文 | 中国现代国际关系研究院科技与网络安全研究所助理研究员 周宁南
2023年,美国对本国网络安全态势的判断发生重大调整,不再把俄罗斯视为最大网络安全威胁,而是对本国的网络防御能力充满信心。美国的网络安全“雄心”在新颁布的网络安全战略及配套政策中暴露无遗,试图在如何构建“安全”的网络空间、如何防范重大网络安全事件、如何落实网络安全建设任务、如何推进政企网络安全协同等长期难题上提出新思路、拿出新方案、取得新进展。但是,美国网络安全战略、政策和相关建设难以摆脱美国歧视性网络空间规则体系与全球网络空间利益间的根本矛盾,进展并不顺利,一些弊端已经显露。
自俄乌冲突吸引全球网络攻防火力以来,美国国内网络安全态势相对平稳,针对各行业的勒索软件攻击虽然司空见惯,但未再出现影响经济社会运转的重大网络安全事件。美国战略界“贪天之功以为己有”,自以为美国采取的网络安全举措奏效,对美国的网络安全威胁、网络防御能力甚至网络战威胁的判断做出了较大调整。
第一,下调对俄罗斯网络攻击实力的评估。俄罗斯的网络攻击能力曾让美国高度担忧。2023年前,美国国家情报总监办公室(ODNI)历次发布的威胁评估报告认为,俄罗斯具备瘫痪美国关键基础设施的网络攻击能力,位列各国对美国网络威胁的第一位。美国智库哈佛大学贝尔弗科学与国际事务研究中心(Harvard University's Belfer Center for Science and International Affairs)在 2020 年、2022 年连续发布的网络实力评估认为,俄罗斯网络攻击实力仅次于美国。但是,自俄乌冲突以来,俄罗斯未能对美国援乌的军事装备实施成功的网络攻击,也未能对美国、乌克兰的关键基础设施进行实质性的网络攻击破坏。俄罗斯未能延续此前的网络攻击战绩,让美国战略界不再把俄罗斯视为美国最严峻的网络安全威胁。例如,美国智库战略与国际问题研究中心(CSIS)高级副总裁詹姆斯·刘易斯(James A.Lewis)在德国国际与安全事务研究所(Stiftung Wissenschaft und Politik)于 2023 年 4 月 17 日发表的文章《俄罗斯对乌克兰战争中的网络行动:迄今为止的用途、局限性和经验教训》中指出,“俄罗斯无法通过网络攻击扰乱美国金融、能源、交通和政府服务、决策”“俄乌网络战最大的经验就是俄罗斯的网络战能力没有我们想象的那样强”。美国政府在网络攻防方面对俄罗斯的态度也同样发生变化。2023 年 2 月 6 日,美国国家情报总监办公室发布《2023 年度威胁评估报告》,下调了俄罗斯对美国网络威胁的评估等级。2023年 10 月 17 日,谷歌公司旗下网络安全企业曼迪昂特(Mandiant)首席执行官凯文·曼迪亚(KevinMandia)在谷歌公共部门论坛上讲话时称,俄罗斯作为对美国最具威胁的网络攻击方的地位已经被取代。
第二,提振对抵御大国网络攻击的信心。美国在乌克兰构建的网络防御体系经过一年多的大国网络攻防检验,并未出现重大纰漏。这让美国网络安全界对美国在乌克兰推行的网络防御模式信心倍增,认为美国在大国网络攻防下实现全社会网络韧性、经济社会免遭动荡的目标不再遥不可及。2023 年 3 月 16 日,美国参议院国土安全和政府事务委员会听证会认为,美国构建的政企联合网络防御体系十分有效,大国即便对美国发动网络攻击,也需要击败所有网络安全企业和政府网络防御力量,才能实现网络攻击目标。美国还认为,网络防御能力相对薄弱的国家也可以凭借这套网络防御体系抵御大国网络攻击。2023年 8 月 9 日,美国网络安全和基础设施安全局(CISA)局长珍·伊斯特利(Jen Easterly)在该局网站上刊文称,这套网络防御体系具备在野蛮网络攻击环境下保障经济社会基本稳定以及从网络攻击中快速恢复网络运营的能力,展现了“网络韧性的力量”,防御效果“令人印象深刻”,其他国家应汲取这套网络防御体系的成功经验。2023 年 3 月至 9 月,美国国务院、国土安全部在哥斯达黎加等拉丁美洲国家遭受大国网络攻防影响的地区推行这套网络防御体系。2023 年 9 月 28 日,美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro N.Mayorkas)在西半球网络会议上对拉丁美洲国家领导人表示,这套网络防御体系为全球提供了实现网络韧性的新模式。
第三,减少对网络冲突向网络战升级的忌惮。在俄乌冲突中,网络战并未影响战争走势或构成系统性国家安全风险,这使美国战略界、网络安全界认为美国能够承受网络冲突升级的后果。2023 年 7 月 28 日,美国国防部负责网络政策的副助理部长欧阳沅(Mieke Eoyang)承认,网络攻击在破坏性上与传统武器相比存在难以克服的局限性,并表示“网络战争不存在蘑菇云”。2023年 9 月 12 日,美国国防部发布的新版《2023 年国防部网络战略》(2023 DOD Cyber Strategy),集中反映了美国在管控网络冲突问题上的立场变化。新版网络战略不再提及美国奉行多年的“网络威慑”策略,明确指出“单独使用网络攻击不会有任何战略作用”。2023 年 9 月 25 日,战略的起草者之一、大西洋理事会(The Atlantic Council)研究员艾默生·布鲁金(Emerson T. Brooking)在网站 War on the Rocks 刊文称,网络冲突不会导致国家间冲突升级,美国可以放心推行“网络现实主义”,在国家利益需要时动用网络攻击而不需担心网络攻击带来不可接受的副作用。
新的判断带来新的战略。拜登政府邀请战略界人士参与网络安全战略的起草工作,形成的战略反映了战略界对塑造“安全”网络空间信心满满、不惧网络冲突升级等判断。新的网络安全战略继承克林顿政府提出的确保国家网络安全的战略目标,在奥巴马政府以关键基础设施网络安全标准为抓手的基础上,吸纳了特朗普政府“以实力塑造和平”的激进理念,在战略路径、网络防御和网络进攻等三个维度大幅拓展此前历任政府的政策规划。
第一,塑造“易守难攻”的网络空间。网络攻防博弈具有“易攻难守”的非对称特点是长期共识。美国前国家情报总监詹姆斯·克拉珀(James R. Clapper)2015 年在国会听证会上把网络攻击比作“石头”,把网络防御比作“玻璃房子”,对网络攻防的不对称性进行了形象的说明。拜登政府的网络安全战略着眼中美“决定性十年”战略竞争,指出美国构建“安全”的网络空间既是决定对华战略竞争胜负的重要因素,也是赢得对华战略竞争的当然结果,提出了扭转网络攻防态势,塑造“易守难攻”的“安全”网络空间的雄心。美国构建“安全”网络空间的想法可以追溯到 1970 年。当时美国国防科学委员会计算机安全工作组(Defense Science Board Task Force on Computer Security)得出结论,只有与对手隔离,才能扭转网络空间“易攻难守”的局面。拜登政府做出了类似的路径选择,把网络空间技术架构、产业生态更新换代视为必须抓住的重建网络空间的机遇,在传统互联网架构之外,以掌握5G/6G、量子互联网等下一代网络技术架构为基础,以掌握技术标准制定、网络安全认证等网络安全规则体系为抓手,在网络空间排斥一切危险因素,确保未来网络空间“安全”符合美国价值观和国家利益。2023 年 9 月 21 日,美国国务卿安东尼·布林肯(Antony Blinken)在全球新兴技术峰会上表示,美国塑造“易守难攻”的网络空间的办法并非在现有网络空间修修补补,而是要推行“可信”的数字基础设施、重新构建网络生态系统,与理念相近的国家共同构建新的网络空间。
第二,构建免疫重大网安事件的“铜墙铁壁”。拜登政府不满美国历届政府在政企网络安全配合问题上裹足不前,把预防、响应重大网络安全事件作为政企网络安全合作、共建网络安全态势感知体系的切入口和试金石。2023 年 6 月 2 日,拜登政府网络安全战略的起草者之一、大西洋理事会研究员杰森·希利(Jason Healey)在网站 Lawfare Blog刊文称,美国网络安全战略的重要现实目标是实现美国网络事件响应的现代化,让任何网络入侵都变得“罕见且轻微”。美国网络安全战略,对比美国遭受“太阳风”和“科洛尼尔管道”等重大网络事件中美国政府对网络入侵后知后觉的教训和在俄乌冲突期间帮助乌克兰抵御俄罗斯网络攻击的经验,指出了联邦政府、产品供应商、服务提供者共建及时、广泛分享网络威胁信息的机制是防范重大网络安全事件的必由之路。美国网络安全战略在打破各行政部门网络安全威胁信息共享壁垒方面做出明确安排,要求强化网络安全和基础设施安全局(CISA)“网络防御合作联合中心”的地位,整合能源部“能源威胁分析中心试点项目”、国防部“国防工业基地合作信息共享环境”、国家安全局“网络安全合作中心”等联邦网络安全中心的网络安全态势信息。美国网络安全战略在网络安全与基础设施安全局“网络防御合作联合中心”等网络威胁信息共享试点机制的前期铺路下,对美国既有网络安全态势感知体系充满信心,明确了推广这套体系的战略优先位置,认为只要将这套体系覆盖大部分企业,就足以免疫重大网络安全事件。2023 年 4 月 27 日,美国网络安全与基础设施安全局执行助理局长埃里克·戈尔茨坦(Eric Goldstein)在网络安全主题会议 RSA 会议上称,该局已经完成政企网络安全态势感知平台的研制供企业使用,美国在及时察觉重大网络安全事件方面“走上了正确的道路”,做得越来越好。
第三,打造可向全球开火的“网络联军”。拜登政府的网络安全战略在特朗普政府时期网络战略提出“先发制人”策略上越走越远,还为网络攻击找到了冠冕堂皇的借口,把网络攻击粉饰成为全球提供公共产品的所谓治理勒索软件攻击,并在网络攻击上更无顾忌。美国网络安全战略表明,美国的网络攻击活动将不限于国家级网络攻防较量,任何对美国战略利益构成威胁的目标都会成为美国网络攻击的对象。美国网络安全战略发布不久,美国司法部联手微软等企业,对俄罗斯、朝鲜等网络设施发动网络攻击,并在事后炫耀武力,表示将使用一切国家力量铲除网络威胁。美国网络安全战略非但没有意识到美国已经在把网络攻击作为保障网络安全这一歧路上越陷越深,反而变本加厉,认为美政企“全民皆兵”后可以运用一切网络攻击力量“降维”打击对手。2023年 9 月至 11 月,美国战略与国际问题研究中心高级副总裁詹姆斯·刘易斯等人持续鼓吹战略在网络攻击上的激进思路,进一步呼吁美国政府把发动网络攻击应对勒索软件攻击扩大到应对网络窃密等其他所谓“全球风险”。
在网络安全态势相对平稳的年份,拜登政府锚定美国网络安全建设徘徊不前、网络安全意图得不到企业配合、网络空间作恶导致国际形象恶劣等长期存在的网络安全难题,提出“针对性”举措,意图扭转长期以来美国政府治网不力的局面。
第一,政府层面建立监督机制,防范网络安全建设一拖再拖。网络安全建设久拖不决、甚至烂尾是美国网络安全建设的长期挑战。美国总结关键基础设施行业至今没有落实最低网络安全标准、美国 2018 年网络战略的实施计划对多个行政部门分配的网络安全建设任务进展无人问津而最终不了了之的经验教训,认为需要建立集中领导机制,监督各部门网络安全建设。拜登政府着手建立网络安全建设任务的集中管理机制:成立国家网络总监办公室,任命国家网络总监,并在 2023 年 7 月 13 日首次公布《国家网络安全战略实施计划》。该实施计划明确了美国国家网络总监办公室、国家安全委员会、网络安全和基础设施安全局等涉网部门的网络安全建设职责以及各项网络安全建设任务的截止日期,初步形成了对网络安全建设任务的集中监督机制。该实施计划受到多方肯定。2023 年 7 月 14 日,美国众议院国土安全委员会主席马克·格林(Mark Green)在众议院国土安全委员会网站发表声明称,委员会将严格监督对网络安全与基础设施安全局主责和参与的近 20 项网络安全建设任务,确保任务完成。2023 年 7 月 14 日,美国国家安全委员会前网络协调员克里斯托弗·佩因特(ChristoperPainter)接受网站 CSO Online 采访时称,拜登政府正就网络任务监督机制做出尝试,将推动网络安全建设任务按时完成。
第二,企业层面恩威并施,调动企业配合政府网络安全意图。美国政府长期难以压实企业的网络安全责任,因行业抵制,“网络安全法”至今仍未成法。面对企业不愿与政府分享网络漏洞、威胁信息的局面,美国政府开始深挖法律和行政工具,要求企业履行网络安全义务:2023 年以来,美国电信服务提供商威瑞森(Verizon)和宾夕法尼亚大学遭到美国司法部以《虚假申报法》(The False Claim Act)要求提升网络安全标准的诉讼,成为美国政府加大运用《虚假申报法》推行网络安全标准的里程碑事件。2023 年 9 月 28 日,美国微软公司被曝光泄露美国高级官员邮件信息后,也因受到联邦通信委员会调查的威胁很快推出“安全未来计划”等,配合美国政府提升服务网络安全的要求。美国立法、行政手段齐出,对谷歌、亚马逊、思科等其他政府网络设备和服务提供商产生了较大的震慑效应。这些企业在美国政府推出“智能设备网络安全标签计划”等网络安全标准时,迅速表示拥护新的网络安全标准。作为交换,美国政府也表示,给行业制定的网络安全标准不会一刀切,将根据企业投资网络安全的能力平衡网络安全义务。2023 年 2 月 1 日,美国网络安全与基础设施安全局局长珍·伊斯特利(Jen Easterly)在《外交事务》杂志刊文系统阐述美国运用市场力量推动企业提升网络安全水平时表示,美国政府的网络安全要求不是规定性、教条式的,不会给中小企业强加网络安全责任,而由产品广泛运用、最有能力承担的企业扛起网络安全责任,而这些履行网络安全义务的企业将发现,承担网络安全责任并非负担,而是将带来更强的产品竞争力。
第三,国际层面打击勒索攻击,尽力挽回网络空间作恶形象。美国打开“震网病毒”这一网络战的“潘多拉魔盒”和实施“棱镜计划”监控全球行动等之后,在网络空间名誉扫地。源自美国网络武器泄露的勒索软件是近年来美国研发网络武器等作恶行径给全球带来的新的网络空间威胁。2023 年 1 月至 10 月,美国以打击勒索软件攻击团伙为由,给俄罗斯、伊朗、朝鲜等国扣上窝藏勒索攻击团体、危害全球的帽子,把美国政企联手对他国发动网络攻击粉饰成捣毁勒索攻击生态的“正义”之举,企图摇身一变成为全球饱受勒索攻击之下的“救世主”。2023 年 10 月 18 日,美国副国家安全顾问安妮·纽伯格(Anne Neuberger)在新加坡国际网络周(International Cyber Week)期间吹嘘,美国主导的“国际反勒索软件倡议”已获 50 个国家和地区认可,自诩美国在全球打击勒索攻击生态之举是帮助印太地区应对他们难以对付的网络安全难题的重要举措。
美国的网络安全愿景仍然是主导网络空间歧视性的网络安全体系。这与全球建设公平合理、开放包容、安全稳定、富有生机活力的网络空间愿景背道而驰,在推行的过程中已经暴露出网络安全目标难以完成、网络安全指令难以落地、网络安全合作难以取信各国等弊端。
第一,网络安全目标脱离现实,负担越来越重。美国历届政府的网络战略念念不忘构建“安全”的网络空间,拜登政府也不例外。长远看,美国要完成重塑网络通信设备和服务、推行“可信”网络安全体系、重建网络空间架构等战略目标;短期看,美国也要在政府和全社会落实“零信任”等网络安全理念。这看起来大有不实现绝对网络安全誓不罢休之势。但是,“网络安全是相对的而不是绝对的”。美国网络安全建设进程也印证了美国越是追求绝对网络安全,政策用力越猛,带病工作的网络安全系统反而越多。例如,美国寻求使用 5G 开放性无线接入网(OpenRAN 5G)架构实现绝对安全的 5G 网络产品和服务,但因为 OpenRAN 5G 的供应商众多,暴露出的网络安全风险也更多。2023 年 6 月 13日,美国政府问责办公室报告《信息系统年度评估:国防部需要优化绩效报告和发展规划》(IT Systems Annual Assessment: DOD Needs to Improve Performance Reporting and Development Planning)也显示,即使是对美国网络安全任务最上心的军方来说,大量网络安全任务也已堆积到 2027 年还无法完成。
第二,企业阳奉阴违,网络安全指令难以落地。美国制定所谓高标准网络安全体系的实质是搞排他性网络空间。这势必扰乱本国企业既有的国际分工,迫使美国企业从事不具备竞争优势的生产工作。美国政府运用政府采购等市场力量调动企业配合美国政府的网络安全意图,如美国联邦通信委员会每年补贴数十亿美元,但是,美国各行业关键基础设施供应商仍不买账,依然以资金不足等借口抵制美国政府重建“可信”网络设备和服务的规划。美国运输、环境等部门颁布的针对航天、管道、水资源等关键基础设施行业的网络安全指令,也遭到行业以指令“没有必要”和“难以执行”等理由的抵制。即使是美国行政部门依据立法颁布的网络事件报告规则,也遭到企业强烈反对。2023 年 6 月,美国证券交易委员会根据《2022 年网络事件报告法》(Cyber Incident Reporting for Critical Infrastructure Act of 2022)制定了上市公司快速披露“重大”网络安全事件的规则,因企业反对声音高涨,不到半年,美国众议院国土安全委员会网络安全和基础设施保护小组委员会就被迫提出法案,推翻了美国证券交易委员会批准的网络事件报告规则。
第三,名为国际合作实则干涉别国内政,招致各国反感。美国以治理勒索攻击为名,对哥斯达黎加、阿尔巴尼亚等国的“帮助”有目共睹:这些国家的核心要害部门的网络设备和服务从此由美国企业接管。美国以更换“安全”网络设备、安插网络安全专业人士入驻合作方核心网络等网络安全“合作”举措,已经招致各国的不满与警惕。2023 年 8 月 8 日,美国向日本通报日本政府网络遭到所谓“中国网络攻击”后,日本官员认为美国向其提供的网络安全威胁信息表明,美国已渗透日本核心网络。2023 年 8 月至 9 月,美国与越南关系提升为全面战略伙伴关系,承诺在网络架构、数字化转型等网络领域合作时,越南总理范明正在越南国家网络安全指导委员会第二次会议上强调,要加强网络核心技术自主。2023 年 10 月 18 日,美国副国家安全顾问安妮·纽伯格举行数字新闻发布会,向东盟各国吹嘘治理勒索攻击成果时,也遭到东盟媒体当场打脸。东盟各国认为,美国在东盟治理勒索攻击难以与中国帮助东盟打击网络诈骗成果相提并论。
(本文刊登于《中国信息安全》杂志2024年第1期)
评论