拜登政府网络安全政策观察

从上任之初由网络安全事件牵引的“应急式”被动反应转变为重点突出、多措并举的主动作为,具有拜登特色的网络安全战略正在成形。

拜登政府上任以来将网络安全议题列为优先事项,从评估威胁、界定利益和塑造对手出发统筹网络安全工作,将布局关键基础设施保护、供应链安全以及新技术发展作为治网重点,并加强部门协调、公私合作以及国际协同打造网络空间“全政府”“全国家”“全系统”模式,拜登政府的网络空间战略初具雏形。与特朗普政府类似,拜登政府网络安全举措深受“深层国家”部门影响,从“大国竞争”角度塑造网络空间,频繁使用“点名和羞辱” 以及制裁举措,凸显安全化与地缘政治特性。

内容目录:

1 威胁认知、利益界定与对手塑造

2 网络安全政策的重点

2.1 保护关键基础设施是重中之重

2.2 重建“以美国为中心”的全球供应链体系

2.3 布局新技术发展实现美国“代际领先”

3 网络安全政策的核心支柱

3.1 打造网络空间“全政府”模式

3.2 打造网络空间“全国家”模式

3.3 打造网络空间“全系统”模式

4 网络安全政策的基本特点

4.1 网络安全举措凸显“深层国家”部门影响

4.2 频繁使用“点名和羞辱”以及制裁举措

4.3 重视创新网络安全实践的标准牵引和技术防护

当前,美国总统拜登上任已半年有余,在网络议题上积极开展系列举措,调人事,补“漏洞”,组联盟,实现从上任之初由网络安全事件牵引的“应急式”被动反应转变为重点突出、多措并举的主动作为,具有拜登特色的网络安全战略正在成形。

01 威胁认知、利益界定与对手塑造

在国际政治领域,评估威胁、界定利益并塑造对手,进而形成共同的安全环境的感知, 是集合资源、结成联盟、加强协作的必要举措。拜登上任半年内,“太阳风”(Solarwinds)、微软 Exchange 服务器、科洛尼尔管道(Colonial Pipeline)以及软件商卡西亚等网络攻击事件接踵而至,继斯诺登事件后网络安全议题在美国内引发新一轮高关注度,即使是分歧明显的国会两党也在该议题上高度一致,密集推进多部涉网法案。美国内各方在网络安全议题上空前的“同仇敌忾”必然影响拜登的政策举措,可以说拜登从上任第一天起就面临要求“重振国家网络工作”的舆论压力,当然也为其评估威胁、确定利益和塑造对手,强化政策合法性提供了空间。

一是评估网络空间威胁为“即刻且危险”。一改特朗普时期对于网络安全的“避而不谈”,拜登频繁强调美国所面临的网络空间威胁, 从竞选期间所营造的网络攻击动摇民主体制, 到当选后强调网络安全对于国家安全的威胁, 并发表“网络攻击将引发大国战争”“网络安全是国家安全核心挑战”等论调,塑造网络空间威胁为“即刻且危险”,并辅以政策上的确认。2021 年 3 月公布的《临时国家安全战略指南》(Interim National Security Strategic Guidance)明确表示“坚持网络安全第一要务,提升网络安全在政府的重要性”。2021 年 5 月公布的《改善国家网络安全行政令》声称“网络安全为联邦事务优先项”“保护网络安全是国家和经济安全的首要任务和必要条件”。拜登在半年内即完成了网络议题相关责任人任命,主要选择经验丰富的官员和精英管网治网,并采纳“网络空间日光浴委员会”建议创设国家网络总监一职,任命前国安局副局长克里斯·英格利斯(Chris Inglis)担任。外界评价拜登上任半年内在网络议题上举措之多、速度之快远胜过前总统的四年,网络安全确已成为拜登政府议事议程的重点。

二是界定网络空间核心利益为“应对挑战” 和“恢复优势”。正如 2021 年 3 月拜登政府公布的《临时国家安全战略指南》中明确表示美国国家安全战略目标的实现“取决于一个核心战略主张:美国必须恢复持久优势以便能够基于强大实力迎接当前的挑战”,应对挑战和重建优势地位也成为拜登政府在网络空间所界定的核心利益, 一方面全力维护美国的网络安全,公开强调针对美关键基础设施的网络攻击、扰乱美选举安全的信息行动以及供应链攻击等将损害美国核心利益,意图为网络空间行为“划红线”;另一方面重建并维持美国的技术优势,特别是在以 5G、量子计算、人工智能等为代表的“技术革命”中保持领先地位,确保技术治理反映所谓民主国家的利益,为开展网络空间大国竞争“划重点”。

三是从“大国竞争”的高度塑造网络空间主要对手。作为老牌的政客,拜登深谙地缘政治之道, 对如何塑造对手熟稔于心,网络空间的竞争, 无论是《临时国家安全战略指南》还是各类公开演讲,拜登政府均将大国战略竞争作为国内外政策制定的主要背景和出发点,渲染美国所面临的网络安全威胁,以此调整前任政府的战略部署,包括从阿富汗撤军,以集中主要力量与中国、俄罗斯展开竞争。服务于现实国际关系中将中国塑造为“最大地缘政治考验”和“最有力的竞争对手”的界定,拜登政府将中国塑造为网络空间首要对手,2021 年《美国情报界年度威胁评估》报告将中国列在威胁清单的首位即是这类认知的典型体现,特别是中国在新兴技术领域不断取得的突出成果构成了对美国全球地位的严重威胁。因此,如何在网络虚拟空间塑造对手,集国家之力在新技术治理、国际网络规则等方面应对对手成为拜登政府执政的重要考虑。2021 年 7 月,拜登在参观国家情报总监办公室时强调“严重的网络攻击事件可能引发大国间战争”,明确将网络安全与大国竞争挂钩。美国《国家利益》杂志也跟风指出, 当代冷战正在太空、网络和电子领域展开。

02 网络安全政策重点

一系列网络安全事件以及竞选承诺牵引着拜登执政初期的治网重点,主要集中于保护关键基础设施、确保供应链安全以及布局新技术发展。

2.1 保护关键基础设施是重中之重

由于新冠疫情的影响,针对关键基础设施的供应链攻击、勒索软件攻击在拜登上台之初轮番上演,从“太阳风”到科洛尼尔管道,再到肉类生产商 JBS,相继遭到严重网络攻击,让美国政府和民众意识到针对关键基础设施的网络攻击可以带来直接和严重的后果,如何应对关键基础设施安全问题成为拜登政府的“头等大事”。拜登在上任的头 100 天内即开展了对“太阳风”网络攻击事件的调查、启动“电网网络安全 100 天试点计划”并筹划推广至其他能源部门,开启了政府部门与关键基础设施运营者的合作新路径。2021 年 5 月发布的《改善国家网络安全行政令》,对联邦关键信息系统保护、威胁信息共享、加强软件供应链安全等问题进行了整体部署 ,提出了改进联邦政府事件响应和应对机制、完善网络安全事件日志、加强云安全管理、强化“零信任架构”等具体举措,成为拜登政府保护关键基础设施的“总纲”。各联邦部门相继出台资金、技术等支持来完成行政令提出的要求,如白宫在“美国就业计划”“基础设施计划”中均拨付相关资金完善关键基础设施网络安全,美国国家标准与技术研究院(NIST) 发布了《关键软件定义规范》回应行政令提出的界定“关键软件”的要求。7 月,拜登政府发布《改善关键基础设施控制系统网络安全备忘录》,提出建立“工业控制系统网络安全倡议”, 制定“关键基础设施的网络安全绩效目标”等要求,进一步促进关键基础设施保护的细则落地。可以说,保护关键基础设施的网络安全成为拜登政府施政网络空间的首要议题,这也促成拜登在当选后与普京的首次会晤中即提交禁止网络攻击的 16 个关键基础设施领域的清单, 明示美国在网络空间的核心利益。

2.2 重建“以美国为中心”的全球供应链体系

拜登将改善供应链安全看作寻求两党合作共识的一项重要议题,持续从顶层设计层面加码、强化供应链安全。2021 年 2 月签署《确保供应链安全行政令》,提出供应链风险审查、产业供应链评估等建议,具体要求对半导体芯片、电动汽车大容量电池、稀土矿产和药品四类产品的供应链产品展开为期 100 天的审查,并要求在一年内完成对美国国防、公共卫生、通信科技、交通、能源和食品等六大部门的生产供应链进行风险评估,以及与同盟国或地区展开合作等措施。同年 5 月,宣布将“保护信息通信技术服务供应链安全的国家紧急状态”延续一年,维持总统对于特定国家、机构和个人进行经济制裁的权力。同年 8 月,拜登在会见企业时宣布一项新的公私合作计划,要求 NIST 与业界和其他利益相关方合作,开发一个新的框架, 以“提高技术供应链的安全性和完整性”。除国内举措外,拜登政府还积极改善美严重依赖外国供应商的现状,在同年 6 月签署《关于保护美国人的敏感数据不受外国敌对势力侵害的行政令》,要求采取基于标准和证据的措施来控制外国信息和通信技术。此外,拜登政府还进一步扩大美国外国投资委员会的权力和编制, 与欧盟成立贸易和科技委员会,并强化与日本、澳大利亚、印度四国“安全对话”的投资审查联动,推动美国外国投资审查多边化。

2.3 布局新技术发展实现美国“代际领先”

拜登政府将美国在技术发展及其治理领域方面的世界领先地位视为重回繁荣的支撑。对此,拜登上台后即将科学技术政策办公室(OSTP) 提升为内阁部门,在国家安全委员会中设置负责国家网络和新兴技术的国家安全副顾问,两项设置在美国历史上均属首次。其次,拜登政府大幅增加对于科学技术的预算投入。拜登多次表示当前美国政府在科学技术上的投入(占国内生产总值的 0.7%)远远低于 20 世纪 60 年代(占比 2%),为此,拜登上台后即推出了 2.3万亿美元的基础设施计划,其中 1000 亿美元用于建设遍布全国的高速宽带网络,1800 亿美元用于“未来的研发和产业”。在这场技术布局中, 人工智能、量子计算等下一代网络技术成为投资重点。在人工智能方面,美国人工智能国家安全委员会于2021 年3 月1 日发布报告,提出了“引进技术人才”“加强技术保护”“推进技术创新” 等相关措施,并要求美国必须领先对手“至少两代”。拜登政府在 2021 年 6 月发起一项倡议, 要求向人工智能研究人员提供更多的政府数据, 以巩固美国在该关键新技术的前沿地位。在量子计算方面,拜登政府延续特朗普 2018 年底签署的《国家量子倡议法案》,在开辟“量子互联网”上继续增加联邦投资。

03网络安全政策的核心支柱

拜登极力带领国家恢复某种“常态”感, 在网络空间亦是,力图修复美国历届总统在网络空间业已形成的支柱,即加强部门间协调的 “全政府”模式,强化公私合作的“全国家”模式,加强国际合作的“全系统”模式。

3.1 打造网络空间“全政府”模式

“全政府”模式原是一种节约成本的公共政策理念,即鼓励不同部门整合资源,实现最大化利用。由于网络空间议题复杂,相互融合度高等特征,涉网职能部门存在职能交叉和效率低下的特点,为协调各部门形成合力,拜登政府全力推进“全政府”模式,集中体现在网络安全防护和对外协调行动方面。

在网络安全防护方面,2018 年成立的网络安全与关键基础设施安全局(CISA)在联合各部门加强网络态势感知、威胁情报共享等方面的总体协调作用进一步强化,成为拜登政府打造网络安全“全政府”防护的支点。CISA 目前已成为国土安全部行使网络安全职能的主要机构,在《改善国家网络安全行政令》中也主导了绝大部分的保障任务,包括在新设立的网络安全审查委员会中担任总协调的角色,联合国防部、司法部、国家安全局、联邦调查局以及私营部门评估重大网络事件,审查各机构的安全响应计划。美国政府也给予 CISA 预算和机制上的保障,在 2021 年 3 月通过的 1.9 万亿美元的冠状病毒救援计划中,6.5 亿美元用于 CISA。

在对外协调行动方面,拜登政府极力打造形成“全政府”的对华遏制局面,相关涉网部门遏华动作频频,如美贸易代表办公室将中国列入“优先观察名单”,指责中国知识产权保护环境;美外国投资委员会暂停中国投资者对韩国芯片厂商美格纳半导体的收购,阻止荷兰对华出口光刻机;美商务部产业安全局持续更新《出口管制条例》,加强对华新兴技术领域出口和许可证的管制;美联邦通信委员会耗资 19 亿美元为美国电信运营商剔除华为和中兴提供设备补偿款;CISA、FBI、NSA 等多部门联合指责所谓中国网络威胁活动。可以说在打压对手国家议题上,形成独特的美式网络空间“举国体制”。

3.2 打造网络空间“全国家”模式

一直以来,美政府均遵循“大部分关键基础设施均由私营部门拥有和运营,联邦政府无法单独应对网络安全挑战”的逻辑,寻求联合私营部门的技术和资金支持来共同应对网络威胁,打造网络空间“全国家”模式。拜登利用民主党与私营企业天然亲近的优势,一上台就密集向私营企业特别是科技巨头抛出橄榄枝, 其中既有说服合作的软性举措,同时并未放弃强制合作的法律要求。

拜登政府高官在多个场合强调私营企业在网络安全工作中的重要性。2021 年 5 月,白宫网络安全顾问安妮·纽伯格在 RSA 大会上表示政府和私营企业间的伙伴关系对保护网络空间的国家安全至关重要,并在 6 月初一封致企业高管和商界领袖的公开信中,敦促各组织采取行动防范勒索软件。8 月初,CISA 局长珍·伊斯特利在美国计算机安全会议黑帽大会上强调, 美国将加强公私网络安全合作,包括强化关键基础设施保护,加强威胁情报共享,重塑美国公私联盟。8 月底,拜登召集苹果、谷歌、微软等 20 余家科技企业、能源部门、教育机构以及保险行业负责人开会,在这场被外界称作“公私联合行动倡议”的高级别会议上,拜登意在联合私营部门共同推动网络安全领域基础设施建设、应对勒索软件攻击、强化网络安全标准、培养网络安全人才等议题,并成功得到几大科技巨头的回应和支持。

口头号召外,拜登政府时期也积极采取经济激励举措,如在《改善国家网络安全行政令》中提出利用“采购权”来改善联邦政府与私营部门合同条款中关于信息共享的问题。但随着美国遭遇越来越多的网络攻击后,美国政府开始改变放任企业完全自愿的原则,逐步采取一些法律强制举措,如在 2021 财年国防授权法案中,授予 CISA 针对互联网服务提供商的传讯权, 可以强制要求互联网服务提供商交出某些用户信息,以识别潜在的攻击和目标组织 。在“电网百日试点计划”《改善关键基础设施控制系统网络安全备忘录》以及参众两院正在制定的“数据泄露报告法案”中均提出了企业向政府报告网络安全事件的强制性要求。

在机制建设方面,CISA 参照“网络空间日光浴委员会”建议仿照众议院和参议院的国土安全委员会,在 2021 年 8 月初宣布成立“联合网络防御协作” 机制(Joint Cyber Defense Collaborative,JCDC),致力于加强政府与私营部门之间的防御行动和信息共享。该机制目前包括联邦调查局、国防部、司法部、国家安全局等政府部门,以及亚马逊云服务(AWS)、AT&T、谷歌云(Google Cloud)、微软、威瑞森和火眼等私营企业。

3.3 打造网络空间“全系统”模式

“全系统”模式原指在扁平化、国际化的国际环境中,与“志同道合”者设定共同的国际议程来解决问题,被美国运用到网络空间即体现为与“志同道合”者共建网络规则,协调网络行动。

在特朗普推行“美国优先”政策损害盟友利益后, 拜登上台后即将网络议题作为拉拢盟友的抓手, 分层次、分批次推动网络空间同盟复苏,构建“小核心大外围”的网络同盟圈。

一方面,拜登仍将主要精力放在修复与核心盟友的合作上,以小多边形式在联合溯源、共同制定国际网络规则上加强协同,包括将与日本在网络空间的防务合作纳入《新时代美日全球伙伴关系联合声明》,加强与韩国的网络威胁信息共享,联合澳大利亚网络安全中心(ACSC) 和英国国家网络安全中心(NCSC)发布网络漏洞预警等。另一方面,拜登政府陆续“返群” 多边国际网络论坛,强化“群主”地位,包括推动七国集团(G7)发表公报,在打击勒索软件、供应链安全、互联网开放等方面体现美国政府意志,重新引领二十国集团(G20)、亚太经合组织(APEC)等多边机制中的网络议题,推动北约发布“布鲁塞尔宣言”,更新网络防御政策, 动员北约各成员国承认美国所提倡的网络行动规则。值得注意的是,拜登政府加快部署“四国集团”机制中的网络安全议题,包括与日本、澳大利亚、印度联合建立“关键与新兴科技工作组”,协同在敏感科技等领域的供应链上提高透明度和合作等。

04网络安全政策的基本特点

类似于其他政策领域,拜登政府网络安全政策既受国内利益集团影响,也有基于成本收益的考虑,延续并强化已发挥较好效益的政策, 同时加快应用和部署网络安全防护新理念,呈现出以下特点。

4.1 网络安全举措凸显“深层国家”部门影响

“深层国家”部门在美主要指的是国家安全权势集团,由国家安全局、中央情报局、联邦调查局等情报机构组成,具有明显的技术官僚和职业化色彩,在特定议题上不太受总统左右 。特朗普时期,总统与情报机构之间龃龉不断,在网络安全议题方面尤为突出,因而形成“自下而上”的官僚体系,在一定程度上保障了网络安全政策的连续性和专业性。拜登上台后虽然缓和了与情报部门之间的关系,但是后者在塑造网络空间主要对手,形塑拜登政府网络空间战略上仍然扮演突出作用,拜登政府任命的网络主责官员也多来自情报、安全部门,如负责网络安全事务的总统国家安全事务副助理安妮·纽伯格为国安局前网络安全主管, CISA 局长珍·伊斯特利为美国前国家安全局反恐中心副主任,国家网络总监克里斯·英格利斯为前国家安全局副局长,网络事务高级主管迈克尔·苏梅尔为前国安局高级顾问。安全背景出身的官员对于网络议题关键岗位的垄断使得拜登对于网络威胁的认知多倾向于追求“绝对安全”的零和思维观。可以说,拜登将网络议题与大国竞争相挂钩正是“深层国家”部门推动的结果。

4.2 频繁使用“点名和羞辱”以及制裁举措

为向外界清晰传达美国将采取实际举措应对恶意网络行动的决心,美国近年来增加了对于网络攻击者的“ 点名和羞辱”(Naming and Shaming)以及司法和财政制裁举措,其实质是向国际社会表明美国有能力确定谁应该对此负责,并将采取行动予以回应 。自 2014 年起诉五名中国军人以来,美国已经发布了数十项关于网络攻击的指控,拜登政府上台后更是积极联合盟友进行集体归因,以提高所谓指控的可信度。2021 年 4 月,拜登政府以干预 2020 年美国大选、发动“太阳风”网络攻击事件等为由, 宣布对俄罗斯实施制裁,并因此驱逐 10 名俄罗斯外交官。2021 年 7 月,美国联合英国、日本、澳大利亚、新西兰、加拿大及北约、欧盟指责所谓中国的网络黑客活动,随着拜登更大程度上依赖于盟友的联合行动,集体归因将逐渐常态化,这种背离事实依据的指控,加剧了网络空间的“污名化”。

4.3 重视创新网络安全实践的标准牵引和技术防护

一方面是重视发挥标准和技术防护在提高各组织网络安全风险管理实践上的作用。拜登上台后在网络空间颁布的纲领性文件,如《改善国家网络安全行政命令》《改善关键基础设施控制系统网络安全备忘录》《关于保护美国人的敏感数据不受外国敌对势力侵害的行政令》均将标准建设放在非常重要的位置,美国国家标准与技术研究院(NIST)的作用得到凸显,不仅承担制定关键基础设施保护标准的重要职能,同时要求制定与中国在 ICT 技术方面竞争的标准。为此,美国政府开始筹划提高 NIST 授权,如众议院科学、空间和技术委员会提出两党立法《NIST 未来法案》(NIST for the Future Act),要求为 NIST 重新授权,更新 NIST 在制定网络安全标准和最佳实践方面的权力和责任, 包括在供应链管理、软件开发、云计算和隐私保护等方面的职责。另一方面是大力推行“零信任”架构。《改善国家网络安全行政命令》要求各联邦机构制定零信任架构推动实现网络安全现代化,对此,美国管理和预算办公室(OMB)、网络安全和基础设施安全局(CISA)相继发布《联邦零信任战略》和“零信任成熟度模型”, 帮助各机构更快转向零信任状态,体现美技术防护的新思维。

05结 语

无论是在英国国际战略研究所的《网络能力和国家权力净评估》,还是国际电信联盟公布的《全球网络安全指数》,美国均名列第一, 这也说明拜登政府推行其网络新政具有坚实的实力基础,且相对于特朗普政府推行的“极限施压”和“一刀切”的全面封锁政策,拜登政府网络空间举措更显章法且更精于设计,如对华推行“小院高墙”的精准打击模式,从理论上更有利于美国网络空间利益的实现和维护。但也应该看到,拜登治网仍然面临国内两党对立、盟友不信任、私营部门存疑等因素的制约, 在网络空间围堵遏制对手国家追求绝对安全的路径实难奏效,拜登政府的网络空间战略和政策将如何发展仍有待进一步观察。

引用格式:桂畅旎 . 拜登政府网络安全政策观察 [J]. 信息安全与通信保密 ,2021(10):9-16.

作者简介

桂畅旎,女,博士,中国信息安全测评中心助理研究员,主要研究方向为美国网络空间战略与政策。

选自《信息安全与通信保密》2021年第10期(为便于排版,已省去原文参考文献)

本文来自信息安全与通信保密杂志社

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/14194.html

(1)
上一篇 2021-11-10 07:45
下一篇 2021-11-11 09:49

相关推荐

发表回复

登录后才能评论