文│战略支援部队信息工程大学洛阳校区 卢坚 朱亚捷
自克林顿政府2000年首次在《全球时代的国家安全战略》中提及“国家网络安全战略”,经过三届政府的发展和完善,美国的网络安全战略体系已日趋完善。自从特朗普政府上台后,他积极履行其竞选诺言,在网络领域多举并行,取得了一定的成效。因此,为了更好地认识特朗普政府的网络安全战略,本文将对其战略的主要内容、特点以及发展趋势进行阐述和分析。
一、特朗普政府网络战略的主要内容
早在竞选时特朗普就提出了加强网络建设的一系列政策举措,当选后他着力履行竞选时的诺言。2017年5月11日,他就签署了改革力度空前的第13800号行政命令,对网络风险管理进行了详细界定。随后,他又在网络空间作战、网络基础设施建设、网络空间治理等发面进行了前所未有的变革。2018年,特朗普政府先后出台国土安全层面、国防安全层面、国家层面的网络战略,既对之前的形势有了更加清晰的判断,更为美国之后的网络政策走向指明了方向。总结起来,有以下几点内容:
(一)构建法制机制,加强网络安全风险管理
网络安全风险管理是特朗普政府网络战略恒定不变的话题,上任初期特朗普政府就开始构建相关法制机制以加强网络安全风险管理。为了兑现在竞选期间关于改善网络安全的承诺,特朗普在2017年5月签署了第13800号行政命令(EO 13800),《加强联邦政府系统和关键基础设施的网络安全》。该行政命令核心是要求各相关政府部门首脑主导,与其他部门或机构合作,对所负责领域的网络安全风险管理情况进行评估,并在规定时间内,向总统提供情况报告。对第13800号行政命令的落实情况,将以具体的情况报告体现出来。而这些旨在发现网络安全领域薄弱环节和提出改进建议的报告,为进一步制定国家网络战略奠定了基础。2017年5月9日,总统管理和预算办公室颁布了17-25号备忘录,对联邦各机构进行网络风险管理的机制要求进行了进一步的明确说明。2018年5月,管理和预算办公室又颁布了《联邦网络安全风险确定报告和行动指南》,对第13800号行政命令的实施情况和网络风险进行了阐述。至此,特朗普政府的网络风险管理通过总统行政命令的形式具有了一定的法律效力,又通过备忘录和报告的形式进行了补充完善了具体落实,形成了较为严密的风险管理体系。
在这之后出台的《国土安全部网络安全战略》和《国家网络战略》都对“网络安全风险管理”进行了强调,战略皆提出要掌控好变化的网络安全环境,进行跨部门的合作从而能对网络安全威胁进行预警,以进行良好的风险管理。总的来说,网络安全风险管理是一种偏防御性的手段,需要各方有效机制的配合,而特朗普政府现有的法制机制也还是刚刚起步,要进行实时的网络安全风险管理仍有众多机构要协调,仍有许多机制需建立。
(二)完善组织架构,保护关键信息基础设施
关键基础设施是网络有效运行的基础,对关键基础设施的防护将网络安全斗争发展到了实体层面。早在2017年5月1日,特朗普颁布就颁布了第13794号行政命令,宣布成立美国技术委员会(the American Technology Council)。该委员会由总统牵头,国防部长、财政部长、国土安全部长等重要相关领域领导人参与,旨在指导美国合理利用信息技术设施,实现政府在技术上的现代化。随后的13800号行政命令对关键基础设施的风险评估进行了说明,各机构需要识别并评估可用于减少网络安全风险的权力和能力,加强电力传输系统的事故反应能力,进行国防工业基地的防护等,从而保护关键的基础设施。2018年11月16日,《2018年网络安全和基础设施安全局法案》(Cybersecurity and Infrastructure Security Agency Act of 2018)在国会通过,美国通过改组国土安全部国家保卫和项目处(National Protection and Programs Directorate,NPPD),成立网络安全和基础设施安全局( The Cybersecurity and Infrastructure Security Agency,CISA),来领导关键基础设施的防护工作以应对当今的威胁,同时与政府各部门及私营部门合作应对未来的威胁。
无论是国家层面,还是国土安全部和国防部层面的网络战略在关键基础设施的防护上都体现了极大的关注。《国家网络战略》认为,关键基础设施的威胁多来自已知的威胁,政府各部门应加强合作,应对相关威胁,必要时可采取反制措施。国土安全部和国防部的战略都提出了关键基础设施的破坏会造成非常严重的后果,所以必须完善相应的组织架构,有效进行沟通以维护关键基础设施安全。
(三)松绑网络进攻,采取进攻性网络态势
在“美国优先”理念的指引下,特朗普政府的网络战略有意对网络进攻的控制权进行松绑。在战略出台之前,特朗普政府也做了许多实质性的工作,最主要的是升格网络司令部(US Cyber Command)和颁布“第20号总统政策指令”(Presidential Policy Directive 20,PPD-20)。2017年8月18日,特朗普宣布升格网络司令部,将其从战略司令部下属的二级司令部正式升格为一级联合作战司令部,大大提升了网络作战在当今作战中的作用。随之而来的是133支网络任务部队(Cyber Mission Forces)即将建设完成,届时美军网络作战能力将得到极大提升。随后,在2018财年和2019财年的《国防授权法案》中,特朗普政府皆对网络作战能力建设提出了多项建设目标,希望通过“先发制人”的战略姿态在网络领域获得主动。2018年8月15日,特朗普签署指令,推翻了前总统奥巴马2012年签署的“第20号总统政策指令”(Presidential Policy Directive 20,PPD-20)。旧指令要求发起能导致“重大后果”(significant consequences)的网络行动前,需层层审批并取得总统的首肯,而特朗普的新指令对这一要求进行了松绑,由于内容涉密,新指令的具体要求还不得而知。
特朗普政府的这项改变是“向进攻性上迈出的一步”,有利于给军事行动提供支持,制止外国势力对选举造成的干扰,甚至还能就偷窃知识产权的行为做出更强有力的回击。这样一来,美国可以更加轻易地发动网络进攻行动,保卫自己的核心利益。在之后出台的战略中,态势取向都是偏进攻性的,在明确对手的同时,提倡采取强硬的网络手段对对手的网络攻击进行反击,从而获得己方的战略主动权。
二、特朗普政府网络战略的特点分析
(一)涉及领域扩大,数字经济比重增加
特朗普政府的《美国国家网络战略》(National Cyber Strategy of the United States of America)中将保护网络安全一共分为四大支柱,分别为:保护美国人民、家园和美国人的生活方式;促进美国繁荣;以实力促和平;推进美国的影响力。而在这四大支柱之下又包含许多具体内容,例如:保护联邦政府和信息的安全;保护基础设施安全;提升事故应急反应;培育充满活力和弹性的数字经济等等9个方面。因此,美国政府此次所颁布的国家网络战略涉及基础设施防护、数字经济发展、军事和网络人才力量建设、促进的国际网络环境良好发展等五大领域,范围较为广泛,具体的措施和内容也在其他两份文件中有着详细的阐述。
此外,在此报告中,特朗普政府专门用了一节的内容对促进数字经济(Digital Economy)发展进行了阐述。他强调经济安全与美国国家安全有着内在的联系,随着本国的经济基础越来越依赖于数字技术,美国政府将树立榜样以促进保护本国的经济安全、增强美国市场和创新的活力。为了达到上述目的,美国将通过建立一个适应性强的技术市场、促进技术革新以及加大对基础设施的投资等等方式将经济领域的网络安全作为一个重要问题来重新审视。在2018年2月公布的《2019财年预算草案》当中,特朗普政府计划投入800亿美元用以在信息技术和网络安全领域的建设。所以,特朗普将经济领域的网络安全作为关注重点并进行大量的投资和建设,非常符合特朗普自身的“商人形象”(非常重视本国资金的使用)以及“经济优先”的执政理念,强调本国经济利益安全的同时,辅助各种网络安全措施以保证经济领域的网络安全。
(二)关注重心转向国内,突出攻防结合
受到“美国优先”执政理念的影响,特朗普政府的网络安全战略自然也回归于国内,开始加强国内网络安全的防护建设,主要包括保护联邦政府网络、关键基础设施的网络安全以及国家整体的网络安全三个方面。
首先,针对联邦政府网络的保护。特朗普强调要在政府内部进行有效的网络安全风险管理,他将制定专门的行政首长来管理政府企业的部门和相关机构,而这些部门和机构的负责人需要定期向管理和预算办公室主任提供一封风险管理报告,收集和整理过后再提交给总统,以对各弱点进行有效的评估和防范;其次,针对加强关键基础设施的网络安全(Critical Infrastructure Cybersecurity)保护。奥巴马政府在第21号总统政策指南(PDD21)中明确划定了16类关键基础设施,这与特朗普政府时期国土安全部进行的分类是相同的。基于上述部门划定,特朗普政府在具体保护措施上强调第一步要发现和识别风险,以威慑恶意网络行为体的进一步行动,接着要加强美国政府与私营部门与利益攸关者(stakeholder)加强信息共享和交流,促进与私营部门的合作,从而由下至上部署分层次的防御设施;最后,针对国家整体网络安全。特朗普政府依旧强调互联网的自由与管理并依法进行管理与他国进行共同治理。
对于本国的攻防能力建设,特朗普还是按照“以实力促和平”的原则进行网络安全领域的防护,通过提高各部门的网络事件应急反应能力(Cyber Incident Reporting)、加强网络安全人才力量建设、加大关键基础设施以及网络部队力量的投资等等方式立足于国内进行网络安全领域的攻防能力建设,具有一定的整体性和指向性。
三、特朗普政府网络战略的发展趋势预测
(一)在“美国优先”执政理念的影响下继续深化经济领域的网络安全建设
在资本逐利因素的驱动下,特朗普政府将不仅会继续保持“美国优先”的执政理念,让同盟与伙伴国承担更多的国际责任以换取时机在国内进行大量的投资建设,还会进一步将网络安全建设与经贸问题挂钩,深化经济领域的网络安全建设。具体将表现为:(1)加大对知识产权的保护力度,促进形成一个更具有活力和弹性的数字经济。随着数字经济在美国基础产业所占的比重越来越大,再加上敌对势力通过网络途径对美国的重要利益进行侵犯,美国需要通过对本国的知识产权以及创新技术进行有效的保护,来保护美国数字经济的正常和高速发展;(2)完善并加强网络安全审查机制。在外国投资委员会(CFIUS)的改革方案中,美国大幅度增加了网络安全的相关内容,并表明将不断加紧对国外网络技术收购的审查,并对交易中可能存在的漏洞进行严格审查。
因此,随着美国经济实力的不断发展以及信息的互通与交流,网络空间必然会成为一个重点关注的领域;再加上特朗普“美国优先”的执政理念,将建设重心转向国内,注重经济发展,政府也将会进一步完善和提升经济领域的网络安全建设。
(二)注重与国内私营企业的合作,网络空间国际合作趋冷
网络空间国际合作始于20世纪90年代末,美国政府在奥巴马上任后开始关注国际网络空间安全治理领域方面的问题,对于促进国际网络空间安全起到了一定的推动作用。
注重与国内私营企业的合作将是特朗普政府长期遵循的原则,他将继续加强政府与私营企业在网络空间安全领域的合作,在事件应急反应和减少本国网络基础设施脆弱性等问题上由私营部门提供相关安全信息给政府,政府以此做出决策并实施;同时国防部还将与私营企业建立相互信任的关系网络,并开展详细的规划和合作培训,以相互支持各部门的网络安全活动。
而在网络空间国际合作方面,特朗普政府则表现的不是非常积极,与之前奥巴马政府出台的《网络空间国际战略》(International Strategy For Cyberspace)相比,特朗普政府更倾向于塑造有利于美国网络安全发展的国际环境,并减少在国际网络空间环境的治理成本,强调塑造、治理网络空间提供领导力和所需技术并以此来保护本国的利益。再加上其政策重心转向国内,要求伙伴国承担更多的国际责任,有很大可能在未来减少美国在网络空间国际治理领域的参与度,网络空间国际合作也就进一步趋冷,更进一步的可能导致各国在网络军备上的竞争,形成更难以解决的安全困境。
(三)加大对中俄网络空间力量建设的关注,加剧大国网络空间领域竞争
无论是在《国家安全战略报告》中,还是在本文所提到的三份官方有关网络空间安全战略的文本内,特朗普政府都将中俄两国视为能对美国的繁荣和安全构成战略威胁的国家行为体(即主要威胁),这就从主观上对中俄两国的国家发展定位有了明确的进攻性意图。为了防止中俄两国在网络空间领域对美国的侵犯,特朗普政府在政治上重点关注两国未来的发展趋势尤其是在网络空间领域内的建设情况;在军事上将加强网络军事能力建设,开展网络空间行动,收集情报,增强网路军事能力以应对两国可能带来的潜在威胁;在经济上将通过保持美国在信息共享与新兴技术领域的领导地位来形成与中俄两国的技术差距,以此来保护美国在网络空间的优势以及安全利益。
将中俄两国视为美国在网络安全领域发展的重要对手,这对于大国在网络空间环境治理具有极大的影响,一方面阻碍了中美俄等大国在网络空间安全领域的合作,信息交流、资源共享、多国应急响应等等都无法正常实现;另一方面加剧了大国在网络空间领域内的竞争,为了塑造本国在网络空间领域内的领导地位而进行网络军备扩展活动,从而有可能引发新一轮的网络军备竞赛。这些情况对于营造一个安全稳定的国际网络空间安全环境都是非常不利的,只会使得大国间的信任建立和关系建设更加复杂化。
四、结语
基于对美国特朗普政府所出台的官方网络安全文件的分析,我们可以看出特朗普政府在网络安全领域的一系列举措有着明显的攻击性和“美国优先”的色彩。此外,随着特朗普政府网络安全领域法制建设的不断完善,美国在网络领域内的能力构建也将会得到极大的提升。
(本文刊登于《中国信息安全》杂志2019年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
