文│ 中国国际问题研究院 徐龙第

2021年 1 月 20 日,拜登宣誓就任美国第 46 任总统,并于当晚宣布多项行政措施,如重返《巴黎协定》、停止退出世界卫生组织等。假以时日,拜登政府的网络政策和战略文件也将逐渐公布。目前,“太阳风”(SolarWinds)供应链攻击事件是新政府需要面对的首要网络安全挑战;同时,拜登政府已开始在机构调整、人事安排、资金支持等方面进行布局,但其网络政策的实施和效果,仍有待观察。

一、“太阳风”事件考验拜登政府

自 2020 年 12 月以来,“太阳风”供应链攻击事件逐渐曝光,成为拜登政府需要面对的首要网络安全挑战。12 月 8 日,网络安全公司“火眼”(FireEye)宣布,黑客入侵该公司网络,窃取公司开发的模拟真实攻击者和测试客户安全的工具。随后,SolarWinds供应链攻击事件的“盖头”逐渐揭开。

有观点认为,攻击者已渗入了 250 个美国联邦机构和企业,包括国防部、能源部、司法部、商务部和国务院等。为此,拜登对此高度重视,承诺将把网络安全作为首要任务,把应对此事件作为“头等大事”。拜登指责国防部 2020 年 12 月未向其过渡团队充分通报此事的后果,认为“最高领导层必须将网络攻击视为严重威胁。这意味着,应明确谁应对攻击负责,并采取有意义的步骤追究其责任。”拜登在特拉华州威尔明顿的一次活动上谴责特朗普政府的应对措施,表示“攻击者成功地让联邦政府措手不及。事实上,特朗普政府未能将网络安全作为优先事项。”

拜登还希望与美国盟友合作,共同惩罚那些应该对这次攻击负责的黑客,并确定“什么是网络空间的适当行为”。美国《政客》(Politico)杂志记者尼克·尼兹威亚德克(Nick Niedzwiadek)认为,校正对这次网络攻击的应对措施,将是拜登政府 2021 年必须面对的首批国家安全挑战之一,可能会为他与俄罗斯和其他对手的关系定下基调。拜登政府过渡委员会在一份声明中表示,“拜登政府将把网络安全作为头等大事,从第一天起就把它提升为政府的当务之急。”目前,如何应对“太阳风”事件是拜登政府面临的一大考验。

二、拜登政府网络政策要点

拜登政府出台网络战略和政策文件,可能尚需时日。现在,可从其既往的发言和声明中大体上管窥其网络政策的要点。

1.加大对网络基础设施和人才的投资

这是加强网络能力建设的务实举措,具有实质性意义。虽然资金投入与网络能力不能简单地画等号,但是若无充足的资金投入,要搞好网络能力建设将非常困难。实际上,这是今后值得持续关注的一大要点,因为实际资金投入的多少、分配和效能是决定美国网络能力的重要因素,也是决定拜登政府网络政策成败和成效的核心要素之一。目前来看,拜登有意加大在网络基础设施建设和人才培养方面的投入,将是夯实美国网络实力的务实举措。

2.加强与私营部门、学术界和公民社会的伙伴关系

美国往届政府都强调在网络安全领域建立公私伙伴关系(PPP),注重发挥“多利益攸关方”的作用。拜登政府也是如此。这表明新政府愿意与政府之外的力量——包括市场力量和社会力量——合作的态度。由于美国的电信网络多由私营企业经营,因此,私营部门在维护网络安全方面发挥着重要作用。当然,美国历届政府所致力于构建的公私伙伴关系也不是没有问题,比如在共享威胁信息方面就存在各种矛盾。不过,拜登仍将延续往届政府重视非政府力量的传统。

3.继续致力于网络空间国际规则的制定

2020 年初,拜登在《外交》杂志发表了题为《为何美国必须再次发挥领导作用——拯救特朗普之后的美国外交政策》的文章,阐述了其外交政策的基本思路。拜登认为,在 5G 和人工智能等未来技术方面,美国需做更多工作,以确保这些技术被用于促进民主和共享繁荣,“拜登政府将与美国的民主盟友一道开发安全的、私营部门主导的 5G 网络,而不把任何群体——无论是农村或低收入群体——抛在后面。”而且,“在新技术重塑我们的经济和社会之时,我们必须确保这些进步之引擎受到法律和道德的约束,正如我们在以前的技术转折点上所做的那样,并避免逐底竞争,避免由中国和俄罗斯制定数字时代的规则。”可见,在网络空间国际规则制定方面的大国博弈仍将继续。

三、影响拜登政府网络政策落实的因素

在政策和实践之间,尚有一段距离,在两者之间架起桥梁的是人、机构以及资金。拜登政府在这些方面的布局和操作将影响其网络政策的执行和效果。

1.机构与人事安排将影响政策实施和绩效

网络安全是专业性很强的业务领域,特朗普取消了联邦政府中最重要的网络安全职位中的两个:一是在整个联邦政府内负责协调网络安全问题的白宫网络安全协调员;二是担任国家最高网络安全外交官的国务院网络问题协调员。当时,甚至许多共和党人都反对这些举措,由国会领导的网络安全委员会也曾建议恢复两者。拜登将对负责网络安全的政府机构进行一定的调整。从现有的人选和任命看,拜登政府的做法基本上是“请专业的人干专业的事”。

第一,《2021 年国防授权法案》规定,白宫新增国家网络安全主管职位,以帮助协调国家网络安全战略。该职位是网络安全日光浴委员会的提议。据报道,美国国家安全局高级顾问迈克尔·苏尔迈耶(Michael Sulmeyer)将担任白宫网络高级总监。他曾在奥巴马政府时期担任国防部网络政策规划和运营总监,也是一位资深的网络安全专家。

第二,任命美国国家安全局下属网络安全局局长安妮·纽伯格(Anne Neuberger)担任国家安全副顾问,负责网络和新兴技术。有人认为,纽伯格的任命是拜登政府打算在国家安全委员会优先考虑网络安全问题的一个信号。此前,她曾担任美国国家安全局打击俄罗斯对美国选举构成威胁的特别工作组负责人和首席风险官,该工作组之前被称为“俄罗斯小组”。

第三,国家安全局驻伦敦美国大使馆的特别联络官罗伯·乔伊斯(Rob Joyce)将接替纽安妮·纽伯格担任美国国家安全局(NSA)网络安全局局长。乔伊斯之前曾担任NSA局长的网络安全战略高级顾问,并担任白宫国家安全委员会总统特别助理和网络安全协调员。他还曾担任 NSA 下设的网络行动组织获取特定情报行动办公室(TAO)负责人,以及 NSA前信息保障理事会副主任。

第四,美国国务院成立新的网络空间安全和新兴技术局(CSET),以应对网络安全和新兴技术威胁。据称,这可能有助于网络安全和技术领域的外交工作,包括防止与潜在敌对国家间的网络冲突。

第五,据报道,国土安全部前官员罗布·西尔弗斯(Rob Silvers)可能执掌网络安全与基础设施安全局(CISA),负责选举安全和阻止黑客对政府网络的威胁。西尔弗斯从 2013 年到 2014 年间担任时任国土安全部副部长马约卡斯的高级顾问。在奥巴马政府的最后一年,西尔弗斯担任国土安全部负责网络政策的助理部长。

第六,曾在奥巴马政府担任国土安全部网络安全官员、与私营部门和州政府密切合作的埃里克·戈尔茨坦(Eric Goldstein),据报道,可能将被任命为CISA 负责网络安全的执行助理局长。该职位是 CISA最专注于网络安全的高级职位。

其他与网络安全有关的人事决定还包括:前国土安全部官员凯特琳·杜尔科维奇(Caitlin Durkovich)将担任恢复和响应部门的高级主管;丽莎·莫纳科(Lisa Monaco)将担任司法部副部长,她曾在奥巴马政府担任国土安全顾问,负责网络安全问题。众议员约翰·卡特科和吉姆·吉姆·兰格文 2020 年曾提出一项法案,该法案将赋予 CISA 局长五年任期。拜登政府是否会推动延长 CISA 局长的任期,仍未可知。

简言之,上述制度安排和人事任命表明,拜登政府对网络安全问题极为关注。当然,机构设置和人事任命还仅是走向行动的一个环节。今后,拜登本人对网络安全的认知和态度、拜登政府网络安全官员的执行能力以及各个组织机构之间的协调合作情况,将共同决定美国未来几年网络安全政策和走势。具体而言,从官僚政治和组织行为的角度看,这些政府机构的组织文化、工作效率、相互关系将对拜登政府的网络安全政策执行产生直接影响;从政治心理学的角度看,这些人的脾气秉性、性格特征、心理状态、相互关系,也将影响具体政策的实施和绩效表现。

2.资金投入是影响政策效果的基础因素

如前所述,拜登政府将加大网络安全投入。2021年 1 月 14 日,拜登过渡团队公布一项 1.9 万亿美元的救助计划,旨在帮助美国从新冠肺炎疫情造成的毁灭性经济打击中复苏。虽然该救援计划主要集中在疫苗推广、经济刺激和创造就业机会方面,但是,其中还包括为联邦机构的信息技术现代化和网络安全升级提供资金。拜登政府希望向技术现代化基金(Technology Modernization Fund)增加 90 亿美元,推动 CISA 发展,并帮助 CISA 和总务管理局推出新的重大信息技术和网络安全共享服务,完成各联邦机构的现代化计划。其中还包括向 CISA 额外拨款 6.9亿美元,以加强各个联邦机构的网络防御,并试行“新的共享安全和云计算服务”。拜登政府对 CISA 的重视表明,未来 CISA 将发挥更大作用。

无论是投入总量,还是投入占比,美国在网络安全领域的花费,相比其他国家,都遥遥领先。然而,在资金的分配上,如军用和民用之间、防御和进攻之间,却严重失衡。白宫前网络基础设施保护主管詹森·希利(Jason Healey)曾撰文指出,美国国防部的网络安全预算大大高于所有民用部门的网络安全预算之和,仅网络司令部的花费每年就超过 10 亿美元,而在国务院网络外交上的花费仅为 4 亿美元,CISA 的所有预算总计仅占国防部用于进攻性网络行动费用的一半。

美国对外关系委员会(CFR)的学者认为,“太阳风”事件清楚地表明,CISA 和联邦机构将需要更多的资金发展必要的能力,以发现和遏制对手;迫切需要额外的资金扩大与私营部门的协调力度,为市场不支持的研究提供资金,并增强关键基础设施的安全性。因此,拜登团队也希望为 CISA 获得更多资源,并让该机构在网络防御方面发挥更大作用。当然,在有资金支撑的前提下,执行资金与预算资金能否一致、各项资金分配是否合理、资金使用的绩效比如何,也都是影响政策效果的基础因素。

3.需要解决的现实问题

有时候,历史的进程并非源自战略文件预先写好的脚本,而是由突发事件塑造的,网络安全领域尤其如此。互联网简短的历史表明,突发性网络安全事件造就和书写了网络安全的历史,而这些网络安全事件所带来和蕴含的问题也成为各国政府必须面对的诸多现实挑战之一。

如前所述,拜登上台伊始就面临如何应对“太阳风”供应链攻击事件的挑战。尽管拜登多次表达了对此事的高度重视,将之视为“头等大事”“不能对之置之不理”,但是事件的影响尚未见底,有多少政府机构被渗透和控制、造成的损失有多大、攻击者都使用了哪些技术、战术和程序(TTPs)等一系列问题,尚无答案。尽管美国联邦政府已经成立了由 FBI、CISA、NSA 和国家情报总监办公室(ODNI)组成的调查小组,但是拜登政府最后将如何收拾残局,仍未可知。

而且,美国应对网络威胁之方式方法的深层次问题也暴露出来,包括如何维持进攻与防守的平衡、如何应对破坏性的网络行为等。国际密码学家、网络安全专家布鲁斯·施耐尔(Bruce Schneier)认为,“美国需要抑制而不是加剧这种进攻性军备竞赛,并努力实现网络和平;否则,虚伪地批评俄罗斯人做着自己每天都在做的事情,将无助于创造一个我们都希望生活得更安全的世界。”换言之,由于美国过于强调进攻性网络行动,以至于要把对手的网络行动消灭在对手的网络之中,却不曾想自家门户洞开,城门失守,而非固若金汤,充分暴露了美国网络战略思维的缺陷。

2020 年 12 月 2 日,欧盟委员会和外交与安全政策高级代表联合向欧洲议会、欧盟元首理事会和部长理事会发出了联合通信文件或沟通文件《欧洲应对全球变革新议程》(A New EU-US Agenda for GlobalChange),透露出欧盟在变化的国际形势面前,希望稳固和发展与美国关系的迫切心情。然而,这份文件也暴露了欧美在信通技术问题上的分歧。欧盟提议,就双方网络平台的责任问题展开新的对话,特别是加强对网络平台的治理和合作加强数字市场反垄断执法。在此,欧盟并未掩饰自身的真实关切。不仅如此,欧盟还要求就“数字经济中的公平税收”“拿出创新性解决方案”,并且要在经合组织(OECD)和 20国集团的框架下及时完成有关全球解决方案的讨论。欧盟试图借由多边机构制约美国的意图不可谓不明显。鉴于欧美近年在“数字税”问题上的纷争,可以预见,即使是在拜登治下的美国,欧盟也会坚持自己的政策立场,双方矛盾和利益分歧依旧存在。

此外,还有诸多历史遗留问题或历史常在问题,如美国经常挂在嘴边的知识产权窃取、干预大选、网络间谍、信息行动、政治战等。实际上,这些问题并不会随着拜登的上台而自动消失,只是处理问题的方式可能会有所改变。简言之,对这些问题的具体应对,将直接体现和进一步影响拜登政府的网络政策和走向。

四、总结

拜登政府的网络认知、机构设置和人事安排为理解其网络政策提供了某种“路线图”,但其后续落实情况仍然存在不确定性,具体实施和效果也有待观察。需要明了的是,在政策与实践之间、在实践与效果之间,往往存在很大的距离和鸿沟。

(本文刊登于《中国信息安全》杂志2021年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。