特朗普政府的《国家网络战略》主要是基于“国家安全战略”的四大核心目标提出的美国在网络空间的行动计划,承袭了美国政府在网络空间一以贯之的基本理念,同时重新排定了美国在网络空间目标的优先秩序,强调安全因素,特别是强化威慑,特朗普政府“进攻优先”的网络战略基本成型,这对现实国际关系、全球经贸以及美国自身都将带来极大影响,中美网络关系也将面临新的挑战。对此,我国要充分了解和掌握美国在网络空间的核心关切,坚定战略定力,加快能力建设,妥善应对美国在网络空间对我提出的挑战。
《战略》主要内容
2018 年 9 月 20 日,美国政府发布公众期待已久的《国家网络战略》(National Cyber Strategy),以下简称《战略》,在特朗普上台以来 18 个月网络安全工作的基础上,为美国未来网络发展和安全奠定了基调。《战略》既延续了美国政府治网的基本理念,又体现特朗普总统鲜明的个人风格,对此进行深入分析和评论对我们把握美国网络空间发展动向,妥善处理中美两国网络事务,推进全球网络治理具有重要意义。
《战略》主要是将 2017 年底颁布的“国家安全战略”映射至网络空间,从美国国家安全“四大核心国家利益”,即保卫美国国土安全、美国人民和美国的生活方式,促进美国繁荣,以实力求和平,提升美国影响力四个方面提出特朗普政府推进网络发展、维护网络安全的四大核心支柱、十项重点任务和 42 项优先行动。“保护美国人民、国土及美国人的生活方式”,充分体现在网络空间中“美国优先”的利益诉求《战略》将国家网络与信息安全作为主要目的,针对美国政府面临的最迫切网络安全问题以三大重点、十八项任务做出相应安排:一是对联邦政府网络和信息的保护,通过五项任务要求明确责任机构,建立问责机制,确立工作标准,强化制度落实和推动实践创新等。二是对关键基础设施的保护,通过八项任务对全社会高度依赖,关系国计民生的基础信息网络进行系统的安全加固。三是对网络犯罪行为的打击,通过完善措施制度,加强相关立法,强化执法、起诉,实施跨国抓捕和开展国际合作等五项任务,将过去美国打击网络犯罪行为的要求从书面落实到实处,从国内延伸到国际。“促进美国的繁荣”,力求抓住互联网提供的机遇“使美国再次强大”《战略》第二部分致力于网络发展,通过三大重点和十三项任务充分利用网络技术发展机遇,保持美国科技上的领先优势,为美国谋取更大的综合实力,三大重点即三个抓手:①抓数字经济。六项具体措施包括激励灵活安全的技术市场,减少政策限制以鼓励创新,加大对下一代网络技术的投入,促进跨境数据流动,维持美国新兴技术领域的优势地位,为新技术发展提供相应的安全保障,以期为数字经济的蓬勃发展提供宽松的政策环境、强劲的技术支撑和扫除内外障碍。②抓创新能力。《战略》将“增强和保护美国的发明和创新”作为维护其在网络空间战略优势的关键,三项优先举措是加强对外国投资的安全审查,加强对知识产权的保护,加强对窃取商业机密和知识产权行为的打击。③抓人才队伍。《战略》将网络安全人才视为国家安全的战略优势,为吸引全球最为优秀的专业人才为美国服务,《战略》提出四项具体举措 : ①广开渠道在国际市场上吸引和抢夺人才;②加强职业技能培训,促进岗位成才;③继续推进“国家网络安全教育计划(NICE)”为政府培养专业人才;④突出奖励优秀的教育者和专业人才。“以实力求和平”,强化威慑维护网络空间的秩序《战略》第三部分是利用美国在网络空间的领先优势和实力,通过识别、反击、破坏、降级和制止网络空间破坏稳定和危害国家利益的行为,具体方式主要是推动“建章立制”和打击“违规犯罪”。首先是给世界建立规则,推动“负责任的国家行为规范”来维护网络空间的稳定,美国意图在更大范围内维护由美国主导的既定网络治理规则。其次是对网络空间不可接受的行为进行威慑,《战略》将美国历届政府探讨和尝试的威慑理念进一步具体化,通过情报领先,打击紧随,对网络空间冒犯行为实施反制和回击,并力图通过国际合作推进网络威慑倡议;同时采用点名、披露等政治和外交手段对“网络不良行为”进行综合反制。可以看出,这里的“实力”既包括塑造规则的“软实力”,也包括实施威慑的“硬实力”,但根据特朗普执政以来的行为来看,更强调使用“硬威慑”来维护网络空间的秩序。“扩大美国影响力”,固化美国在国际网络治理中的全球领导力《战略》第四部分明确以维持互联网的开放、互通、安全和可靠为口号,强化美国的价值观,扩大影响力,巩固领导力。为此,一方面,美国明示要将开放、互通、安全、可靠作为互联网的基本原则,并促其成为国际公认的标准。对此,将采取五项举措:①以自由网络联盟等平台,推进所谓互联网自由的价值观;②以技术、培训、政策等多种方式推进美国价值观的全球传播;③维护并推广其主导的多方治理模式;④在网络基础平台上推广对美有利的技术标准;⑤促进和维护美国在世界范围内的创新市场。另一方面,强调要建设国际化的网络管控能力,直言不讳地指出美国要通过加强盟友关系和合作伙伴计划,尽快建立起能充分利用各种资源、技术、能力应对当前威胁的网络安全协调、管理和控制的能力,其实质就是维护美国在网络空间治理上的全球话语权和领导力。《战略》基本特点
虽然特朗普在《战略》序言中表示“ 这是十五年来第一份最为清晰完整的网络安全战略”,但是在主要内容上仍继承了前任政府的部分治网“遗产”,体现美国网络安全“一脉相承”的延续性;同时《战略》在行文风格、政策重点等方面与历任美国政府确实有着明显的不同,凸显特朗普的执政风格。
承继性明显,体现美国政府治网的延续性《战略》是一部集互联网“安全”与“发展”于一体的综合性指导文件,囊括了美国政府在网络空间一以贯之的战略重点,如始终围绕关键基础设施保护为中心,强调政府部门和私营部门合作的治网方式,维护多利益攸关方治理模式,加强与志同道合的国家合作以及人才的培养等。《战略》特别继承了奥巴马政府后期治网的特点,如保护联邦政府网络安全,更新升级政府 IT 设施,推进政府部门之间的网络安全共享,阻止网络空间的恶意行为者,提高网络事件响应能力等,因此美国国内观察人士也称《战略》为 2016 年颁布的《网络安全国家行动计划》(CNAP)的翻版。重点突出,重新排定网络空间目标的优先秩序特 朗 普 政 府 执 政 任 期 经 历 了“ 通 俄门”“Wannacry 病毒”等重大网络安全事件,美国国内关于“网络安全超过恐怖主义成为美最大威胁”的声音越来越大 ,担忧“9.11”后美国再次面临本土遭受攻击,因此特朗普在网络安全总体目标上调整优先次序,在奥巴马政府一以贯之强调的维持网络空间“繁荣”“安全”“开放”三大目标的基础上,《战略》直接将“国家安全战略”的四大目标延续至网络空间,提出在网络空间“保护美国民众、国土及美国人生活方式”“促进美国的繁荣”“以实力求和平”“扩大美国影响力”四大支柱。这是美国政府首次在战略中提出在网络空间维护美国国土和人民的安全,将“安全”置于“繁荣”之上,“以实力求和平”置于“扩大影响力”之上,突出“安全”因素在总体目标中的优先性。此外,有别于奥巴马政府网络战略将美国与其他国家一道塑造为共同应对网络恶意行为的“同盟者”,特朗普政府则是将互联网视作与战略竞争对手竞相争夺的战场,点名俄罗斯、中国、伊朗和朝鲜,并将《战略》塑造为新战略竞争时代应对网络威胁的“工具箱”,凸显特朗普整体的战略倾向。直面挑战,紧扣美国当前网络安全的当务之急《战略》着力解决美国当前面临的突出网络安全挑战和问题,反映了特朗普的问题意识:①选举安全。“通俄门”的调查贯穿特朗普的上台始终,防止网络政治干预,确保选举安全成为美国国会(特别是民主党议员)施压特朗普政府的重要口实,随着中期选举临近,越来越多调查报告揭露美国各州和地方选举系统漏洞未补,设施陈旧,确保选举安全成为特朗普政府网络安全的首要议题。对此,《战略》明确为州和地方政府提供选举安全的技术帮助、培训和演练、增进情报共享;集中所有权利工具打击网络信息行动以及互联网虚假信息。②供应链安全。近月来,美国国内政府官员和行业专家对美国的供应链安全表示出普遍的焦虑,渲染美国应对供应链安全机制缺失,担心外国网络对手利用技术供应链植入间谍工具,对此,国会施压、智库献策、学术探讨,改善联邦政府供应链安全成为美国网络治理的重点。《战略》回应了美国国内的这类担忧,明确要求改进联邦供应链的风险管理,将供应链风险管理整合到机构的采购和风险管理中去,使用联邦政府购买力来促进向更安全的供应链发展;特别提出加强联邦政府承包商的网络安全,特别是对国防工业基础相关的承包商进行审查,引导信息和通信技术(ICT)供应商建立安全的技术供应链。此外,《战略》还指出将确保交通和海上运输安全,保护太空网络信息安全,均体现了很强的现实性和时代感。③执法不严问题。由于法律的限制,美国在跨境打击海外犯罪实体、破解加密应用获取证据、应对新兴技术安全问题上面临阻碍。特朗普意图通过《战略》为网络执法装上“牙齿”,一方面,在国内更新“电子监控和计算机犯罪法”,破除执法部门在国内收集犯罪证据的障碍,特别要求私营行业配合执法部门合作应对加密技术带来的挑战,这主要是为了防止“苹果与 FBI 对峙”的情况再次出现;在国外则赋予执法部门有效的法律工具,以调查和起诉跨境犯罪,并辅以外交合作加强对海外犯罪分子的抓捕,上半年颁布的用以跨境调取网络数据的《澄清海外合法使用数据法案》(Cloud 法案)就是美国加强“长臂管辖”的集中体现。强化威慑,对危害美国利益的网络攻击行为实施重手反击特朗普政府成功发展并推动了奥巴马政府后期形成的网络威慑政策的落地,主要体现在:首先是保持持续高调的政策宣示。威慑成功的关键是信号的传递,因此《战略》再次强调将利用外交、军事、财政、情报、公开归因和执法能力等所有的国家权力工具来防止针对美国的恶意网络活动。在某种程度上,这种将威慑声明纳入国家战略本身就是威慑的具体步骤之一。其次是采取实际行动予以还击。威慑的手段主要包括“惩罚”和“拒止”,《战略》肯定了特朗普执政 18 个月所采取的工作,包括制裁恶意网络行为者,起诉网络犯罪人员,进行公开归因和公布网络犯罪细节,展示特朗普推行网络威慑的决心。第三是积极构建网络威慑联盟。扩大同盟有利于提高威慑的实效,《战略》声明将启动一项国际网络威慑倡议,以联合志同道合的国家,协调对重大恶意网络事件的回应,包括通过情报共享、支持归因声明与回应行动,以及联合对恶意行为者施加“后果”措施。可以看出,美网络威慑已经进一步强化,理论与实践的结合更加紧密,强化威慑也成为特朗普政府区别于历任政府最重要的特点,凸显特朗普的强权意识。可操作性强,细分目标明确职责管理风险诚如美国政府问责局(GAO)在《战略》公布前发布的“网络安全审计报告”所言①,美国既有的网安战略往往缺乏可执行的措施与目标,缺少实施所需的资源与可衡量的结果,且没有明确的责任机构。此次《战略》至少在文本上修正了此类战略的“通病”,特朗普政府在《战略》中清楚表明,网络安全需要技术手段与行政效率相结合,致力于“以结果为导向”,提高网络安全工作的效率。①细分目标。《战略》不作过多的意义解释与价值观阐述,而是更多地介绍具有可操作性的具体措施,如在“保护美国民众、国土及美国人的生活方式”方面的具体目标是“管控网络安全风险,提升国家信息与信息系统的安全与韧性”,重点是保护互联网、设备、功能和数据;“促进美国的繁荣”方面的目标是“维护美国在科技生态系统和网络空间发展中的影响力”,重点是培育安全繁荣的数字经济。可以看出,特朗普政府已将“战略蓝图”直接转变成“行动指南”。②明确职责。《战略》在第 13800 号总统行政令的基础上进一步深化联邦机构网络安全的集中管理和部门问责:在部门层面,要求各部门首席信息官(CIOs)负责协调网络安全的风险管理、IT 预算和采购;在联邦层面,授予国土安全部访问各机构(国防部和情报部门除外)的信息系统的权力,并可直接采取行动保护网络安全,明确国土安全部在美国网络安全中统筹协调的作用,这种集中管理的组织架构便于决策者更有效地分配资源、制定政策以及实施问责。③落实风险管理。基于特朗普务实的执政风格与网络空间自身的特点,《战略》强调在网络安全中采取基于风险及成本效益的方法,包括优化公私部门的职能划分,优先确定在七个关键领域开展风险消控活动,将企业的风险管理方法引入政府,在联邦政府内推行云共享等安全解决方案,这体现了特朗普政府对于网络安全的认知变化,改变了奥巴马政府时期过于笼统与“一把抓”的特点。《战略》影响评估
对这份尘埃落定的《战略》进行观察和分析,要从美国国家总体战略和特朗普执政理念,以及当前大国关系、现代技术进步和网络发展等方面综合研判。
从网络空间看,标志着特朗普政府“进攻优先”网络安全战略成型,国际网络治理中的摩擦和冲突将成为新常态除《战略》之外,特朗普还在近期相继发布《国家安全总统备忘录 13》NSPM13)与国防部新版《网络战略》(Cyber Strategy),前者有意破除奥巴马政府设定的关于军方发动进攻性网络行动的官僚程序,后者提出“向前威慑”,针对恶意网络行动实施“源头打击”和“先发制人”。三份文件的颁布标志着美国的网络安全战略从过去几十年美国政府在网络行动上一以贯之的“谨慎克制、防御为主”开始转变为“进攻优先” ,以“先发制人”“向前威慑”“主动进攻”为主要特征的特氏治网理念逐步成型。美国网络安全战略理念转变将给全球网络空间带来直接冲击,①针对网络事件的口水战、网络攻击的摩擦将会越来越多。目前,在特朗普声称美国要在网络空间更加主动后,“以黑客手段回击网络攻击”的支持声音在美国国内开始抬头②,这将加速网络空间的军事化和安全化,加剧全球网络空间的“丛林状态”。②多边和多方的治理争议会更加激烈,在美国的强力推动下,多方将会占据上风;③美国的跨境起诉和执法将会引发司法方面的风险纠纷;④网络事务还可能会引起国家间的制裁和反制裁,影响现实大国关系。从国际关系上看,网络议题在美国的大国外交和国际事务中的重要性将会更加突出日新月异的科技发展使得网络空间早已远远超过传统的地缘和主权范畴,未来社会将会是一个高度网络化、信息化和智能化的社会,这已经成为世界共识,所以网络的发展与安全问题也已经从过去的技术问题上升到国家或国际事务的重要关切。美国一直以来以互联网的发明国自居,并自诩提供了国际网络规则、组织等“公共产品”,因此要求在互联网的治理中体现美国的意志。在特朗普政府时期,虽然其不顾反对关闭国务院“网际事务协调办公室”,取消“网络事务协调员”的职位,质疑联合国政府专家小组(UNGGE)在网络协调上的作用,但与此同时,美国在与日本、以色列等国的双边网络安全合作谈判取得进展,在《战略》中强调帮助伙伴国建立网络安全能力,成立“网络联盟”,遵从《布达佩斯网络犯罪公约》等国际多边机制,推广网络空间准则与协议,体现特朗普对于国际多边机制的选择性与功利性。此外,《战略》还强调“美国的繁荣与安全依赖于美国如何应对网络空间中的机会与挑战”,美国副总统彭斯在美国国土安全部组织的首届网络安全峰会上声称,“美国将在数字世界中占主导地位,就像我们在物理世界中占主导地位一样”。由此可见,特朗普政府在维护网络空间领先地位的意图上与奥巴马政府是完全一致的,即凭借其在核心技术、关键运用和网络管理经验上的优势和先机,积极利用各种平台和手段推广由它主导的网络发展原则、网络行为规范和国际治理准则,只是采取不同的方式方法。从这个意义上讲,在美国未来的大国关系和外交事务中,网络议题将会成为其重要的外交工具、议题和手段。从美国国内事务来看,以基础创新为支撑的网络发展和信息安全会成为美国经济增长的新领域与新动力无论是从维护网络安全还是推进网络发展,《战略》的相关安排都紧扣美国国内的现实需求,特别是为科技创新和产业发展提供许多具体的保证,如对数字经济的政策激励,对于科教人才的重视,对知识产权的保护,以及对美国经济利益的关切都体现了特朗普政府希望借助网络重振美国经济,“让美国再次伟大”的意图。因此,《战略》一出台也受到科技界与产业界的广泛认可,在一定程度上缓解特朗普政府与科技界的紧张关系。此外,《战略》还强调改善数字基础设施,包括采取措施改善带宽和宽带连接,提前布局下一代基础设施建设,投资5G、人工智能、量子计算等科技领域,这些措施将极大地释放美国的经济潜力,促进美国经济的持续增长。从全球经贸来看,数字贸易将会成为国际贸易竞争中的重要战场作为信息通信技术和国际贸易融合发展的一个新事物,数字贸易发展迅猛,在美国经济中的比重与日俱增,数字贸易加速经济数字化的进程,是网络数字化的一个强劲引擎。数字贸易的前提是网络必须跨国互联,数据必须跨境流动。近年来,各主权国家网络政策的差异,导致针对数字贸易的规则一直争议不断,成为国际贸易谈判的新焦点。美国一直保持数字贸易的领先优势,因此《战略》也充分体现美国主导全球数字贸易规则体系的意图,如保护开放自由的互联网发展,尽力应对国际上设置数字贸易的壁垒,明确规定以贸易手段推动跨境数据谈判,以在数字贸易中占据主动。在可预见的未来,无论是国内发展还是国际贸易,美国都将高度关注并极力维护其数字贸易的发展和利益。从科技创新领域来看,美国对外商投资控制和管理,尤其是对企业并购行为的管控力度会进一步加大《战略》明确要求更新审查外国在美国投资和运营的机制,直接将近两年来美国国内改革外商投资的举动上升到战略高度。特朗普执政以来加强对外商投资的管控力度,特别是针对新兴技术领域内的并购行为,先后叫停新加坡芯片生产商博通公司收购美国高通,蚂蚁金服收购全球第二大收款服务公司速汇金,中国私人资本Canyon Bridge对莱迪思半导体的收购,还将《外国投资风险审查现代化法案》(FIRRMA)作为“2019 财年国防授权法案”的附加条款,正式上升为法律。该法案针对外国投资特别强化国家安全审查制度,赋予美国外国投资委员会(CFIUS)更大权力,对可能影响美国国家安全的外资交易进行更加严格的审查,新纳入关键技术与关键基础设施企业的“非主动投资”与“少数股权投资”,以及涉及知识产权与关键技术转让的合资行为,特别增加对维持和增强美国领先优势的“新兴技术”和“基础技术”的审核力度。可以预见,随着《战略》在下一代网络基础设施的布局,我国将在 5G、人工智能、量子计算等新兴技术发展上面临更多来自美国的限制。对我国的启示
不必讳言,特朗普执政以来,美国政府对中国的发展和中美关系前景都出现明显的战略误判,从去年底的《国家安全战略》到今年初的《国防战略报告》以及近期特朗普在联大的发言,彭斯的公开演讲,这些都给四十多年来稳定发展的中美关系带来极不和谐的杂音,这些战略动向必将从经贸领域向网络空间在内的其他领域外溢和延伸,这就要求我们要高度重视中美关系间的网络因素。
高度重视美国对我国信息化发展的认知偏差经过十几年的努力,我国信息化发展取得举世瞩目的成绩,成为名副其实的网络大国,并加速向网络强国迈进,这与中央正确的决策与领导、产业界及广大人民的努力奋斗以及全球化进程分不开。中美都把网络空间看作未来世界发展的主流方向,经济繁荣的新引擎,社会发展的新阶段,文化兴旺的新阵地,是两国力争必保的领域。在这样的情况下,美国对我国的防范加剧,焦虑加深,误解加重,错误地认为中国的信息化发展是“搭便车” “占便宜”的结果,对我国的网络强国计划、“中国制造2025”以及在信息化方面推进的一系列举措颇有微词,并横加指责。我们一定要清楚地看到美国的这种战略误判,有针对性地增信释疑。充分了解和掌握美国在网络空间的核心关切从特朗普执政 18 个月的施政重点以及此次颁布的《战略》来看,特朗普政府在网络空间的核心关切主要有:知识产权、信息的自由流动、治理规则和影响力、政治干预等。特朗普政府认为知识产权与美国的核心利益密切相关,并一直诬蔑我国窃取美国的知识产权;信息的自由流动直接影响贸易开展,美方认为我国针对外企实施本地化要求、隐私保护、信息内容审查、数据存储与限制是设置数字贸易壁垒;在治理规则和影响力方面,主要聚焦在多边与多方,美国认为我们是多边的坚定推动者,担心在各个方面挑战由美国主导的多利益攸关方模式,动摇其影响力;在政治干预方面则密集指责我国意图干预美中期选举,从“中国网络威胁论”到“网络恐中”,这些鼓噪与怀疑既有迎合国内政治需要、转移国内矛盾的现实原因,更有美国面对中国发展所产生的战略焦虑和冷战逻辑的社会历史原因。特朗普政府对外网络行动基本上是建立在以上几点核心关切上的,对此我们在制定战略与政策时应予以适当的考虑,对于两国认知偏差导致的误解,我们可以积极谈判,增加互信;而对于无中生有以及别有用意的言论,我们则需要坚决回击。坚定战略定力,以耐心和智慧,妥善应对美国的网空挑战四十年的实践证明,中美关系合则两利,斗则两伤,维护两国关系稳定,对两国人民有利,对世界和平发展有利。当前,在特朗普政府单边主义抬头、逆全球化而行的现实情况下,需要我们稳住阵脚,保持战略定力,以极大的耐心和智慧在中美之间维护战略合作,求取发展利益的最大公约数,扩大战略共识面,尤其要加强相互间的接触和沟通,习总书记提出“网络空间命运共同体”的发展理念,推动基础设施的互联互通,文明的交流互鉴等合作主张,赢得全球广泛响应与支持。鉴于中美共享“一张网”,就要确保沟通不间断,通过积极有效的沟通和协调,增加理解,管控分歧和风险,让网络成为促进中美关系向好的稳定剂。加快能力建设,以自信和毅力坚持本国的发展道路经过几十年的快速发展,我国在网络和信息安全方面,既取得非凡成就也具有丰富经验,当然也存在不少教训。我们需要对自身的发展有正确客观的认知,一方面我们拥有全世界最大的网民群体,具有庞大的国内发展需求,培育了独具特色的网络文化;另一方面,我们在核心技术上仍受制于人,网络治理仍不完善,国际议程设置能力还有待提高。处理好中美关系中的网络与信息安全问题,关键是保持战略自信,努力把自己的事情做好,“打铁还需自身硬”,要恪守“发展才是硬道理”,变压力为动力,加快发展关键技术,大力促进产业发展,繁荣网络文化,完善网络治理,“众志成城”走出一条具有中国特色的网络强国道路。作者 >>>
桂畅旎, 中国信息安全测评中心助理研究员,研究方向为网络空间战略与政策。
(本文选自《信息安全与通信保密》2018年第十一期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。