与此前屡遭碰壁的中国企业赴美并购不同的是,作为知名的移动在线金融服务机构,蚂蚁金服并购案涉及美国约240万个银行和移动账户,以及大量的个人消费数据。按照美方说法,对网络安全数据安全的担忧,正是此次收购失败的重要原因之一。

一桩中美双方企业乐见、再普通不过的在线金融机构交易,为何艰难碰壁?是时候再审视特朗普政府《国家安全战略报告》中流露的网络安全理念了。

2017年12月18日,美国总统特朗普发布了任期内首份《国家安全战略报告》(以下简称“报告”)。在网络安全方面,新“报告”同往期“报告”相比在“质”和“量”上都有了明显提升,可谓对往期“报告”的全面超越。

新“报告”中网络(cyber)一词的表述出现了近50次,几乎每隔四五页就要出现至少一次。与2010、2015年两版“报告”中均20余次提及“网络”相比,数量上增加了一倍。从表述上看,新“报告”强调“美国对网络时代机遇和挑战的应对将决定国家未来的繁荣与安全”,提出美国需要拥有一套“防治结合、具有弹性”的应对体系,让网络“反应美国的价值观,促进经济增长,捍卫自由,保障美国国家安全”。同往期“报告”中“我们的经济、安全和健康通过一个网络基础设施联系在一起”以及美国要“确保联邦网络的安全”、“完善更高标准的法律框架”、“让恶意网络行为体付出代价”等措词相比较,新“报告”显然进一步强调了网络安全在美国国家安全中的重要性,并提出了更为明确的目标,凸显了特朗普政府更加务实、重视网络安全的特点。

总体来说,在当前个人及国家对网络依赖程度持续增强的背景下,特朗普政府的新《国家安全战略报告》是对往期“报告”的全面超越,但其攻势意味的增强,以及对国际合作的消极态度,也将对全球网络空间安全形势产生负面影响。

深化中有延续,政策更加务实、系统

总体上看,“报告”中的网络安全政策是对之前两份报告内容的深化和延续,同时也更加务实、系统。特朗普政府从保障网络安全与提升美国网络实力两个角度,提出了八项政策,分别是:“识别和优先处理风险”、“构建更加完善的网络体系”、“威慑和瓦解恶意的网络行为体”、“提高信息共享和读出”、“进行分层防御”五项网络安全保障政策,以及“改善甄别,追责和响应”、“增强网络工具和专业程度”、“提高综合性和灵活度”三项网络能力提升政策。

2010年和2015年的“报告”主要从“加大对人才和技术的投入”和“加强伙伴关系”两个方面提出了关于保障网络安全的政策。针对这些内容,新“报告”中提出四项具体政策,即“构建更加完善的网络体系”、“增强网络工具和专业程度”、“提高信息共享和读出”、“提高综合性和灵活度”。

技术先进、数量众多的私人网络安全公司一直是美国网络优势的重要来源

具体来说,在技术和人才方面,美国将“使用最新的商业能力、共享服务和最佳规范来实现联邦政府信息技术的现代化,提供不间断的、安全的通信和服务”、“改进网络工具以应对不同层次的争端,保护数据和信息的完整性,并聘用、培训、维持一支能够开展这一系列工作的队伍”。在合作方面,美国将“与关键基础设施合作伙伴一同评估信息需求、减少信息共享障碍,扩大与私营部门的合作”。在完善国内机构方面,美国将“改进和整合美国政府部门与流程并与国会合作,共同应对挑战,满足维护网络安全、增强网络实力的要求”。

而且,这三部分内容不再像在往期“报告”中被简单得排列、堆叠在一起,而是各自成为独立政策,目标导向性更强。同时,各项政策间的联系性有所提高,一项政策的实现需要其他政策的配合。因此,特朗普政府新“报告”虽然延续了部分往期“报告”中所提到的政策,但是这些政策在各自具有明确目标的同时相互关联,系统性与务实性有所提升。

新政策针对性更强,攻势意味更突出

在延续了部分政策之外,为了进一步加强美国网络实力、保障网络安全,特朗普新“报告”还提出了四项新政策,分别为改善对网络攻击的“甄别,追责和响应”、 “识别和优先处理风险”、“威慑和瓦解恶意的网络行为体”和“进行分层防御”。这些政策均为特朗普政府根据网络安全问题特点及当前美国网络安全情况而提出的,具有很强的针对性和专业性,攻势意味也更加突显。

“甄别,追责和响应”与“识别和优先处理风险”两条政策的关注对网络安全问题的发现和评估。这两条政策要求美国相关部门需要能够及时评估、甄别美国关键领域(国家安全、能源、银行和金融、健康和安全、通信和运输)的风险等级,并按照评级及时进行有效的应对。网络安全问题具有难以被提前发现且容易造成巨大影响的特点。不论是于2010年对伊朗核设施造成重大影响的“震网”病毒(Stuxnet),还是今年在全球造成影响的“勒索病毒”,网络安全问题几乎都是突然出现,并让相关领域遭受重大损失。因此,如何进行相关早期预警及危害评估就变得尤为重要。特朗普政府新“报告”将识别与危害评估作为今后保障网络安全的重点显然便是针对网络安全问题的这一特点而提出的。

“威慑和瓦解恶意的网络行为体”要求美国既要能够找到网络攻击的发动方,并让其付出高昂代价,同时还要具有让企图对美国进行网络攻击的行为体“知难而退”主动放弃攻击的能力。这一条政策实际上是要求今后美国既要具备足够的网络攻击、反制能力,同时还要具备足够的防御能力。一直以来,学界总有观点认为美国的网络攻击能力足够强大但防御能力不足(见下表)。特朗普新“报告”提出的这条要求加强攻防能力政策,可以被视为是对过去美国网络攻防能力不对等情况的改善。

“进行分层防御”要求美国要能和私人机构相互合作,层层防御,阻止恶意网络攻击行为达成目的。由于国家并不是网络空间的唯一行为体,网络安全不可能仅仅由国家政府保障。因此,如何更好地同民间及私人部门合作,共同保障网络安全便十分重要。在这一方面,特朗普政府新“报告”提出未来将加强同私人和民间部门的合作。虽然如前文所述,往期“报告”中也曾提到了同私人、民间部门合作的内容,但是新“报告”将这些网络安全合作纳入了“分层防御”体系,说明今后美国政府同民间部门的合作的体系性和计划性将有所提升。如果民间领域的资源及力量能够得到合理发挥,那么今后美国的网络实力及网络安全状况都将得到进一步改善。

国际合作受冷落,网络空间国际形势不容乐观

“报告”中另外一个值得关注的焦点,是对国际合作的态度明显趋冷。

20世纪90年代初期以来,多个国家和国家组织寻求通过国际合作确保网络空间安全,并且形成了一些成果,如联合国大会第一委员会每年颁布题为《国际安全背景下电信与信息技术的发展》的文件,欧洲出台《打击网络犯罪公约》,上海合作组织发布“关于国际信息安全的声明”和“保障国际信息安全政府间合作协定”等。但与此形成鲜明对比的是,美国虽然参与了部分相关行动,如2006年批准了《网络空间犯罪公约》,但在网络空间国际合作问题上始终持模棱两可的态度,依然希望凭借自身在互联网领域所拥有的核心技术与资源,继续保持其在网络空间的绝对优势。

在全球网络安全形态不断恶化,大规模网络攻击事件、恶性网络犯罪时有发生的情况下,国际社会求同存异、增强合作的必要性日益凸显,美国的态度发生了转变。2008年以来,多位学者通过研究指出,美国应当转变立场,国际合作有利于网络空间安全的维护,也有利于美国的利益。奥巴马执政后,国际合作几乎成为美各类网络空间战略文件中不可或缺的“关键词”。2011年,白宫专门发布了《网络空间国际战略》文件,时任美国防部副部长林恩甚至呼吁,建立一个“在确保网络空间安全方面具有共同利益的国家间联盟”。 在2010和2015年的两期“报告”中,奥巴马政府多次提出要和其他国家加强网络安全合作,帮助他国改善网络安全情况,“和所有关键的参与者,包括各级政府机构、本国或国际行为体一道”共同应对网络安全问题,“在一系列事务上强化国际伙伴关系”,在问题出现时“做出有组织的联合反应”。

特朗普“美国第一”的单边主义理念也反映在其网络安全政策上

但从刚刚出台的新“报告”看,与其反多边主义、反自由主义的理念一脉相承,特朗普政府在网络空间也更多地要求其他国家履行责任,“网络合作”一词也仅仅出现在“第二支柱 促进美国繁荣”部分的“保证美国能源领域的支配地位”章节,指出美国将“同盟国和伙伴一道,共同保护全球能源基础设施免受网络和物理威胁”。网络空间作为全球化发展进程中的产物,将位于世界各个角落的主权国家、国际组织、私有企业及个人等各种行为体更为紧密的联系在一起。因此,网络空间问题绝不可能由单个国家来解决,国际合作是确保网络空间安全稳定的唯一途径。特朗普政策在网络空间国际合作上态度的明显倒退,显然将严重阻碍国际社会合作应对网络空间威胁的各种努力,网络空间安全形势不容乐观。

(作者系盘古智库研究员)

声明:本文来自澎湃新闻,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。