军事上宣布网络空间司令部升格为一级司令部,《2018 财年国防授权法案》全额批准网络作战行动预算要求并增拨 17 亿,总额达80 亿。
“报告”还用相当强硬的口吻表示,对于那些“对美国使用网络能力的恶意行为体”,美国如有机会采取措施,“将在选择行动手段时关注各种手段可能带来的风险,但不会因为这些风险而放弃行动” 。
在突出进攻色彩的同时,特朗普也高度关注威慑手段在网络空间的运用。2017 年 2 月,美国防部国防科学委员会发布《关于网络威慑的工作组报告》,建议制订网络威慑计划和提高能力。5 月,特朗普发布《增强联邦政府网络与关键基础设施网络安全》行政令,将网络威慑列为优先事项。
之后的《2018 财年国防授权法案》再度要求大幅提升网络威慑预算投入。“报告”多次提及网络威慑,并有以下突出特点:
一是突出跨域威慑,称“威慑必须延伸到所有空间,应对所有可能的战略攻击”;
二是同时提出报复威慑和拒止威慑,称要“通过让攻击方付出惨痛代价”和“加强防御以降低攻击成功的可能性”两种途径达成威慑效应;
三是漠视延伸威慑,要求欧洲盟友“在网络安全等领域切实履行自身责任和义务”,而未提及向盟友和伙伴提供网络空间安全保护的问题。
措施更加务实和聚焦,对网络空间主导权的看法出现调整
《国家安全战略》报告是美国对国家安全的总体筹划,网络安全议题虽受到高度重视,但内容通常较为泛化。相比之下,“报告”提出建设防治结合、具有弹性的网络,措施更加务实和聚焦。其中比较值得关注的两个变化是:
一对重点防护的“关键基础设施”目标做出调整。克林顿 1998 年颁布第 63 号总统令“关键基础设施保护政策”,自此历届政府都将此作为网络防护重点,但其定义和范畴不断演变。2003 年小布什颁布的《确保网络空间安全国家战略》列举了 14 个领域,奥巴马政府 2013 年“总统指令”列举 16 项,2017 年 5 月特朗普出台的“网络安全行政令”则针对这 16 个领域提出具体要求。“报告”进一步将需要保护的关键基础设施聚焦到 6 个领域:国家安全、能源和电力、银行和金融、健康和安全、通信和运输。
二是在军事领域,不再像过去那样反复强调必须“主导网络空间” ,而是要求国防部“开发新的作战概念与能力,以便在无法确保陆、海、空、天、网主导权的情况下,依然能够取得军事行动的胜利” 。减少需防护的重点领域,调低安全目标的前提条件,实现资源相对集中,是美国认识到不可能在网络空间形成绝对优势的情况下做出的理性选择,显示出相当务实的一面。
政府网络安全政策未来发展及其影响评估
政府网络安全政策未来发展及影响评估
基于“报告”考察特朗普政府的网络安全政策,除了解其内容和特点外,还要关注相关规划在美国国内落实的可行性,以及其对网络空间国际形势、特别是对于中国的影响。
特朗普政府落实相关政策意志坚定,但在国内付诸实施面临阻力
新版“报告”虽非专门针对网络安全事务,但相关内容并非只是远期规划,很多都具有相当强的现实指导意义。一个典型的例子是,“报告”声称,“政府应与私营企业一起,改进包括电信在内的多种基础设施,如在全国范围内部署安全的 5G 互联网能力”,要尊重政府有限但相当重要的作用,“在构建下一代数字化基础设施的过程中,将有机会把自身经验用于实践”。而在“报告”发布后仅 1 个月,美国科技网站 Axios 便发布消息称,特朗普政府的国家安全团队正在讨论由政府主导建设集中化 5G网络。
当然,特朗普行事风格独特,不按常理出牌,其网络安全政策的实施也因此面临巨大阻碍。例如,政府主导建设全国 5G 网络的消息一经披露,便在国内引起强烈反弹,白宫发言人不得不出面予以否认。
同样遭遇强烈反对的举措还有,关闭成立 6 年之久的国务院“网络事务协调员办公室”、废除奥巴马时期制定的“网络中立”等。此外,奥巴马政府关于俄运用网络手段干扰美大选的调查报告和特朗普竞选团队的“通俄门”事件,使得特朗普在处理网络安全议题时处境颇为尴尬,想大刀阔斧地落实规划并非易事。
网络空间国际合作进一步趋冷,各国陷入安全困境的可能性加剧
与奥巴马政府专门发布《网络空间国际战略》,将国际政策目标与互联网政策结合在一起相比,“报告”虽也谈及网络国际合作问题,但所占用篇幅极小,且主要是强调为塑造、治理网络空间提供领导力和所需技术,通过国际交流“促进数据的自由流动和保护自身利益” 加注。
网络空间国际合作始于 20 世纪 90 年代末,但在美国持消极态度的 21 世纪前十年,多数成果仅限于地区层面,全球范围内重要进展不多。奥巴马就任总统后态度明显转变,虽然意在维持本国的绝对主导权,但客观上推动了网络空间国际治理的进程。2004 年成立的联合国信息安全“政府间专家组”,于 2010 年、2013 年和 2015 年三次发布建议报告,就建立网络空间国际准则达成部分共识。2017 年,第五届政府间专家组会谈无果而终 , 网络空间国际规则制定进入“深水区”,这时尤其需要各方以积极姿态直面以往被掩盖的矛盾分歧,寻找解决之道。美国在这样的关键时期“开倒车”,必将给网络空间国际治理合作带来巨大的负面效应。
另外,美国作为信息时代的领跑者,其网络政策对于其他国家具有明显的示范作用。特朗普网络政策高度突出大国博弈中竞争的一面,在具体政策设计中强调“美国优先”,强化攻势色彩,有可能带动其他国家采取类似举措。
届时,有可能出现的局面是,世界主要国家纷纷扩大网络实力特别是进攻性网络军事实力,结果反而陷入安全困境,由此开启网络军备竞赛的恶性循环。
中国成为美在网络空间的主要“对手”,将在多个领域承受更大压力
美国国内对中国所谓“网络黑客”的炒作始于 20 世纪 90 年代末期。进入 21 世纪第二个十年,中美在网络空间经历了一系列重大事件:
2010 年谷歌公司宣布撤离中国大陆市场、希拉里发布“互联网自由”演讲;
2013 年“曼迪昂特”信息安全公司发布关于解放军“网络偷窃”的报告、美多位高级政要出面表态;
2014 年美国司法部以“窃取美商业信息”为名起诉 5 名解放军军官、中方宣布中止战略安全对话框架下的“网络工作组”对话,等等。这些事件导致中美关系不断趋紧,引发双方冲突对抗的可能性持续增加;
2015 年 9 月习近平主席赴美访问期间,与奥巴马总统达成有关网络空间安全的 5 点共识,双方关系明显趋缓。
新版“报告”将中国定性为头号挑战者,在网络安全议题上多次点名批评中国。随着中美贸易摩擦升温,除了继续炒作中国网络黑客之外,美国的“301 调查”、网络安全审查都直接瞄准中国,在人工智能、机器人、5G 网络建设等新技术领域也将中国视为主要竞争对手和压制对象,未来还有可能采取更多的针对性措施,这必将给中国制造更大的压力。
本文选自《信息安全与通信保密》
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
