其他
从美国发布《临时国家安全战略指南》看拜登网络安全政策
3月,美国发布了拜登政府的《临时国家安全战略指南》(文中简称指南),这是拜登新政府发布的第一份美国全面应对国际国内局势的政策性指导文件。该指南概述了拜登政府的网络战略,拜登政府的网络战略不仅反映了美国外交政策,还折射出国家安全愿景中的意识形态、地缘政治、技术和外交支柱。SolarWinds和微软黑客事件给美国网络安全带来了巨大的冲击,暴露出了美国网络安全防御方面的不足,也成为了拜登执政后的当务之急。该《指南》明确:“将把网络安全作为重中之重,加强我们在网络空间的能力、准备和应变能力。将把网络安全提升为政府的当务之急。将共同努力管理和分担风险,将鼓励私营部门和各级政府之间的合作,以便为所有美国人建立一个安全可靠的网络环境。”
一、《临时国家安全战略指南》主要内容
(一) 全球安全格局正悄然变化,美国受到前所未有的威胁
《指南》强调,世界的权力分配正在变化,美国受到了来自俄罗斯等国的地缘政治威胁,俄罗斯决心增强其全球影响力,在世界舞台发挥颠覆性作用。权力分配的变化使得来自中国和俄罗斯的网络安全威胁程度日益提升。为了做好应对,拜登政府计划提高网络防御能力,必要时采取行动干扰对手并阻断其恶意行为,并利用外交手段加强与盟友网络安全方面的合作。长期以来,美国的网络安全政策一直强调加强网络防御、提升网络威慑力和规范网络行为。随着时间的推移,俄罗斯、伊朗等国的网络威胁对地缘政治的影响日益增长,但美国的网络安全政策未能跟上国际力量分配的变化的步伐。对于拜登政府来说,这种失败凸显了网络防御的规模、网络威慑行动升级迭代的风险以及在地缘政治竞争中制定网络规则的难度。
(二) 优化国际合作方式,强化伙伴关系建设
拜登致力于重振美国外交,修复同盟关系,强化网络空间伙伴关系建设,进一步发挥美国在国际组织中的领导作用,同时这也是拜登网络战略的显著特点。《指南》指出,美国应该积极推进国际合作架构现代化,以应对包括网络威胁和数字霸权主义在内的一系列挑战。与私营机构、外国盟友、合作伙伴进行合作,采用防御前置的方式拦截和阻断网络威胁,保障国防部系统和网络安全,防止敏感信息泄露。与私营机构密切合作,建立公私部门之间的信息共享机制,共同提高关键基础设施的网络安全防御能力和弹性恢复能力。《指南》中指出,世界正处于一场关于未来方向的根本性辩论之中。美国将重新塑造在网络空间国际治理领域的领导力,拜登政府将会为美国外交组织重新赋能,在更为平等互利的条件下加强与国际伙伴的沟通协作,美国将重新塑造在网络空间国际治理领域的领导力。
(三) 培养网络人才,增强网络核心力量
《指南》提出,美国将投资培养和招募网络人才,以维持一支战备的网络人才队伍。提供良性的发展环境,以促进网络人才职业发展。创建管理流程,对军事和民用网络人才进行管理,优化司令部和作战机构的人员轮换,最大化利用预备役部队。通过军人、文职、合同工等组合的方式来满足国防部要求。增强国家网络人才储备,与其他联邦部门和机构协作,推动科学、技术、工程、数学等网络空间相关学科教育的发展,并与业界和学术界合作,建立培训、教育等方面的标准规范,促进美国网络人才成长。将硬件和嵌入式软件专业知识作为国防部的核心能力,国防部将为计算机科学相关专业人才创建职业发展环境,通过工作轮换、技术挑战、专业培训和薪酬激励等方式吸引相关人才。
二、拜登政府网络安全政策措施
在拜登当选总统后短短两个月的时间内,发布的这份《指南》就将网络安全优先性得到很大的提升,将网络安全作为一项专业性高且影响广泛的议题,作为拜登执政后面临的重要问题,成为美国国内甚至全球关注的焦点。这也不足为奇,早在竞选时,拜登对于网络安全议题的表态就比特朗普更加积极高调,所以在其上台之初就已经开始在人事安排、机构设置、资金支持等方面进行布局。
(一) 组建高层次网络安全决策智囊团,加大统筹力度
在人员安排方面,拜登政府的做法基本上是“请专业的人干专业的事”,积极谋划笼络各路精英为其建造一个高层次的网络安全智囊团。2021年1月,任命国家安全局驻伦敦美国大使馆的特别联络官罗伯·乔伊斯(Rob Joyce)接替纽安妮·纽伯格担任美国国家安全局(NSA)网络安全局局长。乔伊斯之前曾担任NSA局长的网络安全战略高级顾问,并担任白宫国家安全委员会总统特别助理和网络安全协调员。他还曾担任 NSA 下设的网络行动组织获取特定情报行动办公室(TAO)负责人,以及 NSA前信息保障理事会副主任。2月,任命美国国家安全局下属网络安全局局长安妮·纽伯格(Anne Neuberger)担任国家安全副顾问,负责网络和新兴技术。纽伯格的任命是拜登政府打算在国家安全委员会优先考虑网络安全问题的一个信号。此前,她曾担任美国国家安全局打击俄罗斯对美国选举构成威胁的特别工作组负责人和首席风险官,该工作组之前被称为“俄罗斯小组”。3月任命克莱尔.马托拉纳为美国首席信息官,负责全面监督美国白宫升级政府技术基础设施的工作,克莱尔.马托拉纳是美国数字服务部门的资深人士,将负责加强联邦政府的网络安全,实现IT系统的现代化,使所有公民更容易访问政府网站。机制设置方面,1月,美国国务院成立新的网络空间安全和新兴技术局(CSET),以应对网络安全和新兴技术威胁。新的网络空间和新兴技术局有助于网络安全和技术领域的外交工作,包括防止与潜在敌对国家间的网络冲突。2月4日,更新国安会制度的备忘录,将网络安全和新兴技术议题设为国安会重要议题。简言之,上述机构设置和人事任命表明,拜登政府对网络安全问题极为关注。
(二) 开展盟友沟通,加强政策协调
加强美国同盟关系是拜登的核心政策主张之一,正式就职以来拜登政策密集开展“电话外交”,拜登及国务卿布林肯、国家安全助理苏利文已经分别与英国、德国、法国、日本和欧盟、北约等多个盟国及组织领导通话。欧洲方面,拜登政策已经与北约达成一致,2021年上半年召开峰会,商讨加强成员国联合行动。拜登表示必须维持北约军事能力的优势,并扩展到共同应对网络威胁等新兴挑战中。2月19日,拜登在G7峰会和慕尼黑安全会议上均提出将重振联盟、保卫欧洲,认为网络空间、人工智能和生物科技是新的竞争领域,呼吁与盟友一道共同制定规则以指导技术发展。亚洲方面,3月12日,拜登主持美国、日本、印度和澳大利亚“四国机制”成立来首次首脑级别峰会,会议议题不仅包含军事合作、疫情防控、气候危机等传统安全领域,而且向关键技术、供应链安全等领域拓展。峰会决定设立新兴技术工作组,并保持高级别定期会晤。
(三) 加大对网络基础设施中网络安全领域的投资
3月31日,美国总统拜登宣布了其2万亿美金基础设施投资提案。该计划将在八年内每年以美国GDP的1%的投入来升级基础设施,振兴制造业,对基础研究和科学进行投资,支撑供应链并完善其基础设施。在这个巨大的基础设施投资计划中,包括了至少3项网络安全条款。第一部分:电网升级。拜登提案要求在“基础设施弹性”投入500亿美元,其中包括旨在改善电网、城市基础设施以及社区卫生和医院的项目。电力系统长期以来一直是许多恶意黑客的目标。基础设施计划可以解决这一问题,因此,在电网服务的开发中会考虑更多的网络安全性设计。第二个部分:解决供应链问题。SolarWinds供应链黑客事件影响了全美9个联邦机构以及100家私营公司。2021年2月,拜登签署了一项行政命令,要求对半导体的供应链风险进行联邦审查,并对信息和通信技术以及制药行业的供应链风险进行审查。拜登政府提议在供应链上花费数十亿美元,以降低风险并加强国内制造业。例如,计划斥资500亿美元在商务部建立一个办公室,以监控国内的工业生产能力,并资助支持关键产品生产的投资。此外,建议投资500亿美元用于国内半导体制造和研究。第三个部分:科研与发展。美国国家安全委员会认为,美国在开发AI技术和应对伴随AI而产生的网络安全威胁方面存在落后于中国和俄罗斯的危险。建议重新考虑政府的人工智能方法,还呼吁国会授权花费数十亿美元来资助AI,机器学习和其他技术的发展,以帮助美国更好地竞争免受安全威胁,并保护关键技术。根据两党的提议,拜登建议国会向美国国家科学基金会(NSF)投资500亿美元,专注于解决包括人工智能在内的,涵盖半导体和高级计算,高级通信技术,高级能源技术和生物技术等领域的技术问题。他还呼吁国会为研发提供300亿美元的额外资金,以刺激包括农村地区在内的创新和创造就业机会。计划还将投资400亿美元,用于升级全国实验室的研究基础设施,包括实体设施,计算功能和网络。这些资金将分配给包括能源部在内的联邦研发机构。提供150亿美元用于许多其他研发项目,包括量子计算研究。
这些都是加强网络能力建设的务实举措,具有实质性意义。虽然资金投入与网络能力不能简单地画等号,但是若无充足的资金投入,要搞好网络能力建设将非常困难。实际上,这是今后值得持续关注的一大要点,因为实际资金投入的多少、分配和效能是决定美国网络能力的重要因素,也是决定拜登政府网络安全政策成败和成效的核心要素之一。
三、拜登政府网络安全政策面临的困境
在政策制定和实践落地之间,在实践与效果之间,往往存在很大的距离和鸿沟。况且目前的美国,面临在国家环境中信任缺失,国内政党对立的形式以及网络安全领域投入资金分配失衡这些问题。理想与现实尚有一段距离,这些问题也将影响拜登政府在网络安全政策的执行和效果。
(一) 国际环境中盟友对于美国的信任缺失
特朗普政府的单边主义和霸凌行径,触发了盟友对美国领导力和影响力的“信任危机”。在网络安全合作上,最突出的表现就是2020年7月,欧洲法院推翻了欧盟与美国2016年达成的数据传输协议—— “隐私盾协议”,裁定该协议无效。“隐私盾”制定了欧美网络公司对用户个人数据互相传输的运行框架,如今欧洲法院认为该协议并不足以保护欧洲公民的安全。该事件反映了美国与盟友间越来越明显的信任赤字。拜登政府重拾盟友支持、共同引领国际网络规则,难度不小。
(二) 国内政党对立、民意分裂的政治环境
虽然民主党赢得参众两院,为拜登政府施政扫除了一定障碍,但是,拜登政府仍面临严重的两党分立和民意分裂,即使具有高共识度的网络安全议题,也会受到政治因素的影响。在主要竞争对手设定、科技巨头治理、选举安全、网络中立法案等议题上,仍存较大分歧。另一方面,也面临着民主党内部激进派的压力。民主党内部“激进派”力量更加关注国际经济政策的地缘政治影响,不愿意美国回到以自由贸易为特征的路线,分散其对外重振美国领导地位的核心政策主张,拜登政府在新兴技术发展等方面的政策灵活性也将受到限制。
(三) 网络安全领域投入资金分配失衡将影响政策效果
美国对外关系委员会(CFR)的学者认为,SolarWinds事件清楚地表明,CISA 和联邦机构将需要更多的资金发展必要的能力,以发现和遏制对手;迫切需要额外的资金扩大与私营部门的协调力度,为市场不支持的研究提供资金,并增强关键基础设施的安全性。因此,拜登团队也希望为 CISA 获得更多资源,并让该机构在网络防御方面发挥更大作用。当然,在有资金支撑的前提下,执行资金与预算资金能否一致、各项资金分配是否合理、资金使用的绩效比如何,也都是影响政策效果的基础因素。
四、拜登政府网络安全政策趋势前瞻
(一) “小院高墙”式精准性技术竞争政策已在酝酿之中
特朗普的全面技术脱钩政策效果受到广泛质疑,业界普遍认为这种笼统性做法损害了美国企业和消费者的利益。精准性技术脱钩政策的前期评估逐步展开,相关政策或已在酝酿之中。
2020年末,美国国会两党合作的中美科技关系工作小组发布《美国科技竞争新战略》报告认为,全球科技一体化程度远远超出想象,完全脱钩几乎不可实现,同时也会对美国带来附带的损害,建议实施“小院高墙”理念,推动选择性的脱钩策略而非笼统性脱钩。报告称特朗普那种大范围搞“技术脱钩”弊端太多,美国应该把管控的技术和产品范围大大缩小,要盯住对未来发展、对国家安全真正关键的技术。这就是“小院”。然后,把政府的行政力量和执法力量投入到这些少量技术的严格管控上,这样效率就高多了,而且因为涉及的技术范围很小,所以也容易和盟友沟通,可以通过美国的联盟体系形成全球性的技术防护屏障,而不是美国一家力量在单打独斗。这就是“高墙”。之后,2021年2月,拜登签署行政命令,要求对半导体芯片、电动汽车大容量电池、稀土矿产和药品等4项关键产品的全球供应链进行审查,以摆脱对海外供应商尤其是中国供应商的依赖。这是否就意味着“小院高墙”式脱钩战略的开始呢?
(二) 欲实行“技术优先级”分级发展的战略政策路线
2021年1月,新美国安全中心认为:维持美国世界第一技术强国的地位并不意味着要在所有技术领域取得领先地位,这样代价高昂、并不现实、也没有必要。美国需更明智地设置技术优先级别,以最大限度地合理配置资源。提出了一个简单而全面的技术优先级方案,以指导美国应在何处及如何配置资源,这也是为国家技术战略政策制定路线图的关键所在。该方案将技术划分为四个级别(技术层次):
尖端(前沿)(Leading-edge)技术。在该级别技术领域,美国需拥有全球最先进能力。这些技术是新型数字经济的支柱技术或是潜在颠覆性技术。尖端技术包含两个子类:①支柱技术(keystone technologies),这些基础技术衍生的尖端能力能带来巨大的经济或军事优势,如微电子学和人工智能;②颠覆性技术(disruptive technologies),这些技术领域的突破有可能改变游戏规则,如量子计算。
世界领先(World-class)技术。在该级别技术领域,美国应跻身于全球一流的行列,即意味着要在全球范围内具备竞争力,并拥有与众不同的特定能力。电信技术和生物技术属于这一技术优先级别。
快速跟进(Fast follower)技术。在该级别技术领域,美国拥有强大的实力,但一开始并不一定是世界最领先的。这样,美国可以观察其他国家的行动,然后将资源集中在最有潜力的领域。
超视距(Over-the-horizon)技术。包括以基础研究为主、涵盖各学科领域的研发投资。这对保障美国深厚而多样的科技基础、取得技术领先地位至关重要。同时,由于技术预测十分困难,重要突破可能在无法预见的领域和时间发生,因此这也是一种保险策略。
(三) 探索务实的盟友合作,欲加强技术领域协作
欧洲等美国传统盟友更关心务实化的合作方案,近期欧洲官员、智库纷纷发表政策报告,提出加强跨大西洋技术领域协作的建议。
2020年12月发布的《北约2030》政策报告认为,在应对网络威胁、信息传播管控、新兴技术发展等方面开展联合行动。2020年12月,欧盟委员会在《欧美应对全球变革新议程》政策报告中提出,美欧应携手制定技术合作议程,构建技术联盟以塑造技术使用和规划。
2021年1月,美国网络空间日光浴委员会发布第五号白皮书《对拜登政策的网络安全建议》,建议美国应与盟友及其他民主国家组成新的联盟。倡导网络空间中负责任的国家行为规范和制定互信措施,与国际社会一道以外交方式应对网络威胁,倡导互联网自由,确保安全的数字经济,培养伙伴和盟友的能力,以促进网络安全和打击网络犯罪等。3月,美国际战略研究中心发布《技术联盟:机遇与挑战》,分析四国联盟建立技术联盟的机遇和挑战。
五、结语
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
邮箱:xxaqtgxt@163.com