2020年上半年美国网络安全政策与举措动态

发布时间:2020-08-24 19:43:25    浏览次数:1432     来源:中国信息安全

文│中国现代国际关系研究院网络安全所执行所长、研究员 唐岚

面对疫情与选情的双重夹击,美国政府上半年在网络安全领域的投入力度并未减弱。一方面,顺应网络威胁与技术的发展演变,持续推进既有网络战略,明确防护重点,全面提升攻防能力。另一方面,立足于大国竞争,动员举国之力与战略对手在网络空间展开全方位竞争,抢夺主动权,将网络安全问题政治化,致使国家间“信任赤字”呈加大之势,殃及网络空间全球战略稳定。

一、“改良”网络威慑理念

对于在网络空间如何确保美国安全,特朗普政府虽然对奥巴马时期的政策百般挑剔,却沿袭了后者的网络威慑理念。应《2019财年国防授权法》要求成立的“网络空间日光浴委员会”(Cyberspace Solarium Commission)于3月11日推出报告,称过去25年历任总统委派战略家耗费大量资源、动用宝贵的政治资本回答如何最好地保护美国网络空间利益并促进美国价值观。但是,“敌人”越来越多地实施各种低于武装冲突门槛的网络攻击和网络行动,其手段“进步比美国快”,使美国面临全新的网络安全挑战,更让美国的战略优势逐步消失殆尽。

“网络空间日光浴委员会”效仿1953年艾森豪威尔政府的“日光浴计划”(Project Solarium),分别检验威慑、基于规范的机制以及通过“持续交手”(persistent engagement)主动破坏对手这三个战略选项,回答“什么战略能保护美国免受带来重大后果的网络攻击”以及“执行这一战略需要何种政策和法律”这两个问题。委员会成员来自国会、主管部门和业界学界,经过300余场不同层面和范围的研讨,运用场景模拟、压力和红队测试等手段,最终得出“网络威慑可行”但需进行改良和优化的结论,并提出“分层网络威慑”(layered cyber deterrence)构想。

所谓“分层威慑”,即整合所有传统威慑机制和工具,将参与威慑者拓展至政府之外的组织机构、甚至公民个人,从而形成整个国家(whole-of-nation)的方略去应对网络威胁,塑造和影响对手决策,同时保留动用军事报复的最后手段和能力。“分层威慑”继承了美国一贯主张的惩罚式威慑(deterrence by punishment)、拒止式威慑(deterrence by denial)及通过强加成本实现威慑(deterrence by cost imposition),同时也整合了约瑟夫·奈提出的“通过行为规范实现威慑”的观点,一定程度上解决了威慑谁、谁来威慑和怎么威慑的问题。

一是威慑谁。2018年出台的《国家网络战略》(National Cyber Strategy)、《国防部网络战略》(Department of Defense Cyber Strategy)等文件及近期美国官员、议员的各种表述显示,美国面临的主要网络威胁是来自国家有组织的、低于武装攻击门槛的各种网络骚扰、网络刺探和网络动员,包括商业窃密、干预选举、攻击金融等关键设施以及破坏民主制度等。这些行为均是现有国际法难以约束的灰色地带,却构成“累积危害”,使美国在网络空间战略竞争中处于劣势。改良后的网络威慑,需要将所有这些非军事领域的网络行动纳入视野,相应降低动用国家力量的门槛。

二是谁来威慑。委员会报告反复解读,“分层威慑”要整合所有国家机器、动员包括盟友在内的所有人参与,尤其强调企业的作用,认为只有政企通力合作增强美国网络空间的韧性,重塑网络安全生态,实现无缝衔接的情报共享,才能从根本上阻断敌人从网络攻击美国中获利。

三是怎么威慑。“分层威慑”与以往网络威慑的最大区别在于融合了美国网军于2018年开始成型的“前置防御”(defend forward)理念,更强调事前发现、追踪和打击对手,把防线前移至攻击源头,先于敌人获得主动,同时动用外交、执法、制裁等所有国家工具,迫使对手重新权衡攻击行为的得失,进而实现威慑的“劝阻”(dissuasion)目标。

由此可见,改良后的威慑更突出主动性和持续对抗性。综上,委员会虽表现为咨询、建言,但其实是在梳理过往美国网络安全战略、政策与举措成败基础上,进一步统一了战略共识,在集成过往经验基础上塑造美国在网络空间展开全方位竞争的思路与策略。

美国国家情报总监办公室国家反情报与安全中心(NCSC)于2月公布《2020-2022年国家反情报战略》(National Counterintelligence Strategy of the United States of America 2020-2022),指出“可能对美国国家和经济安全造成严重损害且美国必须投入精力和资源的五个领域”,即关键基础设施、核心供应链、经济、民主、网络和技术行动。战略称,国外情报机构对美国构成的威胁正趋向复杂和多样化,它们“创造性地组合使用传统间谍活动、经济间谍活动、供应链渗透和网络行动”,渗入美国关键基础设施,窃取信息、研究、技术和工业机密,并利用网络行动、媒体操纵、秘密行动和政治颠覆等手段开展恶意影响活动,破坏美国社会对民主制度的信心,削弱美国联盟。

随着大选临近以及中美关系竞争面的突显,美国国内对网络安全威胁的关注度将上升,无论“分层网络威慑”理念是否最终体现为战略或政府政策,但是,塑造行为、阻断好处和强加成本三条实践路径的趋势已十分明显。

二、筑牢关键基础设施网络安全

不让对手从攻击美国网络尤其是关键基础设施和国家关键功能中获利,即所谓阻断好处,是“分层威慑”的底线。目前,美国着重守住的核心领域主要有四个。

首当其冲的是5G安全问题。白宫3月发布《国家5G安全战略》(National Strategy to Secure 5G),推出美国保障5G基础设施安全框架和核心安全原则,从而确保5G和未来几代信息通信技术及服务的部署不会危及美国的利益和国家安全。特朗普还先后签署《保障5G安全及相关法》(Secure 5G and Beyond Act of 2020)、《安全可信通信网络法案》(Secure and Trusted Communications Networks Act),界定构成国家安全威胁的通信设备和服务,并明令禁止使用联邦政府资金购买所谓“不可信供应商”提供的通信设备或服务。除担忧5G技术和设施自身的安全问题外,美国更担心在该技术驱动的全新经济业态和模式下受制于他人。美国司法部长威廉·巴尔(William Barr)2月6日在美国战略与国际问题研究中心(CSIS)演讲时明确,这是“历史上美国首次没有引领下一代技术”,如果任由中国垄断5G,就会导致“把自己的经济命运交到中国手中”。因此,美国还采取诸如出口管制、限制进口以确保供应链安全、扩大投资审查和发起制裁等多种胁迫性经济措施,既要彻底清除美国及其盟国下一代通信网络中的不安全因素,更要集国家之力打压华为、中兴等中国企业在5G领域的领先优势。不仅如此,白宫还发布《成立外国参与美国电信服务业评估委员会行政令》(Executive Order on Establishing the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector),协助联邦通信委员会(FCC)审查与外国所有权有关的许可申请和已发许可,司法部等甚至要求FCC撤销中国电信和中国联通美国分公司等4家企业在美国的运营牌照。

其次是电网安全。网络安全公司Dragos年初发布《北美电力网络威胁报告》(North American Electric Cyber Threat Perspective),称其跟踪的11个活跃的黑客组织中,近2/3的组织将目标对准北美电力部门。美国土安全部(DHS)下属网络安全与基础设施安全局(CISA)认为,关键基础设施行业尤其是电力行业面临的网络安全形势正在恶化,其中攻击者大多利用供应链和第三方远程连接服务中的漏洞。5月1日,白宫颁布《确保美国大容量电力系统安全行政令》(Executive Order on Securing the United States Bulk-Power System),宣布全国进入紧急状态,并责成政府排查大容量电力系统的安全风险,监控或替换那些采购自不可信国家或外国对手控制供应商的设备。随后,美商务部根据《1962年贸易扩展法》(Trade Expansion Act of 1962)启动“232调查”,排查全美电力系统的控制中心、大型发电机、发电涡轮机、高压断路器、变压器等电力设备是否存在国家安全风险。2019年,美国、俄罗斯、伊朗曾相继宣称入侵对方电力系统。可见,未来国家层面的网络冲突中,电网将成为首要攻击目标,是国家关键基础设施保护的要害。

第三是定位、导航与授时(PNT)系统安全。2月12日,特朗普签署《通过负责任地使用定位、导航与授时服务增强国家弹性行政令》(Executive Order on Strengthening National Resilience through Responsible Use of Positioning, Navigation, and Timing Services),以确保PNT服务中断或操纵不会破坏美国关键基础设施的可靠性和有效运行,同时鼓励发展不完全依赖于全球定位系统(GPS)且具有复原力的PNT基础设施。GPS是使用最为广泛的PNT服务,DHS列出的16个关键基础设施中有14个离不开GPS的支持。据美国国家标准与技术研究院(NIST)估算,GPS中断30天将会带来35-450美元的经济损失。此前,美韩就一直指责朝俄对GPS进行网络攻击。这是美国政府首次以行政令方式增强PNT服务安全,既要保护这一重要资源和服务,也有意强化其垄断地位。

最后是选举系统安全。美国供应链监控公司Interos统计,全美选举使用最广泛的投票机器中的控制板、AI处理器、基础设施软件、触摸屏等大量组件来自外国公司,其中,投票机供应链的前三层中,59%的供应商中至少有一个生产基地在中国或俄罗斯。面对已经开始的新一轮大选,美国担心将会面临更多网络威胁,严阵以待,避免重蹈2016年大选的覆辙。CISA在新年伊始就发布了《保护2020大选安全战略规划》(#Protect2020 Strategic Plan),明确优先要务、使命任务和目标愿景,规划了工作路线,以确保选举基础设施以及竞选和政治基础设施的网络安全,及时向美国选民发出警告并全力响应安全事件。CISA还将向各州委派网络安全顾问,提供漏洞评估、渗透测试、网络钓鱼测试和事件响应等服务。

三、着眼未来冲突与战争,升级网军攻防能力

为更好实施“分层威慑”,美国必须准备好让对手付出更高代价(即强加成本),必须准备好战斗并确保战而必胜。因此,美国要确保有能力和信誉去报复那些在网络空间和通过网络空间针对美国的敌人,保留使用军事力量和阻止任意网络攻击的所有选项。具体而言,美国首先要谋划和实施包括网络进攻在内的持续性网络行动与对手展开较量,并建立支撑这一行动的组织机构和决策核心。其次,美军网络力量还须具备对新出现的地缘政治形势做出快速响应的能力,顺畅地与其他军事和非军事工具整合,为决策者提供网络选项。最后,必须可以实现早期预警,感知对手战术和技术的变化,实施作战环境准备行动。

一方面,美国军方加大对网络行动的经费投入,尤其致力于利用人工智能等新兴技术助推网络战能力。美国网络司令部将在2021财年申请98亿美元经费,其中,网络空间行动为38亿美元,包括进攻性和防御性网络行动,以及通过资助项目和活动支持网络战略的实施,例如与盟国和合作伙伴开展“前置搜捕”(hunt forward)网空防御行动,打击恶意网络行为等;用于支持网络部队为22亿美元。在2021财年预算申报中,国防部高级研究计划局(DARPA)网络中心战技术项目单元增长1.49亿美元,增幅近30%,为14个项目单元中增幅最大。在基础研究阶段、应用研究阶段的项目中,人工智能拟投入的经费也大幅增加。例如,在基础研究阶段的13个项目中,人工智能领域涉及4个,部分项目已取得显著进展,增幅较大的项目包括“人工智能基础科学”(3600万美元)、“可替代计算”(2100万美元)、“超越摩尔定律-架构与设计”(1400万美元)等。其中,“人工智能基础科学”项目增长约1900万美元,增幅最大。1月21日,乔治·华盛顿大学国家安全档案馆公布的已解密国家安全文件详细介绍了美国网军的“发光交响乐行动”(Operation Glowing Symphony),揭示了“此次行动前所未有的复杂性,以及由此带来的在协调、消除冲突和有效性评估方面的挑战”。

另一方面,美军加速推进“全域作战”,全面整合太空、网络、威慑、运输、信息、电磁频谱行动、导弹防御等能力。目前,美国空军和太空军正着手构建“全域作战”的核心——全域联合指挥和控制(JADC2)系统,打造一个将所有武器平台和部队实时连接起来的超级作战互联网。该平台可实现传感器、通信系统和数据的融合,各种军事应用程序可以任意连接,能利用大数据、人工智能和机器学习等,随时了解友军和敌军的位置和行动,实现在陆、海、空、太空和网络空间的多域作战中不间断共享信息,陆海空各平台与武器之间可实时共享目标数据,确保美军做出最有效、最致命的威胁响应,目的是将美军“联合作战能力”提升到一个新的水平。美国空军参谋长和太空军作战部长联名发表文章指出,未来战争中,取得胜利的最重要的因素不一定是武器本身,而是将各种先进武器连接一起协同作战的未来战斗网络,其中的数据更是关键要素,能比对手更快收集、处理和共享数据的能力将使军队占据巨大优势。

四、凭借“实力”更主动塑造和引领规则

美军正在实践的“持续交手”(persistent engagement)理念,不主张只依赖外交、执法等事后行动约束和震慑敌人,而是提倡“规则的塑造源于实践”,要通过持续的战略、战术行动主动影响对手认知,从而形成规则。“分层威慑”继承了这一理念,把“塑造行为”作为一个重要层面,同时强调缺乏美国的领导不会形成有效的行为规范,必须与伙伴建立一个联盟,共同捍卫网络空间共享的利益和价值观。此外,美国还要凭借其强大的各种非军事手段与盟国体系,推动现有网络空间的行为规范得到遵守和执行,并让那些违反者受到惩罚。“网络空间日光浴委员会”报告明确主张美国要与理念相近国家组成“全球共同体”,联手追溯、制裁恶意网络行为,既降低各自行动的成本,又可确保惩罚的效力。

动用单边司法和执法长臂管辖、通过“一言堂”的溯源和举证制造舆论等,是美国塑造国际惯例和规则的主要手段。今年以来,美国多次发起针对俄罗斯、朝鲜和中国黑客的起诉。2月,美国司法部长威廉·巴尔表示,鉴于2018年联邦调查局(FBI)启动“中国计划”(China Initiative)将商业窃密作为优先处理项目,“可以期待未来美国会采取更多的起诉和诉讼”。FBI局长克里斯托弗·雷(Christopher Wray)称,全美56个地区办公室正在调查1000起“中国窃密案件”,几乎涉及每个行业和部门。美国同时还联合英、澳、荷等多个国家联合举证俄罗斯对格鲁吉亚发动“不计后果、肆无忌惮”的网络攻击。美国国务卿蓬佩奥表示,“要与国际社会一道,继续努力支持网络空间负责任国家行为的国际框架”。在当前多边主义受挫,联合国信息安全政府专家组(UN GGE)等机制难获进展等情况下,美国更倾向于采取上述类似举动把控话语优势,甚至不排除通过持续、广泛的网络“交手”(engagement)压低他国网络空间的底线,塑造更有利于其自身的国际规则。

在人工智能等新兴技术领域,美国一方面积极推出相关原则和准则,既引导本国相关技术和产业的发展,也有意占据国际治理的话语先机。1月,白宫推出《人工智能应用规范指南》(Guidance for Regulation of Artificial Intelligence Applications)草案稿,提出10条监管人工智能发展和使用的原则,希望推广“值得信赖的人工智能”,倡导“公平、非歧视、开放、透明、安全”。2月,美国国防部亦提出合乎道德地设计、开发、部署和使用人工智能的五条原则。另一方面,美国也注意弥合与欧盟的分歧,联合盟国打压对手国家的能力和话语。例如,在颁布“人工智能伦理原则”(Ethics Principles of Artificial Intelligence)时,国防部联合人工智能中心(JAIC)主任沙纳汉称,“美国与欧洲盟友和伙伴在关于军事行动中合乎道德和安全使用人工智能原则上有很多共同之处。这与俄罗斯和中国形成鲜明对比”。5月28日,美国宣布加入由加拿大和法国于2018年倡议成立、为人工智能订立伦理通则的国际组织“全球人工智能伙伴国组织”(GPAI),共同引导负责任的人工智能应用,使其符合“人权、包容、多元、创新、增长”的通用原则。

“网络空间日光浴委员会”成立的初衷就是对美国网络安全领域存在的战略模糊、协调不畅、政企合作不力、响应低效等问题对症下药。但是,鉴于日趋复杂的国内外形势,改革和已经提上日程的举措能否见效,还有待观察。中国既可以借鉴美国的做法,重新认识新形势下的网络安全,也要防范美国在网络空间持续追求绝对安全和行动自由带来的外溢效应和冲击,切实维护我国网络空间利益,保障全球网络空间的稳定和安全。

(本文刊登于《中国信息安全》杂志2020年第7期)

关键字: 网络安全,检测评估,等级保护测评,检测预警,应急响应