文│中国信息安全测评中心 桂畅旎
2020年3月,根据“2019年国防授权法案”授权成立的美国“网络空间日光浴委员会”(CSC)发布报告,提出“分层网络威慑”的新战略,核心内容包括塑造网络空间行为、拒止对手从网络行动中获益、向对手施加成本三个层次,并提出六大政策支柱以及75条政策措施。该战略是美近年来网络理念和网络战略的集大成者,以期联合国会参众两院、主要行政部门、地方政府、私营企业等,推动改革美国内网络治理体系,建成国家层面网络威慑,应对全频谱的网络行动,特别是低于武装冲突阈值的网络攻击,建立具有共识的网络空间国家战略。虽然该战略构想最终能否为特朗普政府所采纳仍尚待观察,但其提出的政策建议和改革举措却因针对性强,切中时弊而备受关注,对此我国应高度关注。
一、“分层网络威慑”战略提出的背景
近两年美战略界开始反思网络空间“越防护越不安全”的现象,认为美国在网络空间的投入并未有效减少网络攻击的发生,要求重新审视网络空间威胁的变化、改革网络治理结构、提高网络战略政策的有效性。
一是美国战略界对于网络空间主要威胁的认知与优先项发生了变化。
正如美CSIS网络安全负责人詹姆斯·刘易斯2018年撰文提出,“美国将主要精力放在防范针对关键基础设施的重大网络攻击上,为应对网络空间的‘珍珠港事件’、‘网络911事件’投入大量的资源,但是这样的事件并没有发生。相反,网络对手正采用一种不易遭致美国直接报复的攻击方式,即‘低于武装攻击阈值的网络攻击’”。这反映了美战略界近年来形成的一种共识,即“俄罗斯的信息操纵干预选举”、“中国的知识产权窃取”、“朝鲜、伊朗入侵美国关键基础设施”才是美国当前在网络空间面临的最为迫切的威胁,而美国并未采取明显的惩罚措施。对此,要求将网络空间视为战略竞争的重要领域,改变美国政府倾于克制的政策,采取主动行动积极塑造竞争环境的呼声越来越高。
二是美国网络治理结构不足以应对网络技术和威胁发展。
在立法方面,美国国会在过去几十年里出台了一系列网络安全相关法律,成立了各类网络议题委员会,但法律政策之间缺乏相互协调,形成的“拼凑式”立法框架在“系统性”网络安全问题面前收效甚微。在行政方面,美国内涉网行政部门存在着职能交叉、授权不明、争夺资源的情况,虽然近几年已经设立了一些协调部门,但由于授权或资源受限,并未发挥实质性作用。在司法方面,网络威胁的跨境性、虚拟性和多主体性使得传统以地理划界的司法在管辖、取证等方面面临挑战,特别是传统的侦查技术已难以应对强加密技术的普及。
三是美国政府缺乏足够的资源来应对网络威胁。
技术的发展推动战略资源从传统的制造业和资源开采转移到新兴技术和创新应用,这就使得私营企业取代政府成为先进技术和新兴关键基础设施的所有者。从这个角度来讲,若私营企业缺乏足够的安全和韧性,就会影响到整个国家的网络安全防护效度。此外,私营企业还拥有网络空间的大部分实体和数据,使得政府在调集资源合力应对网络威胁时较为被动。此外,美政府各部门均面临着严重的网络安全专业人才缺失,据统计,在美国政府有超过33000个网络安全职位空缺,在全美有500000个空缺职位,网络安全人才短缺严重影响到美国的网络安全防护。
二、“分层网络威慑”战略的主要内容
在过去几十年里,威慑一直是美国战略的基础,其基本逻辑是“以非战的方式慑服对手,使其由于顾及可能招致无法承受的报复而不敢发动攻击,以达到不战而屈人之兵,或以较小的代价获得较大的战略利益”。威慑战略在冷战时期的成功运用使其在战后很快被运用到网络空间,关于网络威慑的讨论成为美国理论界的热点,并发展出拒止威慑、惩罚威慑、利益牵连型威慑、规制型威慑等形式。分层网络威慑战略融合了各类网络威慑的主要理念,同时在优先性上进行了重组,既是对于威慑理论的再一次深化和发展,同时从美国面临的现实威胁出发,是极具操作性的行动指南。
(一)战略以改革美国政府网络空间治理结构为基础
随着数字化覆盖到国家安全、社会治理和民众生活的方方面面,不仅是美国政府甚至全球各国都面临着一种战略性困境,即一方面享受着数字化带来的各种便利,另一方面传统的政府结构和司法管辖边界与不断变化的技术变革和威胁不相适应,严重阻碍了网络政策制定进程,限制政府行动的机会。分层网络威慑各项措施的基础是要求各级政府针对网络空间特点进行组织结构和资源配置重组,以提高防御速度和敏捷性。
(二)战略以三层网络威慑为核心
分层网络威慑主要包括塑造行为层(Shape bebavior)、拒止获益层(Deny benefits)和施加成本层(Impose costs),各层环环相扣、层层递进:第一层为塑造行为层,要求联合盟友和合作伙伴建立和实施基于共同利益和价值观的网络规则,以塑造网络空间行为。这是“规则型威慑”和“利益牵连型威慑”的具体运用,主要逻辑是创建一个共同预期,奖励遵守者,集体惩罚违规者,其前提是对这个预期进行规范化的体现,即美国近年来推行的“网络空间负责任行为”。第二层为拒止获益层,主要通过与私营企业的合作减少漏洞,使得针对美国的网络攻击变得更加困难或无利可图,迫使对手放弃攻击。这是分层网络威慑的核心部分,其关键因素是加强韧性和防御能力。第三层为施加成本层,要求在国防部“向前防御”基础上利用包括军事手段在内的所有政策工具来施加成本,特别是对抗低于武装冲突阈值的网络行动,以在源头扰乱或阻止。对此,美国需要发展其在选择的时间和选择的地点使用军事回应的能力,这种能力的关键就是确保网络空间关键武器设备的安全和韧性。
(三)战略以六项政策支柱为支撑
第一支柱为“根据网络空间改革美国政府的结构和组织”,要求更新国家网络战略,包括开发多层信号战略和新的宣示性政策。在国会创建众议院永久委员会和参议员特选委员会以协调网络安全预算、立法以及监督权;设立技术评估局,为两院提供相关技术建议。在行政层面,建立国家网络总监(National Cyber Director,NCD)作为总统网络安全相关事务的主要参谋官,协调整个国家层面的网络安全战略和政策;强化网络安全和关键基础设施安全局(CISA)的职能, 确保其能够保护关键基础设施国家韧性,推行一个更安全的网络生态。在网络人才培养方面,国会和行政部门应该通过立法和政策来促进更好地招聘、发展和留住网络人才,同时在联邦政府内部深化专家池。
第二支柱为“强化规则和非武力工具”,要求在国务院下创建网络安全和新兴技术局(CEST)指导成立一个志同道合的合作伙伴和盟友联合体,积极参与国际规则论坛与国际信息和通讯技术标准制定,协助盟友和合作伙伴的能力建设,强化网络空间执法行动的国际工具(如双边司法互助条约/协定,MLAT/MLAA),利用经济制裁和贸易行动配合(如商务部的实体清单),提高归因溯源能力,重振网络信心建立措施等。
第三支柱为“加强国家韧性”,要求建立对风险的共识性理解,对此需在CISA的引领下评估关键基础设施的风险,并指定成立部门风险管理机构(SSAs),进行五年一次的国家风险管理,设立国家网络安全援助基金;同时发展应对重大网络事件并从中恢复过来的国家能力,制定一个连续性的经济规划,将“网络灾难状态”编撰入法;加强民众对于政治体系以及民主体制的信任,改善选举协助委员会(EAC)结构;促进数字素养、公民教育和公众意识等。
第四支柱为“重塑网络生态安全”,要求将安全责任从终端用户转移到所有者、运营商、开发人员和制造商来降低整个生态系统的漏洞,对此需激励技术市场增强内生安全,改变技术市场将“上市”置于安全之上的做法,建立国家网络安全认证和标识机构,立法规定软件、硬件和固件的最终产品组装商对利用已知和未修补的漏洞造成的损害负责。激励组织更优的网络安全,设立网络统计局负责收集和提供网络安全和网络生态的统计数据,建立网络安全保险产品的认证研发中心。部署云安全认证、供应链安全和数据安全等措施。
第五支柱为“加强政府与私营部门的网络安全协同”,要求改善政府对私营部门的支持,将部分重要私营部门定义为“具有系统重要性的关键基础设施”并进行优先保护;审查和更新情报授权,以支持更多的私营部门;提高网络威胁的综合态势感知能力,建立并资助公私联合的协作环境,共享网络威胁信息;加强CISA协调整个联邦政府以及公共和私营部门之间网络安全行动的职能。
第六支柱为“保留和使用军事手段”,战略特别强调使用国防部2018年提出的“向前防御”作为核心概念,但区别于国防部的向前防御,分层网络威慑语境下的该概念在保留美国政府使用军事手段的选择外整合了所有政策工具,包括执法行动、制裁、外交、信息共享等,并要求美国政府必须确保其具有相应的组织、资源来部署力量向前。该支柱的关键在于确保网络任务部队(CMF)配置相应的资源、能力和规模;审议网络行动的授权问题,简化决策过程,确保相应的情报支持;重新评估和修改美国军队既有的交战规则(SROE)以及武力使用规则(SRUF),纳入低于武装冲突阈值的网络行为;确保网络空间关键武器设备和功能的安全和韧性,保护国防工业基础的安全。
三、“分层网络威慑”战略的特点
“分层网络威慑”战略的亮点在于融合了布什、奥巴马和特朗普三届政府的网络战略理念,并把威慑、规则和向前防御、持续接触等原本相互竞争的范式融合为一个相互补充的整体战略。
一是结合传统威慑与规则塑造,丰富威慑理论。
分层网络威慑是以规则塑造(规则性威慑)为基础,韧性建设(拒止威慑)为核心,施加成本(惩罚威慑)为保障的综合性网络威慑战略,融合了改变对手收益成本计算的传统威慑形式,并结合了新技术时代中国家之间互动方式的变化,即通过规则改变竞争的生态环境。设立规则的实质仍然是施加声誉成本,主要是通过损耗对手的软实力来拒止收益,这极大地丰富了网络威慑理论。
二是强调网络空间多主体,拓展威慑广度。
战略集合了国土安全部、国防部、司法部、商务部、国务院等涉网职能部门,参众两院监督机构,联邦政府与地方政府,以及领先的私营企业和国际盟友等多主体,特别强调将私营企业纳入“集国家之力”的框架下,与私营部门协同合作建立“共同防御”。报告甚至表示,私营企业需在国家防御方面发挥主导作用,要求私营政府加强韧性,并积极与政府进行情报共享,直接将威慑的行使主体扩大至政府之外。
三是针对全频谱的网络行动及其互动模式,扩大威慑运用范围。
战略要求确保应对范围覆盖低于武装冲突阈值下的网络行动以及突破阈值并产生重大影响的网络攻击事件,囊括了从“竞争”到“危机”再到“冲突”的所有级别的网络互动,如扩展到针对美国选举设备的干扰和大规模的知识产权窃取,从网络空间的“准备”姿态转变为“持续接触”的常态。
四、“分层网络威慑”战略的影响
“分层网络威慑”是美国会和行政当局通力合作的产物,既继承和发展了美国的网络威慑政策,也是对特朗普上任以来网络行动的总结和升华。战略行动性和操作性极强,是引导美国网络空间安全体系改革和行动方向的重要指南。
一是推动美国建成综合网络安全体系。
分层网络威慑体现了美在网络空间体系化治理的思路:首先,国会监督作用将得到增强,通过设立常设机构以及建立相应的技术支撑单位,国会将进一步理顺和调配在网络安全上的预算、立法以及监督权,以适应新技术时代下网络安全治理的特点。其次,行政部门的职能将进一步界定清晰,报告针对美国土安全部、国务院和国防部网络治理“三驾马车”的职能进行了再界定,并增强了商务部、司法部、外商投资委员会、中央情报局等部门在网络安全上的职能作用。第三,统筹协调能力将得到改善,国家网络总监的设想将直接解决此前协调机构资源和授权有限的问题,统筹国家层面的网络安全事务;此外,部门间协调将进一步完善,包括强化网络安全和关键基础设施局(CISA)作为民用网络安全中枢机构在保护关键基础设施;强化网络威胁情报整合中心(CTIIC)作为网络行动支持部门整合全源网络威胁情报信息,支撑归因溯源能力;强化FBI“国家网络空间调查联合任务组”(NCIJTF)作为网络威胁调查部门在监控并分析全源数据,收集和综合入侵相关活动的线索上的作用。
二是加快在国际上塑造规则“阵线”。
战略将网络空间规则塑造和标准制定定义为网络和信息空间地缘政治竞争的战场,并营造出一种“若美国不主动推动一个开放、互操作、可信赖和安全的互联网,那么提出替代方案的国家愿景将会在国际论坛上获得先机,损害美国的国家安全和经济利益”的零和博弈氛围。对此,美国将加大在各类国际规则平台的活动:在规则层面,美国将继续扶持联合国政府专家组(UNGGE),使之与俄罗斯主导的开放工作组(OEWG)抗衡,并积极参与到后者的议程设置中去;在标准层面,积极抢占5G、人工智能、数字货币、面部识别等新技术新应用的标准制定;在跨境执法层面,在“云法案”下继续完善网络空间执法行动的国际工具,打造“执法数据跨境流通圈”。此外,加强与盟友在公开溯源和规则标准制定上的协同。2019年10月,美联合英国、澳大利亚、丹麦等多个国家一起谴责俄罗斯攻击格鲁吉亚;2019年5月,美联合31个国家召开布拉格5G会议制定供应链标准,均是美国此类行动动向。
三是利用所有政策工具的“集国家之力”来应对网络威胁。
基于分层网络威慑战略,美国网络反制的全图景逐渐清晰:在准确期间进行积极的政策宣示,包括利用首脑外交或外交论坛宣示美国在网络空间的核心利益和主要关切;在发现行动迹象后传递明确的信号,告知对手美国将“集国家之力”进行反制;并联合国际盟友进行归因调查和分析;在明确行动对手后,充分调动司法部进行起诉、财政部进行经济制裁、国务院联合盟友进行公开溯源(羞辱);并辅以商务部颁布“实体清单”管理出口和美国外商投资委员会加强对外来投资的审查强度。
四是开展更积极的网络行动。
分层网络威慑核心是极具进攻性的网络防御战略。战略要求美国加大网络常规军的建设,审议网络行动的授权问题,尽量减少授权多源的问题,精简决策过程。2019财年的《国防授权法》、《国家安全总统备忘录》(NSPM-13)等已精简和下放美网络行动的授权,并明确授权国防部可在俄、中、朝、伊四国网络空间开展环境准备、信息行动、威慑攻击行为等。同时战略规定可在盟友和合作伙伴网络空间实施向前防御,将战线前移,甚至推至对手网络空间,寻找漏洞。目前,美国已加强了与五眼联盟的情报共享关系,且积极争取中俄等对手国家的邻国参与,并尝试将私营部门纳入美国网络空间共同防御体系。由此可判断,美在网络空间的行动将更具进攻性。
五、“分层网络威慑”战略存在的局限性
(一)威慑战略在网络空间的适用问题并未有效解决
分层网络威慑的实质仍然是推动威慑战略运用于网络空间,虽然该战略拓展了传统单纯依赖于武力威慑的概念,但是并未解决威慑战略与网络空间的适配问题:一方面是归因技术问题仍未得到根本解决,归因是威慑的核心,只有正确归因才能让基于惩罚和报复的威慑发挥作用。美国近几年归因技术取得了实质性的进步,但是从美披露的案件来看,美国仍然未给出100%的溯源证据,更多的是基于地缘政治的惯性分析,这就直接影响到威慑的效力;另一方面是网络报复可能造成危机升级,威慑要求遵循惩罚与罪行相匹配的相称原则,但是网络攻击往往具有非对称性与不可控性,再加上分层网络威慑要求“集国家之力”对抗对手,将极易引发冲突升级。
(二)实施分层网络威慑所需授权与资源也面临着极大的挑战
日光浴委员会以冷战时期艾森豪威尔政府遏制苏联的“日光浴项目”为蓝本,该项目是对冷战时期遏制战略以及核政策进行的阶段性反思和纠偏,其成果最终促成了国家安全委员会第162号文件,奠定了艾森豪威尔“新面貌”战略的基础。“网络空间日光浴委员会”由参议员安格斯·金和众议员迈克·加拉格尔发起,凸显出美国会在新技术时代面对网络空间战略竞争的背景下,寻求应对之策以从根本上维持美国的战略优势的意图,但是是否能复制艾森豪威尔日光浴项目的成功还有待观察,这主要是因为冷战特殊的国际环境造就的美国内“同仇敌忾”的形势,使得总统驱动的日光浴项目从绝密项目发展为国家战略面临较小的阻力。但当前特朗普政府下美两党分歧严重,国会和行政部门相互掣肘,总统和官僚机构互不信任,国会想要推动重塑网络空间治理结构,打造网络安全大战略的意图将面临较大挑战。
(三)国际盟友和私营企业对于共同防御存疑
分层网络威慑意在联合美国的盟友、合作伙伴以及私营企业打造网络空间的“共同防御”,并要求这些实体与美国政府共享威胁情报,实施公开归因,以供应链安全为由排斥特定企业等,但面临越来越多盟友和私营企业的质疑。在盟友方面,美国以切断情报共享为由要求盟友将华为等企业排除在新兴5G基础设施之外,但是美国并没有提供现实的替代供应商,这给英法等国造成极大的经济损失;在私营企业合作方面,虽然美国对于公私合作的关注度一直未减,但却收效甚微,这主要是受斯诺登事件的影响,企业对于政府的介入心存芥蒂,往往不愿让政府进入商业网络,也不想参与政府之间的网络行动,从2018年4月微软、脸书等科技巨头缔结《网络安全科技条约》不协助政府打网络战就可以看出。
综上可见,“分层网络威慑”战略是美主要涉网职能部门近几年网络空间战略变化发展的全面体现,报告提出了一系列政府改革的重大举措,提供了广泛的政策和立法支持,辅以指导性的实操建议。虽然战略仍存在一系列局限,但仍可以看出美对于整合国内外网络力量,加快网络空间体系建设,突出进攻性和针对性网络战略转向的共识。对此,我应高度重视,在顶层设计层面思考如何应对网络空间大国竞争的国际形势,及时完善网络安全大战略。同时借鉴美整合国内网络治理资源的做法,进一步完善我国网络安全体系、发展技术能力、强化公私协同和完善网络生态、增加国家韧性等;积极应对美国的网络威慑,提升网络空间安全防护能力。在国际上积极践行网络空间命运共同体理念,加强与各国的网络空间合作,强化态势感知和威胁信息共享;同时做好与美西方等国家在国际规则长期博弈的准备,维护我国网络空间的权益。
(本文刊登于《中国信息安全》杂志2020年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
