一、明确界定网络安全的相关概念
美国政府加强网络安全工作,首先从理清网络安全的内涵外延等基本概念着手。美国国家安全委员会制定发布了2015版《美国国家安全系统委员会词汇表》(下简称CNSSI-4009),美国国家标准和技术研究院制定发布2013版《关键信息安全术语词汇表》(NISTIR 7298, 2018版正在修订中),明确界定了网络安全的相关概念。当前,美国政府对诸如“网络安全”“网络空间”“网络事件”等概念已形成统一认识,美国国家安全委员会、美国国土安全部和美国国家标准和技术研究院均使用相同定义,主要取材于2008年1月8日布什总统颁布的54号国家安全总统令,也称23号国土安全总统令《网络安全政策》(NSPD-54/HSPD-23)相关定义,以及2016年7月26日奥巴马总统签发的41号总统政策令《美国网络事件协调》(PPD-41)。
依据CNSSI-4009的基本定义,网络安全(Cybersecurity)是对计算机,电信系统,电信服务,有线通信和电子通信的预防破坏、保护和恢复,包括其中包含的信息,以确保其可用性,完整性,认证性,机密性和不可否认性。其外延是,指关于网络空间安全和运维的战略,政策和标准,包括全面减少威胁,减少漏洞,网络威慑,国际参与,事件响应,弹性和恢复的政策与活动,具体涵盖计算机网络运营,信息保障,执法,外交,军事和情报任务等, 涉及全球信息和通信基础设施的安全性和稳定性。
网络空间(Cyberspace),是指由独立且互相依存的信息基础设施和网络组成,包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统。
网络事件(Cyber Incident),是发生在计算机网络或通过计算机网络进行的事件,已经或即将危害计算机、信息、通信系统或网络,以及由计算机或信息系统控制的物理或虚拟信息基础设施,及其信息的完整性,机密性或可用性,包括信息系统中的漏洞,系统安全程序,内部控制或威胁源可能利用的实施。
综上,美国政府所指的“网络安全”,更准确的概念是“网络空间安全”。美国政府认为,网络空间及其底层基础设施容易受到物理和网络威胁和危害的各种风险的影响。鉴于网络事件的风险和潜在后果,加强网络空间的安全性和弹性已成为重要的国土安全任务。
二、较早制定颁布涉及网络安全政策和法规
计算机、互联网源于美国,并且在美国等西方国家快速发展,促进了美国政府加强包括互联网在内的电信政策法律法规的制定与完善。随着信息技术的发展,美国政府为加强管理,相继颁布了涵盖电信、计算机和互联网管理的多项政策和法规,包括行业准入规则、电话通信规则、数据保护规则、消费者保护规则、版权保护规则等等,如1979年53号总统令《国家安全通信政策》、1982年12356号总统行政令《国家信息安全》、1984年145号总统决策令《远程通信和自动化信息系统安全国家政策》、1988年314号总统决策令《国家安全信息与态势管理系统》,1995年12958号总统行政令《国家安全信息保密》,以及1966年《信息自由法》、1974年《隐私法》、1977年《联邦计算机系统保护法》、1984年《伪装进入设施和计算机欺诈及滥用法》、1986年《电子通信隐私法》、1986年《计算机欺诈和滥用法》、1987年《计算机安全法》、1990年《电子通信秘密法》等。
三、逐步制定完善国家网络安全战略
美国国家网络安全战略的形成,是一个逐步从“政策”、“计划”,不断调整完善,并上升为国家战略的过程。美国国家网络安全战略发展演变如表1所示。
▲表1 美国国家网络安全战略发展演变
1.萌芽期。考察从1987年至2000年期间发布的美国国家安全战略(National Security Strategy,下简称NSS)文本中有关“互联网(Internet)”“网络(Cyber)”“基础设施(Infrastructure)”等内容,从1995年版NSS开始出现有关“改进信息网络和关键基础设施,提升美国的国家竞争力”的表述。1996年、1997年版NSS仅在国家安全应急准备内容中对“保护机构和国家基础设施”有相同论述。1998年版NSS,开始出现“网络犯罪(Cyber Crime)、网络攻击(Cyber Attack)”等内容,首次将网络犯罪界定为针对美国的跨国威胁,提出了“保护关键基础设施是该战略的基本要素”、“需要构建政府与企业间新型伙伴关系”。直至2000年版NSS,首次在应对国内外威胁和危机章节中,将“信息/网络安全威胁”“破坏美国关键基础设施的能力”列为美国面临的5项威胁其中2项,首次将网络安全纳入国家安全战略框架,正式成为国家安全战略的重要组成部分,标志着网络安全开始具有独立的地位,初步形成了美国网络安全战略。国家行政层面,克林顿总统1996年5月签发 13010 号行政令《关键基础设施防护》(E.O. 13010),成立了总统关键基础设施保护委员会;1998年5月签发 63 号总统决策令《关键基础设施防护白皮书》(PDD 63),首次提出“信息安全”概念。2000年4月美国白宫发布《保护美国的网络空间:国家信息系统保护计划1.0版》(Defending America’s Cyberspace——National Plan for Information Systems Protection Version 1.0),这是美国政府颁布维护网络安全的第一份纲领性文件。
▲图1 克林顿政府《保护美国的网络空间:国家信息系统保护计划1.0版》
2.形成期。小布什时期发布的2002年版和2006年版NSS,都没有专门强调网络安全的内容,而是发布总统行政令和独立的系列网络安全战略。2001年10月,“9·11”事件后,布什总统签发 13228号行政令(E.O. 13228),成立国土安全办公室和委员会;同月签发13231号行政令(E.O. 13231),成立全面负责网络安全的总统关键基础设施保护委员会(PCIPB),其职责之一便是“信息系统安全事件协调与危机响应”。2003 年 2月,美国白宫发布《确保网络空间安全国家战略》(The National Strategy to Secure Cyberspace)和《重要基础设施和关键资产物理防护国家战略》(National Strategy for the Physical Protection of Critical Infrastructures and Key Assets),其中将“建立国家网络安全应急体系”作为首要目标。2003年12 月发布7 号国土安全总统令(HSPD-7) 进一步明确,由国土安全部全面负责包括网络基础设施在内的关键基础设施保护。根据战略要求;2004年12月联邦应急管理署发布了《国家应急响应计划》(National Response Plan),其《网络安全事件》附件建立了各级政府和私营部门的应急协调框架。2007 年,美国政府发布了有着信息安全领域“曼哈顿计划”之称的《国家网络安全综合计划》(Comprehensive National Cybersecurity Initiative),部署了 12 项重点工程,被以国家安全的原因列为高度机密。2008 年 1月,布什总统将该计划写入 54 号国家安全总统令/23号国土安全总统令(NSPD54/HSPD23),上升为强制性的政府命令。
▲图2 布什政府《确保网络空间安全国家战略》
3.成熟期。这一时期,相继发布了2010版和2015版国家安全战略报告(NSS),均用专门章节论述确保网络空间安全。在行政层面,2008年4月,布什总统发布了《提交第44届总统的保护网络空间安全的报告》,建议美国下一届政府如何加强网络空间安全。2009年2月,奥巴马政府发布了《网络空间政策评估》报告,设立了网络安全协调官职位(Cybersecurity Coordinator),负责全国网络安全事件的协调,将“数字基础设施将被视为国家战略资产,保护这一基础设施将成为国家安全的优先事项”。
▲图3 奥巴马政府《网络空间政策评估》和《网络空间国际战略》
2011年5月发布《网络空间国际战略》。2013年2月12日,奥巴马签发21号总统政策令《关键基础设施安全与恢复力》(PPD-21),2月19日签发13636号行政令《增强关键基础设施网络安全》(E.O. 13636),明确指出该政策作用为提升国家关键基础设施并维护环境安全与恢复能力。2016年7月,签发41号总统政策令《美国网络事件协调》(PPD-41:United States Cyber Incident Coordination)。在立法层面,2014年12月颁布《国家网络安全保护法》(National Cybersecurity Protection Act of 2014),和《联邦信息安全现代化法》(Federal Information Security Modernization Act of 2014 ),2015年12月颁布《网络安全信息共享法》(The Cybersecurity Information Sharing Act of 2015)等。在制度层面,2010 年 9 月,通过出台《国家网络安全应急预案》(草案)(National Cyber Incident Response Plan,Interim Version),建立了全面的应急管理行动框架,2016 年 12 月,出台了正式的《国家网络安全应急预案》(National Cyber Incident Response Plan)。至此,基本构建了美国网络安全战略政策、法律和制度体系。
4.发展期。2017年1月,特朗普政府执政后,陆续签发了有关网络安全的总统令,如2017年5月13800号总统行政令《增强联邦政府网络与关键基础设施网络安全》(E.O. 13800),提出将全面加强网络安全建设;2018年5月签发13833号总统行政令《提高机构首席信息官效率》(E.O. 13833),2019年5月签发13870号总统行政令《网络安全人才》(E.O. 13870),同月签发13873号总统行政令《确保信息与通信技术以及服务供应链安全》(E.O. 13873)。特别是2017年12月发布的国家安全战略,通篇46次出现“网络(Cyber)”一词,超出以往同类文件,已经将网络安全上升为国家安全的核心利益。2018年11月通过《网络安全和基础设施安全局法》(Cybersecurity and Infrastructure Security Agency Act of 2018),在国土安全部内部组建新的职能机构统一负责网络安全相关事宜。2018年5月,美国国土安全部代表美国政府发布了《网络安全战略》(Cybersecurity Strategy),阐述了5项支柱,7项目标;9月20日,特朗普政府公布了美国《国家网络战略》(National Cyber Strategy,NCS),这是自2003年以来首份完整阐述美国国家网络战略的顶层战略,阐述了美国网络安全的4项支柱,10项重点任务和42项优先行动,体现了特朗普政府在治理网络安全上的新思路,标志着新一届美国政府已完成网络安全战略制定工作。(曾东)
▲图4 特朗普政府《美国国家网络战略》
声明:本文来自聚戎智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。