文│ 中国现代国际关系研究院科技与网络安全所执行所长 唐岚
随着美国新旧政权交替的完成及联邦政府一些重要职位的确定,拜登政府的执政理念日趋清晰。从拜登竞选至今的表态看,网络安全议题并非其执政的优先事项,其相关理念与主张也大多沿袭奥巴马政府的做法。2020 年底,美国遭遇的“太阳风”(SolarWinds)网络攻击事件引发美国国内的反思与争论,这在一定程度上推动了拜登当局加快网络安全政策的落地。总体看,拜登政府在网络安全领域回归传统“套路”之余,也会保留特朗普执政时所取得的一些“突破”,与中国在该议题上呈现竞争与合作并行的态势。
一、美国网络安全政策的逻辑肌理
20 世纪 90 年代,克林顿执政后,美国率先开启信息革命,通过建设信息高速公路把美国从“汽车上的国家”打造成“网络上的国家”,同时,把关键基础设施保护引入传统的通信安全、信息安全概念中。小布什政府首次在国家战略中使用“网络空间”一词并提倡“先发制人”,通过“国家网络安全综合计划”(CNCI)为下届政府留下了“爱因斯坦计划Ⅲ”等网络安全态势感知的基础。
奥巴马政府为期 8 年的“网络新政”,标志着美国网络安全战略构想的成型及政策的全面成熟,呈现出体系化和全方位的特点,不仅展现了网络超级大国的底气与实力,也成为其他国家发展网络力量、开展网络治理所效仿的对象。奥巴马时期的网络安全政策特点可归纳为三个首次。
一是首次把网络安全提升到国家决策的最高层级。奥巴马一上台就展开了为期 60 天的全面评估并发布《网络空间政策评估》报告,认为“网络威胁对 21 世纪美国及其盟友的经济和国家安全构成了最严重的挑战”,将网络安全作为“国家的头等大事”“从高层实施领导”,并新设白宫网络安全协调官(即“网络沙皇”)一职,直接对总统负责并统揽网络安全事务,以期实现国家网络安全政策与措施的高度协调与部门合力。
二是首次全面整合网络安全国内与国际政策。2011 年 5 月出台的美国《网络空间国际战略》,提出要打造一个“开放、互通、安全和可靠”的网络空间,并从外交、防务和发展三个方面勾勒了实现这一愿景的政策路线图。该战略的最核心之处在于宣称未来网络空间的塑造应以符合美国和西方国家价值观的十大根本原则为基础。此后,美国把现有国际法适用、国家负责任行为规范和建立信任措施作为维护网络空间战略稳定的三个支柱,力挺多利益相关方模式,把握了网络空间国际规则进程的主动权和话语权。
三是首次创立专门的网络部队。美国始终认为网络空间是与海陆空天相同的作战域,并于 2010年正式成立网络司令部且人数不断扩容,于 2018年形成 6000 余人的 133 支网络任务部队。国防部先后出台《网络空间行动战略》(2011 年)、《网络空间作战》联合条令(2014)和《国防部网络战略》(2015 年)等,一以贯之追求网络空间行动自由与信息优势,全时全域掌控网络态势并时刻准备用武力还击网络攻击。美国网军频频“亮剑”,如通过对“伊斯兰国”(ISIS)组织发起网络攻击等,展现了强大的网络能力。
特朗普在竞选期间就开始批评奥巴马的网络安全政策,称“高度保密信息外泄证明美国网络安全防御不力,这是奥巴马政府的一大失败”,并勾勒了一个“宏大”的网络安全施政方案。2017 年 5 月,特朗普签署《增强联邦政府网络与关键基础设施网络安全总统行政令》,从联邦政府、关键基础设施和国家三个层面分别提出了具体要求,包括时间要求长短不一的各种评估报告 16 份。2018 年 9 月,特朗普政府还先后颁布了《国家网络战略》和《国防部网络战略》,突显“美国优先”底色,承诺通过各种可用的方式确保美国在技术生态系统的影响力和新兴技术领导地位,确保美国网络实力无人能及。虽然特朗普政府在保障美国网络安全方面做了一定程度的制度安排,但美国国内却认为其成绩单乏善可陈,包括重要职位或“走马灯”式换人或长期空缺、与硅谷交恶、网络外交“哑火”等。美国智库外交关系委员会发文称,“混乱”是特氏网络政策的“遗产”。然而,特朗普在网络安全领域还是取得了两个突破,给未来美国网络安全政策走向带来不可磨灭的影响。
一是突破了网络安全问题的传统边界。特朗普政府将网络安全与经济、贸易、科技甚至意识形态等各种问题捆绑在一起,作为其发起贸易战、科技战的主要抓手,使网络安全议题出现了前所未有的泛化和政治化。2018 年 3 月,美国贸易代表办公室发布关于中国科技、知识产权“不公平贸易”的301 调查报告,将所谓“非法入侵美国公司网络”称为“经济侵略”行为。随后,以网络安全为由在全球展开对华为公司的围猎,不遗余力地游说各国禁用华为 5G 设备,动用各种胁迫性经济措施意图彻底切断华为的生产链条和创新链条。美国国会围绕所谓数据安全和国家安全把矛头指向抖音海外版(TikTok),在禁止联邦政府设备使用该应用程序之余,还欲除之而后快。继“布拉格倡议”后,时任国务卿蓬佩奥还抛出所谓的“清洁 5G 路径”和“清洁网络计划”,企图在全球互联网生态系统搞“去中国化”,以政治制度和司法体系等为衡量 ICT 产品和服务安全可信的主要标准。至此,特朗普政府以网络安全之名、行霸权主义和单边主义之实的面目,昭然若揭。
二是突破了网络行动的制度约束。2017 年 8月,特朗普将网络司令部升级为美军第十个联合作战司令部。2018 年初,美国网军推出愿景文件,明确提出“与对手展开持续的对抗”,实现攻防无缝链接,“尽可能地抵近敌人”破坏其行动以掌握主动,从而“实现并维持网络空间优势”。2018 年9 月出台的《国防部网络战略》重申了这一“前置防御”和“持续交手”的理念,是美军网络作战和战略思维的重大变革。正如美国网络司令部司令保罗·中曾根所言,美国网军要从被动式“响应性力量”转变为“持续性力量”,随时且持续与在网络空间危害美国利益的敌人短兵相接,用实力施压,增加对手发动网络行动的顾虑。为此,《2019 财年国防授权法案》及 2018 年 8 月特朗普签署的关于“美国网络行动政策”的第 13 号国家安全总统备忘录,下放权力,简化国防部发起进攻性网络行动的审批程序。根据这一理念,美国网络行动的范围将不限于本国网络设施、信息系统和数据,可借维护国家安全为由对全球任意目标进行网络渗透和网络攻击。美军已在全球展开了“前置狩猎”(huntforward)行动,在别国部署力量以阻止恶意网络行为。例如,为防止俄罗斯干扰美国大选,2018 年以来,国防部先后派遣力量赴北马其顿、乌克兰、黑山共和国和爱沙尼亚收集情报,开展联合防御行动等。2020 年 11 月 2 日,《纽约时报》披露,美军还在中东及亚洲开展“前置狩猎”行动以应对来自伊朗、中国和朝鲜的网络威胁。
作为唯一的网络霸权国家,无论是奥巴马治下的基于规则的“克制”还是特朗普奉行的“美国优先”,网络威慑作为核心贯穿其中,通过不断增强并展现自身实力(包括政治、经济、外交、法律和军事等全政府手段在内的综合实力)压制对手审慎衡量行动的成本收益,以期构建符合西方价值观和美国利益的网络空间秩序。虽然美国政学两界均对威慑概念能否可以直接套用到网络领域存在争议,但是这一网络安全理念和政策已经深刻影响了世界,也会在拜登任内得以延续。
二、拜登政府网络政策的可能走向
拜登把“重塑”作为其执政的关键,包括重塑美国国内民主、重塑美国中产阶级、重振“美国制造”、重塑美国外交信誉和全球领导力等,其网络安全政策亦将服务于其内外政策。拜登见证和参与了奥巴马政府的政策形成过程,因此,其网络安全政策必然难逃奥巴马政府的烙印,也会试图把被特朗普偏离的轨道逐步拉回正轨。但是,由于国际形势、技术发展以及美国内政治生态与前两届政府时期相比发生了天翻地覆的变化,美国国内已经没有简单重走奥巴马老路的土壤和环境。可以预计,拜登的网络安全政策要在前两任总统之间找平衡,以提升国内网络安全防御为主,对外拉拢盟友开展协同行动,在强调竞争、对抗和实力的同时,与对手国家进行选择性合作。从截至目前推出的举措看,拜登的网络安全政策首先要解决三大问题。
一是要给 SolarWinds 事件一个交代。美国国内有声音把此次攻击称为史上最严重的网络安全事件。“网络空间日光浴委员会”(CSC)联合主席、参议员奥格斯·金等认为,攻击者取得了 21 世纪“大国竞争”“教科书般的胜利”,使“美国在网络空间的信誉荡然无存”。参议员卢比奥主张,美国必须予以报复而不能仅仅以制裁了事。2020 年 12 月17 日,拜登以当选总统的名义发表声明,称将处理此次数据泄露事件作为执政后的当务之急,将提升网络安全在各级政府事务中的地位,承诺对从事恶意网络行为者强加“巨大成本”以震慑各种网络对手。据 2021 年 1 月 21 日《纽约时报》报道,拜登已下令情报部门彻查 SolarWinds 事件。事实上,如何处置和响应此事件,并非易事。在给该事件定性方面,究竟视其为战争还是网络间谍,在美国国内存有不同声音,这决定了政府应该予以何种回应。作为《塔林手册》牵头人的迈克尔·施密特认为,SolarWinds 事件既非使用武力或武装冲突,也未违反国际法有关禁止干预或侵犯主权的规定,理论上应属于国际法不禁止的间谍行为,美国可采取的政策选项有限。英国网络安全中心前主任查兰·马丁直言,拜登所谓的“强加成本”毫无意义,不会给对手以威慑,采取攻击性网络行动进行报复则更会适得其反,会刺激对手不断提高攻击水准。最大的难点在于,如果美国采取反制行动,将会表明网络空间的间谍行为不可接受,从而使美国自缚手脚。参议院情报委员会主席马克·华纳称,SolarWinds事件是美国面临的最为复杂和深层次的黑客攻击,拜登不仅要修复被渗透的系统,还要考虑如何防止未来再次发生以及何种行动能震慑。可以说,美国如何应对 SolarWinds 事件将成为彰显新政府网络安全国内国际政策走向的关键性指标。
二是重整美国网络安全机制。SolarWinds 事件给美国带来的最大冲击,在于给美国敲响警钟,提醒其网络安全防御出了问题,包括态势感知和情报预警能力、漏洞的发现能力、各部门间及政企间的协同能力等。美国《2021 财年国防授权法案》针对此状况已提出了整改举措。该法案涉及网络安全的条款有 77 条,其中还采纳了“网络空间日光浴委员会”2020 年 3 月报告中的 27 条建议。委员会联合主席参议员奥格斯·金和众议员麦克·加拉格尔将该法案称为“美国史上最全面、前瞻的国家网络安全立法”。该委员会委员之一、“国会网络安全党团会议”联合主席众议员吉姆·朗格温则认为,该法案朝着强化国家网络安全防御能力的正确方向迈出了一步,“这些政策一旦生效,美国就建立起前瞻的、分层的网络威胁战略,这是我们面对新兴和不断演化的网络威胁和对手所必需的”。该法着重在机制上突出协调,并加大对一些事务的放权。例如,在总统行政办公室下设国家网络安全总监(NCD),作为总统网络安全相关事务的主要顾问,领导国家层面(含政府内部及政企合作)网络安全战略与政策的协调工作;在国土安全部设立“联合网络规划办公室”和“融合网络安全中心”,全面策划联邦政府部门和私营部门开展防御性网络安全行动并负责组织协调性行动;放宽网络司令部司令采购权限,赋予国土安全部网络安全与基础设施保护局(CISA)行政传唤权等。CSC 还趁势积极游说,提出了拜登上台后 100 天内及 100 天后的网络安全优先任务。
2021 年 1 月 15 日,拜登公布总额达 1.9 万亿美元的“美国救援计划”,称上任后将“提供紧急资金升级联邦信息技术基础设施,解决近期联邦政府数据泄露问题”,把网络安全视为除新冠疫情外美国面临的另一场危机,称“事关国家安全,不能再等待”。其中,拟拨款 90 亿美元建立“技术现代化基金”(TMF),进一步整合所有政府部门共享的 IT 和网络安全服务;总务署将得到 3 亿美元用于技术转型,2 亿美元用来雇用网络安全人才支撑联邦首席信息安全官工作,6.9 亿美元给予 CISA振兴除军方外所有联邦政府网络系统的安全,同时开展共享安全与云服务试点。在任命听证会上,被提名的国土安全部长和国家情报总监均将提振美国网络安全作为优先要务。国防部长奥斯汀在听证会上认同“前置防御”理念,称这是应对那些低于武装冲突门槛却威胁国家安全的恶意网络行为的最佳办法,并主张通过 3 种方式进行“前置防御”:了解对手网络行动与能力;深化部门间、与私企和国际伙伴合作以强化网络防御;必要时采取行动干扰对手并阻断其恶意行为,强调具备攻击性网络能力十分重要。与此同时,“精英”开始回归拜登政府网络安全团队,如国家安全局网络安全处前主任安妮·纽伯格担任负责网络安全与新兴技术事务的副国家安全顾问,前国防部负责网络安全政策的迈克尔·苏尔梅耶执掌国家安全委员会下的网络安全处,前国家安全局官员简·伊斯特利将担任国家网络总监等,司法部、CISA 及国安局的相关职位也大多由在网络安全协调、私企合作等领域具备丰富经验的人选出任。
三是恢复与盟友的协同与协作。这一点的核心是确保产业链安全和“确保网络空间的规则由民主国家来制定”。拜登认为,美国最大的外交政策成就就是与盟国合作。执政后,他将就重置盟友关系、处理国际议题,掀起“变革式海啸”。在产业链安全层面,推进西方技术联盟将成为美国新政府的一项主要任务。布鲁金斯协会、新美国安全中心、大西洋理事会及外交关系委员会等多家美国智库提出了大量具体实施方案,建议围绕全球数字贸易倡议、成立“T-12”等建立多边联盟、定制多边技术和网络安全政策,涵盖知识产权和创新生态保护、打击非法数据利用和虚假信息等多领域,“合作制定技术出口管制、投资限制和技术标准等政策”,主导建立“数字布雷顿森林体系”。
在网络空间规则层面,一方面,拜登高举“人权”“民主”牌,主张世界可区分为科技民主国家和科技专制国家。拜登还表示,将在上任第一年组织并主办全球民主峰会,并承诺将非政府组织和科技公司作为峰会的核心力量,承担作为言论自由和虚假信息载体的责任。另一方面,美国欲与盟国重拾网络空间规则主导权。正如 CSC 报告强调,美国要制订网络空间国际政策,引领全球秩序构建。同时,CSC 报告也指出,国际规则执行效率低,导致网络威慑无法发挥作用。在将“塑造行为”作为“分层网络威慑”战略一大支柱时,报告主张,美国要与理念相近国家组成“全球共同体”,对恶意网络行为开展集体溯源和联手制裁,切实让已有网络空间规则真正发挥惩罚效力。
综合看,拜登执政会重返建制派“套路”,但将网络安全泛化和政治化的趋势不会改变,“前置防御”“持续交手”等进攻的姿态不会改变,建立在网络溯源能力提高基础之上的点名与羞辱、起诉、制裁等,亦会此起彼伏。
三、中美网络安全领域合作前瞻
如何处理对华关系是拜登政府面临的一大挑战,也是备受全球关注的焦点议题。奥巴马时期,中美网络关系既经历了各层级制度性对话基础上某种程度的双边承诺,也因美国单方面的起诉跌入低谷,但仍保持一定水平和层级的沟通。美国认为,与中国合作对解决网络安全这一全球性挑战不可或缺,同时,希望借此引导中国网络政策朝向其既定的方向演进。特朗普政府将中国作为主要战略竞争对手和最大的网络威胁之一,在经贸战、科技战加剧的情况下,单方面中断了与中国的官方对话渠道,各种排他性网络措施大多剑指中国,甚至拓展至包括科研人员在内的人文交流领域。例如,美国司法部启动“中国倡议”行动,专门针对在美国国家实验室、大学和国防工业基地从事研究和学习的中国目标展开执法及调查活动。前联邦调查局局长克里斯多弗·雷甚至诬称中国“使用非传统情报搜集者搜集情报”。
中美网络领域的互动频度和力度将取决于并反映中美关系大局。拜登的外交智囊、“修昔底德陷阱”提出者格雷厄姆·艾利森认为,新政府对华关系将表现为 5 个“R”,即恢复(restoration)、反转(reversal)、审视(review)、认知(recognition)和现实(realism)。基于此,可以预见,新政府可能会全面审视特朗普时期的极端打压手法,重回正常外交实践,但同时也准确认知作为竞争对手的中国,以符合美国利益为前提,采取接触与防范的两手策略。
由于网络安全问题日益突出的战略地位和利益关切,两国网络关系中的竞争面增多已不可避免。《华尔街日报》2020 年 11 月 14 日报道称,遏制中国的科技影响力是特朗普科技政策的支柱,但在这一领域,其继任者与特朗普间几乎没有明显分歧,“美国阻挠中国技术进步的行动是两党过去几年来达成的为数不多的一项共识”。竞选期间,拜登的顾问们均表示,将优先考虑让美国在人工智能、半导体和 5G 网络设备方面保持领先。曾任特朗普政府国务院助理国务卿、现任信息技术产业委员会(ITI)执行副总裁的罗伯特·斯特耶预计,“拜登政府将对中国采取强硬立场”,尤其是挑战歧视性许可做法,如要求在国内保留数据,以及美国公司必须转让知识技术才能在中国开展业务。加利福尼亚大学圣地亚哥分校全球政策与战略学院电信与技术政策主席彼得·科维也认为,拜登入主白宫后,将不会逆转特氏大举围堵华为的做法。布鲁金斯学会 2020 年末发表《美国对华政策的未来——对拜登政府的建议》系列长篇报告也持类似观点,认为对华“战略竞争”是美中关系的首要特征,其中,中美技术竞争将是新政府面临的首要外交政策挑战之一。布鲁金斯学会中国问题专家何瑞恩指出,中国不是单纯的伙伴、竞争者或挑战者,有可能三者皆是,如要有效管理这一复杂关系,需要决策者超越把中国视为对手或敌人的简单思维。因此,他认为,将中国视为“敌人”有悖于美国利益,不仅误判国家优先事项,增加冲突风险,而且还破坏美国竞争力。美国应优先考虑保持其在技术创新方面的既有优势,建立多边联盟,重建相关政治、经济、社会基础,同时,美国决策者应从长远角度看待对华竞争,制定具有连续性的国家战略。
面对网络安全这一复杂的全球性挑战,中美两国合则共利、斗则双输。作为网络空间的两个大国,追求并维护一个开放、自由、和平、安全、有序的网络空间不仅符合各自利益,也是大国应有的责任担当。中美两国官员、学者应积极探索竞争背景下两国合作和共存之道,切实发挥大国引领作用,让信息通信技术的红利真正惠及各自国家民众和全球的未来发展。
(本文刊登于《中国信息安全》杂志2021年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
