拜登政府网络安全举措“落地”情况与发展态势评估
The following article is from 中国信息安全 Author 周宁南 李艳
美国总统拜登自执政以来明确将网络安全作为政府“顶级优先”事务,从战略、政策、实践等层面提升网络安全。本文试图评估其相关举措“落地”情况与实施效果,以分析把握美政府政策走向。
一、网络安全举措的整体设计
总体而言,拜登政府网络安全战略与政策突出以维护自身安全为绝对优先选项,这条主线贯穿其顶层设计与实施的“路线图”。
(一)具有“混和”特质的政策目标
拜登政府 2021 年 3 月 3 日公布《临时国家安全战略指南》,明确列出五项政策目标:一是提升政府部门对网络安全的重视程度;二是鼓励各层次政府与私营企业合作,构建安全网络环境,管控网络安全风险;三是扩大对基础设施和网络人才的投资,增强抵御恶意网络活动的能力;四是重新参与国际网络事务,与盟友共同巩固和塑造新的全球网络空间规范;五是以网络和非网络手段让恶意网络活动实施方付出实质性代价,并快速和相称地对网络攻击做出响应。
其中,前三项面向国内,后两项指向国外。第一项政策目标旨在进一步强调政府对网络安全事务的领导力;第二项政策目标指明切实提升网络安全水平的主要“依仗”,即政企合力;第三项政策目标明确“两大关注领域”,即关键基础设施保护与网络人才培养;第四项政策目标强调通过“网络空间”同盟共建秩序规则的重要性;第五项政策目标则直接言明将运用“全方位”手段,对所谓恶意行动实施惩戒并达成威慑的决心。
可以看出,这些政策目标相较于奥巴马政府与特朗普政府的网络安全政策,具有一定“承继性”,从而呈现出一定“混和”特质。最显著的表现在于指向国外方面。拜登政府既承继了奥巴马政府对“盟友”与国际规则的倚重,又延续了特朗普政府动用一切手段强化网络威慑的做法。
(二)强调力量“统合”的路线图
为进一步细化上述政策目标,拜登政府陆续于 2021 年 5 月 12 日和 7 月 28 日分别发布《提升国家网络安全》行政令(Executive Order onImproving the Nation's Cybersecurity)和《提升关键基础设施控制系统网络安全国家安全备忘录》(National Security Memorandum on ImprovingCybersecurity for Critical Infrastructure ControlSystems)等政策文件。这些文件虽然各有侧重,但共同构成了其政策的“全景”式路线图。更重要的是,这些文件的共同之处在于均十分强调力量统合,包括部门间统合、政企间统合以及盟友间统合。
1.政府部门间统合
美国近几届政府上台之后,均会着手调整与改革网络安全管理机制,拜登政府亦不例外。其上台之后,为进一步增强政府内部协调力与外部领导力,增设与调整了相关重要岗位。这些岗位的设置对应拜登政府的关切重点。例如,为更加高效地统筹协调联邦政府各机构和部门的网络安全事务,设立负责网络和新兴技术的副国家安全顾问;为提升事务的专业性,设立国家网络总监(National Cyber Director)岗位,作为总统在网络安全政策和战略方面的首席顾问;为适应新形势发展需要,任命美国数字服务部门资深人士为政府首席信息官(CIO),全面负责相关基础设施现代化升级工作。此外,还设立了由国土安全部部长牵头的网络安全审查委员会(Cyber SafetyReview Board)。该委员会不仅有各“涉网”部门负责人,还纳入企业代表,负责审查和评估影响联邦信息系统或非联邦系统的重大网络事件、威胁活动、漏洞、应对活动和机构响应。
2.政企间统合
拜登政府推动政企间统合包括三大重点。一是强调“信息分享”。拜登政府提出改善网络事件报告的要求。长期以来,美国政府在加强关键基础设施网络安全方面的主要愿望是关键基础设施运营商及时向监管部门报告网络事件及相关信息,但一直未实现。科洛尼尔管道公司遭受勒索攻击事件以后,美国运输安全管理局发布安全指令,强制要求关键管道运营商与国土安全部保持7×24 小时信息共享,及时报告网络事件。二是重视“标准制定”。拜登政府提出为私营企业制定软件供应链安全标准。《提升国家网络安全》行政令指出,美国商务部和美国国家标准与技术研究院将牵头划出“关键软件”范畴,要求关键软件供应商分享软件各组成部分的来源,并发布指南,明确增强软件供应链安全性的做法。三是深化“全面合作”。拜登政府强调网络安全合作不仅涉及产品与服务,更要实现“全域”扩展。《提升国家网络安全》行政令提出,联邦政府要激励技术企业投资先进网络安全产品和服务,采用零信任、云服务等现代化网络安全方法,提升政府机构网络安全水平。2021 年 4 月,拜登政府启动“工业控制系统安全倡议”(Industrial ControlSystems Cybersecurity Initiative),鼓励美国电力行业部署先进的网络安全产品,监控电力网络,检测恶意活动。《提升关键基础设施控制系统网络安全国家安全备忘录》显示,该倡议将向天然气管道、水和废水行业、化学行业等其他关键基础设施领域扩展。
3.盟友间统合
拜登政府高度重视与盟友共同塑造网络空间规则和增强集体防御。2021 年 6 月 13 日至 15 日,拜登分别参与 G7 峰会、北约峰会和美欧峰会,就塑造网络空间负责任国家行为和共同应对网络威胁,达成广泛共识,奠定了美国在网络外交方面政策基调。一方面,是塑造规则。美国与盟友重申推动网络空间负责任行为和国际法适用。G7 峰会公告重申各国外长将在联合国和其他国际场合推广现行国际法应用网络空间的方式。北约峰会公告表示,将以支持网络空间国际法适用和负责任国家自愿行为准则等方式增强网络空间稳定。美欧峰会联合声明称,支持网络空间责任行为。另一方面,是共同防御。美国与盟友深化打击行动、共同防御、信息共享等集体防御举措。G7 峰会公告称,将共同解决勒索犯罪等共同威胁,号召所有国家对境内勒索攻击犯罪网络采取行动。北约峰会公告表示,将认定网络活动积累的效果可触发北约集体防御条款,进一步降低集体行动门槛。美欧峰会联合声明表示,将深化网络安全和态势感知信息共享合作。
二、相关举措“落地”情况评估
拜登政府的网络安全政策目标与实施路线图相对清晰且重点突出。在其进一步完善网络安全决策机制后,相关政策进一步得以推进与逐步“落地”,但是,一些政策规划由于各种因素影响,并未如愿推进。
(一)初见成效的政策推进
目前,拜登政府提升网络安全的举措得以推进的领域主要体现在以下几方面。
1.网络安全“信息共享”进展较快
2021 年 7 月 12 日,美国国家电信和信息管理局制定政府软件供应商应报告的软件供应链清单,明确政府信息系统承包商应共享的威胁信息种类。8 月 10 日和 10 月 13 日,美国总统预算管理办公室和美国国家标准与技术研究院划定政府采购中“关键软件”的范畴,并就“关键软件”应记录并共享的信息提出要求,圆满回应了《提升国家网络安全》行政令中对政府网络威胁信息共享的要求。在实践过程中,政企间信息共享意愿普遍得到增强。8 月 5 日,美国网络安全与基础设施安全局建立“联合网络防御合作”机制,推动政府、私营企业间共享第一手威胁信息,提升政府发现政企网络中恶意网络活动的能力。在美国企业面临勒索攻击期间,该机制帮助成员企业找回遭勒索数据,提升政企共享威胁信息的吸引力。
2.政企间“安全协同”得到提升
拜登政府采用零信任、云服务等现代网络安全技术的做法赢得了美国大量技术企业的支持。2021 年 2 月 23 日,微软、群集打击(CrowdStrike)等美国技术企业在参议院情报委员会听证会上表示,政府应尽快采用零信任等现代网络安全解决方案。此后,美国政府与企业共同酝酿云服务参考架构和零信任成熟度模型,并于 9 月 7 日由国土安全部正式发布云服务参考框架和零信任成熟度模型,为采购技术企业相关网络安全服务提供便利。8 月 25 日,拜登召开白宫网络安全峰会,谷歌、微软等技术企业宣布未来 5 年将投资逾300 亿美元为政府提供零信任等网络安全服务,帮助政府升级安全防护能力,配合政府提升技术和软件供应链安全,为政府训练 25 万以上网络安全人员。
3.对外网络行动力进一步增强
依据公开信息分析,拜登本人及其幕僚团队并未对美国网军明确部署任务。但是,美国国会和军方持续加强美国网军建设,主要采取的两项举措在事实上成为拜登政府网络安全路线图的网络威慑部分。一是针对网络空间对手“前出狩猎”(Hunt Forward)。“前出狩猎”指美国向海外派遣网络战精锐力量,采取主动追捕形式,发现并识别对手的网络行动,是美国网络司令部“持续交手”、国防部“前置防御”等理念的实施举措。美国《2021 财年国防授权法》明确要求建设“前出狩猎”网络行动框架。2021 年 11 月 10 日,美国网络司令部副司令查理斯·莫尔称,“前出狩猎”正密切关注印太地区战略对手,已经在海外网络中发现对手的意图、实施恶意网络活动所用的基础设施、工具、武器。二是针对网络犯罪实施网络攻击。2021 年 6 月 11 日,在美国众议院武装委员会军事情报和特种作战小组委员会听证会上,美众议员迈克·沃尔兹(Mike Waltz)等人认为,美国法典规定,美国军队具有保卫国家的职责,在勒索攻击等网络攻击已经成为国家安全威胁的情况下,美国有权动用军队处置网络攻击。美国网络司令部司令保罗· 中曾根赞同动用网军响应传统上由执法机构处置的勒索攻击等网络犯罪行为。他表示,就像“9·11”事件后美国开始动用军队应对恐怖主义问题一样,美国将逐渐动用军队应对网络犯罪。10 月 21 日,美国特勤局顾问汤姆·凯勒曼(Tom Kellermann)称,美国网络司令部与联邦调查局一起,对在 2021 年5 月攻击了科洛尼尔管道公司的勒索攻击犯罪团体 REvil 成功实施了网络攻击。
4.国际规则塑造有所突破
自 2015 年以来,美国一直寻求推动联合国信息安全专家组(UN GGE)将武装冲突法适用网络空间写入共识文件。2017 年,UN GGE 未能出台共识文件,美国此项意愿没能达成。2021 年6 月,UN GGE 发布共识文件,表示武装冲突法仅在武装冲突时适用网络空间。美国西点军校诺曼·利伯杰出学者、海军战争学院名誉教授迈克尔·施密特评论称,在美国推动下,武装冲突法在网络空间的适用性得以确认,网络空间规范向前迈出实质性步骤,随着时间推移,这些尚未具有约束力的国际法将转化为习惯国际法,成为权威规则。
(二)遇到阻力的政策实施
对照之前的网络安全战略与政策规划,未能得以显著推进或存在不确定性的领域主要体现在以下三个方面。
一是网络安全机制的协调性问题。
虽然新设的关键网络安全事务岗位上的“各路人马”已基本到位,但是,因为时间有限,其政策协调的有效性尤其是彼此之间职能分工的合理性与效率还未得到足够的检验。例如,美国国家网络总监与网络安全审查委员会之间存在职责划分不清,权限边界不明的情况。有消息称,拜登政府或会出台新的行政令专门解决这一问题。
二是关键基础设施网络攻击事件报告制度遇阻。
美国历届政府在加强关键基础设施网络安全事务监管权力问题上的进展有限。拜登政府以运输安全管理局安全指令等方式强制要求能源、运输等关键基础设施运营商报告网络事件等做法遇到行业和国会的阻碍。美国参议院国土安全委员会主席加里·彼得斯(Gary Peters)是美国政府加强对关键基础设施行业强制性监管的拥趸,曾明确表态政府应强制禁止关键基础设施企业支付勒索赎金,但依然认为目前合适的监管关键基础设施网络安全的方式是政府继续出台自愿性的网络安全标准。2021 年 11 月 6 日,美国通过的《基础设施投资和工作法案》,仅提出加强能源、水等关键基础设施基于自愿的网络安全项目等条款,并没有对这些拜登政府关注的关键基础设施行业提出报告网络事件等强制性要求。
三是网络空间规则塑造面临相当挑战。
虽然美国认为在联合国信息安全政府专家组(UNGGE)关于促进网络空间负责任国家行为的报告中,武装冲突法适用网络空间取得了实质性进展,但实际情况并没有想象中那么乐观。一方面,UNGGE 报告目前只是一种共识性文件,其效力属于自愿性约束规则,距离规则的落地还有相当长的距离,且武装冲突法具有特定的应用场景,在当前武装冲突很少出现,在网络战等应用场景不明的情况下,发挥何种效力仍然存疑;另一方面,联合国框架下的规则制定机制正面临挑战。除了UN GGE,联合国框架还新设了代表多利益相关方的开放式工作小组(OEWG),与 UN GGE 作为新的双机制,在 2021 年也达成共识性文件。当前,相关国家正在探讨,OEWG 的进展是否意味着一个更加有效、更有代表性的规则机制,甚至建议考虑取消 UNGGE 进程,确保联合国框架下的单一进程的权威性与合法性。同时,法国、埃及等国也提出在联合国框架下设立推进网络空间负责任国家行为“行动纲领”,旨在将规范转化为行动。这些都给 UN GGE 未来前景带来了一定的不确定性。
三、未来可能的政策走向
对照拜登政府整体网络安全政策设计与执行以来的“落地”情况,考虑到其面临的国内外环境与多重因素,未来,其网络安全政策走向将呈现以下特点。
(一)网络安全决策权会成为其内部博弈焦点
美国总统国家安全委员会和国会均有抢抓政企网络安全协同工作的意愿。美国国家安全委员会副顾问安妮·纽伯格牵头起草《提升国家网络安全》行政令,积极引导政府与承包商间的政企协同。2021 年 10 月 28 日,美国国家网络总监(National Cyber Director)英格利斯在《国家网络总监办公室战略意图声明》(A StrategicIntent Statement For the Office of National CyberDirector)中表示,其工作原则包括加强政企协同,并在参加美国智库战略与国际问题研究中心(CSIS)举办的对话会上,抛出由国家网络总监负责国内政企协同等网络事务,而国家安全委员会负责外交、情报、国防等领域网络事务的分工构想。纽伯格并不同意英格利斯提出的分工安排,当场表示将继续通过落实《提升国家网络安全》行政令从事政企网安协同工作。尽管国家安全委员会在政企网安协同方面具有先发优势,网络安全与关键基础设施安全局正借助“联合网络防御合作”等机制加强与企业联系,并获得国会支持。国会两党网络事务领袖吉姆·朗格文(JimLangevin)称,“联合网络防御合作”机制具有重大影响。可以预见,总统国家安全委员会与国家网络总监代表的国会间将就政企网络协同展开进一步的权责博弈。
(二)软件供应链安全成为拜登政府政策发力点
仅仅在“关键软件”上与政府共享软件供应链相关信息并不能满足拜登政府对软件供应链安全的要求。10 月 28 日,安妮·纽伯格表示,美国政府无法抵御设计时就不安全的技术。美国总统国家安全电信咨询委员会也发布报告建议,通过改革政府采购规定,对“关键软件”落实“软件供应链风险管理”。拜登政府已经在软件供应链标准制定方面展现出了新观念。根据纽伯格等官员的表态看,其所图不仅限于“关键软件”供应商上报供应链信息,而是将继续利用政府采购权力,出台对供应商要求更加严格的系列政策,实现“设计时安全”的软件,从根本上解决软件供应链攻击问题。
(三)继续寻求关键基础设施网络事件报告上的突破
面对强制监管关键基础设施网络安全的努力所遇到的较大阻力,拜登政府很可能在行业监管和立法监管两个方向上同时用力。
拜登政府,一方面,将加强不同行业监管部门的网络安全监管权限。实施行业监管是美国历届政府在网络安全立法难以推动的情况下普遍采取的做法。2021 年 10 月 28 日,安妮·纽伯格表示,将赋予美国国家环境保护局更大的对水系统的网络安全监管权力。另一方面,将抓住一切机会扩大对关键基础设施的强制性权力。10 月 26日,在美国众议院国土安全部听证会上,美国国土安全部前副部长苏珊娜·斯波尔丁(SuzanneSpaulding)、运输安全管理局前副局长帕特里夏·科格斯韦尔(Patricia Cogswell)等人也表示,网络安全保险等自愿性的网络安全方法不能令人满意。安妮·纽伯格认为,采用行业监管的方式提升关键基础设施网络安全会受到行业游说的影响,导致监管要求达不到最低安全标准,还是需要强制性的网络安全标准。目前,《关键基础设施与就业法案》已经以立法的形式对高速公路提出设立网络协调员和部署网络事件报告系统的要求,取得了对关键基础设施强制监管的进展。可以预见,拜登政府还将适时推动各关键基础设施领域的网络事件报告强制性立法。
(四)继续推动规则制定以服务美国网络空间行动
拜登就任以来,在网络国防方面发表的重要讲话,是在 2021 年 7 月 27 日视察国家情报总监办公室时认为,将与大国因为网络产生战争。为应对与大国间的网络战争,美国及其盟友的一贯立场是针对特定国家的网络行动符合国际法。2021 年 6 月,UN GGE 报告明确武装冲突法适用网络空间,为美国及其盟友推动针对国家的网络攻击或所谓“还击”行动符合国际法提供了借口。11 月 18 日,美国网络司令部、国家安全局和英国战略司令部、政府通信总部发表联合声明,表示将持续进行联合网络空间行动,以符合国际法和网络空间负责任行为的方式进行集体防御和威慑。从联合声明中美英宣称要“为网络空间负责任的国家行为树立榜样”的表述看,美国未来将与盟友塑造在国家间网络冲突中动用网络部队的“合法”“负责”做法。尤其是面对当前国际规则制定进程面临的挑战,美国政府必然会进一步加强与盟友的协调力度,通过各种渠道与方式强化对国际规则的主导权。
作 者
周宁南:现代院科技与网络安全研究所助理研究员
李 艳:现代院科技与网络安全研究所副所长
本文原载于《中国信息安全》杂志2022年第2期