拜登政府網絡安全體系四大架構分析
在美國總統拜登上任后,網絡安全問題回歸為國家要務,白宮當局在相應的理念、機制和舉措等方面隨之加以調整和改進,網絡安全新政頻出,整飭力度明顯。拜登政府網絡安全政策旨在增強統籌協同,理順指揮鏈條,打造全方位能力,構建有效的網絡安全防御體系,體現了整合所有國家權力工具、動員多方和全員參與的“全政府”“全國家”特點。現階段,拜登政府網絡安全體系基本上形成了包括網絡威脅戰略認知、網絡防御重點、統籌協調機制和網絡防御能力的四大架構。
一、達成網絡威脅戰略認知與共識
本屆政府當選后,美國相繼遭遇多起大規模網絡攻擊,“太陽風”事件致使政府網絡癱瘓,勒索病毒導致油氣供應中斷,學校、醫療機構等停擺,網絡攻擊的現實危害顯而易見。美國政界對網絡安全威脅有了更深刻的感觸和認識。一方面,美國深感建立在“由系統組成的系統”之上的社會面臨更復雜和迫切的網絡威脅。網絡安全與基礎設施安全局(CISA)局長簡·伊斯特利(Jen Easterly)反復指出,社會的關鍵功能依賴于無數相互依賴的復雜設計,萬物融合導致“所有事物都是脆弱的”,攻擊者可利用的漏洞及其網絡能力均呈指數級增加。應對這種全新的、極易造成連鎖反應的系統性風險,須采取系統方法,構建一個全新的防御體系。另一方面,地緣博弈因素使得國家級網絡行動日益危及美國戰略優勢。美國認為,網絡空間本質上是“對抗的環境”,其面臨的不僅是“網絡珍珠港”等災難性事件,更是一連串“溫水煮青蛙”式的網絡戰役,后者“持續”干擾和破壞美金融、能源、選舉等系統,還發起影響行動破壞國內民主,使美國陷入戰略劣勢。美國把主要威脅源指向所謂的戰略競爭對手,不斷渲染中俄等帶來的網絡威脅。在 2021 年度《數字防御報告》(Microsoft Digital Defense Report)中,微軟稱,2020 年 7 月至 2021 年 6 月發現的國家級網絡攻擊,有58% 來自俄羅斯。
負責網絡與新興技術的副國家安全顧問安妮·紐伯格(Anne Neuberger)指出,“網絡是重大的國家安全問題”,是國家安全的首要任務。美國國家網絡總監(NCD)克里斯·英格利斯(Chris Inglis)認為,“網絡是一個權力工具”且“牽一發而動全身”。拜登在“網絡安全教育月”聲明中誓言增強網絡安全、全力打擊惡意網絡行為、緊鎖“數字大門”。綜合美國各界的網絡安全認知,即將出臺的新版國家網絡戰略將立足于大國戰略競爭、著眼于技術和社會發展新特點,以“全政府”“全國家”方式構建數字生態,實現網絡空間的安全、自由、可靠和互操作。英格利斯在解讀《國家網絡總監戰略意圖說明》(AStrategic Intent Statement for The Office of The NationalCyber Director)時指出,美國的國家網絡政策除了發現和應對威脅,更要“灌輸希望”,秉記“保護網絡是為了讓所有人享受數字互聯互通帶來的益處”的初衷,通過數字賦能,邁向經濟繁榮、政治機制反應迅速和更負責、文化蓬勃多樣的“數字未來”。由此可見,拜登當局重視平衡網絡安全與數字轉型和發展二者間關系,雙管齊下鞏固美國在數字時代的優勢。
二、力保兩大網絡防御重點
2021 年 10 月,美國網絡司令部司令保羅·中曾根(Paul Nakasone)表示,美國正面臨網絡安全政策的“轉折點”,需要新思維。這一提法得到 CISA局長、國務卿布林肯等多位官員的響應,進而提出轉變范式的設想。綜合其表述與實際舉措看,所謂的“網絡安全新思維”可歸納為三個關鍵詞,即“現代化”“彈性”和“共同防御”。在伊斯特利看來,“現代化”就是要解決“過時網絡和技術欠賬”問題,要全面革新 102 個政府部門網絡安全狀況,以做出表率。白宮還為此增設了一位副國家網絡總監負責聯邦網絡安全。在網絡安全、新興技術等對國家安全至關重要的領域建設能力,也是布林肯提出的實現美國外交現代化的首要任務。他在 10 月 27 日的講話中強調,美國要確保數字革命服務于美國人、保護美國人的利益和競爭力、維護美國價值觀,這是美國外交政策做出的“重大重新定位”。“彈性”不是一個新概念,但新安全風險凸顯其重要意義并賦予新含義,即假設無法完全拒敵于網外,通過提升識別、保護、檢測、響應和恢復能力,確保國家或基礎設施在遭受攻擊后仍可運行關鍵功能。拜登政府尤其強調要確保數字基礎設施從設計之初就具備彈性,并提出與歐盟、北約等實現“共同彈性”。拜登于 11 月 15 日簽署《基礎設施投資和就業法案》(Infrastructure Investment and Jobs Act),承諾為此投資 500 億美元。《國家網絡總監戰略意圖說明》呼吁,“如果數字生態中的每個貢獻者知道他們在整個體系中的作用且負責任地做出貢獻,美國就能開始建設一個穩定和彈性的生態”,因此“共同防御是必答題而非選擇題”。
基于對威脅的判斷,拜登政府把資源與力量集中于兩個領域的網絡安全保障。一是聯邦信息系統和網絡。在微軟探查的國家級網絡攻擊中,79% 是針對機構,而政府又占其中的 48%。為提升聯邦網絡安全水平,拜登政府采取了加快政府業務和數據向云平臺遷移、實行多因子認證等安全基準、推廣零信任等新框架、推薦最佳安全實踐、充實專業人才、理順事件響應流程等多項措施。二是關鍵基礎設施。7 月,拜登政府發布《提升關鍵基礎設施控制系統網絡安全的國家安全備忘錄》(National SecurityMemorandum on Improving Cybersecurity for CriticalInfrastructure Control Systems),重申“控制和運營國家所依賴的關鍵基礎設施的系統構成的網絡安全威脅,是美國面對的最重要和日益嚴重的問題之一”,要求 CISA 和國家標準與技術研究院(NIST)合作制訂關鍵基礎設施網絡安全性能目標,正式啟動“工業控制系統網絡安全計劃”,鼓勵運營商自愿與政府合作,共同推進偵測、預警技術和系統的部署。該計劃已于 4 月在電力部門進行試點,將在年底前推廣至天然氣、水務和化工等行業。鑒于網絡安全的復雜性,美國正考慮界定和識別關鍵基礎設施的新辦法,從國家關鍵功能或“具有系統重要性的主要實體”(PSIES)角度認定要害部位,打破以往按行業分割、條塊化開展關鍵基礎設施保護的做法。
為確保上述兩大目標的安全,美國政府突出了供應鏈安全的基礎性地位。英格利斯將系統性風險分為三類,即軟件供應鏈漏洞、產品和設備中普遍存在的漏洞及信息基礎設施完整性,均涉及供應鏈安全。2021 年年內,NIST、CISA、商務部等完成了關鍵軟件的定義及安全措施、軟件材料清單的最低元素(SBOM)、軟件源代碼測試的最低標準、軟件開發與安裝標準、軟件供應鏈框架等的制訂。此外,美國還以國家安全為由全面清除所謂“不可信的”信息通信供應商。11 月 11 日,拜登簽署《安全設備法》(Secure Equipment Act),要求聯邦通信委員會(FCC)不再審查或批準任何所謂“對國家安全構成不可接受風險”的設備的授權申請,徹底將華為、中興等中國企業排除出美國市場。
三、重塑網絡安全統籌協調機制
拜登政府網絡安全政策的一大亮點,是設置了一些關鍵崗位并任用了大批有專業知識和從業經歷的官員,以期在白宮、國家安全委員會層面進行統攬性的政策協調,綜合調度各主責部門,實現網絡政策一致連貫、國家網絡防御行動協同互補。
根據《2021 財年國防授權法》設立的 NCD 一職,“作為總統網絡安全相關事務的主要顧問,領導國家層面網絡安全戰略與政策的協調”。該職位直到 6月才通過參議院聽證任命,NCD 辦公室計劃在年底前配備 25 名雇員(未來將增至 75 人)。《基礎設施投資和就業法》為該辦公室撥款 2100 萬美元。英格利斯主要對國會負責,強制權力有限,職能涵蓋兩方面,即審查各機構預算并評估支出決策、確保聯邦政府采取一致方法預防和應對攻擊。《國家網絡總監戰略意圖說明》稱,面對系統性挑戰,需要變革性解決方案,NCD 辦公室將擔此重任。11 月初,英格利斯在美國會眾議院國土安全委員會作證時表示,將推動整個聯邦網絡安全工作的連貫性,確保政府“發出同一個聲音,朝一個方向行動”。在他看來,實現網絡安全防御體系化的一個前提是界定好各方職責和任務,制訂清晰的工作準則(doctrine),提升工作效率。NCD 辦公室下階段聚焦 7 項工作,即國家網絡安全、聯邦政府網絡安全、預算審查和評估、技術與生態安全、規劃與事件響應、人才培育和多方合作。NCD 與負責網絡和新興技術的副國家安全顧問各有側重,雙方都有“足夠的空間”但沒有“非常明確的界限”。NCD 將監督“完全可以在網絡空間內解決的活動”,如修補漏洞,當網絡事件需運用外交或制裁等其他權力工具時,將由后者和國家安全委員會負責。
CISA 局長伊斯特利稱,已按時完成第 14028號行政令布置的 35 項工作,包括出臺《零信任成熟度模型》(Zero Trust Maturity Model)、《 云 安全技術參考架構》(Cloud Security TRA)等標準文件,發布了新版《網絡安全事件和漏洞響應手冊》(Cybersecurity Incident & Vulnerability ResponsePlaybooks),確保所有部門能按章統一行事,“全政府”攜手響應與處置事件。2021 年,CISA 最主要的工作成果還在于與各級政府和企業“建立了伙伴關系和信任”。8 月,CISA 發起“聯合網絡防御協作中心”(JCDC),整合聯邦機構、私營部門、各州和地方政府網絡能力,制訂和實施全國網絡防御計劃,降低網絡攻擊風險并在攻擊發生時進行統一防御。伊斯特利強調,CISA 所倡導的政企合作不同于以往單純的信息共享,而是“轉變為可付諸行動的信息賦能”,政企要共同策劃,聯合演習和攜手行動。
四、圍繞四方面構建網絡防御能力體系
一國的網絡實力,除了戰略、理念和機制層面的部署,還體現在是否具備威脅的發現、預警、處置、應對和反制能力以及統籌運用各種能力上。拜登政府從感知威脅,處置和應對網絡事件、塑造網絡空間規則著手,加快形成全國一體、攻防兼備、指揮順暢的網絡防御能力體系。
(一)網絡安全態勢感知和情報能力
2021 年,拜登政府突出了網絡情報獲取的主動性和攻擊性,加強多源頭情報的整合與綜合研判,全面提升對高級網絡威脅的可見性(visibility)。一方面,強調主動出擊發現漏洞與潛在威脅。在聯邦層面部署端點檢測與響應(EDR),實時連續監控和收集端點數據。美網絡司令部副司令查爾斯·摩爾(Charles Moore)稱,2018 年以來,美國網軍已在全球 14 個國家開展了超過 24 次“靠前狩獵”(huntforward)行動,發現近 30 種新惡意軟件。在美國網軍看來,“靠前狩獵”通過主動協助他國發現敵對行動和網絡漏洞,可在攻擊到達美國之前探明攻擊者意圖和手法并予以阻止。摩爾進一步稱,中國是此類行動的第一優先目標。另方面,努力做好“拼圖”,掌控威脅“全貌”。10 月 28 日,英格利斯在參加美國智庫戰略與國際問題研究中心(CSIS)線上研討會時感嘆,美政府、企業等所掌握的威脅信息、情報是割裂和碎片化的,可謂“只見樹木不見森林”。CISA 的 JCDC、NSA 的網絡安全協作中心(Cybersecurity Collaboration Center)等都在努力彌補這一不足,同時從單純的建立數據鏈轉向整合行動性數據(actionable data),提高發現網絡威脅的主動性和處置能力。除傳統的北約和“五眼聯盟”情報共享機制外,美國還新建了美日澳印四邊機制(QUAD)、美英澳三邊安全伙伴關系(AUKUS)等,在具有高地緣利益區域開展針對性布局,加大網絡情報的收集和挖掘。美國網絡司令部前司令亞歷山大(Keith Alexander)甚至建議,QUAD 和 AUKUS可利用人工智能建立“網絡雷達早期預警系統”。美國還與英國、新加坡、以色列、烏克蘭及波羅的海國家深化了雙邊網絡安全合作,加大情報共享與行動協同。例如,美英情報和作戰部門在網絡管理審查(Cyber Management Review)論壇上表示,“長期的情報伙伴關系已轉化為在線進攻性行動。”
(二)行動能力
網絡行動能力主要包括應急響應和執法兩個層面。《網絡安全事件和漏洞響應手冊》為各級政府提供了一套網絡事件響應標準程序,指導準備、檢測與分析、遏制、根除與恢復、事后活動和協調等各階段具體工作。例如,手冊要求每個機構在影響運營的網絡安全事件發生后 1 小時內報告 CISA,CISA 亦將于 1 小時后制定事件編號并根據國家網絡事件評分系統(NCISS)確定事件嚴重程度,決定是否需升級至“網絡統一協調小組”(C-UCG)處置。美國還考慮將非政府部門納入,已強制要求航空和軌道交通部門、銀行在發生任何“重大”網絡安全事件后及時上報監管機構。
日趨猖獗的勒索攻擊成為本年度美國執法部門的打擊重點。美國司法部“國家加密貨幣執法團隊”(National Cryptocurrency Enforcement Team)負責調查和起訴濫用加密貨幣刑事犯罪,追繳勒索攻擊贖金。美國還通過“民事網絡欺詐計劃”(CivilCyber-Fraud Initiative),使用民事執法工具追訴接受聯邦經費但未遵循網絡安全標準、提供有缺陷產品和服務的政府承包商。美國執法機關還在全球獵捕網絡罪犯。美國召集歐盟及其他 30 國召開網絡安全峰會并啟動“打擊勒索攻擊倡議”(CounterRansomware Initiative),從打造彈性、打擊非法金融、執法和外交四個層面構造全球行動網。11 月 8 日,美國司法部部長聯袂聯邦調查局(FBI)、財政部等召開發布會,高調展示工作成果,包括聯合歐盟、羅馬尼亞、韓國等抓捕并引渡了 7 名參與 REvil 勒索攻擊的黑客,先后制裁了加密貨幣交易平臺 Suex、Chatex 等。系列執法行動表明了美國集成國內司法、聯合執法及追蹤溯源的綜合行動能力。
(三)反制能力
威懾始終是美國網絡安全防御的關鍵內核,而且越來越突出“全國家”“全政府”的分層和綜合威懾,集合包括軍事打擊在內的所有手段讓攻擊者承擔責任,付出代價,從而達到拒止和預防威脅的目的。2021 年,美國延續了以往的反制手法且更為激進、主動。中曾根在接受美聯社采訪時叫囂“必要時讓對方付出代價”,包括“公開將敵對國家與高調攻擊活動聯系起來,披露攻擊行為的具體實施方式”等。回顧 2021 年,美國頻頻動用制裁、起訴等單邊手段。4 月以來,拜登政府先后對俄羅斯、中國、伊朗等多個個人和實體實施制裁。美國及其盟友更為慣常地把公開溯源作為政策工具,通過污名化達到施壓目的,強勢占據網絡攻擊溯源的話語優勢。7 月 19 日,美國與 30 多國抱團發出“集體溯源”,指責中國發動網絡攻擊并予以起訴,極力抹黑,掩蓋其破壞網絡空間和平與穩定的事實。中曾根還主張,勒索攻擊或散布虛假和錯誤信息不再是簡單的犯罪,而是國家安全問題,軍隊的介入就顯得理所應當且“絕不手軟”。網絡司令部發言人桑塞特·別林斯基(SunsetBelinsky)坦承,美國網軍利用從 FBI 獲取的信息攻擊了 REvil 勒索團伙服務器,劫持其網絡流量,致其中斷行動。此外,“持續交手”和“靠前防御”戰略的實施也進一步提升了美國網軍的行動能力。摩爾稱,通過入侵對手網絡,既使其能“在危機或沖突時實現想要的效果”,又可為聯合全域作戰提供“網絡作戰圖”,甚至能在敵方發起網絡行動前予以阻止。
(四)引領和塑造能力
拜登就任后不斷搭建新的戰略“小圈子”,用符合西方價值觀、吻合其利益的敘事和話語體系塑造網絡空間負責任行為規范和國際規則,煽動網絡空間民主與威權的治理模式對立,欲借意識形態劃線挽回美國在數字領域的頹勢。6 月 9 日,布林肯拋出降低網絡風險、保護民主價值觀和生活方式的 6大支柱,重申美國要捍衛一個開放、安全、可靠和互操作的互聯網,要“讓技術為民主服務”。10 月底,國務院正式設立網絡空間與數字政策局,分管國際網絡安全、數字政策和數字自由工作,并任命特使負責關鍵與新興技術事務,期望通過外交“重塑數字革命”。
具體而言,美國的引領塑造包含三個方面:一是經略網絡空間大國外交,主導網絡空間格局。《紐約時報》等透露,在普京與拜登的 6 月峰會后,雙方國安和情報團隊頻繁會面,組建了專家組,多次就網絡安全威脅信息通報、行為規則等展開磋商。俄羅斯《生意人報》稱,10 月,美俄兩國還向聯合國大會第一委員會提交了一份決議草案,此舉被美俄視為雙方網絡關系轉圜的“重大事件”。盡管中美兩國不乏溝通渠道,也共同促成了第 6 屆聯合國信息安全政府專家組(UN GGE)取得成果,但美國對華網絡政策仍不明朗,未來如何找到共同關切、形成互惠雙贏是關鍵。二是主導網絡及新興技術標準。QUAD 推出“技術設計、開發、治理和使用原則”,突出共同民主價值觀和尊重人權的基本原則。美歐貿易與技術委員會(TTC)重點圍繞技術標準合作、信通技術與服務安全、數據治理與技術平臺、威脅安全和人權的技術誤用等問題協調立場,塑造全球標準。三是舉民主大旗加強技術控制。美國商務部工業安全局出臺一項臨時規定,要求向外國出售某類軟件(尤其是用來從事黑客或監控目的的網絡安全工具)的公司須事先獲得許可,并將以色列間諜軟件公司 NSO 和其他三家實體列入實體清單。此舉將進一步推動《瓦森納協定》(WassenaarArrangement)在兩用技術,尤其是滲透性測試等網絡安全技術上的管控。受美該項政策的影響,以色列日前以侵犯人權為借口,大大削減了可進口其網絡攻擊工具的國家數量。
總體看,為跟上威脅與技術發展步伐,美國致力于實現網絡安全防御體系的改良與迭代升級,這一過程既有繼承又有創新,實際運作效果還有待觀察。
