文│ 国防科技大学国际关系学院 肖杰
从“太阳风”(SolarWinds)供应链攻击事件到克罗尼尔(Colonial Pipeline)网络勒索攻击事件,都使美国拜登政府以网络安全事件调查与处置为牵引,逐步健全相关安全机构,出台一系列安全政策。2021 年 5 月 12 日,美国总统拜登签署《改善国家网络安全的行政命令》(以下简称“行政令”),以美国政府前所未有的极具安全举措操作细节关注的方式确保网络安全政策落实,标志美国拜登政府网络安全政策的初步成熟与体系化。
一、上半年网络安全政策主要内容
当前,美国拜登政府着眼国家网络安全统筹能力提升,积极完善国家网络安全岗位机构设置,并在此基础上,以网络安全事件处置为牵引,出台以“行政令”为核心的网络安全系列政策,初步打造了注重“顶层统筹”“政府主导”“公私协同”“内外兼顾”的网络安全政策体系。
(一)完善国家网络安全岗位机构设置
拜登上台后,美国政府对管理网络安全的关键岗位和重要机构进行相应调整与改革。一是设立负责网络和新兴技术的副国家安全顾问。现由原国家安全局网络安全总监安妮·纽伯格(AnneNeuberger)担任,代表总统负责统筹协调联邦政府各机构和部门的网络安全事务。二是依据《2021 财年国防授权法》设立国家网络总监(National CyberDirector)岗位。现由国家安全局前副局长克里斯·英格利斯(Chris Inglis)出任,作为总统在网络安全政策和战略方面的首席顾问,负责所有联邦机构的网络安全和相关预算。三是通过“行政令”设立由国土安全部部长牵头负责且涵盖相关联邦政府官员与私营企业代表的网络安全审查委员会(CyberSafety Review Board),负责审查和评估影响联邦信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、应对活动和机构响应。四是任命美国数字服务部门的资深人士克莱尔·马托拉纳(ClareMartorana)为政府首席信息官(CIO),负责实现IT 系统的现代化,全面监管相关基础设施升级工作。此外,2021 年 4 月,拜登还提名前奥巴马时代的网络安全政策助理秘书罗伯·西尔弗斯(RobSilvers)担任国土安全部的战略、政策和计划副部长。
(二)加强网络安全现代化与软硬件供应链安全
拜登政府在“行政令”中提出了加强联邦政府网络安全现代化(Cybersecurity Modernization)的相关措施。其中,该行政令重点提出以零信任架构为基础的云计算环境作为网络安全现代化的核心,特别强调,零信任架构的关键作用。零信任的核心思想是,在承认网络系统内部或外部存在无法根除的威胁的基础上,对任何试图接入其网络或系统的人、事、物进行授权验证。2021 年 2 月 25 日,美国国家安全局(NSA)发布《拥抱零信任安全模型指南》(以下简称《指南》),建议将零信任安全模型部署到美国国防部与其关联组织的所有关键网络与系统中,以更高效地保护其网络和数据的安全;而“行政令”则进一步将零信任架构应用到联邦民事网络系统与基础设施之中。
就软硬件供应链安全而言,美国拜登政府十分重视以半导体芯片为基础的硬件供应链以及软件供应链安全问题。一是 2021 年 2 月 24 日,拜登签署第14017 号《确保美国供应链安全行政令》,要求对包括半导体芯片在内的 4 类产品的供应链展开为期 100天的风险审查。二是 4 月,美国国家反情报与安全中心(NCSC))联合其他机构共同推出“国家供应链安全完整性之月”活动,以提高美国供应链威胁意识并共享风险缓解信息。三是 4 月底,美国网络安全与基础设施安全局(CISA))和美国国家标准与技术院(NIST)联合发布《防御软件供应链攻击》报告,首次对软件供应链进行界定,并给出与软件供应链攻击相关的信息、关联风险以及缓解措施。四是 5 月 12 日,拜登签署“行政令”,提出重点优先解决“关键软件”(即与执行信任授权等功能相关的软件)供应链安全问题,并推动由 NIST 牵头开发的软件供应链安全保护准则,并基于此加强以安全性、完整性以及漏洞检查为特征的软件开发环境建设。
(三)提升联邦政府网络安全漏洞与事件处置能力
当前,美国拜登政府以网络安全事件调查与处置为牵引,通过签发“行政令”,从信息共享、漏洞检测、事件调查、应急响应等维度,着力提升联邦政府网络安全漏洞与事件处置能力。一是扫清联邦政府与网络服务提供商间因相关合同问题造成的威胁信息共享障碍。鉴于政府与企业的合同条款成为限制网络安全威胁或事件信息共享的障碍,“行政令”要求行政管理和预算局(OMB)局长牵头,审查《联邦采购条例》(FAR)和《联邦采购条例国防部补充规定》中的合同(内容与语言),以消除此类信息共享障碍。二是强化对联邦政府网络安全漏洞的检测能力。为最大限度地尽早发现联邦政府网络安全漏洞及相关事件,“行政令”要求联邦民事行政机构(FCEB)须部署端点检测和响应(EDR)计划,以支持对联邦政府基础架构内网络安全事件的主动检测、主动网络捕获、遏制和补救措施以及事件响应。三是加强联邦政府基于网络日志的安全事件调查能力。由于来自联邦信息系统的日志信息对安全事件调查和补救非常重要,“行政令”要求各机构及其 IT 服务提供商必须收集和维护此类数据,并在处理安全事件时,根据适用法律和规范性要求向国土安全部(通过 CISA 局长)和联邦调查局提供此类数据,以协助其调查。四是规范联邦政府网络安全漏洞和事件的应急响应方案。鉴于当前各个机构的网络安全漏洞和响应流程差异性所造成的不便,“行政令”要求国土安全部部长(通过 CISA 局长)牵头,制定一套标准的操作流程(需涵盖 NIST 所有相关标准),用于规划和实施联邦民事信息系统相关的网络安全漏洞和事件响应活动。
(四)推进基于分层网络威慑的“网络外交”
所谓“分层网络威慑”是 2020 年 3 月美国“网络空间日光浴委员会”(CSC)提出的“融合多种威慑手段、突出主动塑造威慑环境”的一种新战略理念。以此为底层逻辑,拜登政府打造了基于规则威慑、着眼国际行为塑造的“网络外交”政策,即通过联合盟友和合作伙伴建立和实施基于所谓“共同利益和价值观”的网络规则,以塑造网络空间行为(特别是网络空间负责任国家行为),彰显了美国在国际上建构敌我威慑阵营的战略实质。具体而言,拜登政府在国内立法推进、伙伴关系恢复、国际威慑实践等层面,积极推动其倡导的“网络外交”政策。
一是积极推进“网络外交”立法进程。拜登上台后,美国政府在《网络外交法案 2019》(曾在 2019年初被提出并获众议院口头通过,但后因参议院无后续行动而中止立法)的基础上,重新提出《网络外交法案 2021》,并积极推动其立法进程。该法案明确规定了美国网络空间国际政策、国务院职责、国际网络空间行政安排、网络空间国际战略、国别人权实践年度报告等主要内容,或将为拜登政府“网络外交”政策的实施打下基础。
二是积极修复与盟友关系。为扭转特朗普任期推行的“美国优先”政策给美国国际形象造成的“道义损失”,拜登政府于 3 月 4 日同时推出《临时国家安全战略方针》官方报告与美国国务卿布林肯关于美国外交“八大优先事项”的讲话,从美国国家安全利益维护的角度强调积极的外交政策作为国家安全战略手段的紧要性,为其推行以盟友关系修复、以西方共同价值观为核心的美国道义领导力重塑(例如竞选时承诺上任后召开全球“民主峰会”)、以网络外交为抓手的维护“美国开放互联网原则”等为要点的“网络外交”政策提供支撑与指导。在实践上,拜登政府主要采用“双边为主、多边为辅”的方式具体实施。首先,4 月 16 日,美日达成共同投资 45 亿美元(美国承诺提供 25 亿美元,日本 20亿美元)以用于安全网络和下一代先进信息通信技术的研究、开发、测试和部署的意向。其次,6 月10 日,英美两国领导人签署旨在巩固两国特殊关系的合作宣言,以深化两国在国防与安全、科学与创新、经济与贸易、自然与气候、健康与卫生等领域的合作。再次,拜登在就任总统的第一天签署相关行政命令,重新加入《巴黎气候协定》、世界卫生组织等多边机制,表现了拜登政府对多边手段和国际规则的倚重。
三是以俄罗斯、中国为主要威慑对象,推进“接触 + 遏制”的“网络外交”政策。就俄罗斯而言,美国拜登政府一方面在网络议题上以俄罗斯“干预美国大选”、参与“太阳风”事件、纵容“克罗尼尔网络勒索攻击事件发生”为由,表示将严惩俄罗斯的网络攻击行为;另一方面,拜登在 6 月 17 日的美俄领导人峰会中,与普京围绕网络空间间谍活动、冲突管控及行为规范进行了磋商。就中国而言,美国拜登政府在《临时国家安全战略方针》中视中国为“唯一竞争对手”,并从“合作、竞争、对抗”三个维度界定对华政策。在外交实践上,美国拜登政府主要聚焦对华“竞争”“对抗”层面,积极利用双边(日美峰会)、多边(美日印澳“四方安全对话”、G7峰会)、多方(美国组织的半导体供应链 CEO 峰会)等外交活动,以“知识产权网络窃取”为由,对中国实施污名化、对中国高科技发展进行打压。
二、上半年网络安全政策基本特征
当前拜登政府的网络安全政策,与前任特朗普政府相比,在政策驱动力、政策延续与变革性、机构治理模式、对内与对外政策路径等方面呈现出以下特征。
(一)理念与事件双重驱动下对前任政府网络政策的扬弃
一般意义而言,任何政策的出台都是具体时空情势下主观逻辑认知的产物,是在处理与既往政策的关系和面对新情况新问题挑战的过程中自身执政理念的具体体现,因此,现行政策往往兼具针对当下情势且体现执政逻辑的变革性与对既往政策的延续性。美国拜登政府的网络安全政策也不例外。一方面,有别于前任共和党非建制派出身及其“美国优先”执政理念,拜登的民主党建制派政治出身及执政理念从根本上使其网络安全政策既突出对以民主价值观为抓手的外交手段的倚重,也强调对“大政府”(更强调政府主导作用)与多元化(更具社会包容性)价值取向的追求。另一方面,在一系列具有重大影响意义的网络安全事件的刺激下,拜登政府的网络安全政策无论在出台速度与频率上(被认为是美国历任政府里出台网络政策最早最快的),还是在具体内容上都被打上了安全事件驱动的烙印。此外,作为具有跨党派属性的网络安全议题,拜登政府也延续了特朗普政府时期的一系列政策,这集中体现为对网络军事力量建设(赞同对网络军事力量的强化)与运用(认可“持续对抗”“向前防御”“前出狩猎”等低于冲突阈值情境下的力量运用原则,支持对网络空间行动权限的下放等)政策在很大程度上的继承。
(二)自上而下“专业精英”治网模式的回归
一方面,与特朗普政府时期顶层网络管理统筹缺失(特朗普一上台便取消了白宫国家安全委员会网络安全协调员与国务院网络安全协调员)、更多依靠行政部门“自下而上”推动网络安全政策的治理模式不同,拜登政府通过健全与完善以强化国家网络安全统筹协调能力为核心的相关岗位与机构,形成了更能发挥政府主导性统筹协作功能的自上而下的网络治理模式。另一方面,拜登政府扭转了特朗普政府很大程度上以“对总统忠诚度”“与总统一致性”为标准的人事任命逻辑,例如,前网络安全与基础设施安全局局长克里斯托弗·克雷布斯(Chris Krebs)因没有支持特朗普总统关于 2020 大选安全性存在问题的立场被直接解除职务,而采取以“专业性”“任职经验”为标准组建了由网络安全领域“专业精英”构成的治网团队。
(三)政府主导下“公私协作”政策路径的强化
2018 年成立的网络安全与基础设施局,在保护关键基础设施安全、协调各部门、促进公私合作、提供预警等方面发挥着重要作用,是特朗普政府对“公私协作”这一政策路径的实践。不同于特朗普政府对网络安全顶层统筹的轻视与弱化,拜登政府通过健全国家网络安全岗位机构以及签发网络安全相关行政令,不仅强化了“公私协作”的水平,而且突出了联邦政府在网络安全事务方面的主导性作用。
(四)冷战思维式阵营化的网络空间国际政策塑造
一般意义而言,冷战思维在本质上是以意识形态对抗为根本的阵营对垒逻辑及其衍生的价值观。在这一意义上讲,拜登政府所谓的“网络外交”则具有较为鲜明的基于上述冷战思维的阵营化分野,即一方面强调美国通过强化盟友体系,塑造由其主导,以所谓“民主、人权、自由”价值观为基础的西方网络自由民主阵营;另一方面,利用其网络技术、平台以及国际话语权方面的优势地位,将俄罗斯、中国妖魔化为网络安全威胁源,妄图将其塑造的所谓“网络自由民主阵营”打造为对抗中俄的急先锋(当前,美国政府对中国实施的战略性技术打压与联盟围堵已成为其国内两党的最大共识,只是在具体实施路径上还有些分歧)。
三、结语
诚然,当前美国拜登政府网络安全政策逐渐走向成熟,且极具操作性,体现了拜登政府对网络安全的高度重视与务实风格,也为美国网络安全维护提供了政策性保障与支撑。需要注意的是,从政策出台到其基本落实,对当下拜登政府而言并不是一件理所当然与顺理成章的事,除了资金投入不足的制约以外,网络议题政治化的困扰也真实发生(拜登于 4 月提名拟出任网络安全和基础设施局局长的詹· 伊斯特利,两次被参议院共和党议员以“与边境议题挂钩”为由而阻挠,至今未任命)。此外,依据拜登政府拟制完成的国防部《2022 财年预算案》,网络空间预算在保持多年稳定状态后,首次出现较大幅度增长(相对上一财年增幅约为 6%),其中,增强网络防御能力的项目经费投入普遍增加,且首次投入大量资源发展接入管理和零信任架构,体现美国政府以推行“网络卫生”措施为重点的安全政策趋向,以及美军网络作战任务由实施重点进攻向发展全面防御能力的转变等发展动向,值得进一步密切跟踪关注。
(本文刊登于《中国信息安全》杂志2021年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
