拜登政府以来美国网络安全战略实践与效果评估
2023-10-11 16:7:14 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

当前,世界百年变局加速演进,国际环境日趋复杂。新一轮科技革命和产业变革深入发展,网络空间已成为大国博弈的新战场。美国总统拜登自执政以来明确将网络安全作为政府“顶级优先”事务,从战略、政策、实践等层面提升网络安全。上任以来,拜登政府在既有国家网络战略的基础上,密集推出了一系列政策并付诸实践。2023 年 3 月,新版《国家网络安全战略》出台,系统梳理了本届政府的网络安全战略举措,标志着其目标更清晰、战略更成熟、策略更完备、特点更鲜明。本文将对拜登政府以来的相关政策举措进行梳理,并对其落地情况与实施效果进行评估。

一、拜登政府网络安全战略概述

总体而言,拜登政府网络安全战略与政策以维护自身安全和保持领先地位为绝对优先选项,并贯穿其顶层设计与实施路径。
(一)网络安全战略形成背景
拜登甫一上任,就面临极其复杂的内外局面。就网络空间安全领域而言,一方面,太阳风、微软 Exchange 服务器、科洛尼尔管道以及软件商卡西亚等网络攻击事件接踵而至,让美国政府和民众意识到针对关键基础设施的网络行动可能引发的严重后果,网络安全议题又一次在美国国内引发高度关注,如何妥善处置是拜登团队需要面对的重大挑战;另一方面,特朗普政府任内在网络空间做出了一系列制度安排,如何处理这些政策遗产,影响拜登政府网络安全战略走向。
此外,俄乌战场上的网络攻防进一步验证了网络手段的军事效用,更加坚定了拜登管网治网的决心。俄乌冲突是数字化时代第一次大规模战争,区别于传统军事行动而呈现出典型的“混合战”特质,其中网络攻击、舆论操控在战场上被多次使用。网络战与传统军事行动相配合成为参战各方塑造优势、抢占先机的重要战略举措。
(二)网络空间威胁来源
面对多起来自政府行为者和非政府行为者的大规模网络攻击,美国政界对网络空间威胁来源和后果有了更深刻的感受和认识。一方面,美国认为各种新兴技术以及复杂且彼此依存的信息网络在为人类进步提供新机遇的同时,也将成倍增加不安全系统所造成的系统性风险,网络设施这种与生俱来的不完备性和“基因缺陷”使攻击者可利用的漏洞及其破坏性均呈指数型增长;另一方面,地缘政治博弈使国家行为体的网络行动日益削弱美国优势。美国认为,网络空间“易攻难守”产生的非对称优势给一些国家以可乘之机,一系列低烈度的网络操作正在不断蚕食美国的经济、科技实力,削弱其战略优势。
(三)网络空间战略目标
新版《国家网络安全战略》明确指出,美国政府将抓住未来十年,与盟友伙伴合作,共同塑造既符合美国价值观、又具备防御能力和网络弹性的数字生态系统。为达成这一愿景,拜登政府将维护网络安全和重塑技术优势作为施政网络空间的核心战略目标。
一是全力维护美国的关键基础设施和网络安全。2022 年 10 月拜登政府发布的《2022 年国家安全战略》强调,建立在关键基础设施之上的整个社会容易遭到来自俄罗斯等国家的网络攻击和破坏。为此,美国将与“志同道合”的国家一道,巩固盟友体系、创新伙伴关系、扩大执法合作、塑造行为规范,增强抗攻击和迅速反应能力,全面提升集体韧性。
二是重塑并维持美国的技术优势。《2022 年国家安全战略》指出技术是当今地缘政治竞争、国家安全、经济发展和民主未来的核心,美国及盟友在技术和创新方面的领导力长期支撑其经济繁荣和军事实力。同时,作为互联网诞生地的美国意识到网络空间技术快速迭代演进,为后发国家提供“弯道超车”甚至是“换道超车”的可能性。一旦有颠覆性的技术出现,就会改变甚至重构现有网络空间力量对比。因此,《国家网络安全战略》强调,一个充满弹性和繁荣的数字未来从今天的投资开始。拜登政府执政以来,一方面加大投入、强化合作,提高技术绝对优势;另一方面高举民主大旗、强推制造业回流,打造小圈子、重塑产业链,运用出口管制、投资审查等多种手段遏制对手发展,维持技术相对优势。

二、拜登政府以来美国网络安全政策和举措走向

上任以来,为实现网络空间战略目标,拜登政府积极制定相关政策措施并全力推动政策落地生效。
(一)放弃企业完全自愿原则,软硬兼施加强网络安全公私合作
一直以来,在网络安全问题上,美国政府允许私营公司自愿遵守安全指南。然而,科洛尼尔、太阳风等一系列事件表明这种自愿原则很大程度上未能对企业形成约束从而阻止网络入侵。美国前总统克林顿、小布什和奥巴马都曾试图针对重点领域建立联邦政府主导的监管机制,但最终都在资本游说下束之高阁。因此,相关规则的执行一直是完全自愿的。
拜登政府认为,虽然对关键基础设施网络安全的自愿措施产生一定程度的效果,但缺乏强制性要求使得结果不够理想。上任后,有关政策取向开始由自愿原则转向政府监管,督促相关部门尽快制定监管要求、加强政策引导、扩大公私合作,共同强化国家安全和公共安全。2021 年上任之初,拜登在签署的《改善国家网络安全行政令》中就强调公私合作的重要性,并提出通过修订供应商合同强化威胁信息共享、建立网络安全审查委员会机制两项合作举措;同年 8 月,网络安全和基础设施安全局(CISA)采纳日光浴委员会的建议,成立了联合网络防御合作组织(JCDC),以整合整个联邦政府、私营部门和国际合作伙伴之间的防御行动和信息共享;2022 年 3 月,拜登签署《关键基础设施网络事件报告法》,要求关键基础设施实体在遭遇重大网络事件 72 小时内,以及因勒索攻击支付赎金 24 小时内向 CISA 进行报告,标志着美国正式进入网络安全强监管时代。
(二)加大前沿技术研发力度,集合一切力量维护科技领先地位
特朗普政府采用的中美全面脱钩政策并未收到预期效果,反而暴露了对华依赖和供应链短板。拜登政府上台后,从现实角度出发重新评估对华科技政策,认为中国在科技方面拥有政策扶持、市场规模、人才储备等方面的优势,短期内难以完全遏制,反而会失去庞大市场。因此,拜登政府调整战略方向,将更多资源和精力投入国内前沿技术研发,希望以此扩大与中国的科技代差,进而使两国科技实力、综合国力出现“自然分叉”。《2022 年国家安全战略》对科技做出专门部署,未来将聚焦半导体、微电子、先进计算、量子、人工智能、下一代通信、清洁能源与生物科技等发展较为迅速、竞争相对激烈、应用前景明朗的技术领域。
在科技战略的指引下,美国政府和高科技企业大力发展网络前沿技术,全力维护网络空间优势地位。2022 年 3 月,美国参议院投票通过《下一代电信法案》,授权组建“下一代电信委员会”,负责监督联邦政府对下一代通信技术的投资和政策制定;同年 5 月,拜登签署了《关于加强国家量子计划咨询委员会的行政命令》和《国家安全备忘录》两项总统政令,旨在推动美国量子信息技术的研发与应用,确保在该领域继续保持领先优势,同时,减小密码系统对量子技术的脆弱性;7 月,国家标准与技术研究院(NIST)发布四种新的加密算法,用于抵抗量子计算机的攻击;12 月,拜登签署《量子计算网络安全防范法》,为联邦政府应对基于量子计算带来的网络攻击做好准备,推动数字系统向后量子时代过渡。企业方面,SpaceX 持续推进全球最大的星链卫星计划,计划发射 4.2 万颗近地轨道卫星,布局新一代卫星互联网;美国人工智能研究实验室 OpenAI 于 2022 年底推出了自然语言处理工具 ChatGPT,在全球范围内引起轰动,开启了通用人工智能时代。
(三)灵活运用胡萝卜加大棒,通过产业链重构塑造其芯片霸权
经济全球化时代,产业链供应链的形成是市场规律和企业选择共同作用的结果。半导体作为技术密集型和资本密集型的高精尖产业,是一个包含设计、制造和封装测试在内的、涵盖 70 余个细分领域的复杂生态系统,任何一个国家都不可能形成独立的产业链闭环。几十年来,各国结合自身技术实力和要素禀赋,在某些细分领域积累了专业化优势,形成了配合默契、运转高效、彼此依赖的全球供应链格局。美国作为半导体发明者,长期以来坚持“本土发明,离岸制造”的原则——将高附加值的上游设计环节留在国内,生产制造业务外包到国外。
与此同时,全球经济数字化、智能化发展,芯片已成为计算机、手机、家电、医疗器械、汽车以及军事装备等现代制造业产品的核心部件。随着经济社会数字化转型,原有的生产结构已无法满足市场需求的快速增长,供需矛盾突出。新冠疫情期间,工厂停工、产能下降,导致全球半导体产业链断裂,进一步加剧了全球“缺芯”。美国“离岸制造”带来的制造业空心化使其产生深深的“芯片焦虑”,这种焦虑在持续推进对华战略竞争的背景下愈发突出,其重塑芯片霸权的野心日益强烈,对华展开的遏制打压动作也日趋激烈。2022 年 8 月,《芯片与科学法案》正式通过,美国政府一方面以“胡萝卜”作诱饵,拨款 520 亿美元用于芯片生产与供应链建设,提升美国半导体制造能力;另一方面以“大棒”作威胁,在法案中专门设置“中国护栏”条款,迫使芯片巨头在中美之间选边站队。此外,拜登政府还积极推动与日本、韩国和中国台湾地区组建芯片四方联盟(CHIP4),加强半导体供应链控制,将“离岸制造”转换为“友岸制造”“近岸制造”“回岸制造”,推行全球芯片产业链“去中国化”。
(四)积极巩固创新盟伴体系,以意识形态为标准开展网络合作
拜登政府高度重视通过盟友体系实现自身利益。为弥补特朗普政府“美国优先”政策对盟友利益和自身国际形象的损害,拜登上台后即以网络议题作为拉拢盟友的抓手,持续加强与传统盟友伙伴的密切合作,恢复在国际组织中的领导地位。同时,拜登团队还以意识形态为叙事,启动建立新型网络空间合作伙伴关系,强化针对中俄等国家的“集体韧性”。
长期活跃于大国博弈场的美国在网络空间的合作并非“开放自由民主”,而是以意识形态和价值观为标准和前提。价值观一致或相近也许有助于国家间的合作;但更重要的是通过刻意煽动价值观对立可以引发冲突和对抗,进而实现打压对手的最终目的。就任以来,拜登政府一是巩固与传统核心盟友的合作,以小多边形式在联合溯源、跨境数据流动、网络空间国际规则制定等方面加强协同;二是利用双多边合作机制,积极在印太地区开展极具针对性的网络协作,通过数字经济贸易、网络安全政策对话、网络协同防御等措施谋求地区网络军事存在和影响力提升;三是与乌克兰、以色列等高地缘政治利益国家和地区开展网络事件最佳实践、漏洞和威胁信息共享等合作,探索建立新型网络空间合作伙伴关系。
(五)部署进攻性政策和行动,以网络威慑之名行网络攻击之实
威慑作为美国网络安全防御的关键内核由来已久,2003 年美国首份《国家网络空间安全战略》就提出,依靠建设强大的防御体系使敌方产生“打不赢”的想法,从而达成威慑目的。此后,在几届政府的推动下,美国网络威慑力获得大幅提升,其威慑理论和实践也从防御性威慑全面转向进攻性威慑,而且越来越突出“全政府”“全国家”的分层和综合威慑,即集合政治、经济、军事、外交等所有手段让攻击者承担责任、付出代价,从而达到拒止和预防威胁的目的。拜登政府上台后,延续了进攻性反制策略且更为激进、主动:将美国网络国家任务部队(CNMF)升级为次级统一司令部,同时赋予其更高的决策和行动权力;持续开展网络军演,提升美军攻防和持久作战能力;增加对进攻性网络行动的国防投入,不断扩充网络任务团队数量和规模;积极与盟友和合作伙伴开展国际合作,支撑网络任务部队在全球范围内实施“前出狩猎”行动。
在这些网络威慑行动背后,美国却以“维护国家安全”为幌子,无视国际法和国际关系基本准则,利用技术优势在全球范围内实施大规模、有组织、无差别的网络窃密、监控和攻击。在美国国家安全局(NSA)入侵西工大的网络事件中,特定入侵行动办公室(TAO)做了长时间准备工作,并且进行了精心伪装,先后使用了 54 台跳板机和代理服务器、41 种 NSA 专属网络攻击武器,仅后门工具“狡诈异端犯”就有 14 款不同版本。从不断爆出的“棱镜门”“脏盒”“怒角计划”“强健计划”,到近期的五角大楼“泄密门”,一系列网络监控和攻击事件反复证实美国就是全球头号“黑客帝国”,而网络威慑战略的本质也是以威慑之名行攻击之实,最终服务于美国的网络霸权和全球霸权。
(六)聚焦基础设施网络安全,多措并举强化关键基础设施保护
在国际局势多变和大国博弈加剧的背景下,围绕关键信息基础设施的网络攻防已成为网络空间高烈度对抗的主战场,因此,各国均将提升基础设施对网络威胁的防御和弹性作为优先议题。美国作为互联网起源地和网络技术强国,也是关键基础设施保护起步最早的国家,防御理念和能力一直走在世界前列。然而,由于网络空间本身的“非对称性”,使美国在关键基础设施网络攻击面前也未能独善其身,特别是拜登上任之初的一系列网络攻击事件,使本届政府将关键基础设施保护作为执政考虑的重中之重。《国家网络安全战略》中,关键基础设施保护位列五大支柱之首,更加凸显拜登对该议题的重视程度。
执政以来,拜登政府加紧出台各项措施强化对关键基础设施的保护。2021 年 7 月,拜登签署《改善关键基础设施控制系统网络安全备忘录》,指出关键基础设施控制和运行系统面临的网络安全威胁,是美国面临的最重要和日益严重的问题之一,阐述了加强工业控制系统网络安全的推进落实计划;2022 年 3 月,美国通过《关键基础设施网络事件报告法》,明确要求关键基础设施相关实体在规定时限内向 CISA 通报网络事件;同年 11 月,CISA 更新《基础设施韧性计划框架》和《跨部门网络安全绩效目标 2022》,为地方政府和各行业提供明确的保护指南。
(七)推动网络防御重心转移,零信任文化和理念加速落地生根
传统的安全理念将网络划分为内外网,并在边界处设置防火墙、安全网关等设备作为防护。随着云计算、物联网、大数据等技术发展和产业数字化转型,核心网络资产开始从本地向云上迁移,导致防护边界逐渐模糊、效果急剧下降。在此背景下,零信任架构应运而生。零信任基于“从不信任,始终验证”理念,认为所有的网络流量均不可信,对任何访问请求都应该进行安全认证,目前已成为当下最前沿的一种防护手段。
自 2010 年提出以来,零信任概念一直被美国各政府机构高度关注,相关技术不断发展完善。近年来,美国遭受网络攻击的数量和规模都呈现上升趋势,推动零信任概念落地被加速提上日程。拜登政府上任后,将零信任作为施政网络空间的重要抓手,国防部、NIST 等相关部门先后出台多项政策文件,助力零信任应用转化和落地见效。2021 年 2 月,NSA 发布《拥抱零信任安全模型》,建议将零信任安全模型部署到国家安全系统和国防部所有的关键网络中;同年 5 月,美国国防信息系统局(DISA)发布《国防部零信任参考架构》,为国防部大规模部署零信任提供了指导原则和技术标准;当月,拜登签署《改善国家网络安全行政令》要求加快推动政府网络云上迁移并推进零信任架构;9 月,美国管理和预算办公室(OMB)和 CISA 分别发布了《联邦政府零信任战略》和《零信任成熟度模型》,以推动并落实美国联邦政府机构的网络安全架构向零信任转型;2022 年 11 月,美国国防部发布《国防部零信任战略》及路线图,设定了未来五年达到的零信任目标愿景,并阐述了具体实施方法。相关政策逐步落地,标志着热议多年的零信任理念和文化在拜登任内落地生根。

三、实践效果

拜登政府的网络安全战略目标与实施路径相对清晰且重点明确。几年来,在拜登亲自推动部署下,相关政策进一步落地,在部门协调、政企协同、技术提升、产业回流、国际合作、进攻行动等方面取得了一定成效,政策短期效果明显。然而,受制于自身霸权思维诱发的全球安全困境,加之党争加剧造成的国内政治结构性矛盾,拜登政府网络安全战略与政策目标的实现也因此受到制约,效果持久性和政策连续性有待观察,主要体现在以下四个方面。
(一)盟友信任缺失,合纵连横失据
特朗普政府在国际上推行“美国优先”、在对华政策上奉行“极限施压”均未取得预期效果,美国政府因此认识到,仅仅依靠自身力量根本不足以遏制中国的发展。拜登上台后积极修复盟友体系,试图依靠盟友力量,组建完整的对华包围圈,切断中国与美西方国家的经济联系,把中国逐出全球产业链和国际经贸体系,进而扼杀中国发展前景。然而,事实并不如其所愿,根本原因在于美国利益和盟友利益并非完全一致。从广场协议到阿尔斯通事件,历史一再表明,当与盟友产生利益冲突时,美国从不念旧、痛下狠手,而所谓的“盟友伙伴”,也不过是其实现自身霸权道路上的棋子、卒子。这种分歧在网络空间可见一斑。
近年来,美国多次拉拢盟友开展“联合溯源”,在没有任何有力证据的情况下指责“中国的恶意网络行为”,对中国进行“点名与羞辱”。值得注意的是,鼓动盟友对中国进行集体施压是美国的惯用伎俩。然而,当这些国家被要求一同对华制裁时,却响应者甚少。白宫负责网络和新兴技术的副国家安全顾问安妮·纽伯格曾在阿斯彭安全论坛上承认,盟友们在这一问题上缺乏共识,不愿与美国一道制裁中国。这表明美西方同盟绝非铁板一块,盟友一方面迫于美国压力必须有所表态,另一方面为了维护自身利益不愿放弃同中国经贸合作,因此在相关议题上“雷声大雨点小”已经成为一种常态。
(二)市场要素主导,单边主义遇阻
近年来,美国违背市场经济规律,政治打压中国高科技企业,滥用安全审查、出口管制,胁迫、诱拉一些国家组建遏华小圈子,强推对华“脱钩断链”,试图将中国排除在全球价值链之外,以此迟滞甚至中断中国发展进程。在网络科技领域,华为、中兴、字节跳动(对应社交软件为抖音或TikTok)、腾讯(对应社交软件为微信)等中国科技龙头均无一例外以各种借口被“特殊照顾”。然而,在经济全球化的背景下,单边主义、逆全球化政策不仅阻碍中国科技进步,也损害盟友甚至本国企业利益。长期来看,美国科技霸权政策前景堪忧。
以半导体为例,美国为了打压中国半导体产业,联合日本、韩国和中国台湾地区组建了芯片四方联盟,希望利用该联盟控制全球半导体产业链、供应链,实现芯片生产闭环,将大陆企业排除在外。然而,事实上联盟四方各怀心思,从各自的战略布局与表态行动来看,与美国想要达成的目标存在很大差距。韩国经济发展很大程度上以出口为基础,而芯片又是主要出口产品之一。我国是韩国芯片行业的巨大市场,对华出口量约占出口总量的 60%。如果对美国的排华要求照单全收,韩国对华贸易投资将大幅受挫。因此,韩国外长去年访华期间明确表示,加入芯片四方联盟绝非针对中国,韩国可以在其中扮演与中国的桥梁作用。中国台湾地区的学者和媒体也指出,台积电迫于美国压力赴美建厂,不仅使其面临成本上升、人才短缺和文化冲突等经营管理压力,还存在关键技术流失的潜在风险。如果一味迎合美国,台积电将加速变成“美积电”。美国本土科技企业也在积极寻找政策回旋空间。2019 年“华为禁令”生效以来,虽然美国政府明确要求减少与华为等中国科技公司的联系,但出于利益考虑,美国半导体公司还是不断向商务部提交出口申请,同时还警告政府,对华技术出口管制不仅起不到效果,反而会让德、日、韩等国家趁虚而入,填补中国市场空白。美国商务部信息显示,2022 财年对华出口许可批准率仍高达 70%。此外,在美国阻断部分科技链条后,全球科技资源仍然通过绕道第三国等方式继续向中国聚集。
(三)两党政治对立,政策取向抵牾
2023 年 1 月,经 2022 中期选举产生的第 118届美国国会正式宣誓就职。然而,此次选举非但没有解决美国任何重大社会问题,反而加剧了政治极化和社会撕裂。民主、共和两党分别控制国会参众两院,结束了拜登执政起由民主党同时控制白宫和国会的政治格局,甚至连一向走过场的众议院议长选举,也上演了百年一遇的罕见僵局,折射出美式民主的深层次危机。随着 2024 年美国总统大选临近,党派纷争和政治内耗仍会持续,并将对拜登政府内政外交政策形成牵制。
这种在西方文化传统的基础上产生的多党制,其制度设计上的先天缺陷在当代美国显露无遗。党争加剧和民意分裂使美国决策者越来越不关注长期性政策的延续性,而是聚焦在本届之内取得效果,以期巩固票仓,压制对方政党。可以预见,无论未来两年还是一段时期,美国政府稳定性和政策延续性都将存在极大的不确定性,即使具有高度共识的网络安全议题,也会受到政治因素的影响,在主要竞争对手设定、网络空间国际规则、科技巨头治理、选举安全、网络中立法案等议题上,仍将存在较大分歧。这也是盟友对其政策保持警惕的原因之一,以免在美国党争中成为“炮灰”。
(四)抱持霸权思维,追求绝对安全
网络安全作为开放空间和非传统安全领域,与传统安全有所不同又相互联系、相互影响,具有整体性、动态性、开放性、相对性和共同性等特点。垃圾邮件、路由劫持、DDoS 攻击、零日漏洞、勒索软件攻击等问题是国际社会面临的共同威胁,需要全球化合作才能解决。而美国长期将网络安全问题政治化,把传统安全理念和霸权观念复制到网络空间,抱持霸权思维,追求绝对安全,不遗余力推动网络空间军事化,制定进攻性网络安全政策,大力发展进攻型网络作战力量,加快网络武器实战化转型,综合运用技术、经济、军事、外交等手段维护其网络空间霸权,给国际合作制造诸多障碍。
然而,网络空间的不对称性使其具有“易攻难守”的特点,一系列针对美国关键基础设施的网络攻击使美国政府意识到,虽然自身拥有最锋利的进攻武器,但并不拥有最牢固的盾牌。正如美国霸权主义导致 9·11 恐怖袭击事件,美国基于其技术、规则等先发优势在网络空间的霸凌行径,同样使其饱受网络攻击的困扰。美国以侵犯他国网络主权、信息安全为代价,谋求自身绝对安全,是典型的双重标准和霸权思维,不仅破坏全球互信和战略稳定,也使自己腹背受敌,最终结果只能是“搬起石头砸自己的脚”。

四、结语

上任以来,拜登政府形成了目标清晰、配套完整的网络安全战略和政策并付诸实践,凸显了对网络议题的重视,短期内取得了一定成效。但长期来看,其战略目标的实现仍存在很大的局限性。本质上,美国网络安全战略服从美国国家安全战略,并最终服务于美国的霸权战略。然而,各国在网络空间休戚与共、命运相连,在世界多极化发展、国际社会期待和平的当下,霸权主义、一意孤行,注定不得人心,也不会长久。
原文来源:中国信息安全
“投稿联系方式:孙中豪 010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247540090&idx=1&sn=33136e1da7a30c8b780b253b183ebe19&chksm=c1e9d12bf69e583d08b0c5a6aabab11c1478a2479aa1d63901fc950f263ccdc851ef98221211&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh