当前,网络空间安全已经成为信息化条件下的全新战场和国家安全维护的新疆域,网络空间安全领域也逐渐成为军民融合的关键领域和战略制高点。为了有效维系其网络霸主地位和加强对外合作,美国出台了一系列的强有力政策和管理机制,积极推动网络空间安全领域的军民一体化发展和深度融合。

一、法规政策

在网络空间安全领域,美军在以国防部的网络安全战略为战略指导的同时,发布并实施一系列政策,加强与网络空间安全私营企业的合作和联系,系在政企合作、力量整合、技术转让等方面开展了密切合作。

1.积极响应政企合作政策  

2010年5月,奥巴马总统向美国国会提交的首份《国家安全战略报告》中提出,“网络空间安全威胁是当前我国家安全、公共安全和经济领域中所面临的最为严重的挑战之一”。美国希望政府部门和私营企业共同努力来设计更加安全、可靠的技术,来保护关键的政府、军队和工业系统及网络,并提高其恢复能力。2011年,美国国防部颁布首份《网络空间行动战略》,列举了美国防部在网络空间的五大战略举措,其中之一就是要与其他政府部门、机构和私营企业合作,打造全政府网络空间安全战略;2015年4月,国防部发布新版网络空间战略,同样提出要加强与美国政府民事机构的协调,以实现最大限度的信息共享、协调网络行动、分项经验教训。

2.优化机构配置政策

美军在发布战略政策引导的同时,还会由其下属机构制定一些具体的计划将美国各界(企业、高校和研究机构)的科研力量和资源集中起来,共同进行产学研科技创新研究。例如国家安全局(NSA)下设的计算机与信息科学研究组(C&ISRG)和信息保障署(IAD)负责美军网络空间领域的研究。

计算机与信息科学研究组(C&ISRG)负责领导和管理的一项先进技术计划—熟悉、开发和使用,将原始数据转换成可操作的信息。通过制定一系列—计算机与信息科学研究计划,该计划通过对新兴技术的研究、鉴定、针对硕士、博士研究生的夏季操作研究技术计划,以及针对本科生的网络运行暑期项目中的学术卓越中心、网络夏季计划等专门面向在校生的网络空间安全教育计划,培养网络空间专业人才。

信息保障委员会(IAD)是依据国土安全第42号总统令,为保护和防御国家安全的信息和信息系统而成立的,负责处理涉密信息和其它与军事或情报活动相关的信息;通过加强与政府、产业界及学术界的合作,促使信息保障委员会给出恰当的安全解决方法,以保护信息系统和国家关键基础设施的安全;同时负责管理国家信息保障合作计划。另外,信息保障委员会还设有可信系统研究组,又称国家信息保障研究实验室,是美国政府主要的信息保障和设计中心,负责协调密码学、密码基础设施和标准、安全无线多媒体、技术安全、可信计算等领域的实验室研究工作。

3.鼓励实施产业化技术转让政策

对于科研成果的产业化,美国国会颁布了一系列技术转让法律,如《史蒂文森威德勒技术创新法案》、《联邦技术转让法案》、《美国的技术政策》等,对其技术转让进行了明确的规定,其多数科研机构都专门设有技术转让部门,负责整个部门科研成果的技术转让工作,如国家安全局的技术转让计划办公室(TTP)等。

(1)技术转让计划(TTP)

根据《技术转让法案》,国家安全局(NSA)制订了用于与私营企业、高等院校、和政府部门共享技术研究成果的计划——技术转让计划(TTP)。技术转让计划办公室主要在通信和网络、先进计算、高等数学、信息处理和微电子五个核心领域,促使实验室和非联邦部门(如州和地方政府、高校、非盈利性组织和私营企业)在技术生命周期(从概念的提出到产品的销售或市场服务)的各个阶段实现信息、知识产权、专家和技术四个方面的共享。

(2)国家信息保障合作计划(NIAP)

国家信息保障合作计划(NIAP)由国家标准和技术研究院(NIST)与国家安全局(NSA)共同发起,以评估信息技术产品与国际标准的一致性,信息技术安全性通用准则评估和验证机制计划是一个国有企业和私营企业合作的一个计划,目的在于帮助顾客按照其安全需求选择商业信息技术产品,以及帮助产品制造商在全球市场获得认可。其目标是满足政府和行业关于信息产品的成本效益评估需求,鼓励商业安全测试实验室和私营部门安全测试业的发展,确保信息产品的安全评估符合一致性标准,提升评估信息产品的验证机制。

二、制度机制

为加强美国政府、军队、私营企业之间合作,规范合作关系,通过规范合作流程和审核机制,防务承包是前提,让网络安全审查制度贯穿整个合作过程,通过旋转门和安全许可制度来合理构建网络空间安全人才建设,最后形成信息共享的良好机制,为形成良好、稳定的网络空间安全产业秩序打下坚实基础。

1.防务承包制度

美国政府高度重视私营部门在网络安全中的作用,并把强劲的公私合作关系当作美国网络空间战略的一项根本支柱。国家巨额投入诱使私营部门竞相涉足美国网络防务,其中不但包括一直以网络安全为主业的信息技术公司如迈克菲、赛门铁克、博思艾伦,也有IBM、惠普、微软等信息产业巨头,而且还包括原本与网络安全业务无关的传统防务承包商如波音、洛克希德·马丁、雷神等。

这种需求牵引、私企承包的产业模式固然存在一定弊端,但却有利于鼓励技术创新,避免重复投资并提高经济。此外,有些时候,私人部门的创新能力可以直接转化为美国军事优势。例如,微软、谷歌、麦克菲等大型互联网技术公司根据承包合同要求,在公开其新发现的系统漏洞之前事先通知美国国家安全局(NSA),从而使后者可以利用这种优先知情权实施网络入侵。美国互联网企业拥有巨大的技术优势,这种优势与美国军事情报机构的需求相互结合,成为美军建立和维持制网权的主要依托。

2.网络安全审查制度

网络安全审查是指对关系国家安全和社会稳定信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。随后,美国为保障国家安全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度,将全方位、综合性的供应链安全审查对策上升至国家战略高度。美国的网络安全审查对象不仅涉及产品和服务,还针对产品与服务的提供商。

美国网络安全审查制度呈现出四个特点,一是审查范围逐步拓展;二是审查内容逐步扩大;三是审查流程保密;四是审查结果具有强制性。审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。审查的内容不局限于技术,不仅要审查产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等,要求企业自己证明产品已达到了规定的安全强度。美国要求被审查企业必须签署网络“安全协议”,协议通常包括:(1)通信基础设施必须位于美国境内;(2)通信数据、交易数据、用户信息等仅存储在美国境内;(3)若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;(4)配合美国政府对员工实施背景调查等。

纵观美国网络安全审查的发展历程,主要有以下重要时间节点及法规,见表2-1。

表2-1  美国网络安全审查重要政策及法规

法规名称

颁布机构

颁布时间

主要内容

《国家信息安全保障采购条例》

美国国家安全系统委员会

2000年1月

自2002年7月起对涉及国家安全的信息系统采购的技术产品必须通过审查

《联邦信息安全管理法案FLSMA》

美国第107届国会通过,总统签署生效

2002年12月

美国联邦政府执行NIST制定的信息安全标准,建立面向联邦政府的网络安全审查制度

《联邦风险及授权管理计划FedRAMP》

美国政府

2011年12月

为联邦政府提供云计算服务的服务商,必须通过安全审查,获得授权;联邦政府各部门不得采用未未经审查的云计算服务。美国在政府采购招标文件中海进一步规定,向联邦机构提供云计算服务的基础设施必须位于美国境内

《临时政策》

美国国防部

2013年11月

国防系统及其合同商采购的产品和服务要经过供应链安全审查

3.“旋转门”机制

“旋转门”机制是指美国军事安全机构与网络安全公司等私营部门存在着公开、频繁和畅通的人员流动,这种人员旋转机制把公共部门的网络安全需求与私人部门的人力资源优势巧妙结合起来,成为网络安全产业复合体的运作轴心。美国的军事部门、情报机构、网络安全公司、军工企业等公私部门之间有着灵活的“旋转门”制度。许多私营领域的网络安全企业高管都在军事或情报部门担任过要职,而反向的人员流动同样频繁出现。

例如,曾先后担任过美国国家安全局局长和国家情报总监的麦康奈目前已是国际管理咨询企业博斯艾伦的副总裁,在他的引领下,博思艾伦成立了战略情报部门,专门从事网络安全业务,另一位前国家安全局局长米尼汉则在退休后加入了以编写和售卖“零日”攻击程序牟利的Endgame公司的董事会,同时该公司的首席执行官也是海军陆战队员。

诸如此类才的人员旋转机制使网络安全私有企业和军事战略部门隐蔽地交织在一起,形成了密切的利益链,但也有助于私营部门更好地了解国家安全和军事需求,从而提供针对性服务。

4.安全许可制度

由于涉及国家安全,美国网络安全“旋转门”的运转还离不开保密安排,即安全许可制度。除政府职员之外,私人承包商雇员在通过严格的个人背景和动机审查之后同样可以获得查看美国政府机密信息的资格。

根据2012年美国国家情报总监办公室的报告,在2011年有48.3万私人承包商雇员拥有高级安全许可。相比之下,具有高级安全许可的政府工作人员也不过79.1万人。在获得高级别安全许可的人中,私人承包商占总人数比重为38%。另外还有近58.3万私人承包商员工拥有较低级别的安全许可,相应的政府工作人员则达270万人。在低级别安全许可的拥有者中,私人承包商也占到了18%。

当然,拥有安全许可并不意味着可以随意查看机密信息。在“斯诺登事件”之后,美国开始反思并收紧了相应安全许可制度。安全局加强了对承包商和私人雇员的审查,包括对承包商实行监管、改进对承包商的评估并尽可能缩短承包时间。

5.信息共享机制

网络安全发展态势常常瞬息万变,信息监测、威胁预警、态势感知都需要实时有效的共享和交换机制,而军事和民用信息资源的互通共用能够更有效地推进网络安全的全维度、全天候防御。基于此,美国已经逐步建立了一套内容较为完备、体系较为清晰的具有长期性、连续性的网络安全信息共享机制。通过构建网络安全信息和资源共享机制,美国军、政机构和私营企业实现了在网络安全方面的深度合作。近五年来,美国持续将网络安全政策立法的关注焦点集中于鼓励和促进联邦政府和私营部门之间的网络安全信息共享,而斯诺登曝光的“棱镜”系列计划则反映了美国军方与私营企业的深度合作。

美国军方和私营企业“深度合作”的表现为:一些重要的信息产业公司被授权接触军方机密信息,从而被纳入军事情报系统。军事部门则能够接触到这些企业的信息产品设计以检验是否存在安全缺陷。例如,网络安全公司迈克菲便为美国国家安全局和中央情报局等机构提供网络数据流动、恶意程序分析、黑客攻击动态等重要信息。2011年美国国防部启动了国防工业基础网络试点项目(DIB Cyber Pilot),这一项目允许国防部情报机构与防务承包商共享威胁特征等信息。

美国总统奥巴马在2015年初签署的一份总统令则计划新建信息共享与分析组织,以实施私营企业和国家部门间的分类式信息共享。随之不久,美国成立了网络威胁情报整合中心,以协调国家情报总监、国土安全部、国防部和司法部之间的信息分享。

6.采办管理新体制  

美军针对信息技术更新换代快的特点,提出多版网络采办程序并持续改进和优化,2011年7月,美国国防部发布《网络空间行动战略》,在该战略中提出,网络装备采用与网络技术创新应坚持“速度优先、递进发展、打破常规、分层监督和确保安全”的原则,并强调美军应有效借鉴企业的信息技术采办机制和经验,与其他技术创新型企业广泛开展合作。同时,国防部2012年4月向国会提交了一份网络装备采办报告(即美军称之为“933报告”),针对网络装备采办提出了两种采办程序,即“快速程序”和“审慎程序”。

“快速程序”旨在满足紧急的、对作战任务至关重要的需求。在该程序下,美军可利用工业部门和政府实验室现有的或者接近研制完成的软硬件,在数月甚至数天时间内完成新型网络设备的研发。在快速程序下,美军可以利用作战经费支撑相关网络装备的采办,并省略一定的采办环节,如部分规划、计划采办文件的编制、某些试验活动等。

“审慎程序”主要用于采办成本较高、技术较复杂、使用风险较大的网络装备。该程序对网络装备采办的监督和集中管理力度加大,采办周期超过9个月。研发网络装备时,究竟采用何种采办程序,由美国网络司令部根据网络装备的复杂程度、经费投入、需求的紧迫性以及部署时间要求等因素进行决定。

三、发展现状

当前,美军构建的网络安全体系明确提出美国企业是国家网络安全保障的主体之一,负责国家网络攻防的具体实施,协调配合美军共同保障国家网络安全。美国企业作为美国网络空间安全的重要力量,有责任和义务配合美军的网络军事行动。美国企业是美军网络安全战略框架的重要组成部分,在美军的网络安全建设与保障中发挥着重要作用。

美国企业作为美军网络空间安全领域的骨干力量,如美国安全承包商、大型IT公司、网络运营商在美国的网络空间安全产业中扮演着重大角色,他们是美军网络空间安全的主体。当前90%的网络空间基础设施归私营部门所有和控制,核心网络技术与设备主要由一些核心网络私企掌控,美国防部70%的科研和90%以上的武器装备生产由私营企业承担完成。

1.美国安全承包商为美军网络空间安全提供装备保障

安全承包商是美军重大网络项目的技术支撑者和装备保障提供者,美国军方和民间网络基础设施的技术与装备几乎全由安全承包商提供。其中,大型系统供应商在全球信息栅格、网络空间安全等方面的设计和研制中有较大话语权,如诺斯罗普·格鲁曼公司、雷神公司等拥有可实现武器系统集成的关键设施设备,能够较好地完成多种网络空间安全的集成任务;在密码技术领域,国家安全局已与工业界建立了广泛的合作关系,在NSA/CSS批准和认证的前提和NSA/CSS在密码装备技术的研究与开发过程中始终保持绝对的领导地位下,鼓励一些合同商开始参与密码装备与技术的研制。同时,随着现代军事通信技术的发展,国家安全局已逐步接受由私营企业开发的非密密码算法,并应用于军事通信。

2.美国大型IT公司为美军网络空间安全提供网络基础支撑

美国大型IT公司是美军网络空间安全不可或缺的力量,其主要为大型系统集成商、专用系统集成商等提供通用设备、元器件、开发系统等。在诸多公司中,思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软八大IT公司被称作“美国IT业八大金刚”,主导美国乃至全球的网络信息基础提供,其产品和服务几乎垄断了全球市场。2012年6月,洛克希德马丁公司获得国防部一份7年的GIG服务管理合同,主要负责管理国防部非机密、秘密和联盟网络、国家指挥机关使用的最高级别的红色交换网络以及卫星服务网络。2015年9月,雷神公司与美国国土安全部签下合同,成为DHS网络安全部署(NSD)部门主要安全承包商和系统集成商,将为DHS的各种资产提供全方位的网络安全防护。

3.美国网络运营商为美军网络空间安全提供全球信息与数据

与美国大型IT公司类似,以AT&T、Verizon、Sprint、T-Mobile为代表的美国网络运营商占据全球网络空间安全市场,控制全球的视频语音、互联网通信安全等服务。上述几个公司与NSA都有密切的合作,2013年,斯诺登揭露了一个国家安全局包括“棱镜”、“X关键分”、“美景”(Fairview)、“核心”等近10个监控项目在内的监控体系,该监控体系由国家安全局、中央情报局、联邦调查局等多个情报机构参与,几乎覆盖了网络空间的方方面面,同时AT&T、谷歌、微软、等9家企业向监控项目开放数据库以便开展数据监控。仅“美景(Fairview)”监控项目每天处理的外国对外国电邮量达6000万个。

4.中小企业为美军网络空间安全提供技术创新源泉

在国内外网络空间安全事件日益增多的背景下,美军完全依靠大型军工企业的战略开始转变,更多新兴中小企业参与网络空间安全技术的研究与开发,他们成为网络空间安全领域技术创新源泉。2015年,国防部在硅谷正式启动国防创新试验单元DIUX,加强国防部与硅谷高科技企业的交流合作,提高获取商用新兴技术的能力。DIUX的建立与美国注重维持技术优势、长期关注新兴商用技术的快速发展态势,以及谋求更好地将民用技术整合进入军用系统和作战概念密不可分。网络信息安全保护是DIUX关注的重点领域之一。2016年3月,DIUX发布了一个名为“黑掉五角大楼”的试点工程。邀请黑客测试国防部的网络安全,以发现漏洞并提出补救措施。目前,DIUX正在与Tanium公司合作,提供网络端点的实时可见性和控制能力,以支持国防部网络规模和复杂性,最终结果将为网络防御操作员提供信心和速度,面对快速变化的网络威胁拥有监视和反应的能力。

四、几点启示

网络空间安全领域是对科技前沿感知最为敏感的领域。为了占领“第五空间”的战略制高点,世界军事强国纷纷把捕捉和开发网络空间颠覆性技术作为国防科技创新的重点,力图在改变游戏规则的重大技术上率先取得突破,形成战略优势。对美军而言,军民融合已成为其在网络信息安全保密工作领域保持持续领先地位的重要源泉。

1.军民融合是网络空间安全领域快速识别和引入前沿技术的有效途径

军民融合创新的生态环境能够更好地汇聚国防承包商、大型IT公司、网络运营商以及中小型创新企业的力量,以更低的成本支撑多元主体之间的无缝协作式创新,大大加速了技术识别和转化过程,能够为国防科技领域带来前所未有的创新突破。近年来,美军在人工智能、大数据、量子科学等与网络空间安全密切相关的前沿领域积极推动军民融合,将需求、设想、工具和成果向社会开放,与企业、高校和其他研究机构展开合作,使军方与美国科技创新体系深度融合,以更低的成本、更高的效率推动网络空间攻防技术的创新,并以此作为网络空间创新技术快速引入的重要途径,是美军在网络信息安全保密工作领域保持持续领先地位的重要源泉。

2.军民融合是网络空间安全领域国防科技创新竞争的有效 策略

当前,各种技术新理论、新概念层出不穷,传统军事科技强国相继提出纷繁复杂的技术研究规划,美国更是在其第三次抵消战略框架下,在人工智能、大数据、量子科学等网络安全相关领域抛出一系列概念、理念和设想,其表面意图是形成新的技术突袭、打造技术先导能力,但亦不排除其对我及其他战略对手的战略误导。军民融合可以通过技术众包形式将研发成本分散给社会,特别是对于前景不明但可能具有颠覆性价值的前沿技术探索具有明显优势,为准确识别各种先进技术发展的真实可行性提供了可能。这既是美国这样的领先国家探索未知前沿技术的策略,也可成为我与美开展国防科技创新竞争可借鉴的一条道路。

3.军民融合是网络空间安全领域重塑技术生态、推动可持续发展的不竭动力

在网络信息安全保密这一具有显著军民两用特征的领域,美军的军民融合发展之所以能够迸发出前所未有的创造力,是因为美军在该领域的军民融合,早已突破了传统的国防采办范畴,而是将国防科技创新体系同更大的民用科技创新体系相结合,组成军民相互转化、分工合理、动态开放、竞争有序、创新高效的综合科技创新体系,充分发挥军、民技术创新优势,推动军民两用技术突破,加强技术转移,有助于提高社会创新主体参与国防创新的积极性,有助于军民技术转移网络加速形成,有助于国防开放系统和通用化策略推广,最终实现以民强军、以军促民的发展目标。(龚汉卿

声明:本文来自网络安全新视野,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。