近两年美国信息安全发展综述
2011-08-15郝文江马晓明
□郝文江,马晓明
(公安部,北京 100048)
○公安理论与实务
近两年美国信息安全发展综述
□郝文江,马晓明
(公安部,北京 100048)
美国奥巴马执政以来,出台了一系列网络安全战略,并使之成为美国国家安全战略的一部分。国家层面的战略计划、法律法规相继出炉,体现了美国将迎来信息安全政策的重大调整。近两年美国的信息安全战略部署和信息安全立法动向,给了我国一些启示。我国应该加快信息安全立法工作,为我国信息化健康发展提供法制保障。
信息安全;战略部署;立法动向;美国
主持人:王玉叶
信息安全开始渗透到社会生活的各个领域,对传统的行政权力划分提出挑战。美国现有的网络安全部门结构非常复杂,国防部、国家安全局、国土安全部之间存在职能冲突,信息安全行政主管权的职能冲突也同样延伸到了立法领域。美国政府历来高度重视网络空间的安全部署,奥巴马执政以来则实施了一系列网络安全战略,并使之成为美国国家安全战略的一部分。国家层面的战略计划、法律法规也集中出炉,体现了美国将迎来信息安全政策的重大调整。
一、奥巴马政府的信息安全战略部署
奥巴马政府高度重视网络安全在美国国家安全战略中的作用,将信息安全战略列为执政的首要任务之一。其内容包括:任命白宫网络安全协调官协调美国的网络安全事务;把网络基础设施列为战略资产加以保护;成立网络战司令部,加强网络攻防能力。奥巴马政府网络安全战略的实质是谋求网络威慑,实现制网权。
(一)确立了信息安全的集中领导权。奥巴马执政以来出台了一系列信息安全机构的调整政策,如增设白宫网络安全事务协调官和白宫网络安全办公室。白宫网络安全办公室是直接对国家安全委员会和美国总统负责的网络安全机构,凌驾于军队和政府情报部门之上,负责统筹全国网络安全事务。
面对美国政府、民间力量和军方在应对网络突发事件时各自为政的局面,2009年5月底,在经过为期两个月的网络安全评估后,奥巴马宣布将成立一个新的用于保护网络安全的白宫办公室,其领导人被称为“网络沙皇”。奥巴马宣布,要把保护美国最重要的计算机网络的安全作为美国国家和经济安全的最优先项目。“我们将确保这些网络是安全的、值得信赖的并且轻易恢复的”,奥巴马说,“我们将阻止、跟踪和防备那些网络攻击,并且迅速从任何攻击中恢复过来。”2009年12月22日,奥巴马正式任命网络安全专家霍华德·施密特为美国网络安全协调官,统筹协调美国网络安全政策和行动。
网络安全协调官领导下的网络安全办公室将为总统提供网络安全方面的决策和方针,并协调美国全国的网络安全力量。特别是在主要的网络突发事件或网络攻击中,调整美国政府的反应。之所以称其为“网络沙皇”,是因为奥巴马总统给予了强有力的支持,用奥巴马的话说,“我将依赖这个办公室解决涉及网络安全的问题,这个办公室正规的权力将得到我的全力支持”。“网络沙皇”的自身任务也不轻,他将负责“整个美国所依赖的要害的网络基础设施的安全”,这些网络基础设施并不限于联邦政府。他还将同各州政府官员以及对抗网络攻击的国际性组织联合工作,而且也将同私人部门联合,以确保对未来网络突发事件的有组织的、统一的行动。
(二)高度重视网络基础设施。根据2009年2月制定的“国家网络安全综合倡议”,对美国目前的网络安全状况进行了为期60天的评估。这期间,美国国会研究服务局和政府问责局分别出台了两份有关美国网络安全的报告。
2009年3月10日,美国国会研究服务局针对小布什政府提出的CNCI,发布了《国家网络安全综合倡议:法律授权和政策考虑》报告。这是一份关于美国网络战争及国防法律与政策问题的报告。报告认为对政府关键基础设施的网络攻击是要高度关注的首要威胁,奥巴马政府的网络安全重点是提高行政和立法部门应对网络安全挑战的能力。同一天,美国国会政府问责局公布 《国家网络安全战略》报告,提出了美国需要进一步采取措施加强的五大网络安全领域,即支持网络分析和预警能力,完成网络演习中提出的行动,增强基础设施控制系统的网络安全性,加强国土安全部对网络攻击的恢复能力,控制网络犯罪。
2009年5月29日,奥巴马指导了一个为期60天的对美国网络安全政策和结构“彻底清查(cleanslate)”的评论评估。经过几个月的工作,公布了评论小组的结论性报告——《网络空间政策评估——保障可信和可恢复的信息和通信基础设施》,报告概述了朝向未来的可靠、可恢复、可信的数字基础设施的起始之路。网络安全政策包括关于网络空间操作和安全的战略、方针和标准,主要围绕着缩减威胁的范围、减少漏洞、威慑、国际参与、事件响应、恢复、补救政策和活动,包括计算机网络操作、信息保障、执法、外交、军事和情报使命,因为这些都与全球信息和通信基础设施的安全和稳定有关系。网络安全政策不包括其他与国家安全和基础设施安全不相关的信息通讯政策。政府网络安全专家评论小组参与并接收了工业、学术、公民自由保密团体、州政府、国际伙伴和立法执法部门各个方面的反馈意见。报告指出:国家正处于一个十字路口;现状已不可接受;必须马上开始全国性的网络空间安全对话;美国不可能独自确保网络空间的安全;联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色;与私营部门合作,必须定义下一代基础设施的性能和安全目标;白宫必须在提高网络安全方面起领导作用。
2010年6月25日,白宫公布了网络空间可信身份战略,建立网络空间的身份生态环境。6月下旬,美国网络安全协调官霍华德·施密特在白宫网站上发布了《国家网络安全网络空间可信身份国家战略》(NSTIC)草案。NSTIC是为了响应奥巴马总统批准的《网络空间政策评估》,在综合了政府关键部门、龙头企业和个人隐私等各方面的基础上撰写而成。最终的目的是建立一个以用户为中心的身份生态认证系统,让用户在身份认证时,能够更多地控制需要提供的个人信息。并且,在通常情况下,无需提供不必要的个人隐私及相关信息。这个系统建成后,无论是个人还是组织都能够在信任状态下进行在线业务,保证业务双方的身份认可,以及运行这些业务的基础设施的身份认可。
(三)提高网络攻防能力,实施积极防御。2009年6月23日,美国国防部(DOD)部长盖茨正式下令创建网络战司令部,以协调美军的网络安全和指挥网络战。根据盖茨当天签署的一份长达3页的备忘录,网络战司令部将于2010年10月全部投入运行。
关于美国网络战司令部使命的许多方面是保密的。在此前参议院海陆空三军委员会听证会上,Alexander就参议员询问的问题(共有98个)进行回答,其中29个书面回答是:“在保密附录中提供答案”。比如,对于网络战司令部你的优先权是什么?你怎样定义美国网络战司令部的使命?DOD具有在网络空间在战术、战斗和战略层面上指挥军事战斗的重大能力吗?如果没有确信的“归因”,没有首先要求所在国家政府处理攻击,按照国际法允许DOD“回击”吗?美国有适合于网络战争的威慑学说和威慑战略吗?到什么程度DOD考虑某些美国关键基础设施的防御必须包括延伸到国外的网络?等等。
该司令部隶属于美国战略司令部,驻马里兰州米德堡基地。该司令部将对目前分散在美国各军种中的网络战指挥机构进行整合,最终可能完全独立运作。2010年3月17日,美战略司令部司令奇尔顿表示,美军目前已经基本完成网络战司令部组建准备工作,美国国家安全局局长亚历山大中将已经被提名兼任该司令部司令,经国会批准后网络司令部正式投入运行。据分析,国防部的网络战司令部主要完成三项任务:首先是保护军方的网络免遭敌方入侵和破坏。其次在网络安全办公室的协调下,政府与民间的网络安全组织、公司一起,反制敌方黑客对诸如电力控制系统、供水控制系统等美国重要民用网络的破坏和入侵。最后则是对感兴趣的别国网络进行侵入和破坏,争夺网络空间的控制权。届时,国防部的网络战司令部既是美国民间网络安全力量的骨干,又将在为总统提供决策建议时,作为网络安全办公室的一个有益补充。
2010年2月16日,美国两党间政策问题研究中心组织了“网络风暴”演习,旨在使美国领导人演练如何应对未来灾难性的网络袭击。
网络战司令部的成立,外界称之为从被动响应到积极防御的战略转变,甚至有人认为美国成立网络战司令部的目的是在网络空间实施“先发制人”的政策。早在2009年4月,一个美国空军官员就对BBC说过,“美国应当构建一个攻击性的僵尸网络,把向美国发起网络攻击的任何力量作为目标。”几乎同时,美国报纸也透露,“国防部确实在开发进攻性网络武器。”可以设想,网络战司令部非常可能利用在美国国内众多的僵尸网络及其命令和控制服务器来隐蔽其秘密的军用进攻性僵尸网络。美国建立网络战司令部的深层原因和深远影响,就是可能在网络空间中引起新的军备竞赛。
二、近两年美国政府信息安全立法动向
信息安全领域开始渗透到社会生活的各个领域,对传统的行政权力划分提出挑战。美国现有的网络安全部门结构非常复杂,国防部、国家安全局、国土安全部之间存在职能冲突,许多新成立的机构严重缺员。近几年的网络安全立法更像是信息安全主管权的争夺战。各部门都想通过立法来分未来信息安全主导权的一杯羹。美国在近十年间一直努力构建严密而复杂的网络监管体系。美国政府对互联网的监管措施越来越严密,并呈现出“法制化”、“规范化”的特点。
(一)已通过的信息安全法律。
1.《美国信息与通讯增强法案》修订法案。2009年8月13日通过了《美国信息与通讯增强法案》修订法案(U.S.ICE),该法案是对《联邦信息安全管理法案》(FISMA)所规定的IT安全规范指导的更新。在U.S.ICE修订本中将监督联邦机构信息安全的职责从白宫的OMB转移到DHS。修订版删除了在总统行政办公室中设置国家网络安全办公室的规定。U.S.ICE将大多数政府的IT安全监管授予国土安全部。OMB将保留对预算内容的最终发言权。DHS将检查所有部门和机构网络安全开销计划并且向OMB发送建议。从OMB到DHS转移职权背后的想法是,国土安全部具有网络安全专门技术而OMB所精通的是预算。国土安全部是关于网络安全的协调机构。该法案授权国家标准和技术研究所(NIST)作为制定IT安全规范指导的重要机构。
U.S.ICE修订版的其他规定。
(1)在DHS内构建一个机构间网络安全委员会,提供来自不同机构研究联邦网络安全政策的专家。来自每个机构负责IT安全政策的资深人员将是委员会成员,在有些机构,将是首席信息官,或者是首席信息安全官。
(2)与IT供应商合作,以驱动成本效能为目标,为商业现货供应产品设立IT安全基线。
(3)构成一个包括DHS、NIST和政府服务局的机构间联合小组,为安全技术建立通用认证和认可框架。将不允许机构建立它们自己的Camp;A标准。
2.2010年通过的决议。2010年的美国信息安全立法提案不少,但真正获得通过的仅是几个决议,而非实质性的法律法规。在通过的《国土安全部拨款法案2010》和 《国土安全法律和技术授权法案2010》中,2010年财政预算给予国土安全部的科学与技术局10亿美元,用于诸如网络安全等研究。这些预算不包括国防部用于网络安全的费用。这些费用主要用于研发、部署新的网络攻防技术设施,如小布什政府CNCI中的爱因斯坦3型(Einstein3)等网络侦测设备,以及国家网络靶场(National CyberRange,NCR)和网络风暴3(Cyber Storm3)演习等项目。
为研发网络新技术和保护网络安全,美政府通过一系列决议来培养信息安全人才,为信息安全做人才储备。2010年6月29日由众议院教育和劳工委员会提案通过的在未来5年内推进全国高校网络安全课程的学习,并举办全国大学生网络防御比赛。另外,《网络安全研究和发展法案》修正案旨在促进学院、大学和制造技术推广中心之间的合作。
(二)2010年具有影响力的信息安全法提案。2010年最受关注的两个提案是《国家网络基础设施保护法案2010》和《像保护国有资产一样保护互联网空间法案2010》。
1.《国家网络基础设施保护法案2010》(National Cyber Infrastructure Protection Act of 2010)。该提案提出了三点建议:一是国会应该在网络基础设施保护领域设置“安全线”,以保障美国的网络基础设施安全,当然要留给政府和私营部门一定的灵活性;二是提议成立国家网络中心,并由参议院指定一个人作为中心主任,直接对国会、美国人民和总统信息安全负责;三是提议政府和私营部门之间建立网络防御联盟关系,以促进私营部门和政府之间关于网络威胁和最新技术信息等的信息互通。私营部门往往是遭受网络攻击的第一线,其网络攻击信息可以提高政府对网络威胁性质的认识,政府也应该分享其掌握的网络威胁信息,包括机密或解密的情报。该联盟将成为传递敏感信息、网络威胁信息交换所,当然该联盟的工作必须严格遵守《信息自由法》、《反垄断法》等法律法规的限制。
2.《像保护国有资产一样保护互联网空间法案2010》(Protecting Cyber spaceasa National AssetAct of 2010)。该法案由美国国土安全委员会主席、资深参议员乔·利伯曼向美国参议院提出。该法案已经由参议院国土安全与政府事务委员会通过,提案授权国土安全部对国家机构的IT系统进行维护监管。该法案同样遭到了质疑,认为该法案授权美国国土安全部来监管新IT安全产品的测试和政府采购,而国土安全部并没有这方面的专门人才。去年12月,总统任命了一个新的白宫网络安全协调官,该法案似乎试图绕过网络安全协调官及其办公室的权限。
该法案中最有争议的条款,是指总统可以宣布国家紧急网络状态,并强制私营业主对关键IT系统采取补救措施,以保护国家的利益。该法案规定将涉及在发展中国家私营部门的补救措施。根据该提案,当美国政府认为美国安全将因互联网的开放而受到侵犯时,总统可以命令谷歌、雅虎等搜索引擎运营商暂停互联网服务。其他以美国为基地的互联网服务提供商,在全国发生互联网安全紧急事件时,都将受到总统的管制,违者将遭到严厉的处罚。如果这样,美国总统就正式拥有开启和关闭“互联网按钮”的权力。
三、对我国信息安全立法的几点建议
通过控制互联网来控制世界一直是美国的主导战略。通过对近两年来美国信息安全战略和立法的分析可以看出,美国的国家信息安全战略已经进入了奥巴马时代的“网络威慑”期,经历了一个“从预防为主到先发制人”的演化过程,手段经历了“从控制互联网软硬件系统到控制互联网内容”的演化过程。拥有开启和关闭互联网的“总开关”成为美国通过互联网来控制世界的最终目的。而更令人担忧的是《像保护国有资产一样保护互联网空间法案2010》的提案,以美国为基地的互联网服务提供商,在全国发生互联网安全紧急事件时,都将受到总统的管制。如果这样,美国总统就正式拥有开启和关闭“互联网按钮”的权力。与此同时,美国在近十年间一直努力构建严密而复杂的网络监管体系。由于互联网本身的 “活跃”属性和美国社会对公权力膨胀的担心,“管”与“放”的矛盾一直十分激烈,且将长期争论下去。但总的来看,美国政府对互联网的监管措施越来越严密,并呈现出“法制化”、“规范化”的特点。我国应该加快信息安全的立法工作,为我国信息化健康发展提供法制保障。
(一)加快制定信息安全立法规划。我国在网络安全立法方面以2004年通过的《电子签名法》为标志实现了零的突破,随后,各部门发布了《电信条例》、《信息网络传播权条例》、《互联网信息服务管理办法》、《计算机信息系统安全保护条例》、《互联网视听节目服务管理规定》等。与发达国家和一些发展中国家相比,我国在信息安全方面的立法明显滞后,不仅是已有立法的范围只覆盖了网络安全的个别领域,而且立法的效力层次较低。信息安全涉及各行各业,由某一个行业主管部门出台的行政性规制就很难做到全面公正。鉴于此,建议我国应尽快制定信息安全立法规划,明确立法时间表。
(二)加强对国家信息基础设施的保护。信息基础设施已经在国家社会生活的各个领域中发挥着不可替代的作用,政治生活、经济运作、商业活动、军事安全和文化娱乐,都依赖庞大而复杂的网络系统。而政府、社会团体、公司的网站每天都会面临各种网络攻击,给国家的政治经济和国家安全带来严重隐患。在今天的经济形势下,所有的组织都需要为网络攻击关键基础设施导致的不稳定做好准备。我们每天赖以生存的重要基础设施,任何一次攻击都可能导致毁灭性的打击。为消除这一日益增加的隐患,我国应该尽快出台国家信息基础设施保护方面的法律法规,不仅包括对光缆和移动通信基础设施的保护,而且包括对非法接入行为的界定、对黑客和制造病毒等恶意破坏行为进行处罚。
(三)明确国家在发生重大安全事件时可以对网络进行管制。网络世界从来也不是一个不用现实的法律条例约束的独立王国。高声宣扬“网络自由”的美国,从来都没有对互联网疏于防范和管控。美国通过各种途径,对网络实施着当今世界最成熟和最有效率的监控和管制措施。不论是战略层面还是策略层面,不论是技术层面还是管理层面,美国都是当今世界在这一领域最具实力和最具执行力的国家。政府有对网络行为进行管制的必要性和正当性。我国应该制定完备的信息安全法对网络进行管控。有消息称《信息安全条例》已纳入2011年国务院立法规划。我国的信息安全法应该包括在国家发生重大安全应急事件情况下对通信网络管制的权力,尤其是在有理由相信国家安全受到威胁时可以采取临时管制措施的权力。
四、结语
互联网是一个开放的世界,但“没有规矩,不成方圆”,互联网一旦出现法律和监管上的真空,国家安全、信息安全、电子商务、个人隐私等合法行为、合法权益、合理诉求必将遭受冲击和破坏。依法管理互联网已成国际惯例,只有明确法律保护什么、禁止什么,明确互联网主体参与者的权利和义务,才能保障互联网健康、有序、快速的发展;只有让法律法规适应日新月异的互联网技术发展,依法管理好互联网,才能让网民安全使用互联网,共享互联网科技进步带来的硕大成果。
[1]John Rollinsamp;Anna C.Henning,“Comp rehensive National Cybersecurity Initiative:Legal Authorities and Policy Considerations”,10 March 2009.
[2]United States Government Accountability Office(GAO),“NationalCybersecurity Strategy:Key Imp rovementsAre Needed to Strengthen the Nationps Posture”,http:// www.gao.gov/new.items/d09432t.pdf.
[3]“Cyberspace Policy Review:Assuring a Trusted and Resilient Information and Communications Infrastructure”.
[4]Eric Chabrow,Cybersecurity’s Bipartisan Spirit Challenged,June 28,2010.
TP393
A
1674-3040(2011)03-0050-05
2011-03-05
郝文江、马晓明,均系公安部第一研究所干部。
(责任编辑:王玉叶)
