2017至2018年度,为应对网络安全问题,美国不断推出新政策、法律、措施和标准等,从制度上强化和提升国家的管理力度。在强化网络安全体制、机制建设方面,美国将美军网络司令部升格为最高级别的联合作战司令部,以加强网军建设;在参院军事委员会设立网络安全小组委员会,确保网络安全战略和资源到位;在国务院成立网络安全和数字经济局,协调网络安全国际事务等。同时,美国“淡化国际多边对话与合作”,推进与英国、加拿大、澳大利亚、新西兰、以色列等“志同道合”盟国的网络安全领域合作。
一、强化美国国内网络安全制度化建设
在强化网络安全制度化建设方面,美国政府一直以法律法规的出台与实施,推进联邦政府的网络安全制度和体制建设。同时,联邦政府相继出台的系列法律法规,在网络空间治理方面的措施,以及在提升网络部队能力方面的举措等,也体现了美国在网络安全领域的战略和思路。
(一)陆续颁布网络安全相关政策法规
面对日益严峻的网络威胁,虽然针对某些网络安全问题的相关政策、法律等尚未出台,但是,美国围绕网络安全问题已经采取的相关的行动,已表明特朗普政府的“态度”。
1.《国防授权法案》高度重视网络事务
美国每年发布的“国防授权法案”高度重视网络事务,其本身属于一项必须通过的政策性法案。
2017年7月,《2018财年国防授权法案》新增几项网络安全修订案,以改变美国联邦政府防御网络攻击的方式,以及美军执行进攻性网络行动的方式。8月,美国政府问责署(GAO)发布报告指出,国防部并未最终决定是否结束NSA和美国网络司令部的“双帽”领导结构。11月,众议院和参议院在国防授权法案最终达成一致规定,包括将国防技术现代化。12月,特朗普签署《2018财年国防授权法案》。该法案为美国2018财年制定了政策和预算指导方针,其中也包括各种网络安全举措。
2018年5月,美国联邦众议院通过《2019财政年度国防授权法案》(NDAA),总额7170亿美元。其中包括,禁止各政府机构与联邦资助接纳方使用中国电信供应商华为与中兴通讯提供的任何技术方案。此举距离美国国会通过2017年法案禁止俄罗斯卡巴斯基实验室反病毒软件进入联邦政府网络,仅过去半年时间。
2.“漏洞披露”相关计划应对数据泄露
美国众议院能源及商务小组委员会主席鲍勃·拉塔表示,数据泄露和消费者保护问题将是2018年的首要议程。
越来越多的组织机构认识到,漏洞悬赏计划对于发现网络及应用程序中的安全漏洞相当奏效。美国总务管理局(GSA)技术转型服务处(TTS)推出的漏洞悬赏计划的首个对象是一款网站建设工具Federalist,这是首个全面开放的政府漏洞悬赏计划。美国国防部、陆军和空军也启动了类似的漏洞悬赏试点计划。
2017年7月,美国司法部(DOJ)犯罪科网络安全部门发布《在线系统漏洞披露计划框架》,帮助公共和私有部门的组织机构设计漏洞披露计划。美国国防部通过安全漏洞披露平台HackerOne运营三大漏洞悬赏计划,包括黑进五角大楼(Hack the Pentagon),黑进陆军(Hack the Army)和黑进空军(Hack the Air Force),推动这项工作。
2018年1月,美国众议院讨论一项法案,要求美国国土安全部(DHS)提交网络漏洞披露报告,描述网络漏洞披露的政策和程序,即美国政府如何决定是否利用新发现的计算机软件漏洞攻击美国对手或向制造商披露漏洞。
3.《诚实广告法案》监管政治广告
为应对俄罗斯广告丑闻,2017年9月,美国参议员提出《诚实广告法案》(Honest Ads Act),准备通过立法监管政治广告。这项法案要求Facebook、Google这类公司保存政治广告副本,并使其公开可获取。此前,Facebook披露,俄罗斯购买该平台广告,意图干预2016美国大选,随后,Twitter和Google也证实俄罗斯在其平台投放广告,以期实现此意图。同时,联邦选举委员会(FEC)重新考虑监管在线广告的方式,国会两院也对俄罗斯使用的科技公司平台进行了调查。
4.《网络事件响应小组法案》防范网络攻击
2018年3月,美国众议院通过《2018 DHS网络事件响应小组法案》,提出授权由美国国土安全部(DHS)国家网络安全与通信整合中心(NCCIC)下的网络狩猎及事件响应小组(HIRT)帮助保护联邦网络和关键基础设施免于遭受网络攻击。NCCIC下属美国计算机应急响应小组(US-CERT)负责为联邦文职行政机构提供网络安全保护,响应网络事件,分析新兴网络威胁相关数据,并与外国政府和国际实体协调增强美国网络安全态势。此外,这项法案还要求在其成为法律之后的四年内,NCCIC必须不断评估 HIRT,并在每个财年结束时向美国国会汇报评估结果。
5.《银行监管运作计划》关注网络安全与操作弹性
2017年9月,美国财政部货币监理署(OCC)发布《2018财年银行监管运作计划》(Fiscal Year 2018 Bank Supervision Operating Plan),提出适用于银行的政策方针和监管策略。该计划概述了国家风险委员会(NRC)、大型银行监管部门(LBS)、中型和社区银行监管部门(MCBS)、合规和社区事务部门、国家银行审查主任办公室(CNBE)和技术服务提供商监管的监管优先级。2018财年的监管策略重点关注网络安全与操作弹性、银行保密法/反洗钱(BSA/AML)合规管理等。
6.重新授权《外国情报监视法》第702条
2017年10月,美国参议院司法委员会公布《美国自由法案》草案,重新授权《外国情报监视法》(FISA)第702条。第702条允许美国调查人员搜集特定外国目标的通信。虽然草案要求FBI在搜查数据库之前须具备合法的国家安全目的,并根据合理的理由获得法院命令,以查看搜获通信的内容。但是,该法案仍能让美国执法机构有权查看NSA搜获的美国公民数据,特工只需借助监督权就能搜查美国公民的元数据。美国政府一直依照第702条内容进行各类情报搜集与监视行动。2018年1月,美国众议院通过法案,延长第702条有效期,这意味着NSA将继续获得授权监听境外的外籍人士,也可以收集与之相关的美国人情报。
7.特朗普任职期内首份《国家安全战略报告》
2017年12月,特朗普公布了其任职期内首份《国家安全战略报告》,其中,强调本届政府在全球及外交政策层面将始终坚持“美国至上”方针,囊括用于改善美国国家网络安全方法的行动纲要清单。这份报告文件涉及多项国家安全问题,包括与中国之间的经济关系、美国核武器库存的致命威胁,以及旨在改善国家网络安全方法的行动纲要清单。网络安全战略报告总结建议指出,特朗普政府的计划将使美国能够“根据需求”对敌对方实施网络行动。美国政府将与美国国会合作,应对继续阻碍即时情报与信息共享、有碍网络工具规划运营以及开发的挑战。
8.《核态势评估》可能降低美核武器使用门槛
2018年1月,美国国防部(DOD)撰写的《2018核态势评估报告》提交特朗普总统审批,它代表美国国防部开始重新审视美国的核武器使用政策,首次扩大了允许使用核武器的范围,把对美国基础设施遭受的范围广泛、但非核的毁灭性打击的响应包括进来,并包括被现任和前任政府官员描述为对最严重的网络攻击的响应。2月,美国五角大楼发布全新的核态势评估报告。报告提出,相较于奥巴马政府,特朗普政府将更加重视推进核武器现代化,并专门针对并阻止俄罗斯、中国、朝鲜和伊朗等国家的核武器发展。同时,该报告暗示美国可能会降低核武器的使用门槛,甚至可能使用核武器来应对网络攻击等非核武器攻击。
9.CLOUD法案为共享用户信息提供替代方案
2018年3月,《澄清域外合法使用数据法》(Cloud Act)颁布并即刻生效。Cloud Act法案更新了执法人员查看存储在互联网上的电子邮件、文档和其他通信内容的规则。该法案还允许美国达成协议,将有关美国服务器的信息发送给其他国家的刑事调查人员,并对请求进行个案审查。Cloud Act法案为当前在国家之间共享互联网用户信息的过程或多方司法互助条约提供了一种替代方案。微软等技术公司赞成这一变化。但是,隐私权倡导者称,它可以帮助外国政府通过帮助他们获取有关其公民的在线数据来滥用人权。
10. 备受争议的“网络中立”
奥巴马政府于2015年通过网络中立原则,要求康卡斯特、AT&T以及Charter等互联网服务提供商必须平等对待所有互联网内容。实际上,网络中立原则禁止互联网服务提供商屏蔽内容,加快或延缓来自特定网站的数据。2017年7月,包括谷歌、亚马逊以及Facebook在内的逾8万个网站参加了一场网络抗议活动(Day of Action),反对美国电信监管部门推翻网络中立原则的计划。12月,FCC的投票结果推翻了奥巴马政府于2015年推出的网络中立性原则。2018年2月,美国22名州总检察长和哥伦比亚特区再次提起诉讼,意在阻止特朗普政府这项废除令生效。同月,联邦公报正式公布推翻网络中立性原则的命令。此举引发法律纠纷。3月,加利福尼亚州提出一项保留“网络中立”的法案,其全面性甚至可能会压倒FCC采取的保护措施。推出法案是美国各州反抗FCC废除“网络中立”决定的唯一方法。
(二)应对不断上演的网络安全事件
层出不穷的数据、信息泄露事件,不仅涉及政府、军事部门、金融机构、关键基础设施等,还往往与重大社会事件相结合,造成更大的影响。其中,美国征信企业Equifax的事件影响较大,也是这段时期典型的信息泄露事件。
1.大选事件“敦促”提升侦查能力
网络安全问题一直伴随2016年美国大选的进程,成为左右选情的重要因素,并对最后的选举结果产生重要影响。尽管俄罗斯政府坚决否认利用网络手段干涉美国大选,但是,美国不会轻易改变态度。因此,如何保证数字时代“民主选举”的公平公正将是美国政府的长期议题。而且,针对俄罗斯黑客、朝鲜黑客等涉及大选事件的情况,美国继续采取应对措施,包括特朗普竞选团队数字技术团队将继续在2020年帮助特朗普竞选连任等。为遏制黑客的攻击并维护在网络空间的有利地位,美国未来将努力提升网络防御、侦查和威慑能力,使美国可以更加主动地应对黑客入侵,并展示美国在关键安全指标上的优势。
2.Facebook有史以来“最大型”数据泄露事件
2018年3月,《纽约时报》等媒体揭露,服务特朗普竞选团队的剑桥分析公司(Cambridge Analytica)获得Facebook数千万用户的数据,并违规滥用。3月19日,Facebook聘请外部公司对相关数据公司进行调查。3月22日,Facebook创始人马克·扎克伯格发表声明,承认平台曾犯下的错误。随后,相关国家和机构开启调查。4月5日,Facebook首席技术官博客文章称,Facebook上约有8700万用户受影响。4月6日,欧盟声称,Facebook确认270万欧洲人的数据被不当共享。据剑桥分析公司前雇员克里斯多夫·怀利爆料,剑桥分析公司曾在2016美国大选期间,利用Facebook上5000万名用户资料进行分析,最终利用“读心”术发送“专属”政治广告,左右选民投票。部分媒体将其视为Facebook有史以来遭遇的最大型数据泄露事件。
3.微软数据授权案影响全球数据管辖
2018年2月,美国最高法院对美国政府与微软之间就海外存储数据授权一事的冲突提出质疑。此案可追溯至2013年。当时,美国政府要求微软公司向其提交涉嫌贩毒者在电子邮件账户中保存的内容,这批电子邮件账户数据实际存储于爱尔兰的云计算中心。微软公司坚持认定,美国法院方不具备针对存储于爱尔兰境内数据的管辖权。该事件的结果将直接决定美国当局是否能够简单通过指令获取这些数据,即无需遵循各国之间原本约定的执法规则与程序。3月,美国政府推出的CLOUD法案规定,在满足某些隐私与公民自由标准的前提下,授权国家签署跨境数据搜查令。该项提议得到技术行业的支持,同时亦充分尊重了各目标国家/地区的当地法律。
4.涉及政府相关部门的泄露事件比例较高
数据泄露事件涉及政府各部门,特别是与大选相关的数据泄露事件,数量占比较高。涉及政府相关部门的数据泄露事件包括TigerSwan招聘公司因第三方AWS安全疏忽泄露 9400份敏感简历,甚至包括美驻印尼大使、中情局前员工信息;美国防部AmazonS3服务器在线暴露,包含国安局机密数据;美国陆军服务器被植入“破坏性逻辑炸弹”,预计损失260万美元等。此外,与美国大选相关的泄露事件,包括美国选民数据又遭泄露波及60万选民、亚马逊AWS服务器信息泄露180万选民信息被曝光等,成为一段时间的焦点。
5.关键信息基础设施遭攻击情况较严重
2017年7月,美国一座核电站网络遭到黑客攻击。首个披露美国核电站遭到黑客攻击的E&E News透露,此次网络攻击涉及能源与环境业务和政策等问题。类似事件还有美国国防承包商工厂芯片代工设备感染神秘病毒、美国核能公司遭遇黑客攻击导致多个核电站被入侵等。2017年9月,赛门铁克报告详细介绍了在美国和其他地方侵入20多个电站持续而复杂的黑客活动。自2011年以来,代号“蜻蜓”黑客活动一直处于活跃状态,并从2015年底开始,活动数量激增。在2017年针对数十家公用事业单位的攻击中,很多都发生在美国。此外,美国海恩斯维尔市政府计算机系统在2018年2月出现故障,导致多项城市在线生活服务被迫中断,故障的真正来源是勒索软件攻击。
6.金融领域是遭遇网络安全攻击的重灾区
2017年9月,美国证券交易委员会(SEC)电脑发现五个“紧急”安全漏洞,原因是“被黑客利用从事内幕交易”;美国政府问责局(GAO)发布报告称,经过十年努力,限制政府使用社会安全号码(SSN)“收效甚微”。尽管《首席财务官法》覆盖的24个联邦机构已制定计划减少使用SSN,事实上,在实施过程中却受到各种阻碍。因此,美国政府问责局呼吁限制使用SSN,以降低身份盗用风险。美国国税局(IRS)向该国公民发布警告,警惕使用其机构以及FBI名字的诈骗邮件。
(三)网络空间治理涉及诸多网络安全问题
网络空间各种问题一直是困扰各国的急症,美国也不例外,无论是网络犯罪造成的影响,还是暗网网络空间治理,都成为美国政府关注的重要内容。
1.大多数美国人担心遭遇网络犯罪
2017年11月,Gallup的年度犯罪调查显示,2/3的美国成年人至少偶尔会担心黑客偷走了他们的个人信息或个人身份。自2009年以来,美国人对个人身份盗窃的担忧一直都是他们最害怕遭遇到的犯罪行为,该比例达到19%,2017年则升至28%。现在,最令美国人担心的,不是成为传统犯罪的受害者,而是成为网络犯罪的受害者。
2.暗网依然是网络空间恶意行为的源头
2017年7月,美国司法部长杰夫·塞申斯在新闻发布会上宣布,国际联合执法行动捣毁了规模高达数百万美元的暗网黑市,包括全球最大暗网平台阿尔法湾(AlphaBay)等。评论称,这给例如像OWL Cybersecurity这样的暗网情报公司带来更多得到投资的机会。大量金融公司,如Visas、MasterCards等主动联系OWL帮助制定欺诈度量标准。2017年10月,美国国会研究服务局公布《暗网》报告称,通过对互联网层级、暗网及其活动、政府对暗网的利用等内容加以分析,以有效打击非法利用网络空间的恶意行为。
3.需关注涉青少年和儿童网络安全问题
2017年7月,美国联邦调查局(FBI)向父母发出警告,孩子们的联网玩具有泄露隐私的风险,存在安全隐患。这些玩具可能含有一些部件或功能,如麦克风、摄像头、GPS、数据存储和语音识别等,都有可能泄露个人信息。与玩具的正常对话可能会泄露孩子的姓名、学校、好恶等信息。8月,联邦法院提起关于迪士尼公司的诉讼,指控公司涉嫌违反隐私法关于收集和使用儿童信息的相关条款。迪士尼公司在其移动游戏中植入的广告追踪软件,可能会暴露儿童的身份信息,并涉嫌将这些信息提供给第三方机构。
4.监管官员的电子邮件使用情况
2017年10月,美国国土安全部(DHS)发布《约束性操作指令18-01》(BOD 18-01),要求联邦机构使用新的电子邮件和Web安全指南以避免中间人攻击。DHS代理部长伊莱恩•杜克(Elaine Duke)在致行政管理和预算局(OMB)局长米克•马尔瓦尼(Mick Mulvaney)的备忘录中指出,DHS网络卫生(Cyber Hygiene)的扫描数据显示,这项指令发布之时联邦机构网络存在的最常见10款漏洞中,其中7款在遵守这项指令相关要求后可得以解决。因此,美国白宫工作人员的私人邮件使用情况将接受监管。
(四)提升网络部队网络战能力建设
整体来看,美军网络部队规模不断扩大,网络部队建设更加正规化和系统化,其指挥控制体系也在逐渐完善。美军网络部队的最终发展目标是要提升其在网络战场的实战能力,保持美国的网络空间优势。
1.年度夺旗演习重点保护“关键基础设施”
2017年7月,对于美国网络部队而言,验证与认证的最后阶段是在年度网络卫士(Cyber Guard)和网络夺旗(Cyber Flag)演习中达到全面作战能力。四大演习目标包括保护关键基础设施。网络司令部指出,网络夺旗演习是联合军事演习,专注的是训练,并验证网络任务部队的能力和备战状态,以执行网络司令部指定任务范围内防御与攻击能力的所有冲突过程,从而支持作战司令部。
2.美国加强空军网络域的战略部署
2017年8月,除与美国司令部存在直接的服务关系,美国空军第24航空队(即空军网络司令部,AFCYBER)承担的网络空间任务更为广泛。AFCYBER被指定为空军的网络安全服务提供商,还要执行6大作战领域网络空间作战任务,以构建、运行、保护并防御空军网络。美国空军设立网络部队主任,并在所有空军作战中心设立39支网络任务部队,旨在将网络集成到空军跨域作战中。2018年3月,美国空军推进其网络中队发展计划,旨在加强网络部队建设以保护自身武器系统免受黑客活动侵扰。预计,到2018年年底,美国空军方面将率先将多个基地的IT工作人员重组为网络部队。
3.美国陆军实现追踪系统的现代化转型
2018年2月,美国陆军准备对其友军部队追踪系统进行现代化转型,以确保其能够在网络与电子战攻击中继续发挥作用。美国陆军的现有态势感知网络被称为“蓝军追踪”系统(BFT),定期进行系统更新。这是因为俄罗斯Zapad 2017 军事演习让美军更加警惕,并为未来的战争配备充足的装备。美国陆军中校肖恩·西姆斯表示,这种能力的提升至关重要,因为美国正面临来自各敌对方网络战与电子战攻击活动的直接威胁。
4.网络司令部升级为第十个联合作战司令部
2017年8月,美国总统特朗普宣布,将美军网络司令部升级为美军第十个联合作战司令部,地位与美国中央司令部等主要作战司令部平等。同时,国防部长将再次考虑网络司令部与NSA拆分的可能性。9月,网络司令部位于迈阿密的军事指挥机构正追加额外资金来源并着手进行大规模采购。专家认为,这将成为私营国防承包商们拿下大额订单的绝佳机遇。然而,美国国防部监察部门表示,美国网络司令部缺乏必要的权威部门管理人员、培训标准,以确保网络任务部队(CMF)具备充足的作战能力。
5.2018年最值得关注的“四大职能主线”
2018年将成为美国网络司令部发展历程中的重要阶段,并沿以下四条职能主线发展:第一,网络作战活动增加。美国高层官员认为,网络效应与传统军事行动的结合将成为未来新的现实场景。第二,网络作战人员培养。过去,美国网络司令部的首要任务之一在于从四大军种内培养约6200名成员以充实到这133支网络小组中。所有小组皆由现役军人组成,需要在2018年10月最后期限之前实现全面作战能力。第三,网络司令部需确定新任司令官。美国网络司令部晋升为全面统一的战斗司令部后,可直接向美国国防部报告,双方需要提名并确认负责领导该联合作战司令部的新任司令官。第四,网络司令部与国家安全局的职能角色拆分。
二、拓展与国际社会“志同道合”盟国合作
美国将俄罗斯、中国、伊朗和朝鲜视为威胁美国网络安全的敌手,认为这四国具备并借助先进的网络能力以取得竞争性经济优势,以及达到搬弄是非、大肆敛财等目的。2017年8月,美国网络安全公司FireEye首席执行官凯文·曼迪亚在DoDIIS Worldwide 2017会议上详细阐述了上述国家给美国造成的威胁及其惯用手段。在网络安全领域,美国与这四个国家的摩擦和纠纷此起彼伏。
(一)美国与俄罗斯纠结大选相关问题
美国与俄罗斯在关于是否干预美国大选以及干预的程度等问题上纠结不清。有评论说,虽然俄罗斯黑客干预2014年欧洲选举,但是却在2016年美国大选中采用了新战术。值得关注的是,2017年7月,在德国汉堡举行的20国集团峰会上,特朗普与普京表示,两国会建立“坚不可摧的网络安全部门”。不过,这位“推特治国”总统很快发推文“反悔”,表示与俄罗斯建立网络安全部门“不可能发生”。
1.尚未“报复”俄罗斯干预2016总统大选
美国指责俄罗斯对其2016年总统大选施以干预、窃取民主党内部通信资料,并通过社交媒体等平台发布虚假宣传内容,还利用黑客手段窃取美国情报界的机密信息。2018年2月,美国国家安全局(NSA)局长迈克尔·罗杰斯指出,特朗普尚未命令政府内间谍人员对俄罗斯干涉美国总统选举一事开展报复。罗杰斯担心,如果美国不改变这一现状,类似于2016年的“干涉大选”事件还将会上演。此外,关于俄罗斯干预美国大选的报道未曾中断,其中包括被曝光的一些被用于干预行为的网络工具,包括Facebook、Twitter、YouTube以及人气网站Reddit等。
2.首次公开谴责俄罗斯对其能源网发起网络攻击
2018年2月,美英政府将2017年爆发的大规模勒索攻击事件归咎于俄罗斯军方。3月,美国政府在发布的一份安全警告文件中指出,从2016年3月开始或者更早,俄罗斯政府黑客就试图攻击美国电力、核能、商业设施、航空、制造业等多个关键基础设施,并且该活动至少持续了两年时间。这是美国方面首次公开对俄罗斯入侵美国能源基础设施表示谴责,将进一步加剧美国与俄罗斯之间的紧张关系。
3.制裁俄罗斯组织和黑客实施新的网络攻击行为
2018年3月,美国财政部对俄罗斯的五个实体和19个与俄罗斯黑客攻击行动有关的个人实施制裁。制裁的目标是2月由特别顾问罗伯特穆勒(Robert Mueller)指控的互联网研究机构员工以及俄罗斯情报成员。4月,美国常驻联合国代表黑利宣布,美国对俄罗斯实施新一轮经济制裁。制裁主要针对生产与叙利亚总统巴沙尔·阿萨德有关的产品或使用化学武器的公司。对于美国对俄制裁的原因,黑利解释称,“俄罗斯必须为保护阿萨德政权而付出代价”。
4.禁用卡巴斯基软件
2017年6月,美国国防部参议院军事委员会通过的《国防授权法案》草案增加关于使用卡巴斯基产品的修订。7月初,联邦调查局建议公司,特别是能源部门,将卡巴斯基产品从其关键任务中删除。9月,美国国土安全部(DHS)发布声明表示,DHS发布约束操作指令(BOD)要求联邦机构接下来90天内将所有卡巴斯基产品全部从联邦网络中清除。12月,美国总统特朗普签署法令,各政府部门将不能继续使用卡巴斯基实验室的杀毒软件。这一禁令进一步强化了特朗普政府在9月发布的一项法令。
(二)“不遗余力”指责和封杀中国
自中美两国元首海湖庄园会晤以来,两国领导人及各层级之间保持着密切沟通与交往。中美双方固然希望两国关系发展着眼于互利共赢的广阔合作空间,例如,标志着海湖庄园会晤确定的四个机制全部启动的中美执法与网络安全对话的举行,但是,在网络安全领域,美国还是担心中国的相关政策和措施影响美国的利益,因此,在封杀中兴、华为等中国科技产品并加强审查方面,以及在指责中国黑客攻击等老问题上,“不遗余力”。
1.举行首轮中美执法及网络安全对话
2017年10月,首轮中美执法与网络安全对话成功举行,标志中美外交安全对话、全面经济对话、执法及网络安全对话、社会和人文对话四个高级别对话机制已全面启动。在首轮中美执法与网络安全对话中,双方就反恐、禁毒、打击网络犯罪、追逃追赃、遣返非法移民等议题进行深入交流,达成广泛共识。中美双方再次确认了中美经济合作的正确方向,把合作共赢作为发展双边经贸关系的基本原则,把对话磋商作为解决分歧的基本方法,把保持重大经济政策沟通作为对话合作的基本方式,为合作奠定了坚实基础。
2.担心中国《网络安全法》带来影响
2017年9月,美方向世贸组织(WTO)提交一份申辩文件,指出如果中国《网络安全法》得以完全实施,日常商务运作中的跨境信息交流将会受到阻碍、甚至完全遭到禁止。文件透露,美方已经向中方高层直接表达了这一担心,并且希望就潜在的贸易损害引起各 WTO 成员的注意。美方申辩文件还指出,《网络安全法》将“不成比例地”对在华经营的外国服务供应商造成不利影响,这是因为外企必须经常将其数据回传总部以及其他国家的分支;而位于中国境外、并向中国境内提供跨境服务的企业,其业务将受到严重影响,这些企业非常依赖他们的中国客户的用户数据。
3.封杀中兴、华为等中国科技产品并加强审查
华为和一些中国电信公司一直为在美国站稳脚跟而努力,但是依旧处境艰难,因为美国立法者长期以来一直担心华为与中兴通讯等企业同中国政府之间的联系可能引发所谓的安全风险。2018年1月,美国德克萨斯州的共和党众议员科纳韦和怀俄明州的众议员切尼提出的H.R.4747“美国政府通讯保护法案”,建议禁止政府采购或使用这些公司的电信设备或服务。美国不仅阻止AT&T售卖华为手机,还反对中国移动入美,也阻碍中国企业对美企的数次收购尝试,例如,蚂蚁金服对美国汇款公司速汇金的并购。
4.担心中国网军发展和黑客组织攻击
美国认为,中国建立了对抗美国网络司令部的相关机构——中国人民解放军战略支援部队(SSF),旨在帮助建立数字化领域技术储备。美国科技新闻网站WIRED报道,美国网络安全研究人员仍怀疑中国针对美国公司的入侵行动仍在持续——包括攻击谷歌、微软、英特尔等美国公司。也有研究人员称,早前也发现有中国黑客组织入侵的迹象,并称此类活动旨在获取中美网络安全协议意图保护的企业情报。FireEye首席情报战略师克里斯·波特表示,发现中国的黑客组织将目标转向自己所在地区,从窃取知识产权转为传统的政府间谍活动。
(三)呼吁对朝鲜发动“大规模网络攻击”
美国总统特朗普和朝鲜最高领导人金正恩在2018年6月举行的首脑会晤可谓是“历史性”的,特朗普将向平壤提供“安全保证”,以换取实现朝鲜半岛彻底无核化。在网络安全方面,朝鲜一直是美国面临的最具挑战的情报渗透目标,“即使不算是最困难的,也绝对属于最困难的之一”。美国在收集外国及恐怖主义团体情报时,主要采用间谍人员、电子窃听、网络间谍以及间谍卫星等途径。然而,这一切对朝鲜“无效”,具体阻力多种多样。然而,特朗普与金正恩的相互侮辱与威胁,使各方担忧美国会采取公开军事行动以制止平壤方面的导弹与核弹发展计划。
1.指责朝鲜黑客入侵美国多家能源公司网络
2017年10月,FireEye发布报告指出,朝鲜黑客成功入侵美国能源公司网络,多家工控系统企业遭到网络钓鱼。11月,据Slashdot资讯平台消息,朝鲜黑客疑似针对美国国防承包商加大攻击力度,旨在获取有关美国及其盟友在武装冲突中可能使用的武器系统与其资产情报。美国安全专家与国防工业人员均表示,朝鲜黑客所开展的攻击活动与2016年相比显著增加,其黑客在攻击中试图获取目标公司知识产权,包括部署在朝鲜半岛的武器系统。美国将朝鲜正式划定为“恐怖主义活动的国家支持方”,而这一结论很可能引发平壤方面的激烈反应。
2.考虑利用能快速部署的小型卫星监视朝鲜
2017年7月,朝鲜利用移动式发射器发射了一枚洲际导弹(俄罗斯宣称是中程导弹),射程被认为能抵达美国的阿拉斯加州。此事在美国引发了提高早期预警能力的讨论,原因是美国间谍卫星对朝鲜的监视能力有限。为了能监视朝鲜,美国军方考虑利用能快速部署的小型卫星,以供执行名为杀伤链(Kill Chain)的新军事应急计划。此外,美国军方还计划利用民用的小型卫星,监视朝鲜所取得的进展。
3.呼吁对朝鲜发动“大规模网络攻击”
因为朝鲜威胁要用导弹打关岛,使美国和朝鲜的紧张关系再度升级。有人担心,美国与朝鲜间的冲突是否会以网络攻击的形式出现。2017年8月,美国共和党众议院发布声明表示,呼吁对朝鲜基础设施发起“大规模协同网络攻击”。10月,特朗普总统授权美国网络司令部对朝鲜侦察总局(RGB)发动持续性分布式拒绝服务(DDoS)攻击。在朝鲜隐秘活动极度活跃的网络环境中,美方行动带来探索网络空间信号动态并表达施压态度的机会,希望利用网络行动表达对朝鲜核计划的打击决心。
(四)对伊朗的“指控”和“制裁”并存
美国与伊朗的关系主要表现在指控伊朗黑客针对美国的网络攻击,包括伊朗黑客成功窃取美国导弹设计软件等,和对伊朗采取制裁两个方面。
2017年7月,美国司法部公开的起诉书显示,2007年至2013年间,伊朗黑客入侵了美国多家国防承包商,企图窃取知识产权、软件和其他专有信息,之后将其出售给外国企业和政府,包括伊朗政府。
2018年3月,美国联邦大陪审团的一份诉状指控称,将对一家伊朗研究所和10名伊朗黑客进行制裁。被制裁者在美国境内全部资产将被冻结,美国企业和个人不得同被制裁者进行任何往来。根据美国司法部发表的声明,这些伊朗黑客对美国的144所大学,以及澳洲、英国、加拿大、德国等其他21个国家的176所大学发动袭击,盗取学术资料和知识产权,相当于三个美国国会图书馆馆藏的31TB资料,价值高达34亿美元。此外,还有30家美国公司、美国劳工部及能源部委员会等5个政府部门,以及联合国亦都遭受伊朗黑客攻击。2018年5月,特朗普总统说,他已决定撤出伊朗核协议,并将重新开始对伊朗实行严厉的经济制裁。
(五)与其他“盟友”国家“合作”
在网络安全领域除了上述各国,美国与其他国家的交流也是在合作与竞争中前行。其中,美国与以色列强强联手,达成新的网络安全合作协议。2017 年6月,美国和以色列宣布,两国将建立新的网络安全合作关系,以阻止网络对手,并确定让恶意攻击者承担责任的方法。此外,还包括美国与乌克兰开展大规模网络安全合作;美国防承包商推出安全框架欲与印度分享国防信息;美国派出网络保护团队运送至韩国的萨德系统(THAAD)电池组等。
三、网络安全焦点与趋势体现美国“安全观”
特朗普政府的网络安全战略以“美国优先”为总原则,对网络安全的定位体现于“反映美国的价值观,促进经济增长,捍卫自由,保障美国国家安全”。
(一)特朗普政府的措施体现其“网络安全观”
在特朗普入主白宫后,联邦政府相继出台了系列法律法规,强化网络安全领域的建设,同时,政府的机构改革和人事变动,也反映其态度和战略动向。
1.实施联邦政府部门机构改革方案
2017年8月,美国国务院建立网络技术安全处(CTS),专门负责防范及应对各类网络安全威胁,通过先进的创新型网络安全规划与风险管理技术方案以保护生命、财产及信息资产,从而支持美国全球外交活动的实施。2018年6月,白宫公布美国联邦政府部门机构改革方案。这并非美国总统首次提议机构改革,但是,特朗普的“前任们”都失败了。有媒体分析,从提出建议的时机看,特朗普政府存在转移公众对边境非法移民儿童问题注意力之嫌。不过,此项提议的背后也可以看出他致力于重塑美国制造业的目标。
2.不满特朗普作为的辞职陆续“上演”
继白宫国家安全顾问弗林、白宫通讯联络主任杜布克宣布辞职后,2017年7月,白宫新闻发言人斯派塞因不同意特朗普任命商人斯卡拉穆奇为新任白宫通讯联络办公室主任而提出辞职。8月,在特朗普解散了两个咨询委员会后,另一个白宫小组——国家基础设施咨询委员会(NIAC)28名成员中有8名成员辞职,辞职原因在于政府对网络安全威胁估计和准备不足。2018年3月,在告别演说结束后,蒂勒森直接回老家得克萨斯州。一年多来,像蒂勒森一样离开白宫的大约有20人。美国媒体批评特朗普上任以来,政府内部运作混乱成为一种常态;而特朗普则坚称自己执政稳定、有效。
3.重新任命人选体现特朗普的战略考虑
有媒体称,特朗普创下了美国近28年来“最残缺内阁”历史记录。因此,任命一些自己的“嫡系”,是特朗普维持团队稳定的要务。2017年初,需参议院批准的核心职位中,只有国防部部长、国土安全部部长和CIA局长获国会通过。2017年12月,美国国会参议院通过美国总统特朗普对克尔斯滕·尼尔森出任国土安全部部长的提名。2018年2月,特朗普任命微软前政府网络安全政策负责人斯托弗·克雷布斯(Christopher Krebs)出任国土安全部网络与基础设施保护部门负责人。美国网络司令部于2018年5月正式升级为独立的联合司令部,日裔陆军上将保罗•中曾根(Paul Nakasone)就任新司令。
(二)持续推出政策保障新技术应用与安全
物联网、大数据、云计算、移动互联网、区块链以及AI技术发展,使美国政府在这些方面推出更多措施涉及技术应用与安全方面的情况,以应对发展。2017年6月,美国国防部审计长(Comptroller)公布文件显示,国防部要求增加425亿美元的预算支持IT项目。其中,93亿美元(约为总预算的22%)用于保密投资。IT预算用于支持通常被认为是支柱基础设施的传统IT领域,以及军队的战争和机动空间领域的网络空间行动的项目和举措。
1.颁布第一个加密货币相关总统行政命令
2018年2月,委内瑞拉总统马杜罗曾称,已经集到7.35亿美元资金的加密货币petro作为“克服金融封锁”的手段,以应对美国和欧盟国家的制裁。3月,特朗普总统颁布了针对委内瑞拉加密货币的购买禁令——任何美国人或美国境内人员都将不能购买来自委内瑞拉官方推出的加密货币petro。这是第一个由总统颁布的与加密货币相关的行政命令。3月,美国财政部称,如果官员认定加密货币地址(Cryptocurrency Address)与被列入黑名单的人有关联,则财政部可能会将相关地址列入其制裁名单,以提醒公众注意与黑名单上人士相关的特定资产。
2.着手制定首个物联网网关系统标准
无论是美国联邦政府还是国会,都在积极探讨和研究如何应对物联网面临的安全冲击。2017年8月,新法案《物联网网络安全改进法案》希望通过设定联邦政府采购物联网设备安全标准,改善政府所面临的物联网安全问题,并要求联邦政府的设备供应商遵循行业范围内的安全实践。9月,美国事务处理性能委员会(TPC)表示,有必要制定全球物联网新基准TPCx-IoT Benchmark,或初始处理物联网数据的网关。物联网网关系统的标准TPCx-IoTTPCx-IoT作为首个物联网网关系统的标准,可以使行业能直接对不同物联网网关软件和硬件解决方案进行比较。12月,美国国家网络安全卓越中心(NCCoE)与技术公司合作,以解决经“缓解基于物联网的DDoS构建模块”识别的网络安全威胁。
3.将生物识别技术用于国防领域
从2017年8月起,美国国防部(DOD)将逐渐用生物识别系统BioTracker取代传统的卡片识别访问控制的身份验证解决方案。继国防部国防创新试验小组(DIU-X)之后,美国陆军网络事业技术司令部(NETCOM)也同意采用生物识别身份验证解决方案。新系统通过记录用户的击键速度、击键风格以及鼠标的使用进行身份验证,随后为每位用户创建唯一的指纹,并利用该指纹验证使用电脑的国防部雇员。此外,防止黑客可能会利用生物识别技术实施网络攻击是重要的关节。2018年1月,美国国土安全部(DHS)测试一项Symbiote嵌入式防御新技术,旨在保护政府实验室免于遭受网络攻击。
4.推进区块链技术在政府和企业的应用与研究
美参议院呼吁区块链网络安全研究,而且,州参议院也提出用区块链技术提升办事效率。2017年9月,美国参议院通过一项7000亿美元的国防法案, 其中包括一项由国防部执行的区块链研究政令。据国会官方网站说法,“……该报告分析研究了区块链技术和其他分布式数据库技术在网络应用层面上的潜在攻击性和防御性,以及对外国势力,极端组织和犯罪网络可能利用这些技术的情况进行评估。”2018年1月,美国科罗拉多州参议院在一项法案中表示,在该州每天发生6800多万次安全违规的情况下,区块链技术被确定为一种用于保护私有及政府数据免受网络攻击侵扰的手段,不同政府部门间的协作可变得更为轻松易行,亦可被用于提升政府办事效率。
5.将人工智能用于军事情报领域
2017年12月,白宫发布的《国家安全战略》特别提到,AI已经成为一项“对于经济发展与安全至关重要”的新兴技术。美国国防高级研究计划局(DARPA)将AI视为解决网络威胁的有力武器。国防部与卡耐基梅隆大学ForAllSecure签订了为期2年的合同,实施Voltron计划。该计划将人工智能技术应用于国防机构,以发现美国军方操作系统和定制程序中存在的编码漏洞,包括美国海军军舰和飞机。9 月,美国中央情报局(CIA)通过开发人工智能程序访问、收集与检索社交媒体情报。此外,美国也很警惕中国AI技术发展。谷歌公司于2017年12月宣布在北京建立新的人工智能研发中心,并由该公司一名顶级AI大师带队,旨在利用中国的专业知识推动技术发展。
6.成立云相关专门机构并鼓励采用云服务
2017年12月,美国防部专门成立了云执行指导小组(CESG)。从美国防部云采用计划的时间安排看,美国防部要在2019年第一个季度之前初步将数据迁移到新合同方的云平台上。从策略上讲,美国防部采用云的做法与美国中央情报局(CIA)存在共同点。2018年1月,在美国五角大楼官员透露将构建一套综合性云计算平台的计划之后,美国防部副部长帕特里克·沙纳汉即公布这套平台开发过程当中发生的一场变革——五角大楼对云战略指导委员会重新洗牌。2月,美国联邦政府修订可信互联网连接的相关政策,重点在于鼓励采用云服务,旨在为情报机构开发实用案例和指导。3月,美国国防部在“工业日”上就其商业云战略回答问题,联合企业国防基础设施(JEDI)云采购征集草案又带来更多亟待解决的挑战。
7.关注各种信息技术的发展与应用
除了上述信息技术,美国还关注IPv6、5G和量子加密等信息技术的发展与应用。为此,美国商务部、国土安全部、美国联邦通信委员会等政府机构,针对相关问题出台各种措施,以期应对和解决相关问题。2018年1月,美国商务部(DoC)与国土安全部(DHS)出台一份网络安全报告草案——《提高互联网与通信生态系统对僵尸网络及其他自动分布式威胁的抵御能力》。报告对IPv6网络安全新协议得到广泛采用后将引发的潜在影响感到担忧,建议美国政府出资组织关于物联网安全性的公众意识宣传活动,向民众传达物联网的危险性,并将网络安全作为未来工程学学位的必修内容。
(三)针对重点领域安全实施重点措施
除了对各种信息通信技术的应用与发展的关注,美国还对重点领域的网络安全问题,包括供应链安全、关键信息基础设施安全,以及提升IT安全控制能力等。
1.把全球供应链安全置于“举国体制”
美国认为,供应链安全问题对于美国技术领先以及美国经济和国家安全的未来至关重要,“全球供应链安全成为美国举国体制”。美国政府各级部门已对供应链安全问题发出警报。2018年3月,美国国土安全部部长克尔斯滕·尼尔森推出一项新的供应链网络安全计划,旨在与美国本土包括石油、电力以及水处理行业在内的各大规模关键基础设施供应商开展合作。2018年4月,美国联邦通讯委员会(FCC)发布拟通过防止通信供应链的国家安全威胁的新规。同月,美中经济安全审查委员会发布《美国联邦信息通信技术中来自中国供应链的脆弱性分析》。从美国联邦通讯委员会的评估及新规、美国国土安全部、美国国防部等部门的评估报告及正在进行的评估来看,评估工作重点是美国供应链对俄罗斯和中国的依赖问题。
2.将选举系统视为“关键基础设施”
美国国土安全部(DHS)关于将选举系统作为“关键基础设施”的计划,是奥巴马政府时期宣布的重要分类。2017年10月,美国高级选举官员讨论DHS将投票系统归为“关键基础设施”之后应具备的权力和沟通渠道。选举官员投票成立首个“政府选举基础设施协调委员会”的举措,标志无党派全美州务卿协会(NASS)与DHS的关系向前迈出一大步。12月,国土安全部“网络安全与基础设施保护局”重组与重新命名法案在白宫众议院得到投票通过。2018年1月,美国弗吉尼亚州418 情报公司获得国土安全部科技署(S&T)35万美元的资金,以开发“网络风险经济学项目”(CYRIE)中的预测平台,其目的是帮助关键基础设施所有者和系统运营商共享信息。
3.要求各承包商必须实现IT安全控制能力
2017年12月,美国国防部(DOD)需要从各类商业组织处采购价值超过2700亿美元的产品及服务。这些企业必须在2017年12月31日前证明其能够为企业网络及系统提供更高级别的IT安全保障,才能继续待在这支承包商队伍中。NIST特刊800-171合规要求多年以来,美国国防部曾先后经历过多次涉及承包商与第三方服务供应商的网络安全事件及数据泄露问题。这些面向美国国防部各供应商群体的网络安全控制强化要求主要集中在《国防联邦采购条例补充》(DFARS)条款252.204-7012中,即保护涉及国防信息与网络事件的报告。这项DFARS条款要求与国防部有业务往来的组织机构为其在内部信息系统或网络中处理、存储或传输的国防信息提供“充分的安全保障”。
(四)网络人才队伍建设问题与解决方案
美国政府2017年8月的一份研究显示,美国的网络安全职位缺口将近30万。特朗普政府执政首年,约25%的首席信息官(CIO)与33.33%的首席信息安全官(CISO)以临时代理身份陆续加入“体制内”阵营。在此期间,顶尖信息技术与网络安全岗位出现大量空缺,亦有前任官员表示政府信息技术基础设施因更新缺失而遭遇老化。特朗普在2017年签署的网络安全行政令13800概述了特朗普政府的网络安全战略目标,其中,网络安全队伍是实现这些战略目标的关键。
1.造成网络安全队伍人才缺失的原因
《华盛顿邮报》报道,由于“薪水低、士气低落、不得人心”,美国国家安全局(NSA)正以令人担忧的速度失去优秀人才。报道援引知情人士的消息称,自2015年以来,NSA失去了数百名黑客、工程师和数据科学家。此外,美国本土所需人才的区域差异也是重要原因。媒体报道的标题是“美国爆发网络安全人才之争:东西海岸‘同室操戈’”。美国东海岸的学生在这里学习网络安全知识,并最终前往西部为自己的生活拼搏。这是因为美国西海岸拥有远超其他地区的网络安全工作机会。摩根指出,网络安全企业之所以集中在硅谷区域,是因为这里拥有极为丰富的风险投资来源,造成一种最好的人才总是前往西部的假象。
2.政府军队等相关方采取不同解决方案
为填补网络安全相关岗位人员的不足,各方都在努力提出解决方案。NSA的做法是,拨款培养联邦网络安全人才。2017年7月,美国国家安全局(NSA)征集网络安全核心课程开发拨款提案,拨款550万美元投入新计划,培养联邦网络安全人才。FBI启动SFS计划,培养网络安全专家,并将网络安全专家的长期聘用策略延伸至高中,以帮助强化STEM教育(科学、技术、工程和数学教育,讲究跨学科结合)。更为重要的是,这有助于鼓励学生加入服务性奖学金SFS项目。此外,FBI 的网络部门同样打算对偏技术的调查人员和特工进行交叉培训,关注流向私营企业的网络安全专家,还希望离职员工回来。在弥补军队网络安全人才短板方面,虽然美国陆军网络部队2017年9月底全面投入运作,但是,美国陆军仍在探索如何招募并留住人才,尤其是底层系统和软件方面的人才。此外,DHS也在努力填补网络职位。
3.努力构建一套网络领导者的培养模式
在2017年网络冲突国际会议(CyCon)美国大会上,马克·米利将军向年轻的与会者们发起挑战,要求其肩负起网络领导职责。除了为未来的陆军官员研究并开发经过针对性调整的培训与课程,美国陆军还制定“网络领导者发展计划”。西点军校网络研究院(ACI)的成立,正是为构建一套网络领导者的培养模式。此外,美国商务部国家标准与技术研究所(NIST)发布更新版的《网络安全劳动力框架》,呼吁政府投资项目,培养女性和少数网络安全专业人才。
声明:本文来自国信安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
