APP下载

面向拜登政府的过渡期网络安全建议

2021-04-04美国网络空间日光浴委员会

信息安全与通信保密 2021年3期
关键词:拜登网络安全政府

美国网络空间日光浴委员会

0 引 言

数字互联既给美国带来了经济增长、技术优势和更好的生活质量,也催生了战略困境。

美国需要数据足够安全、可恢复(亦称“弹性”)且可信的网络环境,但美国政府和私营部门目前都无力达成这一目标,同时网络灵活性、网络技术专长和网络协调(不论是美国政府内部的协调还是公共与私营部门之间的协调)方面的问题也日趋严重。20 多年来,各路主权国家和非国家行为体一直在利用网络空间来破坏美国的国力、安全和生活方式,这些网络攻击者利用了美国在体制和战略上的弱点,并评估了如何在不引起美国严厉报复的前提下伤害美国,以至于美国的克制遭到了肆无忌惮的践踏。美国网络空间日光浴委员会(CSC,以下简称“日光委”)由约翰·S·麦凯恩(John S. McCain)按照《2019 财年国防授权法》(National Defense Authorization Act for Fiscal Year 2019)组建而成,其宗旨是应对上述挑战,并就“在网络空间保护美国免受重大网络攻击的种种战略手段”达成共识。

为履行其使命,“日光委”于2020 年3 月发布了一份报告,其中概述了面向美国政府的战略方针和80 多项建议。在编写终版报告的过程中,“日光委”召集了来自工业界、学术界、联邦、州级和地方政府、国际组织以及智库的300 多名利益攸关者,并请这些人员通过一系列红队审查和情景化事件对报告中的建议做了压力测试。自成立以来,“日光委”评估了每一项战略以及配套的政策建议,并由此得到相应的正式反馈。“日光委”的工作人员将这些反馈编制成册,并参考其中的见解和指导来进一步完善建议。

在发布终版报告后的几个月内,“日光委”及下属工作人员酌情制定了有助于促成“日光委”建议的立法提案,并与众议院和参议院的相关委员合作执行了许多由“日光委”提出的建议。此外“日光委”还发布了四份白皮书(其中包含了当时的最新建议),内容分别涵盖以下方面:从疫情中吸取的网络安全教训;关于国家网络总监的详细建议;网络安全劳动力发展战略框架;关于如何保护美国信息与通信技术(ICT)供应链安全的建议。“日光委”的许多重要建议已被纳入立法,不过美国仍面临着各种紧迫挑战。尽管如此,若能采取协调一致且深思熟虑的行政举措,则可使局面大为改观。

本白皮书旨在为新上任的拜登-哈里斯政府(以下简称“拜登政府”)提供指导,指出或可在新政府前期出台的策略,并就未来数月乃至数年的优先工作提出建议。“日光委”的终版报告和随附的白皮书将更详细地讨论本文中的建议。

1 前期优先事项:头100 天

拜登政府可在上任头100 天内启动三项流程,从而把改善网络安全作为政府的当务之急,并努力减轻美国遭受网络攻击的可能性及其影响。

1.1 组建国家网络总监办公室

目前很多委员会的倡议和研究都建议建立更加健全和制度化的国家级机制,以协调网络安全问题及相关的新兴技术问题,并监督行政部门制定和实施一体化的国家网络安全战略。鉴于与新兴技术和网络空间有关的问题正变得更加复杂,并因此对美国国家安全构成更大的威胁,美国总统比以往更加迫切需要合理的建议和及时的方案。

为确保白宫拥有强大、稳定且由专家牵头的网络安全领导力,拜登政府应在头30 天内提名一位国家网络总监并交由参议院批准,然后着手组建国家网络总监办公室。《2021 财年国防授权法》(FY2021 NDAA)已规定设立国家网络总监一职和国家网络总监办公室。作为总统行政办公室的下设职位之一,国家网络总监是经参议院批准的总统顾问,其担任着多项重要职务,其中包括:

(1)担任总统在网络安全问题及相关新兴技术问题上的首席顾问;

(2)牵头制定国家网络战略,并确保各部门/机构贯彻这些战略(包括评估机构预算和确保有效整合各机构的工作);

(3)监督和协调联邦政府为了在敌对网络作战中保护美国而开展的种种行动(包括充当公共部门与私营部门之间以及与州级、地方、部落和属地机构之间的主要联络点);

(4)经国家安全顾问或国家经济顾问同意,召集和协调内阁(或国家安全委员会的主要成员)层级的会议及相关预备会议。

在组建国家网络总监办公室的同时,拜登政府还应规定分管网络与新兴技术的国家安全副顾问和国家网络总监之间的关系、角色和责任。在“日光委”看来,这些官员的职责是相辅相成的,他们要共同帮助国家安全顾问考量和执行那些旨在支持国家安全目标的全国性战略。国家安全副顾问应代表“按《美国法典》第10 编和第50 编开展网络行动”的各部门/机构的利益,展示这些部门/机构的能力,并在它们和国家安全委员会之间充当重要的桥梁,以确保国家网络总监充分了解这些部门/机构的网络行动。国家网络总监应专注于协调、支持和理顺行政部门牵头的全国性网络安全工作和网络防御工作,这意味着国家网络总监应主导白宫与私营部门之间的接触,建立互信和推进共同利益,并应在国内外的网络问题上代表美国政府。与此同时,拜登政府还应评估并更新第41 号总统令,以便将国家网络总监指定为联邦网络事件响应工作的主要协调人,并规定国家网络总监有责任向国家安全顾问提出综合性的政策与行动建议。此外还应更新对网络安全有影响的其它规则制定流程,以便把国家网络总监也纳入其中。

1.2 制定并颁布国家网络战略

国家网络总监一旦到任,拜登政府就应开始制定和颁布新的美国国家网络战略。《2018 年国家网络战略》(2018 National Cyber Strategy)是近15 年来发布的第一份美国国家网络安全战略,也是美国历史上的第二份此类战略。

任何有效的网络空间战略都离不开联邦、州级和地方政府以及私营部门的通力合作,而这些利益攸关方也都有责任捍卫美国的网络安全。出于这一缘故,此类战略必须与各利益攸关方的战略目标保持高度一致,明确如何将战略付诸实施,澄清各项工作的优先顺序,并阐明共同的风险原则。此类战略还应将“前沿防御”概念(此概念目前与国防部的2018 年网络战略相挂钩)整合到更宽泛的美国网络战略中。除此之外,此类战略应将“前沿防御”纳入一套综合方法中,而该方法不仅要阐明如何动用纯军事能力,还要阐明如何动用所有国家级手段,比如经济工作、执法活动、外交工具以及传达给盟友和对手的信号等。

新的国家网络战略应阐明一种框架,而该框架要能利用多层网络威慑来成功挫败和吓阻对手发起的重大网络攻击。该战略还应规定实现以下目标的具体方法和手段:(1)约束对手的行为;(2)使对手无法从网络攻击中渔利;(3)迫使对手付出更大代价。纵使美国一直坚持威慑战略,多层网络威慑战略的两大特性也仍使其显得大胆而独特。首先,此战略将优先以拒止手段来实现威慑(特别是依托恢复能力和公私部门间的合作来提升网络空间的防御和安全水平),以减少可能被对手利用的薄弱环节;其次,此战略吸收了前述“前沿防御”概念。

最后要指出的是,此战略应为美国提出一种多层级的信息传达策略和一种新的宣示性政策。这种信息传达策略所阐明的框架应满足以下要求:能够明确传达美国政府将于何时和何种条件下自愿披露其网络作战和网络行动,以便将美国的能力和意图告知各类受众。而宣示性政策则应明确指出,美国将动用网络和非网络能力来反击敌方的网络行动(但反击力度不会达到“促使对手动用武力”的程度),并使敌方付出代价。从本质上讲,就是美国政府应公开宣布其将实施前沿防御,并同时在各个方面采取果断且始终如一的行动来配合这一宣示。

1.3 加强现政府网络安全工作的条理性、影响力和与私营部门的合作

虽然各私营机构以及州级、地方、部落和属地政府会分别负责各自网络的防御和安全,但美国政府必须利用其独有的权力和资源以及外交、经济、军事、执法和情报能力来支持这些机构的网络防御工作。此外正如“太阳风”(SolarWinds)事件所表明的那样,联邦政府的各部门/机构必须加强其能力,以防止发生网络事件,并在事发时能发现、检测和有效应对此类事件。为改善美国政府的网络防御能力及其与私营机构和其它关键涉事方的合作,拜登政府应加强网络安全与基础设施安全局(CISA,以下简称“网安局”)下属的综合网络中心,并设立“联合网络规划办公室”(JCPO)。

1.3.1 审查2022 财年拨款中的联邦机构网络安全预算

从“太阳风”大规模黑客攻击来看,联邦的各部门、机构和网络安全中心的网络安全均亟待改善。拜登政府应指示国家网络总监对联邦机构网络安全预算进行为期90 天的审查。在此项审查中,应确定联邦各部门/机构用于网络安全运营和规划的现有预算,并评估当前分配的金额与完成法定任务所需金额之间的差距。同时也应考察各机构的企业网络安全预算、《联邦信息安全管理法》(Federal Information Security Management Act)规定预算以及各机构用于规划网络安全的预算。此外还应审查各机构执行新命令所需的预算,包括2021 财年NDAA中为“网安局”的以下工作划拨的预算:(1)在各种联邦信息系统中搜寻和识别各类威胁和漏洞;(2)依靠自身的服务、功能和能力来协助各类联邦机构;(3)部署、运行和维护各种安全的技术平台和工具(包括各类网络和常见的业务应用程序)。最后亦应评估各类行业风险管理机构(Sector Risk Management Agencies)的现有预算是否足以实现2021 财年NDAA 对它们提出的要求。

1.3.2 加强“网安局”的综合网络中心

2021 财年NDAA 要求审查各类联邦网络中心,并加强“网安局”新设的综合网络中心。为了真正落实与私营部门之间的网络安全合作,拜登政府应按这一要求加强“网安局”的综合网络中心,要求该中心牵头开展各种资产响应活动,并改善该中心与联邦政府及私营部门的其它关键性网络中心和网络安全中心之间的联系。此举将确保各种系统、流程和人员要素能够紧密协作,从而支持关键基础设施的网络安全任务和网络恢复任务。在网络方面,“网安局”的任务是充当美国政府的主要协调机构(最初的设想是通过某种国家网络安全与通信整合中心来开展协调),以负责打造整体型政府和推动网络安全行动中的公私合作。然而由于设施不足、人事政策不力、资源匮乏、缺乏其它联邦部门/机构的支持、国会未明确界定“网安局”的作用及其在联邦体系中的地位、对私营部门的支持力度不足以及未能与私营部门充分协作等原因,“网安局”在现有体制下难以充分执行这一任务。

1.3.3 在“网安局”内设立联合网络规划办公室

除了呼吁建立更强大的综合网络中心来开展实时网络防御外,2021 财年NDAA 还要求在“网安局”内设立“联合网络规划办公室”(JCPO),以便由该办公室来制定计划和协调演习。拜登政府应在“网安局”领导下组建JCPO,以协调整个联邦政府以及公共和私营部门之间的网络安全规划和准备工作,从而作好应对重大网络

事件和恶意网络活动的准备。按照国家网络战略(国家网络总监将监督这一战略)的指导意见,JCPO 应由以下各方组成:中央规划人员,来自综合网络中心的代表,以及有网络能力/权限来保护关键基础设施的其它联邦机构的代表。“网安局”辖下的JCPO 应协助各机构全面规划各类与情报工作无关的防御性网络安全活动,并在这些规划中考虑到私营部门的同类需求。

1.3.4 明确对行业风险管理机构的期望及其责任

2021 财年NDAA 从法律上将一些行业机构认定为“行业风险管理机构”(SRMA),并明确了这些关键机构至少应实现哪些期望和承担哪些责任(毕竟这些机构与各类关键基础设施保持着联络)。政府需要向私营部门提供更成熟的支持,而明确SRMA 的期望和责任便是实现这一目标的第一个关键步骤。拜登政府应执行《2021 财年国防授权法》中关于SRMA 的规定,并通过改写第21 号总统政策令以及阐述SRMA的期望和责任的方式,来提高各SRMA 应对威胁的能力。很重要的一点就是拜登政府需要在头100 天内完成此项工作,这样各SRMA 才能在本年度的剩余时间内了解其新职责,并提交与这些职责相称的预算请求。

2 100 天后的优先行政举措

在头100 天内确立了白宫的领导和协调体制以及国家网络安全战略后,拜登政府接下来就应优先关注七个方面的网络安全问题。

2.1 恢复美国在网络领域的国际领导地位

有目共睹的是,美国在网络安全问题上的国际领导地位正日益衰弱。尽管美国的外交官一直在按部就班地与世界各地的其它政府和组织接触,但除非为他们提供足够的资源并优先考虑此类事项,否则这些接触工作的效果就不尽如人意。若要形成稳定的全球体系,并让对手和盟友都在网络空间内规矩行事,那么国际合作就必不可少;而要切实且持续做到这两点,则还必须建立覆盖全球的网络安全能力。为此美国可以加强与美国站在同一阵线的民主联盟,并与盟友和志同道合者组成新的联盟,从而在网络空间内激励各国作出负责任的行为,让恶意攻击者付出沉重代价,并动员各国共同应对全球网络威胁。

2.1.1 组建网络空间政策与新兴技术局

既然拜登政府将网络安全视为首要的国际政策问题之一,就应为此组建网络空间政策与新兴技术局(CPET)。CPET 的机制和资源应满足领导国际联盟的需要,并由其负责实施美国的各种网络安全战略。按照2019 年提出的《网络外交法》(Cyber Diplomacy Act)所述的结构和责任,CPET 必须有权在诸多问题上发挥领导作用,包括倡导负责任的网络空间国家行为规范,加强互信措施,通过外交手段与国际社会一同应对网络威胁,推动建立由多个利益攸关方共同治理、开放且可互操作的互联网模式,通过国际合作来确保数字经济安全,培养合作方/盟友在提升网络安全和打击网络犯罪方面的能力,以及承担国务卿下达的其它任何任务。

2.1.2 扩大美国政府在能力建设、规范和互信措施方面的支持范围

一旦组建CPET,拜登政府就应借助该局来扩大美国政府在能力建设、规范和互信措施的支持范围。国际社会已在联合国等场合表态同意制定网络规范,但这些规范的实施力度各不相同。在CPET 牵头下,美国政府应在照顾到多个利益攸关方的前提下,逐行业地实施规范,主导各国元首之间关于网络安全规范的讨论,并在联合国及其它场合参与各类广泛性论坛和专业性论坛。拜登政府应与国会合作,确保CPET拥有必要的人力、资源和权限来开展能力建设,从而激励和支持各国在网络空间内作出负责任的行为。此外国务院应继续制定和实施地区层面和全球层面的网络互信措施,并籍此与私营机构等非国家的利益攸关方进行接触。在建设国际网络安全能力的同时,美国政府还应确保这种能力建设工作会在美国的对外政策中发挥不可或缺的作用。美国将以建立国际伙伴关系和国际联盟的方式开展能力建设和拓宽国际合作,进而向恢复美国的领导地位迈出关键一步。

2.1.3 更积极且更有效地参与国际信通技术标准讨论

除了进一步围绕规范和互信措施来开展工作外,美国政府还必须更积极且更有效地参与关于国际信通技术(ICT)标准的讨论。拜登政府应为此与国会合作,以确保联邦部门/机构拥有所需的资源和权力,从而促使来自联邦政府、学术界、专业协会和工业界的人士深度参与关于制定信通技术标准的讨论。为提高参与效果,美国政府还应在讨论信通技术标准之前和期间主动与各行各业的利益攸关方接触。此外行政部门的领导人不仅应派出技术专家和标准专家参与各类信通技术标准论坛,还应派出外交官参与此类论坛。

2.2 投入更多人员来抵御恶意网络攻击

目前公共部门的网络安全职位缺口多达37000 多人。鉴于公共部门已雇佣了56000 多名网络安全专业人员,这一缺口意味着公共部门还缺少约三分之一的网络安全人员。另一方面,企业的网络安全职位缺口更是接近50 万人。在2009 年时,为填补联邦政府的网络职位缺口,有专家呼吁白宫网络安全协调员制定联邦级的网络劳动力战略;然而12 年后,美国联邦政府仍既未制定有效的网络劳动力战略,也未明确由谁负责制定和实施此类战略。

2.2.1 建立劳动力领导与协调体制

美国政府中的许多部门/机构都在采取措施招募网络工作人员,但并没有中央层面的领导或战略来协调这些工作。为此拜登政府应组建两个联邦网络劳动力开发机构,并与这些机构合作起草一项联邦网络劳动力战略。首先,美国政府应组建“网络劳动力指导委员会”(CW-SC),由国家网络总监担任该委员会主席,其成员则应包括来自管理与预算办公室(OMB)、人事管理局(OPM)、“国家网络安全教育倡议”组织、国家科学基金会、网安局和国防部的代表。CW-SC 应提供来自领导层的战略指导和直接资源,以确保整个联邦政府协调一致地开发网络劳动力。除此之外,对所有部门/机构开放的“网络劳动力协调工作组”则应负责解决各种项目的日常开发和运营问题,同时确保这些项目既获得特许和资源,又遵循指导委员会确立的战略方向。国家网络总监应与这两个机构及教育部(教育部在加强全美的网络劳动力开发方面也发挥着重要作用)等其它联邦部门/机构合作制定一项网络劳动力战略,以减少重复工作,确保从战略角度分配资源,以及减轻各机构对人才的争夺程度。在设立这些机构并制定劳动力战略后,国家网络总监便可在有效整合劳动力开发工作方面发挥核心作用。

2.2.2 确保美国政府能在网络工作方面拥有特殊的招聘权限和制定灵活的付薪制度

在使用网络人才方面,不同联邦机构有着不同的招聘权限和付薪制度。许多部门/机构费尽心思制定和使用了一套复杂的职业编码与权限制度,另一些部门则完全抛弃了这一套,转而建立了其特有的人事管理制度。为了形成开发未来联邦网络劳动力所需的灵活性和创新性,拜登政府应致力于消除既有障碍,使所有联邦部门都能拥有特殊的招聘权限和制定灵活的付薪制度。在2018 年和2019 年发布的报告中,政府问责局(GAO)概述了联邦网络岗位定密方面的挑战,而正是这些挑战妨碍了各部门拥有特殊的招聘权限和制定灵活的付薪制度。OPM后来提供了一些信息,以帮助联邦管理人员利用这些报告开展工作。拜登政府应评价OPM 的工作,以判断现有制度是否能有效管理网络人才。如果不能,美国政府就应指示OPM 设置一系列网络职位,以更好地运用特殊的招聘权限和灵活的付薪制度。

2.2.3 扩大“网络企业服务奖学金”项目范围

“网络企业服务奖学金”(SFS)项目是一项实惠且可扩大规模的网络人才培养项目,其立足于现有学院和大学的教育基础设施,不过近年来的项目预算始终没有增长,以至于阻碍了其最大限度地发挥潜力。在向国会提交的预算申请中,拜登政府应优先考虑该“服务奖学金”的需求,以便(1)增加参与该项目的学院和大学的数量,以及(2)增加参与机构所授奖学金的奖项数量。受现实条件的限制,美国政府只能逐步扩大该项目的范围:在10 年时间内,其预算的年均增幅应比通货膨胀率高出20%到30%,这意味着该项目在2022 财年的预算将达到8000 万美元。为推动网络劳动力的多元化(目前多元化明显不足),美国政府还应尽量努力鼓励以少数族裔为主的机构参与该项目。

2.3 加大美国在基础设施弹性方面的投资

可能遭受网络攻击的资产、功能和实体大多归私营部门所有和运营,因此虽然公共部门承担着网络防御的责任,但防御效果很大程度上取决于私营网络和基础设施的所有者和运营方所做的基础工作。

2.3.1 启动“经济延续性”规划

2021 财年NDAA 要求总统“制定一项计划来维持和恢复美国发生重大事件时的经济”,为此拜登政府应开始制定“经济延续性”计划。美国政府已制定了“持续运作”计划和“政府存续”计划,然而尽管经济是美国国力的关键来源之一,却没有任何计划来确保美国经济能够延续下去。国土安全部、国防部、商务部、财政部、能源部、卫生与公众服务部(Department of Health and Human Services)、小企业管理局(Small Business Administration)以及美国总统确定的其它任何部门或机构都应参与制定这一计划。

在制定这一计划的过程中,行政部门应确定各方所需的一切额外权限或资源,以便各方能执行既定计划,或是建立各种项目来支撑和维持各部门/机构的“经济延续性”规划能力。同时也应分析各项国家关键职能(重点关注如何在国家层面上合理分配各种货物和服务,从而使美国经济可靠地运转下去),并将关键的私营机构(即那些构成或融入相关分配机制、并对“维持和运作特定行业或区域或整个经济所需的此类机制”负有主要责任的私营机构)纳入规划。此外这一计划还应确定关键的物资、货物和服务,响应与恢复的优先顺序,网络弹性的投资领域,以及必须保存数据的领域。

2.3.2 探索以机器速度共享信息的可行性

拜登政府应责成国土安全部部长和国家情报总监起草一份报告,以说明建立一种联合云基信息共享环境的可行性和合理性。该环境理应汇聚联邦政府的保密和非保密网络威胁情报、恶意软件取证信息以及来自监控程序的网络数据,以供各方查询和分析之用。

2.3.3 改善对私营部门的情报支持

虽然美国情报界可为美国政府提供强有力的信息安全支持,但其缺乏恰当的政策和措施来应对“网络防御的主要责任方并非美国政府”的情形。归私营部门所有和运营的数字基础设施亟需依托美国情报界收集的独家情报来开展防御,外国的恶意行为体也比过去更加诡计多端,然而情报界的现行政策和程序却并未考虑到这些问题,以至于情报界很大程度上仍只能对不断演变的网络威胁保持警觉,并向成为网络攻击目标的美国机构发出基本的警告。为了能向所有涉事的私营部门和相关组织(如各类信息共享与分析中心以及“系统风险分析与弹性中心”)提供情报支持,美国政府必须放宽对相关能力的限制。

为此,拜登政府应对情报界的政策、程序和资源进行为期六个月的全面审查,以确定和解决情报界向私营部门提供情报支持时面临的关键能力限制。当此项审查结束后,行政部门应向国会报告审查结果,并应就如何克服报告所述挑战提出具体的建议或计划。拜登政府应在此项审查中完成以下工作:考察情报机构,以确定当前支持涉事私营部门时面临的种种限制;审查情报界与涉事私营部门共享情报时面临的能力限制;审查向下级传达和解密网络威胁情报的程序;审查与网络有关的信息共享放行流程。此外拜登政府还应制定征集和整理私营部门意见的正式流程,以便更好地确定国家情报优先级、情报收集需求以及更侧重于私营部门网络安全行动的情报支持工作。

2.4 保障美国的高科技供应链

“日光委”在其于2020 年10 月发布的白皮书中指出,“美国的信通技术供应链存在着‘中国问题’”。“日光委”声称,在中国政府的干预下,关键技术方面的国际商业体系既不自由也不公平,导致美国及其伙伴的公司更难以占据全球市场份额和建立安全可靠的供应链。不过正如“太阳风”事件所凸显的那样,尽管中国对美国的供应链构成了重大风险,但中国并非唯一的威胁。美国必须开展更多工作来找出其信通技术供应链中的风险,并投入资源来管理这些风险。

2.4.1 制定和颁布信通技术产业基础战略

2021 财年NDAA 启动了多项举措,以此来帮助美国了解信通技术问题的范围,开放一些公共投资载体,并更积极地参与那些制定各项标准的关键性论坛。然而美国仍缺乏保障信通技术供应链的综合性总体战略。美国需通过此类战略来确保相关规则有益于美国的工人和经济,以及帮助美国及其伙伴和盟友的公司在中国政府的不当干预下仍能赢得全球市场。拜登政府应制定并颁布一项产业战略,以保障美国的高科技发展。该战略应依托于坚实的伙伴关系(即与美国工业界、盟友政府以及盟友和伙伴国的公司之间的关系),并立足于以下五大支柱之上。这五大支柱分别为:

(1)通过政府审查和行业咨询来确定关键的技术、设备和原材料;

(2)使私人投资与关键的制造业需求相匹配,向必不可少的领域提供政府投资,并以投资与经济保护相结合的方式援助各经济群,以确保在各关键领域具备最起码的制造能力;

(3)改善联邦政府层面的协调工作,增强对私营部门的情报支持,并对各项关键技术开展更严格的薄弱点测试,以保护美国的供应链安全;

(4)开放更多中频谱带,并将美国政府今后对信通技术的投资与开放且可互操作的标准相挂钩,以扶持美国国内的信通技术市场;

(5)从战略角度运用美国进出口银行(Export-Import Bank of the United States)、美国国际开发金融公司(U.S. International Development Finance Corporation)、 美 国 贸 易发 展 署(U.S. Trade Development Agency) 和美国国际开发署(U.S. Agency for International Development)现有的工具,以增强美国及其伙伴的公司的全球竞争力。

2.5 维持美国的军事网络优势

美国拥有世界上最成熟、最先进的军事网络,然而除非加大关注、评估和投资力度,否则这种军事网络优势就可能缩小甚至消失。2021 财年NDAA 已提出了包括下文在内的许多建议,而这些建议则需要得到行政部门的关注和采纳。

2.5.1 对网络任务部队进行军力结构评估

网络任务部队(CMF)目前据信具备全面作战能力,其分为133 支队伍,共约6200 人。不过对CMF 的要求是在2013 年确定的,当时一些“促使美国政府意识到各路对手构成了紧迫而显著的网络威胁”的关键事件还未发生,美国国防部也尚未提出前沿防御战略。如今属于CMF 范畴的各部队承担着形形色色的国防部网络任务,其中包括保护国防部信息网络(DoDIN),按照战区作战司令部的要求为军事行动提供支持,以及在日常较量中保护美国免遭恶意攻击。从这些活动来看,尽管CMF 的军力结构目标没有变化,但其任务范围(并不局限于DoDIN)和行动规模(加大行动力度以应对更危险的威胁环境)均有所扩大。拜登政府的国防部应对美国网络司令部的网络任务部队进行军力结构评估,以呈现出范围和规模均与日俱增的任务需求和外部期望。

2.5.2 单独列出网络司令部的主要军力项目

拜登政府的国防部应提交一份预算说明,其中应单独列出美国网络司令部在训练、人力和装备方面的主要军力项目(MFP)。按照《美国法典》第10 编第238 条的规定,国防部需要向国会提交一份预算说明,其中应单独列出网络任务部队的MFP。不过这条法律是在2014 年颁布的,当时美国网络司令部还没有被提升为统一作战司令部,因此还需在新的预算说明中单独列出美国网络司令部的MFP。若有了MFP 的单列经费,美国网络司令部就有权采办其所需的专用货物和服务。正如国防部第5100.03.17 号指令所要求的那样,MFP 还应提供一套迅速解决作战指挥/勤务经费争端的流程。虽然2021财年NDAA 确实纳入了一些改进建议(最突出的一点是建议让网络司令部能提出超出现有限制的预算和采办要求,并取消7500 万美元的年度支出上限),但并未在预算中单独列出网络司令部的主要军力项目。

2.5.3 更新适用于网络的交战规则和动武指导

“常规交战规则”(SROE)和“常规动武规则”(SRUF)均制定于十多年前,因此在下一次网络态势评估中,拜登政府的国防部应编写一份研究报告,以评估美国军队的SROE 和SRUF,并视为需要提出修正建议。开展此项研究时应考虑到具体的大背景和部队承担的任务。鉴于网络空间行动的独特性(特别是此类行动很难达到动武门槛),SROE/SRUF 必须指导如何在网络空间内和通过网络空间采取行动。

2.5.4 评估是否组建军事网络预备役

2021 财年NDAA 要求行政部门审查是否需要组建军事网络预备役。拜登政府的国防部应评估军事网络预备役的需求和要求以及可能的组成和结构(即留守人员模式、非传统预备役、战略技术预备役或其它模式)。在评估军事网络预备役时,应探讨不同类型的预备役模式将如何解决更宽泛的人才管理问题,考虑网络预备役将如何定向招募关键私营部门的人员,研究如何有效招募和留住原本没有军事专长但有意服役的文职人才,以及评测网络预备役在“从私营部门和非国防部政府工作人员中吸引文职人才”方面可能产生的影响。最后评估时还应提出国防部如何在必要时利用现有机制引进技术专长,并找出“或可通过更有针对性的招聘方式”来加以弥补的网络专长短板。

2.5.5 审查前沿防御概念和进攻性网络行动授权

美国国防部在继续稳步增强其进攻性网络能力。在《2018 年国防网络战略》中,为了从源头上破坏或削弱恶意网络活动,美国国防部明确提出了“前沿防御”战略。这一攻势概念借助了美国网络司令部的“持续交战”概念,并由此改善了美国在网络战场中的地位。这一新战略还得到了2019 财年NDAA 中三项关键条款(这些条款对现有进攻性网络行动的框架作出了授权)的支持:第1632 条授权国防部像传统军事活动那样开展网络监视和网络侦察;第1636 条确立了美国应对外国势力进行的网络攻击及其它恶意网络活动时所采取的政策;第1642 条授权国防部回击来自俄罗斯、中国、朝鲜或伊朗的恶意网络活动。行政部门随后制定了“第13 号国家安全总统备忘录”(National Security Presidential Memorandum 13),以授权各项进攻性网络行动。尽管需要在不属于美国的网络中开展行动,但顾名思义,“前沿防御”仍是一项以防御为导向的战略,旨在于对方发起攻击前就抢先消除迫在眉睫的威胁。这些工作是特朗普政府网络政策的亮点之一,但拜登政府应审查和完善前沿防御概念和进攻性网络行动授权,以确保充分评估相应的风险和收益,并对快速行动保持必要的关注。

2.6 保护美国的全频谱作战与威慑能力免受网络威胁

美国的全频谱作战与威慑能力不但是持续保障国家安全的关键一环,也为网络威慑奠定了坚实的基础。如果失去这些能力,多层网络威慑就无从谈起,因此美国必须保护这些能力免受网络威胁。2021 财年NDAA 已提出了以下所有建议,而这些建议则亟需得到行政部门的关注和采纳。

2.6.1 制定保护核指挥、控制与通信免受网络攻击的计划

美国的核能力是其整个威慑态势的基石。如果没有核作战能力,美国就无力吓阻对手的任何行动(包括网络攻击)。为确保美国核武器体系的持续运作并减少其弱点,拜登政府应按照《2021 财年国防授权法》的要求,制定一项旨在保护核指挥、控制与通信系统免受网络攻击的作战理念。

2.6.2 要求国防工业基础参与威胁情报共享项目

按照2021 财年NDAA 的规定,国防部长需提交一份关于威胁情报共享项目(该项目要求在国防工业基础(DIB)内部以及DIB 与国防部之间共享威胁情报)的可行性和适用性的报告。这是一个良好的开端,但除了发布该报告外,拜登政府还应颁布一项政策令,以要求属于国防工业基础之列的公司参与一项由国防部主管部门主导的威胁情报共享计划,并将此要求纳入这些公司与国防部签订的合同条款之中。

2.6.3 要求搜寻国防工业基础网络中的威胁

按照2021 财年NDAA 的规定,国防部长需提交一份关于威胁搜寻项目(该项目要求搜寻各类DIB 网络中的威胁)的可行性和适用性的报告。除了发布该报告外,拜登政府还应颁布一项政策令,以要求属于国防工业基础之列的公司制定一项允许依规搜寻DIB 网络威胁的机制,并将此要求纳入这些公司与国防部签订的合同条款之中。

3 拜登政府的积极网络立法议程

利用现有的权限和拨款,行政部门可在重建美国网络安全方面取得巨大进展;但没有国会的支持和批准,“日光委”的一些建议就无法付诸实施。

拜登政府应与国会合作,以确保美国能以最佳状态防范、抵御和应对重大网络事件,并最终从中恢复过来。在积极制定网络安全立法时,美国政府应侧重于改善政府的网络专长,建立国际网络合作制度,推动实现更安全的国家网络生态系统,通过投资加强网络弹性,为网络犯罪受害者提供支持,以及保护美国的民主。

3.1 改善政府的网络专长

若能改善网络政策专长并使指标与数据变得更加稳健,则将有助于联邦政府的行政和立法部门更好地实施网络政策。拜登政府应与国会合作,实施“日光委”最终报告中旨在发展这一能力的两项建议:(1)在行政部门中组建“网络统计局”;(2)将“网络威胁情报整合中心”作为法定机构并加强该中心。

3.1.1 组建网络统计局

虽然人们普遍认为针对美国公民和企业的网络攻击正变得越来越频繁和严重,但美国政府及其它市场主体需要进一步了解这些攻击的性质和范围,以便制定细致的有效对策。为了填补其它政策领域的类似空白,美国组建了经济分析局、劳工统计局和人口普查局等统计机构,以便为公共部门和私人提供决策所需的信息。拜登政府应与国会合作,在商务部或其它部门或机构内部设立网络统计局。作为政府机构,该局将收集、处理和分析关于网络安全、网络事件和网络生态系统的基础统计数据,并向美国公众、国会、其它联邦、州级和地方政府以及私营部门发布这些数据。

3.1.2 将网络威胁情报整合中心作为法定机构并加强该中心

美国政府需要对影响美国的重大网络威胁形成整体认识,而“网络威胁情报整合中心”(CTIIC)便在这方面发挥着关键作用。此外CTIIC 还可通过必要的分析和协调来协助实现快速准确的溯源。然而要想使CTIIC 全面完成任务,就需要为其提供充足的资源(包括充足的资金、人力和分析资源),这样CTIIC 才能充分支持联邦各部门/机构开展工作,并向私营部门和国际伙伴提供情报。拜登政府应与国会合作,以立法形式组建“网络威胁情报整合中心”,并确保为其提供充足的资源。

3.2 建立国际网络合作制度

虽然拜登政府可通过国务院重新安排国际网络合作的优先顺序,但为了切实加强国际网络合作并使其制度化,拜登政府必须组建一个新的部门,并任命一名分管网络空间政策与新兴技术的无任所大使(级别相当于助理部长)。此外还应修改《1961 年对外援助法》(Foreign Assistance Act of 1961)第二篇,从而为世界范围内的重要网络安全能力建设项目提供更有效的结构性支持。

3.2.1 在国务院内部设立网络政策局

拜登政府应与国会合作,在国务院内部设立一个专门负责网络空间政策的法定部门。该部门应由一名分管网络空间政策的无任所大使领导(级别相当于助理部长),而该大使应向分管政务的副部长或更高级别的官员汇报工作。拟议的《2019 年网络外交法》将为此项立法奠定基础。除了指导志同道合的伙伴和盟友组成联盟外,该局还应负责一系列任务,包括倡导负责任的网络空间国家行为规范和国家间互信措施,通过外交手段与国际社会一同应对网络威胁,倡导互联网自由,确保数字经济安全,培养合作方/盟友在提升网络安全和打击网络犯罪方面的能力,以及承担国务卿下达的其它任何任务。拜登政府应与国会合作,以便为这一新机构提供额外的资金,以及为其提供执行国际网络任务(特别是建立强大联盟的任务)所需的人员和项目。

3.2.2 尽量改善国际网络安全能力建设的灵活性

网络安全能力建设的宗旨,是通过“向遵守既定规范的国家提供资源和专长”的方式来激励负责任的国家行为。此外这种能力建设也为志同道合的外国政府提供了一条培育本国网络安全企业的可行途径。对那些希望遏制源自其境内的网络犯罪和其它恶意活动、但又无处着手的国家而言,提供这种支持将有助于改善全球的网络安全。虽然美国政府会通过各种各样的机制参与网络能力建设,但作为美国主要的对外援助资源之一,“经济支持基金”却只能用来支持“军事或准军事之外”的活动。然而许多外国政府将私营部门的民用网络安全基础设施安排在军事或准军事机构内,此举使美国难以向那些对民用网络安全至关重要的对象提供支持。既然接受资助的网络安全机构位于特定机构内,拜登政府就应与国会合作,允许不受限制地为旨在加强外国民用网络安全性的项目拨发资金。

3.3 着力增强国家网络生态系统的安全性

如今的网络生态系统不仅仅是互联网技术(即信息、网络和运行技术),也包括采用这些技术的人、流程、组织以及由此产生的数据。这一生态系统改善了美国的通信速度、效率、功能和经济。尽管这一生态系统对国家的运作至关重要,但也给美国带来了重大挑战和潜在危害。各路对手会利用该系统的漏洞及其对美国社会的广泛影响来获得不对称优势,发展出威胁美国关键基础设施的能力,破坏美国的选举,并窥探和危害美国人民的数据、系统和恢复能力。拜登政府应采取措施,将安全重任从最终用户转移到“能更有效地采取适当规模的安全解决方案”的所有者、运营方、开发人员和制造商身上,从而巩固整个生态系统。

3.3.1 创建国家网络安全认证与标签管理处

虽然统一的安全标准和最佳做法有助于减少信息技术产品中的薄弱环节,但如果产品开发人员将安全性视为产品的一个独到之处,就能更有效地发挥这些标准和做法的价值。如果没有证书和标签等透明机制,使得购买者难以比较不同产品的安全等级,关键基础设施的所有者和运营方就难以在作出购买决策时摸清安全性的价值。拜登政府应与国会合作,通过立法授予商务部相应的资金和权限(并由国土安全部和国防部配合商务部的工作),使其以竞标的方式组建名为“国家网络安全认证与标签管理处”的非营利非政府组织,并为该处提供资金。

3.3.2 通过物联网安全法

在新冠疫情期间,美国相当一部分人都在家工作,这使家庭物联网设备(尤其是家庭路由器)成为了国家网络生态系统中一个重要而脆弱的部分,而美国的对手会通过这些设备发起网络攻击。第116 届国会通过了《2020 年物联网网络安全改进法》(IoT Cybersecurity Improvement Act of 2020),该法规定了联邦政府购买物联网设备的基本安全要求,从而在改善美国物联网生态系统安全的道路上迈出了重要的第一步。拜登政府应与国会合作通过一项物联网安全法,以确保在美国市场上销售的物联网产品均采取了基本的安全措施。该法应侧重于目前已知的挑战(如无线路由器的安全问题),并要求物联网设备采取合理的安全措施,比如美国国家标准与技术研究所(NIST)近期发布的“面向物联网设备制造商的基础网络安全活动建议”等。

3.3.3 为州级、地方、部落和属地政府制定信息技术现代化补助项目

新冠肺炎疫情改变了当今社会,并显露了关键服务数字化的重要意义。在疫情爆发期间,美国人越来越依赖联邦和州级的援助项目,然而这些项目所依靠的老旧系统现已濒临崩溃。为了能挺过将来的流行病或灾难性的网络事件,美国需要安全可靠的远程数字服务。虽然现代化和数字化改革在短期内成本不菲,但从长期来看,此类改革可以改善服务的效率和灵活性,减少支出,提高生产率,并缩小掌握数字技术者和未掌握数字技术者之间的经济差距。尽管如此,州级、地方、部落和属地政府及小企业通常会优先考虑短期内的资金需求,以至于推迟其数字化进程。这种以短期为重的思路会带来破坏性的长期后果,而美国便在为几十年来的短视付出沉重代价。拜登政府有意投资美国的实体基础设施,为此拜登政府应与国会合作,通过未来的新冠疫情刺激立法向州级、地方、部落和属地政府提供补助,以便这些机构能够更快地向云端迁移,并对各自的数字基础设施进行现代化改造。拟议的《州级和地方信息技术现代化网络安全法》(State and Local IT Modernization Cybersecurity Act)将为此项立法奠定基础。

3.3.4 阐明硬件、软件和固件的最终产品组装者的法律责任

美国的对手会试图利用软件漏洞,而若能及时创建和安装补丁程序,就能缩短漏洞的存在时间,从而使对手难以放开手脚利用这些漏洞,抬升对手的行动成本,并使对手无法从中渔利。为了鞭策硬件、软件和固件的最终产品组装者更快开发和发布补丁程序,从而缩短漏洞的存在时间,拜登政府应与国会一同尽职尽责地制定相关法律,规定如果交付时已知存在漏洞或事后发现漏洞、且并未及时加以修复,那么一旦有人利用这些漏洞造成损失,软件、硬件和固件的最终产品组装者就要对此负责。

3.3.5 通过《国家数据泄露通报法》

美国的各项数据泄露通报法律均要求数据泄露方(无论泄露原因如何)通知其消费者和其他相关方,并采取措施来弥补泄露造成的伤害。尽管所有50 个州、哥伦比亚特区、关岛、波多黎各和维尔京群岛都以种种形式实施了此类法律,但尚无关于此类通报的国家标准,以至于无法按统一标准来保护美国人的数据。美国需要根据消费者的期望来建立一种国家框架,并以明确的方式来监管从事州际和全球贸易的美国企业。拜登政府应与国会合作通过一项国家数据泄露通报法,以便为美国制定标准化的数据泄露通报要求,并用该法来取代54 个州、地区和属地现有的各项数据泄露通报法律。

3.4 通过投资加强网络弹性

美国政府应加强对私营部门网络防御行动的支持力度,不过由于资源和能力有限,联邦政府应优先保护那些具有系统重要性的关键基础设施,即管理那些“一旦中断,就可能对美国的国家安全、经济安全或公共健康和安全产生连锁负面影响”的系统和资产的关键基础设施机构。

3.4.1 将具有系统重要性的关键基础设施纳入法律

从第13636 号行政令的第9 条可以看出,奥巴马政府已认识到一个关键问题:在维护公共健康和安全、经济安全或国家安全方面,并非所有关键基础设施都发挥着同等重要的作用。尽管该行政令认为需要在网络安全方面建立共担责任和相互合作的社会契约关系,但其既未将这种契约关系编撰成法,也未全面建立这种关系。此外该行政令的第9 条既未允许美国政府借助任何新的要求、资源或权限来支持具有系统重要性的关键基础设施,也未对受该条款约束的机构提出任何额外的期望。拜登政府应与国会合作,在第13636 号行政令的基础上通过一项法案,从而将“具有系统重要性的关键基础设施”这一概念纳入法律之中。该法应确保负责“具有系统关键性的系统和资产”的机构获得美国政府的特别援助,并要求这些机构履行与其独特地位和重要性相称的额外安全与信息共享要求。

3.4.2 建立国家风险管理循环

拜登政府应与国会合作通过一项法案,以建立国家风险管理循环和国家关键基础设施弹性策略,从而协调和简化国家风险管理工作。应由国土安全部主导这一循环,但所有行业风险管理机构(SRMA)也都应参与其中;在规定了识别、评估和区分风险优先级的程序后,该循环应将这种认知转化为相关部门/机构的战略、预算和计划性优先事项。应与关键基础设施的所有者和运营方协商制定该循环的流程和程序,然后公开对外发布,并向公众征求意见。此外这些流程和程序还应具备适应性和迭代性,以便能吸取前一循环的经验教训。应通过此类循环中的风险识别和评估来直接得出“关键基础设施弹性策略”(Critical Infrastructure Resilience Strategy),从而为各SRMA 规定将在下一个“五年国家风险管理循环”中优先执行的项目和预算事项。

3.5 为网络犯罪的受害者提供支持

欺诈和其它恶意活动在新冠肺炎疫情期间激增,这表明犯罪分子在重大紧急事件中有更多空子可钻,从而使本就处境艰难的公共服务部门和美国人民陷入更大的困境。拜登政府应与国会合作,通过创建“国家网络犯罪受害者援助与恢复中心”等机构来向网络犯罪受害者提供支持,并制定一项补助项目来帮助那些抚慰网络犯罪受害者的非营利机构。

3.6 保护美国的民主

美国政府应确保其选举安全和民主韧性。美国人民对其民主制度的信任和信心仍是国家恢复能力的基本要素,同时也是各种恶意行为体极力破坏的目标。美国的选举制度其实是一种由各种制度、工具和人员构成的网络,这种网络依赖于互联互通和数据,而这为破坏美国的政治体制(不论是投票还是其它方面)提供了可乘之机。为确保各州以及美国政治体系中的其它参与方(包括政党和竞选团队)能够改善和维持它们的网络安全能力,负责保护美国选举进程的联邦机构需要在组织上进行改革、获得持续不断的经费并及时得到授权。此外美国人还必须有更好的设备来识别那些利用网络开展的信息战行动,这样才能将其造成的损害降至最低。需要指出的是,这些信息战行动可能会削弱各方对美国民主及其制度(包括选举及其它方面的民主和制度)的信任和信心,从而危及国家安全。

3.6.1 加强和改善助选委员会的结构

为确保各州和美国政治体系中的其它参与方能够改善和维持它们的网络安全能力,包括助选委员会(Election Assistance Commission)在内,负责保护美国选举进程的各种联邦机构皆需在组织上进行改革、获得持续不断的经费并及时得到授权。拜登政府应与国会合作加强助选委员会的能力,以保护美国的民主。

3.6.2 促进数字素养、公民教育和公众意识

美国的对手会利用网络发起信息战行动,以破坏公众对民主制度的信任,进而危害美国的民主。对手会通过这些行动来传播各种坏事,以便让受众对某种看法深信不疑,并认为体制正在不可逆转地恶化,同时加剧国民之间的分歧。要想让公众抵制这些不良信息,首先就要重新重视公民教育,以此来提醒美国人民主的内涵:民主并非天赐,而是必须为之奋斗;美国拥抱民主并非因为其完美无缺,而是因为其能带来积极的变化;每位美国人都必须通过合法手段来有效推动这种变化。拜登政府应与国会合作,为振兴美国的数字素养和公民教育提供支持。

4 结 语

网络空间日光浴委员会是由美国国会议员和政府官员组成的国家级网络安全建议与咨询团队,其建议对美国的网络安全政策具有重要影响。鉴于拜登政府与特朗普政府在诸多问题上均存在显著分歧,因此有必要密切关注该委员会为新任美国政府提出的网络安全建议。

猜你喜欢

拜登网络安全政府
拜登也要打造基建狂魔
普通人拜登
知法犯法的政府副秘书长
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
“拜登”献吻拜登
拜登.你的手……
依靠政府,我们才能有所作为
政府手里有三种工具