胡璇，程德斌，冷昊， 李炜玥

（1.工业和信息化部电子第五研究所，广东 广州 511370；2.智能制造装备通用质量技术及应用工业和信息化部重点实验室，广东 广州 511370）

0 引言

发端于20世纪60年代的计算机网络技术给人类的生产生活带来了巨大的变化，网络技术革命彻底地改变了人类的生产生活方式，也给“国家安全”这个古老的话题注入了新的变量。20世纪60年代，美苏间军备竞赛直接催生了计算机网络。自80年代开始，计算机网络不再局限于军事领域，开始向科研、商业等民用领域发展；此时，正值戈尔巴乔夫推行“新思维”，美苏关系缓和，欧洲和日本经济崛起，高级政治逐步地让位于低级政治。自90年代开始，苏联解体，美国打败了其唯一的战略竞争对手，但要应对来自欧洲和日本的愈发激烈的经济竞争。得益于全球化和包括网络技术在内的信息技术的高速发展，美国经历了二战后罕见的持续性高速增长时期，“新经济”浪潮席卷全球[1]。进入21世纪，计算机网络与其他信息技术深度融合，进一步地深入人类社会的各个角落，推动了世界经济一体化和全球化发展。在当今“无网不在”的世界里，一方面，网络提高了人类的生产效率和生活质量，为人类创造了巨大的剩余价值，变革了整个社会的运作方式；另一方面，由于网络本身的缺陷和人为的滥用，网络对国家安全的威胁也与日俱增，“网络安全”被提上议程，在国家安全中的地位也日益凸显。而随着个人和非政府组织的影响力越来越大，民族、国家不再是唯一的国际关系行为体，“全球公民社会”正在慢慢地崛起，这对传统的国家安全范式提出了挑战[1]。曾任美国里根政府经济政策顾问委员会主席的沃尔特·赖斯顿认为，网络的出现“使得诞生于工业时代的世界秩序的三大支柱——国家主权、国家经济和国家军事权力面临严峻的挑战”[2]。然而，事实证明计算机及网络不仅挑战了世界秩序的三大支柱，更是全面挑战了整个国际政治与国际关系体系。

以网络信息技术为核心的新军事革命也正在改变现代与未来战争的形态，计算机网络及信息系统成为一种新的攻击武器、作战平台和打击目标。网络空间作为陆、海、天、空之外的“第五疆域”，更是大国博弈的新战场[3]，并攸关国家安全。“网络战威慑”成为与“核威慑”“导弹防御威慑”“太空站威慑”并列的第四种“战略威慑”。美国是计算机及网络的发源地，是网络技术超级大国，美国的网络安全技术在其国家、国防和军队建设发展中扮演着举足轻重的角色。因此，本文对美国网络安全发展现状及制度体系建设进行了研究，以期为我国网络安全建设提供一定的指导。

1 美国网络安全的基本概念

1.1 网络安全的相关定义

2002年，在美国颁布的《美国联邦网络信息安全管理法案》（FISMA）中，给出了有关网络信息安全的定义，“保护网络信息与网络信息系统，防止未授权的访问、使用、泄露、中断、修改或破坏，以保护:1）完整性，即防止对网络信息的不当修改或破坏，包括确保网络信息的不可否认性和真实性；2）保密性，即对网络信息的访问和泄露施加授权的约束，包括保护个人隐私和专属网络信息的手段；3）可用性，即确保能及时、可靠地访问并使用网络信息。[4]”

2005年，在ISO/IEC 17799标准中，定义网络信息安全为:“保持网络信息的保密性、完整性、可用性；另外，也包括其他属性，如真实性、可核查性、抗抵赖性和可靠性[5]。”

早在1996年，美国国防部（DoD）在国防部令S-3600.1中对网络信息保障的定义为:“保护和防御网络信息及网络信息系统，确保其可用性、完整性、保密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能，并提供信息系统的恢复功能[6]。”

由此可见，网络信息安全的定义非常繁杂。为了消除概念上的混乱，第56届联大会议上通过的决议中呼吁所有的会员国家就“有关网络信息安全的各种基本概念的定义”等向秘书长及时通报，以更好地促进信息安全国际合作。然而，时至今日，国际上仍然没有一个有关“网络信息安全”的权威、标准的定义，这也说明“网络信息安全”是一个不断发展的多维度概念。

1.2 美国网络安全的内涵

美国西点军校的W VictorMaconachy、Corey D Schou、Daniel Ragsdale和Don Welch等人在IEEE信息保障和安全会议上发表的“A Model for Information Assurance:An Integrated Approach”中给出了一个网络信息保障模型[7]，如图1所示。

图1 网络信息保障模型

图1包含了安全服务、安全对抗和信息状态3个维度，这3个维度中包含的要素实质上涵盖了网络安全定义中的对应元素，其中既包含反映网络安全活动的动态元素，如传输（Transmission）、处理（Processing）等；也 包 含 静 态 元 素，如 技 术（Technology）、政策（Policy）等。网络信息保障模型相较网络安全定义更能直观、立体地反映网络安全的本质特征。

综合来看，网络信息安全是特定对象的安全，也是特定过程的安全。从网络信息安全要保护的对象来看，包括网络基础设施、计算环境、边界、连接和网络信息内容，以及网络信息的应用；从过程来看，网络信息安全要保护的是网络信息产生、存储、传输、处理和使用直至销毁的全过程。

1.3 美国网络安全的层次

美国网络安全包含3个层次:网络基础设施安全、网络内容安全和网络应用安全，如图2所示。

图2 美国网络安全层次

2 美国网络安全发展现状

a）政府给予了高度重视

到目前为止，美国先后经历了克林顿、布什、奥巴马、特朗普和拜登5任总统，虽然所处的网络环境不同，5任总统对网络安全之于国家安全的重要性都有着清晰的理解，他们递进式的网络安全战略也保证了其国家战略的延续性和持续性，从而奠定了美国第一网络安全大国的地位。

克林顿时代的网络安全战略是“全面防御”，重点是保护网络基础设施的安全。布什时代，“911”事件引发了美国网络战略的重大转变，网络战略重点转向网络反恐，强调“攻防结合”。奥巴马时代，网络安全战略开始强调“主动攻击”，完成了网络安全战略从“被动防御到网络威慑”的全面转折[8]。2018年9月20日，特朗普发布《美国国家网络战略》，概述了美国网络安全的4项支柱、10项目标与42项优先行动[9]。在特朗普时期网络安全战略的基础上，拜登政府不断地完善网络安全机构设置，并新设负责网络和新兴技术的国家安全副顾问一职。此外，拜登内阁关键岗位的多名人选具备网络安全背景[3]。从“太阳风”（SolarWinds）供应链攻击事件到克罗尼尔（Colonial Pipeline）网络勒索攻击事件，都使美国拜登政府以网络安全事件调查与处置为牵引，逐步地健全相关安全机构，出台了一系列的安全政策。在对国家面临的威胁评估方面，分别于2021年3月3日和2021年4月13日发布了《国家安全战略临时指南》（Interim National Security Strategic Guidance）[10]及《2021年度威胁评估》（2021 Annual Threat Assessment of the U.S.Intelligence Community），这两份报告均把网络安全作为重中之重，前者称要加强美国在网络空间的能力和战备；后者则把应对中国所谓的“网络能力”作为开展“势均力敌的竞争”的重要方面。2021年5月12日，拜登签署14028号行政令《改善国家网络安全》（Executive Order on Improving the Nations Cybersecurity）[11]，该令旨在通过保护联邦网络、改善美国政府与私营部门间在网络问题上的信息共享及增强美国对事件发生时的响应能力来提高国家网络安全防御能力。具体包括9项关键举措:政府与私营部门合作、消除威胁信息共享的障碍、联邦政府网络安全现代化、加强软件供应链安全、成立网络安全审查委员会、联邦政府网络安全漏洞和事件应急响应标准化、加强联邦政府网络中网络安全漏洞的检测能力、加强联邦政府网络安全事件的调查和补救能力、国家安全系统等。该行政命令以美国政府前所未有的极具安全举措的方式来确保网络安全政策的落实，标志着美国拜登政府网络安全政策的初步成熟与体系化[12]。由此可见，美国政府对网络安全问题给予了高度重视，并已将其作为国家安全的重要威胁来对待。

b）成立了国家层面的领导和协调机构

强化工作统筹和综合协调，成立国家层面的领导和协调机构成为美国网络安全发展的重要组成部分。美国在总统办公厅设立网络安全办公室，全权负责国家网络空间安全事务。该办公室直接受命于总统，同时向美国国家安全委员会（NSC）和国家经济委员会（NEC）汇报工作，并通过这两个委员会直接影响美国国家安全和经济发展决策。此外，在NSC设立一个新职位，即负责网络和新兴技术的国家安全副顾问。基于上述领导和协调机构，进行网络安全战略的顶层设计，出台一系列的网络安全战略文件。

c）关键基础设施得到了有效的保护

美国将网络空间作为国家战略资产，将保护网络空间作为国家安全的优先事项。其中，关键基础设施保护的战略措施包括:明确组织机构；制定综合性计划；实行全生命安全周期管理，定期地进行风险评估；提高态势感知、事件管理和应急响应能力；加强公私合作和信息共享。

d）技术研发水平大大地提升

科技在保持网络空间的信心和信任方面至关重要，有助于消除网络安全的担忧，为此美国政府高度重视网络安全技术的研发和创新，包括:“能改变游戏规则”的网络基础技术研发和创新；云计算、大数据、人工智能和数字经济等新兴技术领域的研发，优先考虑使用云技术，使网络安全手段现代化，推进使用“零信任”架构，即通过多因素认证提升网络安全。针对“零信任”，2021年5月12日，美国总统拜登签署的行政令《改善国家网络安全》中要求，联邦政府各个机构应当制定零信任架构实施计划。2021年9月7日，美国联邦政府管理和预算办公室（OMB）发布了《美国政府向零信任网络安全原则的迁移》（Moving the US Government Towards Zero Trust Cybersecurity Principles）[13]。同日，美国国土安全部（DHS）网络安全和基础设施安全局（CISA）发布了《零信任成熟度模式》（Zero Trust Maturity Model）[14]。

e）网络空间的有效作战能力得到了快速发展

发展网络空间的有效作战能力，全面实施网络威慑。其中，主要的举措包括:组建网络作战指挥机构；构建针对国防部网络和系统的主动防御体系；加强国内和国际合作；发展网络作战技术能力和建设网络部队，定期地评估网络作战队伍、需求及能力。

f）美国网络空间环境仍然面临威胁

与美国对网络安全的重视程度逐年增强的现实相反，其网络安全问题不断地涌现，主要包括:核心网络威胁、恶意软件扩散、网络和基础设施面临风险，以及未来的安全环境中存在威慑。

3 美国网络安全制度体系建设

3.1 完善的网络安全组织管理体系

美国网络安全政策的制定由NSC和NEC共同负责，在这两个委员会之下，美国拥有众多与维护网络安全有关的职能部门，美国网络安全组织管理体系的基本架构如图3所示[15-17]。

图3 美国网络安全组织管理体系基本架构

由图3可见，美国拥有的与维护网络安全有关的职能部门分别隶属于立法、行政、司法和军队等多个系统，它们相互之间关系复杂，在维护网络安全方面有着较为清晰的职责分工，共同构成一个既各司其职、又存在一定职能交叉的庞大管理机构体系，为国家安全战略的制定实施提供了有力的组织保障。其中，美国网络安全的三大核心领域包括:国土安全部负责国内网络安全的防御与应急反应、网络犯罪和网络恐怖主义等[16，18]；国防部负责国外的军事网络作战、防御国家关键基础设施的进攻性网络作战[16，19]；国家安全局支援国内与国外两方面网络作战的网络空间情报作战业务[16，20]。

3.2 有力的网络安全法规制度保障

美国在网络安全立法方面起步较早，迄今为止，已颁布实施多部成文法，并不断地修订完善，这也充分地体现了美国政府高度重视相关法律体系建设。美国的网络安全立法工作伴随着计算机网络及其安全形势的发展，大致可分为3个阶段:起步阶段、发展阶段和成熟阶段。美国主要网络安全立法如表1所示[21-23]。

表1 美国主要网络安全立法

此外，作为美国网络安全保障的重要组成部分，美军也具有一套完备的网络空间安全政策法规体系，如图4所示。以美国国防部2015年发布的《网络空间战略》为例，其中提出了美军网络安全三大战略任务、五大战略目标及其实施举措，包括建立网络任务部队、构建网络安全活动协同机制，该机制又包含:信息共享和机构间的协调、与私营部门建立桥梁、建立强大的国际联盟和伙伴关系等[24-25]。

图4 美军网络空间安全政策法规体系

3.3 注重网络安全人才的培养

美国高度重视人才在网络安全战略体系中的关键作用，通过宏观政策引导、创新交流机制和拓宽吸纳渠道等多种方式，为构建网络安全人才战略积累了一定的经验。

a）进行网络安全人才战略的顶层设计

在2015年美国国防部的《网络空间战略》中，加强网络人才建设被置于美军网络安全战略实施目标的首位。该战略认为美军网络人才队伍依赖于三大基础支柱，即:强化训练、改善军民人才招募和保留、私营部门的有力支持。

b）创新军地融通的人才招募机制

美国尤其注重军地融通人才的招募，一是开辟了网络技术人才招募的“绿色通道”；二是构筑了军地部门间的合作育人模式；三是采取多样化方式吸收地方人才资源。

c）加强军地互补的人才交流合作

人才的开放流动，是有效地消除军地间隔阂的前提条件。为此，要加强军地互补的人才交流合作，一是建立军地网络技术人才交流的制度化平台；二是增强军方与硅谷间的有机联系；三是发挥预备役和退役军官在军地人才交流中的桥梁作用。

4 结束语

当今世界正处于以云计算、大数据、互联网为主要标志的信息时代。在此背景下，网络安全的重要性日益凸显。美国网络空间安全是一个非常庞杂的体系，涵盖面广的同时各个因素又互相影响互相制约。近年来，美国高度重视网络安全的发展和创新，通过明确网络安全定义，确定保护对象，界定犯罪行为；建立权责统一、层级分明、分工协作的网络安全组织管理体系；强化网络安全法规制度保障；加强专业网络安全人才培养和交流等手段，持续地保持其在网络安全领域中的优势地位。我国网络空间安全的工作开展，同样需要从全局的角度考虑各种变量，从而形成一个完整的动态的网络安全体系。我们应充分地借鉴和参考美国的经验，结合我国网络安全领域的发展现状，加强网络安全战略统筹，持续地推动网络安全组织管理体系建设，加快网络安全法律法规的完善，加大网络安全技术人才培养力度，以缩小与发达国家的差距，适应未来信息化战争的要求。