攘外安内：美国新版国家网络安全战略的两项重大转变

编者按

根据美国媒体独家获得的《美国国家网络安全战略》草案，美国政府将授权对针对美国目标的网络攻击采取“先发制人”式的攻击行动，以“破坏和瓦解”敌对网络。与此同时，美国防部正在起草一项新的网络战略，将新战略的原则应用于防御性和广泛进攻性的网络政策。

该战略文件与前任数位美国总统签署的类似文件存在两个方面的重大差异：一是对广泛的美国行业实施了强制性监管；二是授权美国国防、情报和执法机构开展攻击性活动，入侵犯罪分子和外国政府的计算机网络，以对针对美国网络的攻击活动开展报复性或先发制人式的行动，目标是让恶意行为者无法发起威胁到美国国家安全或公共安全的持续网络活动。根据战略，此类进攻性行动将由美国联邦调查局的国家网络调查联合工作组与美国所有相关机构协同开展，私营公司将与政府就此开展合作，包括提供攻击警报情报、协助挫败攻击等。该战略的新变化源于两大日益明显的事实：一是美国政府此前允许私营公司自愿遵守的单纯网络安全指南在很大程度上未能阻止外国政府或网络犯罪分子的重大入侵，需要强制性法规来促使其采取行动；二是纯粹的防御措施影响有限，无法阻止高端黑客的攻击行动。

奇安网情局编译有关情况，供读者参考。

美国总统拜登即将批准一项政策，该政策比以往任何保护私营公司免受恶意黑客攻击的努力都走得更远，并用利用网络攻击来报复黑客。

这份名为《国家网络安全战略》的35页文件与过去四分之一世纪美国前任总统签署的十几份类似文件在两个重要方面有所不同：首先，它对广泛的美国行业实施了强制性监管。其次，它授权美国国防、情报和执法机构继续进攻，侵入犯罪分子和外国政府的计算机网络，以针对美国网络的攻击开展报复或先发制人的行动。

根据美国媒体独家获取的文件草稿，该文件在题为“破坏和瓦解威胁活动”的五页部分中指出，“我们的目标是让恶意行为者无法发起威胁到美国国家安全或公共安全的持续网络活动。”

根据新战略，作为持续不断的行动的一部分，美国将“破坏和瓦解”敌对网络。此类行动将由美国联邦调查局的国家网络调查联合工作组与美国所有相关机构协同工作进行协调。这是一项系统性合作，此前鲜有尝试也从未被公开过。私营公司（既包括经常成为网络攻击目标的公司，也包括专门研究网络安全方法的公司）将成为这项工作的全面合作伙伴，既要向政府工作组发出入侵警报，又要帮助击退攻击。过去，许多这样的公司，尤其是在硅谷的公司，一直不愿意在这些问题上与美国政府合作。

新战略源于越来越多地认识到两个长期以来对专家来说显而易见的事实。

首先，美国政府此前允许私营公司自愿遵守的单纯网络安全指南在很大程度上未能阻止外国政府或网络犯罪分子的重大入侵。

其次，纯粹的防御措施也影响有限，因为聪明的黑客最终会找到绕过它们的方法。

几十年来，美国一直在开展网络攻击行动。比尔·克林顿是第一位公开承认这一事实的美国总统。2012年，巴拉克·奥巴马发布了第20号总统政策指令，其中建立了严格的控制，包括所有网络攻击行动都需要总统的明确许可。（绝密，这是爱德华·斯诺登泄露的众多文件之一。）2018年，特朗普签署了第13号国家安全总统备忘录，放松了这些控制，为国防和情报机构提供了巨大的回旋余地，可以自行发起进攻性活动。

美国国家安全局局长兼网络司令部司令保罗·中曾根是这种方法的主要倡导者。在为《外交事务》撰写的一篇文章中，他将这项具有更大自由度的使命描述为“前出狩猎”和“持续交战”。

当时，许多人担心严格控制的结束会引发过度和反弹，并最终损害安全。但是，一位曾经是恐惧者之一的官员表示，“那些可怕的事情都没有发生。”

因此，拜登和他的团队决定进一步推动“特朗普-中曾根政策”。拜登将批准的战略仅涵盖旨在破坏敌对行为者侵入美国网络企图的进攻性行动。然而与此同时，五角大楼正在起草一项新的网络战略，将白宫文件的原则应用于防御性和广泛进攻性的网络政策。

战略文件的其他部分（包括30页纯粹的防御措施）概述了与现行政策更激烈的背离，以保护国家的“关键基础设施”。“关键基础设施”一词是在20世纪90年代中期创造的，指的是对现代社会至关重要并与计算机网络相连的经济部门，例如银行、金融、电力、水利工程、交通系统、电信和应急管理服务，这意味着它们容易受到网络攻击。

美国前总统比尔·克林顿、乔治·W·布什和巴拉克·奥巴马都签署了命令并成立了机构来加强上述部门的弹性。三位总统的助手都试图对这些行业的公司实施强制性网络安全法规，但企业游说者成功地进行了抵制，一些经济顾问也曾警告（也许是正确的）法规会限制创新。因此，到目前为止，规则的执行一直是完全自愿的。

新战略源于对大多数这些部门的自愿措施不起作用的认识。也有例外，例如银行。网络安全是银行业务的核心；如果经常被黑客攻击，客户就会将存款转移到别处；银行也有钱聘请非常优秀的专家。然而，对于发电厂等公用事业而言，网络安全的成本非常高。需要强制性法规来促使其采取行动。

与此同时，新战略认识到所有部门的统一标准（前任总统手下的一些助手试图制定的标准）也行不通。作为替代方案，一年多前，美国白宫与对每个部门拥有权力的联邦机构以及将受到法规影响的公司进行协商，开始对各个部门开展分析。

例如，据一位官员称，美国运输安全管理局确定了97条石油和天然气管道。白宫随后与拥有这些管道的公司的高管举行了三次会议。在一次会议上，在通过安全许可审查后，情报官员向高管们简要介绍了其管道面临的威胁。

官员们还就电网面临的威胁和提高安全性的措施会见了州公用事业委员会。就在圣诞节前夕，在州长凯西·霍赫尔签署的一项法案中，纽约州成为第一个发布新的强制性网络安全法规的州。纽约州将得到一些联邦专家以及白宫拨给实现这一飞跃的州的15亿美元中的很大一部分的协助。同样，据一位官员称，美国环保署1月将发布有关国家自来水厂网络安全的新规定。

现实背景是拜登的策略与早先实施监管的尝试间的另一个重大差异。就在几年前，许多企业高管还认为网络威胁只是理论上的。现在他们显然不这样认为。2020年，俄罗斯对SolarWinds的大规模黑客攻击（影响了涉及关键基础设施的30000多家机构和公司计算机上的系统管理工具）是一个重大的警钟。2021年，一个犯罪团伙对Colonial Pipeline的勒索软件攻击是另一起事件，事件关闭了流向17个州的汽油和航空燃油，直至Colonial向黑客组织支付了75个比特币（当时价值440万美元）。

即使采取了最基本的安全措施，Colonial黑客事件也不会发生。这是导致拜登对管道实施强制性监管的重要原因。新战略将此类法规扩展到其他关键行业。

迈克尔·丹尼尔是奥巴马的网络政策协调员，现任网络威胁联盟（一个由安全提供商和IT公司组成的非营利组织）的负责人。他表示，“商业思维肯定发生了转变。如果电子表格损坏是一回事，如果是心脏起搏器出问题则完全是另一回事。认识到网络攻击会造成物理损坏，一定程度的政府监管是不可避免的。”

其中许多公司还在国外开展业务，那里的法规要严格得多。如果它们需要遵守欧洲、澳大利亚或加拿大的规定，不妨也遵守美国的规定。

尽管如此，新战略并不能解决所有问题。有几个部门需要国会通过授权进行监管，包括食品和农业、紧急服务和几个制造业。新的国会，至少在众议院方面，似乎对通过任何法案都不感兴趣，更不用说对商业的额外监管了。

即使对于行政部门已经拥有权力的部门，权力的界限（哪些机构可以制定和执行哪些法规）并不完全清楚。在国家网络安全战略的起草过程中，两位白宫负责官员有时会在这些问题上发生冲突，即网络和新兴技术副国家安全顾问安妮·纽伯格（由拜登任命）和国家网络总监克里斯·英格利斯（美国国会两年前新设立的职位）。双方做出了妥协，在两人之间以及20多个联邦机构之间达成了共识。尽管如此，还是不可避免地存在一些挥之不去的模糊之处，这些模糊之外将在随后的“实施战略”中得到解决。

早在1997年10月，克林顿政府的关键基础设施保护委员会就警告称“网络攻击”可能会“使社会的大部分人瘫痪或恐慌”并“限制我们国家领导人的行动自由”，并补充称“我们必须学会就新的地形展开磋商，在那里边界无关紧要，距离毫无意义，敌人可以在不与我们的军事力量对抗的情况下破坏我们所依赖的重要系统。”四分之一个世纪后，拜登的新战略在掌握这一新地形方面大有作为。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。