美国网络空间军民融合的经验与启示
2017-06-14吕晶华
吕晶华
美国发展网络空间的关键词是:“融合”而非“建设”,美国军队与私营部分之间形成了关系密切的军工复合体。
美国是打造网络空间军事力量的始作俑者。从2009年率先建立网络空间司令部,到2013年公开承认建有专司“进攻”任务的网络战部队,从2011年、2015年国防部接连发布两份网络空间战略文件,到网络安全国防预算持续攀升,美国的网军建设始终是国际社会关注焦点。然而,这从来都不是美国国防部一家的单打独斗,军民融合始终是美网络空间力量建设与运用的基本思路。美国网络空间力量发展关键词是“融合”而非“建设”。借鉴美国这方面的做法与经验,吸取其教训与不足,走出有本国特色的军民融合式网络空间发展之路,将有助于包括中国在内的世界各国实现网络实力的飞速跃升。
核心目标:政府主导、体系统筹
近年来,美国接连发布网络空间战略文件,强调将政府民事机构、军事力量、私营企业、学术精英以及普通民众等力量整合起来,实现多要素的体系融合,不仅指明了战略方向,而且列出了具体的规划与方案,成为美国网络空间军民融合的顶层设计。
2001年,小布什政府发布第13231號行政令《信息时代的关键基础设施保护》,宣布建立由国务卿、国防部长、司法部长、商务部长等组成的部委问机构,代表政府全面负责国家的信息安全工作,为军事与民事机构合作奠定了机制保证。2008年,小布什政府又在“国家网络空间安全综合计划”提出12项举措,其中之一是基于国家安全局开发的技术、国土安全部与国防部配合实施“爱因斯坦3”项目,以有效防护联邦政府网络。2011年,美国国家科学技术委员会发布《可信网络空间:联邦网络安全研发战略规划》,要求统筹运用国防部、国土安全部、能源部等军事与民事部门下属研究力量,依据各自优势承担不同的研发项目,实现网络技术的新突破。2015年7月,奥巴马颁布关于高性能计算机的总统令,要求国防部、能源部和国家科学基金会作为领导机构,联合推进百万兆级超级计算机的研发进度。
美国国防部对于网络空间军民融合更是高度重视。2011年,美国国防部颁布首份《网络空间行动战略》,列举了美国防部在网络空间的五大战略举措,其中之一是要与其他政府部门、机构及私营企业合作,打造全政府网络空间安全战略,内容包括与国土安全部建立更密切的伙伴关系,以及基于创新、开放和信任激励私营部门参与国防部网络空间安全行动。2012年7月,国防部发布《云计算战略》,明确提出打破军民界限,运用成熟的商业技术推动云计算在军队中的广泛运用。2015年4月,国防部发布新版《网络空间战略》,同样提出要加强与美国政府民事机构的协调,以实现最大限度的信息共享、协调网络行动、分享经验教训。鉴于“国防部在构建网络、提供网络空间安全服务和研发先进能力等方面都依赖于私营部门”,未来需进一步加强与私营企业的密切合作。而且,新战略的发布地点选在网络企业汇聚的硅谷。国防部长卡特在演讲一开始便呼吁,商业界、民间和政府应建立“公开的伙伴关系”,包括重建五角大楼和奎地之间的“桥梁”,
对借私企之力发展网络空间的重视程度可见一斑。应当看到,以发布战略文件的方式强调网络空间军民融合的重要性,不仅意在展示姿态,更是要确保政府在整合各类网络力量过程中的主导地位。美国政府大力推行网络安全政策,一定程度上是由于他们看到了互联网蓬勃兴起带来的机遇与挑战,希望将网络主导权由民间收归政府,期间触发了一系列政治敏感问题。在紧急情况下归私人公司所有的“关键基础设施”能否由政府接管、总统能否下令限制或者关闭被攻破的政府机构或网络的互联网通讯等问题上,政府与民间形成了尖锐的对立。而斯诺登不断曝料的监控丑闻,也使各网络企业亟欲与美国政府、军方“拉开距离”。以出台战略文件的方式引导和筹划军民融合,有助于军事与民事机构形成合力,逐渐削减民间特别是私营企业“自行其事”的空间。
主要标准:资源共享、能者多责
随着网络在社会生活各领域的延伸,各个政府机构的管理职能也相应地延伸到网络当中,导致相关部门越来越多,战略重心不明、工作职能重叠、缺乏协调配合等问题日趋严重。特别是,以国家安全局和网络空间司令部为代表的军事机构,和以国土安全部为代表的民事机构,就谁应主导网络空间展开了激烈的争夺。
2009年,隶属白宫的网络空间办公室和隶属战略司令部的网络空间司令部相继成立,美国基本确定了军民两分的基本模式,即在网络空间办公室协调下,国土安全部保护联邦机构网络即“gov”的安全,网络空间司令部和国家安全局保护军事网络即“mil”的安全。相关部门首脑均摆出合作姿态,宣称将努力确保资源共享。时任美国防部副部长威廉·林恩、网络空间司令部司令基思·亚历山大多次在不同场合表示,愿意运用军事力量为民事机构提供支援,届时军事资源“将处于民事领导人控制之下,根据民事法律运用”。2010年10月,国防部和国土安全部领导人签署谅解备忘录,建立正式的伙伴关系,互派支援小组进驻对方机构,以整合军政网络空间安全手段,互通有无、协调合作。
但是,这种看似简单的切割与合作未能根本解决问题,军地机构并未真正形成合力,各自为政、重复建设的事情仍时有发生。例如,2009年10月和11月,国家安全局、国土安全部分别建立了旨在整合网络安全力量的新机构,彼此之间的职能严重重叠。
军队与民事机构职责的重新理顺,是由2015年4月国防部新版《网络空间战略》确定的。文件称,国防部不仅要负责国防部网络的安全,还要保卫国土和国家利益免受后果严重的网络攻击。这就意味着,军事机构将在保护民用网络空间资源和基础设施方面发挥较大的作用,民事机构的权力则相应缩减。而其背后的原因,无非是技术资源的不对称。在美国,最先进技术通常首先在国防科技领域应用,网络空间与通信、电子侦察的密切关系,又使得以国家安全局为代表的军队情报机构,在网络空间事务主导权的争夺上具备了先天优势。
内在机理:需求牵引、利益驱动
在美国,90%的网络空间基础设施归私营部门所有和控制,核心网络技术与设备主要由以“八大金刚”为代表的网络私企掌控,大学和科研机构更是网络人才汇聚的巨大宝库。为充分利用这些民间的资源,美军采取了多方面措施。
美军将多数网络装备的研发生产工作交由私营企业承担。华盛顿邮报“美国最高机密”调查显示,参与承担美国网络空间防务的私人承包商多达1930家,其中仅国防部总部就拥有291家承包商。洛克希德·马丁公司、波音公司、诺斯罗普·格鲁曼公司及雷声公司等军工企业都有大规模的网络相关产品与服务线,并直接参与网络空间战相关工作中。国防高级研究规划署的“x计划”和“国家网络靶场”项目等,都由多个私营企业分包。2015年,网络空间司令部发布信息征询书,在全源情报、网络作战、网络规划、网络演训等10余个领域公开招募承包商,以尽早完成构建133支网络任务部队。国防部长卡特也在2015年4月宣布“国防创新x部队”计划,表示将在硅谷设立办事机构,开发尖端突破性技术,实现国防部与私营企业的更高层级融合。
美国军方还與私营企业合作,共同提升网络安全水平。2011年,国防部发起“国防工业基地网络导航”试点项目,为20个参与国防部网络运营的公司提供平台,使其能够及时获得网络安全情报信息,各公司则借助这些情报与专业力量,保护他们为国防部运转的网络。在90天试运行期内,该项目便成功阻止了数百起网络入侵行动。2012年5月,该项目向所有符合条件的国防工业基地公司开放。2015年10月,对如何实现信息共享做出了更详尽的规定。据估计,目前已有近千家公司参与该项目。为加强协同,在组织开展“网络暴风”、“网络卫士”等网络演练时,大量民事机构、网络企业、学术界代表均与军队共同参与,以便通过实践共同发现网络威胁和网络漏洞,提高应急响应能力。
网络空间作为人造环境,对人才的需求极其旺盛。美军不仅在军事院校开设网络课程,还积极到地方延揽人才。国家安全局在多个大学开设网络课程,空军研究实验室网络空间行动部每年为大学生提供为期10周的培训,以培养更多的网络战人才。自1994年起,国防部就依据“企业职员项目”计划,每年派出15~20名军官到顶级商业公司工作约11个月时间。2015年国防部宣布将派驻时间增至2年,以确保这些军官能够在私营企业最大限度地汲取营养。在每年8月举行的“黑帽”大会上,国家安全局局长及高级官员经常亲临现场,甚至公开发表演讲,以招募民间高手入伍。新版《网络空间战略》还提出,国防部必须有能力从国内最好的网络空间安全与信息技术公司当中借用技术专家,让他们在国防部内发挥独特的工程设计与分析作用。
其实,经过多年发展,美国军队与私营部门之间形成了关系密切的军工复合体,在网络空间同样如此。对于企业而言,与军事机构建立密切关系,使他们能够及时捕捉和准确把握军事需求,在庞大的网络产业订单中分得一杯羹。对于军队而言,私营企业运营方式灵活,可以绕开军事官僚机构固有的繁文缛节,技术装备研发成本更低、效率更高。在新兴技术日新月异的网络空间,这种优势更显重要。显然,确保双方合作长期有效运行的,不仅是机制、法规方面的保障,更是共同需求与利益的驱动。
负面效应发酵教训值得警惕
当然,美国的网络空间军民融合并非无懈可击,仍有诸多明显的缺陷和难以克服的不足,负面效应一旦显现极有可能持续发酵。
从机构整合角度看,美国在前期设定的军地机构职责划分频出问题,除资源上的不对称之外,另一个重要原因是顶层领导机构缺乏足够的权威。“网络沙皇”职位创建6年来,多位就任者的资质、能力都相当过硬,但政绩平平,根源在于职权过低。按照授权,这一职务的领导只向国家安全委员会和国家经济委员会负责,充当协调与顾问的角色,无法直接向总统汇报,也不能直接掌管网络空间安全事务的实质权利。顶层机构权力有限,直接导致军、地机构争斗不断。虽然当前基本确定了军事部门为主导的网络防御模式,但最大的问题在于,担负防御任务的网络空间司令部同时兼负有网络进攻职能,更有可能在遭受网络攻击后实施报复性反击,或是在预期可能遭受网络攻击时就采取“预期自卫”行动,因判断错误或意外事件引发网络军事冲突的风险明显增大。
而私营企业、军事机构等组成的军工复合体,虽然有助于以低成本提升美军网络战斗力,代价也是巨大的。企业在制定决策时,不愿为提升网络安全开列大笔预算,也不愿为了降低安全风险而改变全球组装的生产供应模式,结果使美国不得不始终面对无法防范的“供应链风险”,即“某些软硬件有可能在国外生产时被所在国政府借机添加恶意代码”。国防部《网络空间行动战略》也指出,“国防部无权直接对其采取可有效降低风险的措施。”
将网络装备技术研发分包给私营承包商,对美国而言还有另一重风险,就是大量政府与军队之外的人员将有机会接触到涉及网络核心机密的信息,但他们的“忠诚度”显然低于军人和长期供职于军事机构的文职人员,构成了所谓的“内部威胁者”。兰德公司知名网络专家马丁·利比奇在2009年为美国空军撰写的研究报告《网络空间威慑与网络空间战》中指出,这些人技术娴熟、深受信任、了解内情,一旦发生问题将构成严重威胁。联想到2013年以来持续发酵的“棱镜门事件”,曾供职于国防项目承包商博思·艾伦咨询公司的斯诺登,正是这种所谓的“内在威胁者”。
客观而言,斯诺登揭露的大量材料显然有力地抑制了美国肆无忌惮的全球网络监控行径,但从美国自身角度看,其谋求网络空间霸权的行动因此遭受了严重的负面冲击,所造成的影响几乎是不可逆转的。