背景
2019年5月8日,根据《2019财年国防授权法案》授权,美国政府宣布成立“网络空间日光浴室委员会”(Cyberspace Solarium Commission,CSC)的两党制机构,该委员会以艾森豪威尔时代的“日光浴项目”(因为参与者在白宫的日光浴室里开会)为蓝本,旨在评估美国在网络空间面临的威胁,并就如何防范网络威胁提供战略指导和政策建议。该机构由14名既具有网络安全背景又了解国家安全的官员组成,分别是:国家情报总监首席副总监、国土安全部副部长、国防部副部长、联邦调查局局长,参议院多数党任命的三名成员、参议院少数党领袖任命的两名成员、众议院院长任命的三名成员、众议院少数党领袖任命的两名成员。委员会的目的旨在联合美国各部门形成一个具有共识的战略路径,以防御重大网络攻击。
艾森豪威尔总统在白宫日光浴室烹饪鹌鹑
委员会的职责主要有:
1、 衡量保护美国网络安全各种战略选项的成本和收益,包括美国的政治制度、美国的国家安全工业部门以及美国创新基地的保护举措。评估的选项包括威慑、基于规则的制度以及通过持续接触来主动瓦解对手的攻击。
2、 评估执行这些选项的最佳方法,以及美国应该如何在国家战略中纳入和执行这些选项。
3、 审视并决定美国应该寻求建立什么样的基于规则的机制?美国应该怎样执行这些规则?美国在执行威慑或持续接触战略中愿意承担多少损害?在威慑和持续接触战略中,需要回应哪些攻击?以及美国应该如何更好地执行这些战略?
4、 评估对手的战略和意图,当前防御美国的项目,以及美国联邦政府是否具有了解对手在网络空间的目标和野心及其如何被阻止或阻扰的能力。
5、 评估当前涉及网络空间、网络安全以及关于扰乱、击败和防御网络攻击的网络战等相关国家网络政策的有效性。
6、 考虑联邦政府内部可能需要建立、修订或扩充的结构和权限。
3月11日,美国网络空间日光浴委员会发布预热许久的总报告,提出了一个应对网络安全的新的战略路径:分层网络威慑(layered cyber deterrence)。分层网络威慑主要包括三种战略手段(即三项威慑层),即(1)塑造行为(Shape bebavior)。美国政府必须与盟友和合作伙伴合作推动网络空间的负责任行为。(2)获益拒止(Deny benefits)。美国政府必须对那些长期利用网络空间实施较低成本的网络攻击以获取自身优势,而扩大美国劣势的对手实施获益拒止。这种新方法需要联合私营企业保护关键基础设施,发展国家韧性,提高网络生态的安全。(3)施加成本(Impose costs)。美国必须保持相应的能力、职能和信誉反制利用(或在)网络空间攻击美国的对手。三种战略手段由六项政策支柱以及超过75条政策建议支撑,主要通过调整对手攻击美国的成本收益预期,保护美国公共和私营部门安全。
报告指出,分层网络威慑区别于以往威慑战略的两大关键因素是:第一,该战略主要是实施拒止式威慑(deterrence by denial),特别是通过加强韧性和公私合作的方式来提高网络空间的防御和安全,并减少对手可以利用的漏洞,来阻止它们在网络空间攻击美国利益。第二,该战略融合了“向前防御”(defend forward)的概念,以减少那些不会触发全面报复行动(包括军事行动)的网络攻击行为的频率和严重性。虽然“向前防御”最早源于国防部,但是委员会将其整合进国家战略中,以“集所有力量”来保护网络空间。向前防御理念要求美国必须主动发现、追求和反制对手的低于武装冲突阈值下的行动,并施加代价。报告特别提出中国“窃取知识产权”和俄罗斯“干预选举”均是美国面临的典型的低于武装阈值的网络攻击,对此中俄应是美国实施分层网络威慑的主要对象。
报告主要聚焦于美国内改革。报告认为,分层网络威慑主要基于一个共同的基础:即改革美国政府保护网络空间、应对网络攻击的组织。美国政府目前并未按照网络空间国家防御所需的速度和敏捷度来设计,既有的政府结构和司法管辖边界影响到网络政策制定进程,限制了政府行动的机会,阻碍了网络行动。对此,报告认为所有级别的政府均需要迅速和全面的改革。此外,报告也重申了奥巴马时期的网络外交,要求在国务院网络空间安全和新兴技术局下设立助理国务卿,声称“美国领导之下才能产生有效的规则”,并要求美国联合合作伙伴和盟友建立一个联盟保护其在网络空间共同的利益和价值观。
总的来看,这是特朗普上台以来美国政府提出的最具综合性和系统性的跨部门提议,反映了美国内网络安全工作的现状和转型趋势,其中关于“向前防御”、“拒止式威慑”等战略举措已在实施,必将对全球网络空间带来重大改变。
报告概要全文如下:
声明:本文来自网安布谷鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。