美国网络安全政策导向及其启示
2010-08-15刘助仁
刘助仁
(湖南省社会科学院 政治与公共管理研究所所长、研究员,湖南 长沙 410003)
美国网络安全政策导向及其启示
刘助仁
(湖南省社会科学院 政治与公共管理研究所所长、研究员,湖南 长沙 410003)
互联网已经融入了当代社会的各个领域,并成为了一个国家赖以正常运转的“神经系统”,而一旦出现网络危机,该国整个社会有可能陷于瘫痪。因此,网络安全已成为国家公共安全的“致命威胁”。美国政府在确立维护网络安全的国家战略,完善维护网络安全的管理机制,优化网络安全的技术组织结构,健全维护网络安全的法制体系等方面的经验对我国网络安全保障体系建设具有一定的借鉴意义。
美国;网络安全;政策导向;启示
自从互联网逐步普及以来,网络安全问题及其对经济发展、国家安全和社会稳定的重大影响,正日益凸显出来。在信息网络化进程中,国家安全与经济、政治的安全越来越不可分割,而经济、政治安全越来越依赖于关键性信息网络基础设施的安全。网络安全是一个事关国家公共安全的全球性重大战略问题,已成为世界各国政府的共识。特别是“9·11”恐怖袭击事件后,网络安全政策更成为各国特别是发达国家政府公共安全政策的一个重大组成部分。美国网络安全政策在全球范围内具有普遍性和代表性,其网络安全政策导向值得我们借鉴。
一、确立维护网络安全的国家战略
当今世界,美国的信息基础设施最发达,其互联网络技术也最先进。不论信息领域中的操作系统、数据库,还是网路交换机等核心技术基本都掌握在美国企业的手中,从而使其在网络空间占据着绝对的优势。随着信息全球化步伐的加快,美国充分认识到,无论在政治、经济还是在军事上,信息网络的作用已经同美国的国家利益和战略目标密不可分,网络安全事关国家的核心利益,已经成为维护国家安全、保障公民基本权利和夺取军事斗争胜利的关键因素,先后调整了国家安全战略,使网络安全在国家安全战略诸要素中的地位不断上升,已成为国家安全战略中“不可分割的重要组成部分”。
美国网络安全的战略重点是基础设施的安全,以此为主线美国展开了网络安全的研究和部署,并采取一系列重要举措。首先从国家战略高度规划网络安全建设,特别是网络安全基础设施建设。为此,美国先后启动了7个关于保护美国关键基础设施的计划即:信息共享计划;确定伙伴关系计划;组建工作机构计划;网络安全教育计划;保障政府网络安全计划;完善法律法规战略计划;研究与开发计划。美国国家安全局制定了《网络安全保障技术框架》(IATF),全方位地从技术角度阐述了网络安全保障的方方面面,这是网络安全保障技术领域中最为系统的研究。IATF为保护美国政府和工业界的网络和网络基础设施提供技术指南,并强调网络安全保障要靠人、操作和技术来实现。美国政府关键基础设施保护委员会发布了保卫美国网络安全的“国家行动计划”,经时任总统克林顿批准,于2000年12月生效,2003年全面付诸实施。该计划明确强调,要提高美国信息网络系统的整体防护能力,包括国家攻击判断和预警能力及协调响应技巧,保护涉及美国关键基础设施、政府部门、军事指挥和情报系统、重要产业和企业以及公民的信息网络安全。美国国会、司法部、商务部和联邦调查局也曾多次召开会议,讨论加强网络安全措施,并明确规定联邦政府为制定国家网络安全标准及网络安全政策的授权单位。
“9·11”之后,美国深知在没有了全球同等级军事竞争对手之后,“非对称攻击”对于其基础设施,尤其是网络战武器这种“穷国原子弹”对于其网络基础设施的高度威胁。2001年10月8日,白宫任命反恐专家理查德·克拉克为总统网络安全特别顾问,以协调有关机构保护信息网络系统。2002年,克拉克又提出未来美国网络安全领域的10大重要措施,其中有:制订《保护cgberspace安全的国家战略》、制定cgberspace安全模型、加强行政部门间网络安全的合作、建立政府与企业界在网络安全方面的紧密联系、培训更多网络安全人员、建立cgberspace预警网、建立各类基础设施间的安全保护仿真模型、提高公民的网络安全意识等。克拉克还提出,新的国家网络安全战略应该是一个开放的、透明的、动态的、与时俱进的活动战略。为此,各网络安全组织和政府部门纷纷调整自己的安全战略和行动计划,以提高网络防御能力。2002年9月20日,美国正式公布了新的国家安全战略。新战略首次改变了过去冷战时期的军事威慑战略,强调要对恐怖(包括网络恐怖)威胁发动先发制人的军事打击。新战略更明确提出国土安全部将承担整合和协调,及对美国联邦基础设施保护职责的责任,并要求国土安全部把保护网络基础设施放在最高的优先级别。与此同时,美国在互联网上公布了《确保网络安全战略》草案,建议政府提高网络关键设施的安全性,加强计算机中心建设,以监测对付“网络攻击”。[1]
2003年2月,布什政府正式公布了《确保网络安全国家战略》。这是在“9·11”事件发生一年多后,美国政府经过对非传统安全问题的深刻反思后,在网络安全方面出台的重大举措。该战略是美国保护国家安全整体战略的一部分,是美国关于保护网络安全方面的首份最权威性政策文件。《确保网络安全国家战略》目标定位于提高美国网络空间的抗风险能力,保证其免受自然和人为破坏。该战略对美国面临的网络威胁和脆弱性进行了阐述后认为,没有一个单独的战略能消除网络空间的脆弱性和相关威胁,国家必须进行风险管理,提高能力,将攻击造成的损失降到最低。由此明确指出制定和实施网络安全保护计划的指导方针,提出了五大优先发展内容,即国家网络安全响应系统、国家网络安全威胁与脆弱性降低计划、国家提高网络安全认识与培训计划、政府网络安全保护、国家安全与国际网络安全合作。该战略还规定了联邦政府有关部门在网络安全保护中的基本职责,也为州和地方政府、私人企业和机构以及普通市民指明了在网络安全方面的行动方向。[2]
然而,网络安全威胁持续发展,为了应对这种严重局面,奥巴马上任伊始就把网络安全作为维护美国安全的首要任务,突出强调网络空间的战略地位,把网络基础设施列为战略资产,实施保护。在克林顿时代,美国就把包括网络在内的基础设施列为关键基础设施,网络安全战略主题是网络基础设施保护,重点在于“全面防御”;布什上台后,网络恐怖主义浮出水面,网络安全战略主题是反恐,重点在于“攻防结合”;奥巴马政府不仅把网络列为关键基础设施,而且把它升级为国家战略资产,是国家安全与经济的命脉,进一步加大了在网络领域的战略攻防力度,试图强化并利用其在网络空间中的领先优势,谋求全面“制网权”。2009年2月,奥巴马公布“国家基础设施保护计划”,要求美国各级政府与私营企业合作,全面保护网络安全。奥巴马在2009年5月公布《网络空间政策评估》时说到,网络安全不仅事关公共安全,而且事关美国的竞争力和美国在21世纪的经济繁荣。他将网络安全威胁定位为“举国面临的最严重的安全挑战之一”,并高调亮出了自己的网络安全战略:“宣布我的政府将遵循全新的政策来确保美国数字化基础设施的安全。新政策从我的承诺开始:从今以后,我们的数字化基础设施——我们每天使用的网络和计算机——将被视为一种国家战略性资产。保护这一基础设施将成为国家安全的优先事项。”要综合动用外交军事、经济、情报与执法“四位一体”的手段确保网络安全。[3]2009年6月,美国正式宣布成立网络战争司令部,提出“攻防一体”口号。与往届政府的网络安全政策相比,奥巴马政府更注重运用军事手段维护网络安全,其网络安全战略已显现“以攻为主,实现网络威慑”的主题。
二、完善维护网络安全的管理机制
维护国家网络安全是美国政府的一项重要职责。为了统一领导和协调一致,美国早就成立了由重要内阁成员参加的“关键基础设施保护委员会”。该委员会定期举行会议并提交报告,为总统了解网络安全状况和制定政策提供建议,并协调各项保护网络计划的实施。在网络安全的组织和执行机制上,美国总统通过国家安全委员会、关键基础设施保护委员会处理和协调有关网络安全事务。关于网络安全的具体工作则分别由美国商务部下属的国家标准与技术局(NIST)和国防部下属的国家安全局(NSA)分工负责。NIST主要负责非保密信息的网络安全工作,而NSA主要负责保密信息的网络安全工作。在国家层次上,商务部和国防部实际上分工负责了所有的网络安全工作,两者之间责任明确。NIST由商务部长主管,协助政府和产业界进行安全规划、风险管理、应急计划、加密、人员身份认证及智能卡应用等安全技术的开发、推广应用、计算机病毒检测与防治、安全教育培训等方面的工作,同时还负责制定安全技术和安全产品的国家和国际标准。在组织上,NIST所负责的网络安全工作具体落实到该局下层的计算机系统实验室的计算机安全部。计算机安全部负责帮助联邦政府各部门解决各种各样的信息网络安全问题。而NSA则具体负责“国家安全系统”(即保密信息)的网络安全工作,其职责是帮助政府机构解决与“国家安全系统”有关的信息网络安全问题;出版“网络安全产品和服务名录”;根据政府机构及其合同单位的要求,对有关网络系统的薄弱环节加以评估,并提出消除和改善薄弱环节的安全措施。[4]
为了健全网络安全快速反应机制,1998年2月,美国联邦调查局成立了国家基础设施保护中心。这是美国唯一的专门对付攻击国家基础设施的犯罪活动的全国性机构。该中心成员由政府部门、州和地方政府以及私营部门的代表组成。其主要职责是发现有预谋的网络攻击行动,并对政府和公共行政部门发出警告;实施与打击网络犯罪,并执行反恐怖和涉外反间谍等任务;对威胁国家重要基础设施的计算机入侵等非法活动进行调查分析;当违法行为超出一般刑事犯罪的范围并由外国发起旨在攻击美国利益时,对国家安全部门提供支持。目前该中心在评估威胁、提供威胁预警等方面发挥越来越重要的作用。美军各兵种也相应采取了各种网络安全快速反应机制。如陆军实施了“网络安全改进计划”、海军实施了智能卡身份认证、空军则着手验证网络安全新技术等。为了防止、侦测和反击国防部信息网络基础的威胁行为,美国陆海军三军相继成立了专门负责网络战的网络中心。空军网络战中心AFTWC已具备了计算机紧急响应能力,并执行与国防网络局类似的任务;海军的舰队网络战中心FIWC与陆军的陆上网络战行动小组CIWA也已具备类似的能力。[4]
“9·11”事件后不到1个月,时任总统布什即以1322号总统行政命令“要建立国土安全办公室”。经国会批准,该办公室于2002年7月升格为“国土安全部”,其职责是保护本土网络基础设施的安全。2003年1月,国土安全部正式启动。为了加强网络安全的行政领导,布什还以总统令“网络时代的关键基础设施保护”宣布,将“关键基础设施保护委员会”这一部委之间的协调机构改为行政实体“关键基础设施保护办公室”,接受总统办公厅的领导,同时成立“关键基础设施保护理事会”,任命克拉克为总统网络安全顾问,使他成为全美网络安全总指挥,有权了解各部门内属于其管辖范围的所有情况,召集和主持与网络安全相关的各种会议,制定保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。
奥巴马政府就任后,构建美国21世纪网络安全管理领导机制便成为当务之急。奥巴马认为,网络安全威胁的特殊性使网络安全管理超出了任何政府单一部门的职能。过去美国政府仅仅把网络安全看作是技术问题,但如今不能再保持这种观点了,因为维护网络安全要求举美国全国之力,要涉及外交、军事、情报、执法、经济政策等诸多领域。它们要求全面的战略、各个政府部门的协调管理。目前美国尚不存在满足上述要求的管理机制。于是,他宣布要成立一个白宫层面的“网络安全办公室”。为了确保联邦政府的网络政策能强化美国的安全与繁荣,领导该办公室的网络安全协调员将成为“国家安全团队”的成员和“国家经济委员会”的成员。[3]美国军方也在不遗余力地构建网络安全管理的领导机制。2009年6月23日美国正式组建网络司令部便是重要标志,从而进一步理顺了美军网络安全管理的领导机制。[5]
三、优化网络安全的技术组织结构
美国凭借其深厚的科技水平,在网络安全保密技术、安全控制技术和安全防护技术等的开发和使用上处于领先地位,在不断进行技术完善的同时,它还加强某些技术的控制与管理,企图维持在世界上的霸主地位。随着美国网络安全观念的不断深化,在大量开发防火墙、安全路由器、安全服务器、用户认证产品等保护技术和产品的同时,也加强了对预警、检测、追踪、响应和恢复等积极防范技术和产品的研制。例如,开发了可追踪黑客使用“拒绝服务程序”攻击源头的软件、联邦计算机入侵检查网络、国防部的自动入侵检查系统等。
要提高网络安全技术水平,必须加大对网络安全技术的财政预算投入,大力培养网络安全的专业人才。在2010年度财政预算中,奥巴马政府投资3.55亿美元以加强美国公共部门与私营部门的网络安全,加强网络安全技术研发。该预算较之2009财年的预算支出3.13亿美元有所增加。另外,2010年财政预算给予国土安全部门的科技局10亿美元,用于诸如网络安全等研究。这些预算不包括国防部用于网络安全的费用。这些费用主要用于研发、部署新的网络攻防技术设施。为了加强对网络安全的研究,美国政府制定了“网络空间人才”计划,该计划的实施,为美国培养了部分急需的网络安全技术人才。与此同时,《网络安全研究与开发法案》确立了美国网络安全技术人才的原则,并明确规定了国家有义务资助他们开展工作。为研发网络新技术和保护网络安全,奥巴马政府和军方招贤纳士。美国国土安全部门计划招募一批网络高手协助保卫网络安全。国防部打算投入资金加大网络专业人才培训力度。到2010年,国防部网络技术专家人数将从当前的80人增加到250人。网络战司令部近期拟征召2000~4000名“士兵”。[6]
网络安全技术标准可以为网络安全技术监测的建立提供理论依据,有利于引导网络与网络安全技术朝着健康有序的方向发展。早在1980年代初,美国就开始着手制定计算机安全评价标准。1985年,国防部国家计算机安全中心代表国防部制定并出版了可信计算机安全评价标准,即著名的“桔皮书”。为了针对网络、安全的系统和数据库的具体情况来应用桔皮书的标准,国防部国家安全计算机中心又制定并出版了三个解释性文件,即可信网络解释、计算机安全子系统解释和可信数据库解释。至此,便形成了美国计算机系统安全评价标准系列——彩虹系列。同时,美国利用自身在网络规则和硬件生产领域的强大发言权,主导国际网络安全标准的制定,并通过双边贸易谈判等渠道,将增强网络安全和打击网络犯罪的通行标准推广到世界其他国家和地区。这种变化体现了美国在战略上控制网络技术及其安全的用心。[7]
四、健全维护网络安全的法制体系
要使网络安全运行及信息安全传递,亟需进行必要的法律建设和相应的政策配套。美国建立了一整套法制体系,其中最主要的是美国国会1987年通过并于1988年开始实施的计算机安全法。制定计算机安全法的目的,是为了“改善联邦政府计算机系统内敏感信息的安全与保密”。美国确立的有关网络安全的其他法规还包括国家信息网络基础设施保护法、信息自由法、个人隐私法、反腐败行径法、伪造访问设备和计算机欺骗滥用法、电子通信隐私法、正当通信法、电信法、儿童网上保护法、加强网络安全法、公共网络安全法案、通信行为规则法案、数字电话法案、电子签名法案、政府信息网络安全政策法案、反黑客法案及禁止互联网赌博法案等。[8]
有了相关法律的保障,还必须有相应的政策,以保障网络安全具有可操作性。美国网络安全政策主要体现在《联邦政府信息资源管理OMBA-130号通告》中和“国家网络安全保障”政策及密码使用管理政策方面。“国家网络安全保障”政策是指:用支持网络空间安全的意识培训和教育来作为国家这一领域的启蒙;在信息系统和网络中使用强密码来实现包括数字签名和加密技术;开发和使用良好的商业化安全网络技术产品和服务;全球网络安全管理基础设施;防御基础设施,包括国家攻击判断和预警能力及协调响应技巧。密码使用管理政策集中在使用密码进行信息加密和使用数字签名实施证书授权两个方面。
2003年正式通过《网络安全国家战略》以后,美国一直在努力寻求提高网络安全的法律手段来保护其网络空间安全,并有越来越多的法律法规出台。美国网络安全立法趋势:一是立法要强制与激励举行。法不仅要具有一般法律的强制性,还应具有激励性,制定一项网络安全法规时,不仅要考虑如何确定否定式的消极后果,而且应充分考虑如何确定肯定式的积极后果;二是立法要与现实发展相配合。网络安全法付诸实践是慎重而长远的事情,立法本身需要根据现实发展不断作出调整;三是立法的基础是不断强化网络安全技术标准。立法起到规范技术标准和准则的目的,同时各种专业技术标准和准则也是立法的基石。[8]
奥巴马上任后,为谋求网络威慑,实现制网权,更加注重发挥法律法规的力量。2009年9月和11月,美国众议院科技委员会科学教育分委会和技术、创新分委会分别通过2009年网络安全研究法案和网络安全协议与加强法案。众议院将以上两个法案进行整合,听取有关建议,形成并通过了加强网络安全法案。这个法案将为美国建立网络威慑,积极参与制定形成国际网络安全技术标准,实现制网权提供有力保障。
五、对我国网络安全建设的启迪
根据我国网络安全的现实状况,借鉴美国加强网络安全建设的政策导向,当务之急,最关键的问题是统一解决我国网络安全保障的战略规划,要把网络安全保障提高到国家安全高度来认识。网络安全是一个国家的综合集成系统,国家网络安全保障战略是一个关系到国家网络安全全局、着眼国家网络安全长远发展的重要纲领性文件,它将站在维护国家安全和保障国家网络安全建设健康发展的高度,提出我国网络安全保障战略发展的指导思想、战略目标、推进策略、动作机制和实施路线,以利于统一思想、统一意志、形成合力,起到动员、指导和促进网络安全的全面建设。[9]因此,它的战略规划管理要求国家进行科学的、强有力的干预和导向。这样才会有全国统一、全面、合理的制度安排,准确把握全国关键基础设施的纵深防御和多层屏障的科学设置,日益加强网络安全体系。建立网络安全保障体系的基本构想应该是:完善国家网络安全的管理组织机制,优化网络安全的技术组织结构,健全网络安全的法律法规体系。
[1]黄鹏.由鲜举,等.美国如何打造网络安全盾牌[N].中国电子报,2002-09-13.
[2]蔡文之.网络:21世纪的权力与挑战[M].上海:上海人民出版社,2007.
[3]张保明.奥巴马的网络安全新思维[J].国际技术经济导报,2009,(8).
[4]唐岚.美国国家信息安全保障体系简介[J].国际资料信息,2002,(5).
[5]温宪.美国拓宽网络空间霸权[N].人民日报,2009-07-09.
[6]程群.奥巴马政府的网络安全战略分析[J].现代国际关系,2010.
[7]龚玉朝.美国国家网络空间安全战略的新发展[N].学习时报,2010-05-24.
[8]王坚.美国的信息网络安全措施[J].全球科技经济瞭望,2003,(10).
[9]曲成义.国家信息安全战略研究的几点思考[J].计算机安全,2003,(11).
On American Online Security Policy Guidance and Its Enlightenment
LIU Zhu-ren
Internet has already incorporated each field of the contemporary society,and become“nervous system”that a country depended on running well.Once the network crisis appears,the whole society of this country is probably at a standstill.The online security has already become country’s public and safe important factor.American has the experience in respects such as to maintain theonlinesecurity strategic,improvethemechanism of management of maintaining onlinesecurity,optimizethe technological institutional framework of the online security,and to build the safeguard legal system of the online security,etc.The experience is worth for our country’s study.
America;online security;policy guidance enlightenment
D73
A
1673-8616(2010)05-0030-04
2010-06-20
国家社科基金资助项目(08BSH009)和湖南省社科规划课题(2008ZK3152)阶段性成果
张少宁]