桂畅旎 孙成昊

(1.中国信息安全测评中心 北京 100085;2.清华大学战略与安全研究中心 北京 100084)

2023年3月2日,拜登政府发布《国家网络安全战略》(以下简称拜登政府《战略》)[1],围绕建立“可防御且具有韧性的数字生态系统”的目标,提出重塑网络安全责任分配、推进进攻性网络行动、加强政府长期投资等变革性举措。该战略是拜登执政以来在网络空间推行的转型举措的集中体现,体现了当前美国网络治理的新认知和新思路。由于网络空间形势的不断变化,以及网络安全在国家安全中的权重不断上升,导致美国各届政府对网络空间的安全威胁认知不同,进而在战略举措上有所变化与差异,而这种差异也正是本文需要重点分析研究的内容。本文采用文本分析与比较研究相结合的方法,横向对比小布什政府2003年《保护网络空间国家战略》[2](以下简称小布什政府《战略》)、奥巴马政府2011年《网络空间国际战略》[3](以下简称奥巴马政府《战略》)、特朗普政府2018年《国家网络战略》[4](以下简称特朗普政府《战略》)以及拜登政府《战略》文本,试图梳理拜登政府治网的“变”与“不变”,研判在中美博弈的大背景下对我国网络安全治理的影响,并给出应对美国网络战略转型的相关策略与建议。

1 拜登政府《战略》的利益界定、威胁认知和优先事项

美国网络战略是国家安全战略的重要组成部分,遵循大战略制定的通行步骤,即“利益界定”,“威胁评估”和“排定优先事项”[5]。

1.1 利益界定

利益界定即战略愿景的设定。经历几届政府的调整,美国网络战略利益界定既有传承也有变化。一是塑造以美式价值观为基础的网络安全叙事。每一项战略都需要完整的叙事,以描述目标和实现手段,且能够抓住国内民众、盟友和对手的想象力[6]。小布什政府《战略》主要聚焦防止针对关键基础设施的网络攻击开展叙事。奥巴马政府将战略目标固定在建立“开放、可互操作、安全和可靠的网络空间”,要求国际网络空间政策反映“基本自由”“隐私”和“信息自由流动”等核心承诺。特朗普政府《战略》将维持美国在网络空间的引领地位与建立“开放、可互操作、可靠和安全的互联网”相关联。拜登政府《战略》在网络空间领域引入所谓的“拐点”叙事,要求重建数字生态系统以反映“民主价值观”。二是提升网络安全为国家安全的重要方面。小布什政府《战略》将网络空间定义为“确保国家关键基础设施正常运转的‘神经系统’和国家控制系统”,明确网络安全的战略地位[7]。奥巴马政府《战略》提出“确保信息自由传输、数据库安全和互联网自身的完整性”。特朗普政府《战略》则认为“确保网络空间安全是美国国家安全和人民繁荣的根本”。一系列网络安全事件促使拜登政府在《战略》中明确规定“网络安全对于经济的基本运作、关键基础设施的运行、民主和民主制度的强韧、数据和通信的隐私以及国防至关重要”,明确将网络安全视为影响国家安全甚至是影响民主体制的重要因素。三是维持美国的主导地位是本质诉求。美国政府对于网络安全的认知经历了从技术安全关切到政治诉求的转变[8]。小布什政府《战略》整体上是一种内向型战略,主要关注国内网络安全;奥巴马政府《战略》逐渐向外延展,要求美国引领全球网络安全问题的解决;特朗普政府《战略》将维持美国在网络空间的战略优势视为全球网络空间稳定的前提条件;拜登政府《战略》更进一步强调在网络空间“确保处于尽可能强大的地位”。可以看出,维持美国在网络空间的主导地位已成为《战略》核心诉求。

1.2 威胁认知

威胁评估是国家战略行为的逻辑起点[9],是界定敌我的重要步骤,决定了国家的力量分配与投资重点。一方面,应对网络空间大国竞争成为主要威胁。美国对于网络空间威胁和对手的塑造处于不断发展过程中。小布什政府《战略》聚焦网络间谍、关键基础设施破坏等;奥巴马政府《战略》强调“自然灾害、事故或网络攻击活动可能会破坏美国境内及境外的电缆、服务器和有线网络”,尚未提及地缘政治挑战。2015年国防部《网络战略》首次将中国、俄罗斯、伊朗、朝鲜设定为美国在网络空间的主要对手[10]。2016年国务院《国际网络空间政策》重点关注中国和俄罗斯[11],2015年美国《国家军事战略》直接点名将俄罗斯和ISIS列为美国网络安全的最高威胁[12],届时俄罗斯优先性高于中国。随着中国网络实力的增强,特朗普政府《战略》开始将中国排定在俄罗斯之前,视为“国家安全和网络安全的主要对手”。拜登政府《国家安全战略》称中国为“唯一一个既具有意图又有能力重塑国际秩序的竞争对手”,并将该认知推广至网络空间,将中国塑造为网络空间首要对手。另一方面,提格网络犯罪问题为“国家安全”关切。拜登政府《战略》将网络间谍活动、知识产权盗窃、勒索软件攻击等网络犯罪问题上升为国家安全问题,特别是围绕打击勒索软件进行了一系列制度安排。拜登政府对于网络犯罪问题的认知逻辑发生变化,即通过强调网络犯罪问题的国家安全属性,进一步引入情报机构、军事部门,充分“解锁”国家安全工具应对网络安全。

1.3 优先事项

在利益界定和威胁认知确定基础上,国家网络战略需要多层次对资源进行控制和运用,即排定优先事项。小布什政府《战略》主要分为“安全响应”“安全威胁和漏洞缓解”“安全意识与培训”“网络空间安全”“网络空间安全合作”五部分;奥巴马政府《战略》分为经济、安全、执法、军事、互联网治理、国际发展、互联网自由七部分;特朗普政府《战略》包括“保护美国人民、国土和美国生活方式”“促进美国繁荣”“以实力维护和平”“推进美国影响力”四部分。拜登政府《战略》建立在前几届政府网络安全政策基础上,提出“保护关键基础设施”“瓦解威胁分子”“塑造市场力量”“投资于有韧性的未来”“建立国际伙伴关系以追求共同目标”五大支柱。可以说,美国网络战略框架基本定型(见表1),在优先项上有所沿袭。首先,保护关键基础设施安全是重中之重。关键基础设施是美国网络安全治理的核心内容,一方面是因为关键基础设施涉及政府、重要行业等“国计民生”部门,一旦受攻击事关重大;另一方面,美国关键基础设施85%由私营部门控制,政府部门统筹安全防护压力较大,因此推动关键基础设施保护既是美国网络治理的重点,也是难点所在,这也是拜登政府《战略》将关键基础设施保护作为网络安全治理优先项的原因。其次,强调多维度协作是治理关键原则。拜登政府《战略》回归奥巴马时期所强调的多维度协作,分别是充分发挥“全政府”模式加强联邦部门之间的协作;强化公私间在网络安全事件应对中的全流程合作;强化网络空间伙伴关系建设,加强与盟友和伙伴国之间的网络安全合作。第三,注重基础能力建设。《战略》将网络安全攻防能力、网络安全事件响应能力、威胁信息共享能力以及网络安全人才培养作为重点投资方向,体现了美国政府对于能力建设的重视。

表1 美国网络战略基本内容

2 拜登政府《战略》的变革性举措

拜登政府《战略》呼吁“对数字生态系统的潜在动力进行根本性变革”,被称作是美国网络安全战略发展20年来最具变革性的制度安排,在解决美国网络治理的结构性问题上迈出实质性步伐。

2.1 重构网络安全保障范式

提升网络安全保障的效度是拜登政府的首要之务[13],也是《战略》变革最大的内容。《战略》着力解决一些系统性和基础性的“顽疾”,意图重塑美国网络安全保障格局。

第一,重构网络安全保障范式,引入“国家监管”应对“市场失灵”。私营部门一直是美国网络安全治理的主导者,其主要依靠行业标准和最佳实践等市场自律行为解决网络安全问题。拜登政府通过《战略》传递明确信号,即网络安全不能仅仅依赖于市场力量,联邦政府应统筹监管应对“市场失灵”情况,这直接挑战了市场和监管的传统立场。1998年5月克林顿签署的第63号总统令《克林顿政府对美国关键基础设施保护的政策》 (PDD63)[14]首次提出“市场激励是解决关键基础设施保护问题的首选”,“只有在市场严重失灵的情况下才会引入政府监管措施”。小布什政府《战略》重申基于市场的路径,强调市场而不是联邦监管为网络安全保障提供了主要动力。奥巴马政府在2009年开展网络安全审查后提出了“宽松且监管不严的数字基础设施”是导致安全性差的关键因素,但除了呼吁开展强制网络事件报告外,关注的重点仍然是改善市场运作的激励措施,而非对市场失灵进行监管。特朗普政府《战略》提出了包括促进最佳实践,提高网络安全意识等监管举措,但并未直接提出应对市场失灵的监管问题[15]。相比之下,拜登政府《战略》正视“市场失灵”的情况,强调“监管可以创造公平的竞争环境”,因此将加强监管作为首要优先举措。《战略》开出的监管“处方”包括:对联网设备贴安全标签、更新政府采购政策、开展软件责任立法、推动安全数字身份系统、探索联邦网络保险等。可以说,《战略》正式开启了美国网络安全的“监管时代”。

第二,重新平衡网络安全责任,责任主体从“最终用户”转变为“最有能力者”。拜登政府提出“转变网络空间社会契约”论,其核心观点在于改变美国网络安全保障责任与资源分配不平衡的问题,敦促联邦政府和大型科技企业等资源充足者承担更多的责任[16]。基于此,《战略》将建立数字时代新的社会契约作为核心任务,要求“重分责任”,推动将网络安全责任由最终用户和小型组织“上提”,重点分配给“最有能力”和处于“最佳位置”的“所有者和运营商”。《战略》特别强调大型供应商必须在源头上实现“设计安全”,要求未履行相关要求的企业承担法律责任。前国家安全局总法律顾问格伦·格斯特尔(Glenn S. Gerstell)表示,拜登政府为未能满足基本安全需求而追究企业责任的举措“将产生长达数十年的影响”[17]。

第三,改变关键基础设施防护“自愿”模式,推行安全要求强制化和基准化。《战略》强调通过立法推动私营部门属性的关键基础设施所有者履行安全保障义务,这在美国历史上尚属首次。2022年3月拜登政府通过的《关键基础设施网络事件报告法》(CIRCIA)是强化关键基础设施网络安全监管的里程碑法案,强制要求关键基础设施所有者和运营商在规定时间内向政府报告网络安全事件[18],改变了原由私营部门出于自愿或自律进行保障的模式。此外,《战略》明确设定关键行业和领域的最低网络安全要求,敦促网络安全和基础设施安全局(CISA)制定关键基础设施网络安全绩效目标(CPG),以帮助相关部门建立共同的网络安全基线能力实践,目前已在多个关键基础设施领域施行。

2.2 公开推行进攻性网络行动

相比于前几届政府,拜登政府《战略》更为公开讨论针对对手的网络行动,反映出本届政府激进的战略转向。

第一,打击网络空间对手从隐蔽行动变成公开政策选项。小布什政府《战略》提及“在受到网络攻击时,美国保留以适当方式做出反应的权利”,但反击对手并不是该战略的重点。2008年,小布什在离任之际提出国家网络安全综合计划(CNCI),呼吁“协调和应用进攻能力以保卫美国信息系统”,首次提出将进攻性网络力量用于防御目的,得到奥巴马政府沿用。特朗普政府《战略》虽将“识别、反击、扰乱、降低和威慑网络空间对手”作为子支柱,但讨论篇幅较少。相比之下,拜登政府设立专章讨论进攻性网络行动,通过整合现有打击行动、加强公私协作、提高打击速度和规模、加强情报共享等以瓦解威胁行为者,这是美国首次在国家网络民事战略中公开讨论进攻性网络行动细节。

第二,网络军事行动从口头威慑转变为行动塑造。近年来,美国战略界反思网络空间威胁变化,认为网络空间战争与和平之间的界线越来越模糊,美国传统将主要精力运用在预防所谓的“网络珍珠港”“网络911”等网络战行为的保障措施,并积极实行网络威慑,这难以应对信息操纵、知识产权窃取、勒索软件攻击等“低于武装冲突阈值”的“小敲小打”行为[19]。2017年开始,美国内开始反思网络威慑与网络空间的适配性[20],身兼国家安全局局长和美国网络司令部司令两职的保罗·中曾根(Paul Nakasone)吸纳学界观点,在2018年3月美国国家网络司令部发布的《获取并维持网络空间优势——美国网络司令部的指挥愿景》文件中明确提出“持续接触”是美军在网络时代的行动理念,其核心是通过连续行动塑造网络空间战场[21]。拜登政府《战略》沿袭特朗普政府“以行动塑造环境”的理念,特别肯定了“前沿狩猎”战略方针,认为“美军在国防部网络之外参与网络行动,已经对威胁行为者产生了深入了解”。“前沿狩猎”主要路径是美国外派力量与相关国家合作以在其网络上搜集信息、设置防线,最终了解目标对手网络行动战术、技术和程序(TTPs),并组织反制攻击。2018年起至今,美国网络司令部已在爱沙尼亚、立陶宛、黑山、北马其顿、乌克兰等全球20个国家和地区开展了47次“前沿狩猎”行动[22]。《战略》直接要求使用军事力量开展网络行动,无疑是对美国一直所提倡的网络威慑的背离,因此也有评论认为该战略宣告了美国网络威慑的破产[23]。

第三,网络执法行动从“点名羞辱”(Naming and Shaming)转变为更落地的司法举措。“点名羞辱”主要是收集并公开对手所谓“违规”信息、技术细节,以进行施压或羞辱,促其改变行为,具体方法包括公开曝光、指控、谴责等,该方法在特朗普政府时期被频繁运用于网络空间。拜登政府充分沿袭该理念,积极联合盟友进行集体归因,发布溯源报告。在此基础上,《战略》公开呼吁“使用一切国家力量工具来瓦解和摧毁恶意行为”,充分整合美国各职能部门现有网络打击活动,给予对手外交警告、经济制裁、执法取缔等,反映了美国网络执法行动从口头警告到行动制裁的转变。

2.3 着力提升网络外交效度

在特朗普政府“美国优先”政策引发盟友“信任危机”的背景下,拜登政府将网络外交作为重振美国外交的重要内容,明确提出将采取更积极的网络外交,强化网络空间伙伴关系建设,构建“小核心大外围”的网络同盟圈。

第一,在合作模式方面,从单点单线到分层分级的建构。区别于特朗普政府仅与个别国家维持网络安全合作,拜登政府《战略》意图全面回归奥巴马时期力推的网络空间伙伴关系建设,并在此基础上建立更为有效的分层分级合作模式。一是拉拢核心盟友,打造网络联盟。《战略》毫不避讳提出“建立联盟应对数字生态系统面临的威胁”,要求核心盟友在共享威胁信息、互通网络安全实践、协调事件响应上进一步合作,实质是打造网络安全联盟。二是争取发展中国家,以能力输出换取政策配合。《战略》以合作建立防御能力为抓手,在发展中国家推行事件检测和响应、网络威胁信息共享等美式标准,可直接拓展美国在网络空间的态势感知范围。三是加强多利益攸关方合作,形成规制合力。《战略》肯定多利益攸关方在特有网络安全规制方面的优势,意图“收编”私营企业、非政府组织、技术实体等为外围支撑力量,配合美国网络空间国际规则构建。

第二,在合作议题方面,由侠义到广义网络外交的拓展。拜登政府不断强化传统由国务院主导的网络规则、技术标准方面的合作,同时全面推动国土安全部、联邦调查局、国防部等职能部门“走出去”,开展更为多元的广义网络外交。合作议题主要集中在:一是技术标准。拜登政府将抢夺新兴技术的规则和标准之争塑造为“民主国家”和“威权国家”的道路之争,认为这将影响互联网的发展未来,强调与伙伴国家制定新的规则。对此,拜登政府在国务院建立网络空间和数字政策局以及关键和新兴技术特使,其核心使命之一就是推广符合美国价值的数字技术标准和规范[24]。二是外交行动。拜登政府对全球供应链的重组和操控意图在《战略》中得到明确体现,强调“友岸外包”,加强与盟伴合作,其实质是构建去中国化的供应链“小圈子”[25]。

第三,在合作效度方面,由“清谈馆”到强调“异己”惩罚机制的转变。《战略》以所谓“负责任的网络空间国家行为准则”为准绳,力图在网络空间引入现行国际法,并与盟友采取协调一致的“惩罚”行动,惩罚所谓“不负责任”的行为。美国近年来频繁联合盟友在网络空间采取起诉、联合制裁等举措,特别是制裁个人和企业等微观行为体,提升合作效度[26]。

3 拜登政府《战略》的主要动因

拜登政府出台《战略》既是根据网络空间形势调整的结果,也是对现实地缘政治环境以及新技术发展的应对之策,同时还反映了拜登政府在极化的国内政治中探索“破局”之道。

3.1 网络空间安全形势严峻

《战略》是在美网络空间政策走入“十字路口”的背景下出台的,是对网络空间安全环境变化的直接反应。拜登受任于美国网络空间“危难之际”,接连遭受“太阳风”(Solarwinds)、科洛尼尔管道(Colonial Pipeline)、微软服务器(Exchange)等网络攻击事件,攻击目标日益向涉及国计民生的关键基础设施行业转移。同时,以获取赎金为主的勒索软件攻击肆虐,对经济运转、民众生活造成直接影响;再加上“网络干预选举”“信息操纵”等新型网络攻击形式的出现,被美国政客视为干预民主进程,威胁到美国的立国之基。与此同时,美国内政企合作成效不佳,特别是私营企业在斯诺登事件后一直在抵制与政府合作,导致政府在调集私营企业资源合力应对网络威胁时较为被动。

3.2 现实地缘政治博弈投射

《战略》直接反映了现实地缘政治对于网络空间的影响。中美战略博弈是《战略》背后隐藏的主基调,《战略》将中国定位为网络空间“最广泛、最活跃和最持久的威胁”,围绕遏华目标排兵布阵。俄乌冲突为《战略》突破国内立法限制提供了一张“万能牌”[27],美国将俄乌冲突外溢的网络安全问题塑造为“即刻且危急”的威胁,加快网络军事力量建设,大幅增员扩编其网络行动部队,下放网络行动赋权,推进网络军事行动“松绑”,扩充“前沿狩猎”等行动的资金补助等;同时《战略》也借机强化公私合作项目,固化微软、谷歌等企业支撑美国政府的合作模式形成长久化合作机制。

3.3 国内政治生态极化影响

拜登将网络安全视为执政优先项,与其面临的府会分立、两党恶斗的国内政治环境密切相关。当前,美国国会严重分裂,在共和党控制众议院的背景下,拜登政府较难通过自选议题。网络安全作为少有的共识度高的超党派议题,成为拜登政府应对国内政治极化、探索与国会合作的抓手。特别是在一系列重大网络安全事件影响下,前几任政府铺陈的网络安全保障措施饱受质疑,如投入逾40亿美元的“爱因斯坦”项目就被指责未发挥应有作用。拜登政府有意利用网络安全议题在国内的高共识度,在《战略》中纳入许多民主党与共和党联合提出的治理方案作为突破口。此外,拜登将自身塑造为改革者形象,在报告网络安全事件、实行网络安全基线标准等举措上强力改革,以此获取选民支持。

3.4 新技术新应用发展倒逼

美国在技术发展上存在两方面诉求,一方面,布局新技术发展实现“代际领先”。拜登政府将美国在技术发展及其治理领域方面的领先地位视为重回繁荣的支撑,将科学技术政策办公室(OSTP)提升为内阁部门,在国家安全委员会中设置负责国家网络和新兴技术的国家安全副顾问,两项设置在美国历史上均属首次,同时大幅增加对人工智能、量子计算等下一代网络技术的投资。另一方面,控制新技术的安全风险。技术存在两面性,美国作为信息化程度最高的国家,同样面临来自人工智能、量子计算、区块链等颠覆性技术带来的安全威胁。《战略》特别警告称,新兴技术可能使现有的网络安全控制变得脆弱,要求必须为“后量子未来”对当前加密系统带来的影响作准备。

4 拜登政府《战略》的对华影响

《战略》对于我国的影响主要源于两方面:一方面,《战略》变革网络安全基础理念,这种理念的迭代升级对于我国网络安全既有防护举措带来间接影响;另一方面,《战略》专门针对我国的对抗性举措带来的直接影响,特别是沿袭美国《国家安全战略》《国防战略》的定位,将我国列为美国在网络空间“最广泛、最活跃和最持久的威胁”,持续炒作所谓“数字威权主义”,围绕遏华目标排兵布阵,给我国网络安全治理外部环境带来冲击。

4.1 在网络安全理念博弈中,我国网络安全既有防护布局面临冲击

《战略》收纳了美国近年来所推行的网络安全新理念,涉及“零信任”“默认安全设计”“网络安全绩效目标”等具有颠覆性的基础理念,这无疑将引领网络安全行业相应的体制机制、技术、产品、算法等升级迭代。以零信任为例,当前美国国内各部门正在积极实施零信任安全架构,基于“永不信任、始终验证”的原则,推动美国网络防御“以网络为中心”向 “以数据为中心”的安全模式转变,体现了在新安全威胁下美国迭代传统网络安全理念的趋势。美国还积极通过发布参考标准、实施战略等方式推广零信任在其他国家落地,鼓励更多国家引用实践,意图形成事实上的国际标准,推动全球网络安全图景变革。美国在推广零信任架构上主要实施其惯用的“实践—标准—规则”的内化路径,通过理念引领不仅占据网络安全未来发展的话语权,同时也将提高“后发者”的防护成本,对我国网络安全既有防护布局带来冲击。

4.2 在网络空间攻防对抗上,我国网络安全保障压力将进一步增大

美国推行的“持续接触”“前沿狩猎”实质是“以防御之名行进攻之时”。一方面,美以帮扶他国提升网络防御能力的理由“合法”进入他国网络空间,使得美国事实上扩大其网络行动域;另一方面,美更加频繁地主导进攻性网络行动,在对手国家周围设防布点,将加剧网络空间的“囚徒困境”,引来更多国家突破法律限制开展网络军事行动,研发网络武器,加剧网络空间军事化和武器化。值得注意的是,美高官曾多次表示印太地区将是“前沿狩猎”行动部署的重点区域,2021年的《国防授权法案》也明确越南、泰国和印度尼西亚将是美国重点布防的区域。在此背景下,我国将成为美国网络刺探、窃密、行动的重点目标,这将直接增加我国网络安全的外部承压。

4.3 在国际规则制定上,我国参与国际网络治理进程将持续受扰

《战略》预示着拜登政府将全面回归全球网络治理,在多边、双边机制中推进美国意识形态主导的治网规则,对冲我国的治网理念与话语权。首先,拜登政府将在既有的国际平台中扩大声势。为抢夺特朗普政府“丢失”的治理平台,拜登政府更加重视联合国、二十国集团等组织的涉网议题,并积极激活五眼联盟、七国集团等盟友机制在网络议题上的协调,进一步限制中国话语权。其次,积极打造新兴议题机制,在“互联网未来联盟”“四方安全对话”“印太经济框架”“美欧贸易和技术委员会”“美英澳三边安全与技术协定”等平台中积极讨论网络议题,协调规制和标准制定,并呈现出从价值观、国际规则到技术标准的逐层推进,意图迟滞我国参与国际网络治理的进程。此外,《战略》持续充实打压我国技术发展的工具箱,加快在关键技术领域“去中国化”的技术供应链重组,逼迫各国选边站队,我国技术发展面临更大外部掣肘。

5 对我国网络安全治理的启示

《战略》是拜登政府网络安全政策的汇总,相关举措是基于当前网络威胁发展特点以及现实实践总结出来的举措。我国一方面需有效管控美国《战略》走细落实带来的现实风险[28],同时要积极总结和借鉴美国网络治理的经验和方法,推动我国网络安全治理能力现代化。

a.升级理念,压实网络空间主体责任。相比于前几届政府,拜登政府《战略》问题导向意识更强,着重理清美国网络治理中的几对关系:一是政府与企业的关系。《战略》意图改变网络治理中政府与企业的分野,强化主体责任,形成网络治理中各主体既“各司其职”同时又“紧密协作”的关系。二是自愿与强制。《战略》充分肯定法律、标准等强制性政策工具作为自愿性市场行为的补充,推动美国网络治理告别“野蛮生长”的阶段。三是短期与长期。《战略》要求处理好企业短期收益行为与国家长远投资之间的平衡,鼓励联邦政府对一些见效慢、成本高的技术领域开展长期投资[29],本质上是实施网络空间的产业政策。当前,我国网络治理同样需要理清主体责任的问题,特别是在网络安全防护、网络生态治理、网络基础研发等关键问题上,存在着主体多元、责任模糊的问题。近年来有关部门制定印发《网络安全法》《数据安全法》等法律法规,均明确要强化网络空间主体责任,其中主体责任既包括企业的主体责任,也包括政府,特别是在处理一些共性问题时,更需要政府协调各方力量加大投入。如,当前我国网络安全产业发展规模和竞争能力相对较弱,部分关键领域的安全防护依赖于国外产品,难以实现自主可控。对此,政府部门应加大网络安全的长期规划与投入,加快关键核心技术的研发和攻关,推动我国网络安全产业创新发展。

b.强化合作,建成网络安全协同防御。网络安全具有“牵一发而动全身”的联动效应,应对网络安全问题需要把握网络空间的发展规律,利用系统性和体系化的思维加以全面应对。拜登政府《战略》围绕建立“数字生态系统协同防御”进行了一系列战略布局,包括强制网络安全事件报告,设置公私威胁信息共享机制等,致力于打造“全国家”“全政府”的“以网治网”格局,这有利于美国建成一个对应互联网分布式结构的网络防御模型。在当前中美网络安全体系化竞争背景下,我国宜围绕建成统一的网络安全协同防御目标,加强政企合作,进一步完善网络安全事件报告机制,建立网络安全态势感知与威胁情报共享网络,强化政企双向共享信息,推进各部门协调应对,实现从纵深防御到集体防御的转变。

c.夯实基础,完善网络安全治理体系。美国善于从顶层设计层面进行网络安全的体系化和层次化设计,提出创新威胁信息共享、推进零信任架构、保障供应链安全等举措,并建立相应的参考架构与标准指南,形成体系化的治理格局。同时,为促进《战略》的落地生效,要求消除财政、程序及技术障碍,解决政策之间的重叠拼凑问题,协调、精简现有和新出法规,消除相互矛盾的法规要求。我国也需要建立体系化的网络安全战略架构。当前,我国网络安全治理顶层设计渐趋完善,但在网络安全战略体系建设上与美国还存在一定的差距,亟需完善相应的技术框架、参考架构、标准指南,形成系统的网络安全治理体系。同时还需注重政策间的协调,减少重复政策给企业合规带来较高成本。

d.保持开放,积极参与国际网络治理。《战略》充分释放了拜登政府全面回归网络空间国际治理的信号,通过能力帮扶、机制共建、制度共商等“公共产品”,向全球展示美重新引领网络空间国际治理的决心,同时积极打造“去中国化”的网络治理规则圈,推动现有国际治理机制的重构。面对美国的施压,我国宜坚持自己的节奏,进一步推进对外开放,充分引进和利用国际先进技术成果,积极维系全球技术供应链产业链稳定;同时积极参与国际网络治理,依托世界互联网大会等重大活动,着力提升话语权和影响力,打造网络空间国际治理的“中国路径”;提升国际议题设置能力,在全球广泛宣传我国维护网络空间和平发展、共享共治理念,团结更多的力量,共同致力于构建网络空间命运共同体,建立真正的多边、民主、透明的全球互联网治理体系。