從美國網絡委員會報告看美國網絡安全建設重點

楊靜言 劉勝超

近年來，美國持續加大對網絡安全建設的投入，雖然相關建設已經取得了重大進展，但無論是在技術實力、創新勞動力或者應對風險能力等方面，美國已經不再享有網絡空間的傳統優勢。基于此認識，美國2019財年約翰·麥凱恩國防授權法案要求國會成立網絡空間日光浴室委員會（以下簡稱委員會），“研究并制定維護美國網絡安全的戰略方針”。2020年3月，委員會發布《網絡空間日光浴室委員會報告》，2020年5月又發布《從疫情中汲取的網絡安全教訓》白皮書，作為3月份報告的補充。該委員會通過這兩份文件，提出了維護美國網絡安全的“分層網絡威懾”戰略，明確了維護美國網絡安全的政府機構改革、網絡安全標準制定、公私部門合作等建設重點以及79項具體的建議舉措。

美國網絡空間日光浴室委員會徽標

美國網絡委員會報告出臺背景

一是網絡空間地位不斷提高和網絡安全威脅日趨嚴重。“網絡空間已經成為美國經濟、國防和政治活動不可或缺的組成部分。”確保網絡安全，不僅是影響美國繁榮發展的重要因素，也是維護美國國家安全的核心內容。與此同時，美國認為其競爭對手和敵國，正在不斷通過網絡空間從事有害的經濟間諜和惡意網絡活動。這些活動無視美國在軍事、經濟和政治方面的強大實力，以低成本、低代價損害美國利益，威脅美國的網絡安全。

二是美國的國家戰略由注重多邊主義和大國合作轉向大國競爭。美國的國家戰略從奧巴馬政府注重“大國合作”轉向特朗普政府以“大國競爭”為重點，戰略重心的轉變，要求美國在包括網絡空間領域在內的所有領域提高對中國和俄羅斯等國的競爭優勢。2018年的《美國國家網絡戰略》將網絡空間視作與中國、俄羅斯等國競相爭奪的戰場，并提出，“提升網絡空間的優勢是實現大國競爭勝利的關鍵因素”。

三是美國政府目前的組織和體制無法為維護網絡安全提供所需的速度和靈活性。首先，美國在工業時代所形成的官僚體制和錯綜復雜的規則、法律和法規，嚴重限制了網絡時代維護網絡安全所需的速度和靈活性。其次，私營和政府部門之間缺乏協調和合作也增加了政府維護網絡安全的難度。

四是美國政府缺乏保護自身網絡安全所需的專業人才。根據美國網絡搜索項目發布的《網絡安全供需圖》顯示，美國政府中有超過3萬多個網絡安全職位空缺，美國各地有50萬個職位空缺。此外，2015年，邁克菲和國際與戰略研究中心通過對來自美國信息技術高管的調查發現，76%的受訪者認為美國政府在網絡安全人才方面投入的資金不足。

美國網絡委員會報告提出的網絡安全建設重點

美國日光浴室委員會報告封面

強化國會在網絡安全問題上的監督和權力。美國國會在維護國家網絡安全方面一直承擔著立法和監督任務。根據美國國會研究部統計數據顯示，從20世紀80年代至21世紀初，美國國會通過涉及網絡安全的相關法律、條文達36部，涉及網絡安全的法案、決議案多達114件，如此多的法律條文和議案決案為美國維護網絡安全提供了完善的法律保障。但是近年來，隨著美國行政和軍事網絡部門的成立和快速發展，分散在美國國會兩院眾多委員會的網絡安全立法、預算管轄和監督權，反而成為了阻礙行政和軍事部門維護網絡安全的“絆腳石”。報告認為，要想發揮國會在網絡安全方面的傳統作用，必須精簡國會在網絡安全方面的監督和權力。

一是在眾議院設立網絡安全常設特別委員會和在參議院設立網絡安全特別委員會。正如美國國會在1975年通過成立眾議院和參議院情報特別委員會，來解決國會對情報監督不力的情況一樣。這兩個委員會的設立也將加強國會對政府內部，以及政府與私營部門之間系統性網絡安全戰略和政策的立法管轄權。同時，它們還將對行政部門應對國內外網絡安全威脅、政府涉及網絡部門的重組、保護聯邦網絡等活動負責。

二是國會應該重建并資助技術評估辦公室。從成立到1995年解散，技術評估辦公室在近25年中，為國會和公眾提供了超過750份報告，確保立法部門在其權限內充分了解與技術相關的立法問題。現如今，國會決策者面臨的科學和技術挑戰正變得越來越復雜，而技術評估辦公室的重建能夠及時就網絡和技術政策問題向兩院提供敏捷、深度、廣泛和具有客觀性的分析和建議。

加強行政部門在網絡安全管理工作中統一領導。一是成立國家網絡總監，統一領導國家層面的網絡安全工作。美國涉及網絡安全的行政部門數量眾多，且相互獨立，無直接隸屬關系，日常網絡安全統籌協調較為困難。因此，報告提出，要在總統的行政辦公室成立一個國家網絡總監。其職責：首先，作為總統在網絡安全和相關新興技術問題方面的主要顧問，協調國家層面的網絡安全戰略、政策和防御性網絡安全行動；其次，在征得國家安全顧問或國家經濟顧問同意后，可召開內閣級或國家安全委員會負責人級會議；最后，將對行政部門涉及網絡安全活動的預算進行審查。

二是成立網絡安全和新興技術局，統一領導國際間的網絡安全行為規范活動。從2009年的《塔林手冊1.0》到2011年的《網絡空間國際戰略》，再到2017年的《塔林手冊2.0》，美國一直致力于引領網絡空間國際規則的制定。但是，報告認為，來自中國和俄羅斯等國的競爭，正在削弱這些規則的作用。因此，除了制定國際規則，美國還必須領導其伙伴和盟友，開展網絡安全行為規范活動。基于此，報告建議成立一個由助理國務卿領導的網絡安全和新興技術局，其工作重點及努力方向是：首先，指導伙伴和盟友組成網絡安全國際聯盟，倡導網絡安全規范；其次，聯合伙伴和盟友，通過集體強制實施制裁、起訴等非軍事手段來懾止網絡安全惡意行為。

三是建立聯合網絡規劃小組，統一領導公私部門間的網絡安全協調工作。維護美國網絡安全需要及時防范惡意網絡安全事件以及有效打擊對手惡意網絡活動。這些任務要求美國能夠有效規劃以及全面協調政府和私營部門的網絡防御和安全活動。但是，美國政府和私營部門通常是各自獨立進行著網絡安全行動，這極大增加了維護網絡安全的成本，降低了有效應對惡意網絡事件的能力。報告指出，應該在網絡安全和基礎設施安全局下建立一個聯合網絡規劃小組，該小組由中央計劃人員和來自聯邦機構的代表組成，具備防御關鍵基礎設施方面的網絡能力和權限。并且，該小組將促進跨機構的防御性、非情報網絡安全活動的全面規劃，同時將把這些規劃工作與私營部門的網絡安全工作結合起來。

網絡安全人才供需圖

提高軍事部門在網絡空間的威懾能力。軍事部門的威懾能力是是維護國家安全的重要支柱之一，而軍事部門在網絡空間的威懾能力也是阻止敵人發動網絡攻擊的有效手段。報告認為，網絡空間已經是一個戰略競爭的舞臺，各國在這里角力，保護自己的利益，懲罰對手，美國想要維護自身的網絡安全就必須提高包括軍事部門網絡威懾能力在內的所有國家力量工具。

一是審查網絡行動授權，提高軍事部門執行網絡任務的敏捷性。網絡空間行動的速度需要決策和授權的無縫鏈接，以追求并實現對抗目標的效果。美國國防部目前存在許多與網絡相關的機構，但是網絡行動的授權權力卻分散在職能司令部、作戰司令部和各軍種部中。例如：有的機構執行美國法典編號50范圍的網絡情報活動，但沒有執行美國法典編號10范圍網絡作戰的權限，往往是發現了敵方的網絡活動卻不能進行即刻的溯源、打擊行動。因此，報告認為，國防部應審查網絡行動授權的權限，以及授權的條件。內容包括：首先，評估將信息戰的授權權限賦予網絡司令部的可能性，以提高網絡司令部快速反應和挫敗對手的能力；其次，審查授權給國家安全局有關機構的網絡行動授權，提高該機構將相關情報分發給構成國防工業基地的私營實體及其服務提供商的能力。

二是評估網絡預備役的建設情況，提高軍事網絡部門的人員實力。美國預備役網絡人才，是美軍網絡人才的重要組成部門，加強預備役網絡人才的招募、培訓和保留工作能夠提高軍事網絡部門的作戰實力，增強網絡威懾力。報告認為：首先，要評估不同類型的預備役網絡人才模式，包括不那么傳統但要求更靈活的模式，以及如何解決更廣泛的人才管理問題（如留住從現役轉為預備役的人才）；其次，評估預備役如何招募私營部門的關鍵網絡人才，從而確保國防部能夠在危機時期網羅私營部門的頂尖網絡人才；最后，評估預備役從私營部門和其他非國防部政府機構中吸引文職網絡人才的影響力。

重塑網絡生態系統，提高安全性。網絡生態系統不僅僅是構成互聯網的技術，也是將技術和數據連接起來以形成產品的過程和組織。報告認為，重塑網絡生態系統，應從技術、組織、過程3個方面來實施。

一是提高信息技術安全性方面。設立國家網絡安全認證與標簽機構，對信息技術的設計、測試、開發和維護提出明確的標準，并激勵信息技術產品供應商在其產品的開發生命周期中遵循這些標準，同時以可訪問的形式向消費者提供這些信息，幫助他們在購買信息技術產品時做出明智的決策。

二是確保組織的網絡安全方面。首先，設立一個網絡統計局，負責收集、處理、分析和向美國公眾、國會、其他聯邦機構、州和地方政府以及私營部門傳播有關網絡安全、網絡事故和網絡生態系統的重要統計數據。該統計局提供的統計分析將有助于通報國家風險，幫助保險業創建更準確的網絡風險模型，并為美國政府制定網絡安全政策和計劃提供依據。其次，成立一個聯邦政府資助的研發中心，以便與州級監管機構合作開發網絡安全保險產品的認證。由于保險屬于州監管機構的職權范圍，聯邦政府幾乎無法直接影響特定行業保險市場的發展。因此，為了使網絡安全保險走向成熟并改善市場，國會應該撥出資金，在國土安全部中成立一個研發中心，為保險人和理賠人的培訓和認證開發模型。

三是把控信息技術產品供應鏈風險方面。評估美國的信息技術供應鏈，制定和實施信息技術產業基地戰略，減少信息技術產品生產方面對外國的依賴，確保這些關鍵技術的安全性和可用性。這一措施應側重于確保生產被認為對國家安全和經濟安全影響重大的信息技術所需的組件、產品和材料的可用性和完整性。鑒于貿易和供應鏈的全球性和關聯性，該措施應與可信賴的合作伙伴和盟友協調制定。

加強公私部門在網絡安全中的合作。在網絡空間，美國政府通常不是主要的參與者，大部分時間，它扮演著支持和扶持私營部門的角色。報告建議，加強與私營部門的網絡安全合作。

一是改善政府對私營部門的支持。首先，將“具有系統重要性的關鍵基礎設施”這一概念納入法典，確保負責支持國家網絡安全的關鍵系統和設施得到美國政府的充分支持，并根據其獨特的地位和重要性承擔額外的安全要求。其次，行政部門必須從情報政策、程序和資源3個方面入手，審查情報界在為私營部門提供網絡安全情報支持方面的主要局限。另外，行政部門應在審查結束后向國會報告其調查結果，其中應包括解決報告中指出問題的具體建議或計劃。

二是提高網絡威脅的綜合態勢感知能力。建立并資助一個公共和私營部門可實現互操作的聯合協作環境，提供在聯邦政府內部以及公共和私營部門之間共享和融合威脅信息、見解和其他相關數據的技術支撐。

三是整合公共和私營部門的網絡防御努力。首先，行政部門加強網絡安全和基礎設施安全局中公私一體化網絡中心的建設，改善與其他網絡安全中心的網絡連通性，包括聯邦調查局的國家網絡調查聯合特遣部隊，情報總監辦公室的網絡威脅情報一體化中心，國防部一體化網絡中心和聯合作戰中心，國家安全局的網絡安全處，并確保通過相互協作和整合使維護網絡安全的系統、流程和人員充分發揮作用，以支持維護關鍵基礎設施網絡安全和恢復的任務。其次，行政部門應在網絡安全和基礎設施安全局之下建立一個聯合網絡規劃小組，以協調聯邦政府之間，以及公共和私營部門之間針對重大網絡事件和惡意網絡活動的網絡安全計劃和準備情況。

美國網絡委員會報告的影響

此報告作為維護美國網絡安全及優勢的戰略方針，提出的80條建議意見一經發布必然影響美國的國會、行政部門以及私營部門。首先，對于國會來說，網絡委員會報告將直接影響正在制定的2021年國防授權法案。根據眾議員伊莉絲·斯特凡尼克在眾議院軍事小組委員會關于情報和新出現的威脅聽證會上的證詞顯示，眾議院通過的國防授權法案的最終版本中，將至少包含網絡委員會報告中提出的22項立法建議。而參議院也有包括《應對網絡攻擊的經濟連續性計劃》《通過教育獲取美國網絡安全知識》在內的多項提案，涉及網絡委員會報告的建議。

其次，對于行政部門來說，報告中加強行政部門力量的建議舉措必然會得到行政部門的支持。例如，加強網絡安全與基礎設施安全局的建設舉措。相反，那些有可能影響行政部門現有力量結構的建議很難得到行政部門的支持。甚至，在這些建議成為法律后，行政部門也會根據自身的需求對其進行解讀和執行。例如，國會建議設立國家網絡總監一職。

最后，對于私營部門來說，報告中的建議既要求加強公私部門在維護網絡安全方面的合作，又要求突出私營部門在維護網絡安全方面的責任，這就使得私營部門在未來維護網絡安全的任務中扮演著更加重要的角色。