美国国土安全部正式发布了《网络安全战略》,将联邦政府赋予其的网络安全职能落在了实处,同时也巩固了其在特朗普政府网络安全架构中的位置。本文从战略文本的具体内容出发,结合国土安全部的网络安全职能,分析国土安全部在本届政府中的地位和作用,并初步研判其对中美关系与我国网络话语权建设等问题的影响。
《网络安全战略》的具体架构
2018 年 5 月 15 日, 美 国 国 土 安 全 部(Department of Homeland Security)发布了一项新战略,概述了该部门识别和管理国家网络安全风险的方法。国土安全部的《网络安全战略》(Cybersecurity Strategy)详细阐述了一套横跨该部所属各个系统的整体行动方案,以应对美国网络安全和关键基础设施安全方面不断变化的威胁。
本项战略的制定,是在 2017 年《国防授权法》的指导下完成的。根据该法案,本战略必须涉及战略架构、运作目标,以及优先事项等三方面内容,以成功履行国土安全部部长的全部网络安全职责。本战略的首要目的,是指导国土安全部在所有与网络安全相关的业务领域内的战略规划、方案编制、预算编制和业务活动等,使各项工作能够协调一致并形成明确的优先次序。此外,本战略还侧重于协调国土安全部与其他相关部门的网络安全活动,以确保整个国家网络安全工作的统一和高效。作为特朗普政府出台的第一份详尽的网络安全战略文本,我们有必要对其进行细致深入的解读,并重点评估国土安全部在美国网络安全架构中的地位和作用,及其对华影响。为了应对那些旨在影响国家关键部门稳定运作的网络安全威胁,国土安全部在《网络安全战略》中提出了五大“支柱”,构成了国土安全部内部的网络安全战略框架。在战略实施部分,国土安全部将五个方向的工作分为七项具体任务,并细化为 20 项具体政策和措施。其大致内容如下:1.1 风险识别该项工作主要是评估不断变化的国家网络安全风险态势,为风险管理活动提供信息并确定这些风险的高低程度。其总体任务是评估美国所面临的不断演变的网络安全风险,目的是要保证国土安全部对国家层面和系统性网络安全问题具备战略高度的认识,以便全面了解网络安全的脆弱性、相互依赖性,及其潜在的后果。1.2 减少脆弱性该项工作的重点是通过减少联邦机构的脆弱性来保护联邦政府的信息系统,以确保它们达到适当的网络安全水平。其主要任务包括:第一,保障联邦信息系统的安全。国土安全部通过帮助联邦机构改善组织治理、完善信息安全政策和监督机制,来提高联邦机构的网络安全水平;为联邦机构提供网络安全方面的技能支持、工具和服务等;国土安全部还要部署创新型的网络安全技能和实践方案,确保自身网络系统的安全。第二,保护关键基础设施。该项任务需要国土安全部与私营部门的利益攸关方合作,为其提供成熟的网络安全服务和介入机制,以助其应对重大风险;扩大和改进与基础设施运营者在网络威胁监测指标、防御措施和其他网络安全信息方面的共享;提高特定部门、监管机构和决策机构的网络安全能力和可用资源。1.3 减少威胁国土安全部通过打击跨国犯罪组织和各种网络罪犯,减少国家网络威胁,其主要目的就是预防和制止网络空间犯罪行为。为此,国土安全部将致力于打击金融和跨境网络犯罪,瓦解和击溃相关犯罪组织;防止、阻断和对抗网络安全对受保护人群、特殊安全事件和关键基础设施的威胁;与联邦、州、县、部落等地方执法机构建立良好合作关系和协同执法能力,以共同打击非法使用网络空间的行为;开发各种能力和资源,以强化调查工作和应对不断变化的执法挑战。1.4 减轻后果通过协调全社会的应急工作,有效应对网络事件,从而最大限度地减少潜在重大网络事件的后果。为了提高响应措施的有效性,国土安全部需增加自愿网络事件报告和受害者通告的数量,以便对其提供相应的援助;扩展联邦机构的网络事件响应能力,以减少其危害并妥善处置网络事件;加强各事故应对单位之间的合作,以确保整体响应工作的协调高效。1.5 实现网络安全该战略目标的完成,需要国土安全部支持有助于改进全球网络安全风险管理的政策和活动,以此加强网络生态系统的安全性和可靠性,并以综合和高效的方式开展各部门的网络安全工作。其主要任务有:第一,加强网络生态系统的安全性和可靠性。国土安全部有责任改善软件、硬件、服务和技术方面的网络安全状况,并建立更具复原力的网络;优先进行国土安全部资助下的网络安全研发和技术转移活动,以支持国土安全部任务目标的完成;扩大国际合作,推进国土安全部的战略目标,建设开放、可交互操作、安全和可靠的互联网;改进招聘、教育、培训和人才保留方面的工作,培养出世界级的网络工作团队。第二,完善国土安全部对网络安全活动的管理。首先,国土安全部要整合本部门内的网络安全政策制定和战略规划活动;其次,要评估其他部门的网络安全方案和活动的有效性。国土安全部《网络安全战略》的特点
在此次发布的《网络安全战略》中,详细阐述了到 2023 年之前国土安全部所需进行的一系列改良和促进措施,以减少美国所面临的全局性、系统性网络安全风险,提升集体网络防御能力。其中体现出一些值得注意的特征,主要有以下几点。
第一,强调国土安全部内部各部门之间,以及国土安全部与其他联邦机构、私营部门等在网络安全工作方面的整合与协调。本战略中提到,“为了确保各部门齐心协力,以协调一致的方式实现我们的网络安全目标和任务,国土安全部必须不断评估演化中的风险,并评估网络安全任务领域的优先事项。”“国土安全部还必须制定全部门的流程和政策,使各组成部分的方案和活动与这一战略、部门优先事项和网络安全领域的变化保持一致。”尤其是本战略中的第七个任务,即“完善国土安全部对网络安全活动的管理”,明确了国土安全部在网络安全事务方面要求“统一行动”的理念。事实上,其他六项任务中的每一个都涉及多个国土安全部部门,该机构需要所有这些部门共同努力,以确保其内部网络的安全。在本战略中,国土安全部还强调必须与政府和非政府的伙伴,如产业界等开展合作,这对关键基础设施的保护来说尤为重要。在此过程中,国土安全部需要与基础设施所有者和运营者结成伙伴关系,并为其提供网络安全风险评估,帮助其推进网络安全风险管理工作。国土安全部还将努力开发网络安全工具和服务,并将鼓励私营部门采用国家标准和技术研究所(NIST)关于改进关键基础设施网络安全的框架。 第二,提出了网络安全领域的新威胁,即物联网普及后带来的风险。根据本战略中的描述,目前美国国内的网络安全有一些新的潜在漏洞需要防御。除了传统的领域,如水利、电网以及金融部门之外,随着互联网终端设备和全球供应链的数量不断增长,这些领域也已经成为必须要保护的对象。报告中指出,到2020 年预计将有 200 多亿台设备连接到互联网上,不同技术之间连接的激增将带来巨大的风险。低成本的网络接入和日益强大的网络工具,正被各种各样的对手所利用,这正是造成网络系统广泛脆弱性的原因。第三,首次将保护网络生态系统提升到战略高度。网络生态系统,即信息技术基础设施,以及通过信息技术基础设施而相互连接的所有个人、数据、程序和信息通信技术等,包括影响这些基础设施和连接网络的环境和条件。早在 2011 年 3 月,国土安全部就发布了关于保护网络生态系统的白皮书,意在通过自动化、交互性的操作手段和认证系统来建立一个健康和有复原力的网络生态系统。在本战略中,建立一个更具弹性的网络生态系统将以整个国土安全部的行动力作为保证。该报告还强调,国土安全部必须支持那些高价值技术的研发和政策创新方面的工作,以此来确保网络生态系统的安全。因为商业领域的软硬件提供商和服务运营商缺乏管理供应链风险的能力,而信息技术供应链的全球化,包括将信息转移到云端等行为正在增加网络系统的弱点和风险。国土安全部在特朗普政府网络安全架构中的地位和作用
在特朗普总统的领导下,国土安全部的影响力和权限较之前两届政府都有所扩大。从加强边境安全、打击非法移民,到网络安全和基础设施保护等方面的政策,特朗普总统都交给这个最年轻的联邦部门来制定和执行,取代了奥巴马时期国务院的职能。就网络安全领域来说,国土安全部的作用也较之前有明显提升,并且在政策制定方面逐渐取代了国务院和国防部而成为新的主力。具体来说,国土安全部在特朗普政府中的地位和作用如下:
首先,国土安全部是联邦层面网络安全工作的“总指挥”。早在 2017 年 5 月签署的网络安全总统行政令中,就已经界定了国土安全部的网络安全职责。国土安全部负责指导各部门的评估工作和风险管理工作,以确保联邦网络的安全。虽然每个联邦部门和机构都有网络安全方面的部署,包括出台符合自身定位的网络安全战略,但在联邦层面,国土安全部负责统领这些部门的网络安全工作,并确保文职行政部门的基本安全水平。第二,国土安全部是网络安全防御体系的核心。作为该体系的核心,国土安全部的首要任务是保护联邦网络系统和关键基础设施的安全。值得注意的是,国土安全部不仅要确保各文职联邦机构和地方政府的网络安全,同样要确保信息技术企业、基础设施运营商等私营部门的网络安全,并为其提供相关指导和服务。尤其对于基础设施运营商来说,国土安全部不仅要确保网络基础设施的安全,了解和掌握基础设施的脆弱性,以及国家对这些基础设施的依赖性等,还要通过加强基础设施运营者对网络安全的重视程度,而成为其风险管理策略的核心参与者。第三,国土安全部是网络安全国际合作的牵头人。不难看出,《网络安全战略》将国际合作的内容嵌进了许多目标和进程之中,尤其是打击网络犯罪和推进国土安全部的国际战略方面。就打击网络犯罪来说,国土安全部主要是与其他利益攸关方合作打击跨国金融和网络犯罪行为,包括打击跨国网络犯罪组织等。此外,国土安全部为推行其国际战略,也强调国际合作,主要是与伙伴国一道构建以自由开放、可互操作和安全可靠为特点的互联网环境。第四,国土安全部是网络安全技术的研发者和安全标准的制定者。国土安全部维护网络安全的重要路径之一,就是提升网络安全技术,制定可推广的网络安全标准和实施细则。因此,国土安全部设有专门的网络安全研究机构,即网络安全司(Cyber Security Division,CSD) 来负责创建信息资源的标准、框架,以及部署信息安全工具和技术等工作,使国土安全的利益相关者之间能够无缝和安全地对接。此外,在 2017 年 12 月,克里斯珍•尼尔森(Kirstjen Nielsen)经参议院投票通过就任为国土安全部部长。在特朗普政府任职之前,她曾是乔治•华盛顿大学网络与国土安全中心复原力工作组的高级成员,并在世界经济论坛下设的全球风险报告咨询委员会任职。继白宫网络安全协调员和国土安全顾问离开之后,这一人事安排似乎说明特朗普政府并未放弃对网络安全议题的重视。对中国的影响
《网络安全战略》发布后,不难看出国土安全部已成为美国网络安全事务的领导部门,对联邦网络系统、关键基础设施的网络安全,地方政府、私营部门乃至个人的网络安全负责,并主导网络安全技术的研发和标准制定。而且,在国土安全部取代国务院成为网络政策领域的主导部门之后,奥巴马时期偏向自由、开放的网络空间议题将被搁置,安全议题将是美国网络政策的核心。对于中国来说,国土安全部在美国网络安全领域地位的提升主要有以下几点影响:
首先,国土安全部在中美网络安全对话中的参与程度和对议题的影响力不断提升。自2015 年 9 月中美开启首次网络安全高级别对话以来,国土安全部在其中扮演的角色从无到有,地位逐渐提升。而作为国土安全部进行国际合作的重要领域,打击网络犯罪自然成为我国与该部门进行合作对话的主要议题。目前中美四个对话机制中的执法与网络安全对话,美国方面就是由国土安全部与司法部领衔。其次,国土安全部对我国网络话语权构成较大压力。国土安全部对美国国内的网络安全技术研发和规则、标准的制定有重要的引领和主导作用,而这些领域的技术和标准又构成了美国在网络安全领域的话语权。对中国来说,网络安全技术仍处于“追赶期”,相关的研发投入和技术产出仍与美国有巨大差距。美国网络安全话语权的另一重要组成部分,即国际互联网环境的建构,目前也由国土安全部肩负。国土安全部在与我方合作的同时,也对我国的网络话语权造成了巨大压力。第三,网络问题安全化趋势可能进一步加剧中美之间其他领域的竞争。国土安全部取代国务院成为网络政策领域的主导力量后,不可避免地将造成许多网络安全问题的过度安全化。例如,网络安全问题的泛化将会阻滞中国商品在美国市场上的流通,尤其是一些网络终端设备和连接设备等。此外,过度安全化同样会阻碍我国在美投资的脚步,尤其是在如今中美经贸关系动荡的时期,安全化问题正是一个打击我国海外投资的有力抓手。在中美关系面临巨大转折的历史时期,中美两国在网络安全领域的分歧也可能因此散溢到其他领域,影响到双边关系中的诸多议题。国土安全部出台的《网络安全战略》不仅明确了该部门在美国网络安全体系中的地位,也对我国今后如何在该领域与美国继续交往合作,规避冲突和风险提供了研究素材。作者:王天禅, 上海市美国问题研究所研究实习员,主要研究方向为美国问题与中美关系。
(本文选自《信息安全与通信保密》2018年第八期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。