美國第五號白皮書:對拜登政府的網絡安全建議(全文)
在美國網絡空間日光浴委員會(CSC)相繼發布《疫情中吸取的關于網絡安全的教訓》、《網絡安全勞動力發展戰略框架》、《如何確保美國信息和通信技術供應鏈安全》等四份白皮書之后,2021年1月16日,CSC發布第五份白皮書《對拜登政府的網絡安全建議》,這份白皮書旨在為即將上任的拜登-哈里斯政府提供網絡空間安全方面的指導,明確新政府早期可能在網絡空間采取的策略,并提出未來幾個月和幾年的行動重點。
這些建議涵蓋了對外將與美國的盟國合作,建立統一的網絡防線;在IT和通信技術領域形成類似北約的聯盟;對內與美國的私營企業合作,加強對私營企業的監管,明確私營企業在網絡安全上的義務;直接派遣外交官參與全球IT和通信技術標準的制定,力求讓美國在技術標準領域擁有絕對的話語權;明確要求將中國企業封殺在關鍵IT和通信設備供應鏈之外。
這份報告在編寫機構,方法論,戰略規劃,具體實施建議等方面,與上世紀50年代啟動美蘇冷戰戰略的“日光浴計劃”如出一轍,幾乎擁有同等分量。
一、引言和背景
數字互聯在給美國帶來經濟增長、技術優勢和生活質量改善的同時,也造成了戰略困境。美國需要在具備數據安全性和彈性的可信網絡環境下運行,但目前美國政府和私營部門都無法提供。此外,美國政府內部、公共和私營部門在靈活性、技術特長和統一行動方面的缺陷也不斷凸顯。
20多年來,主權國家和非國家行為體一直在利用網絡空間來破壞美國的政權、安全和生活方式,這些網絡攻擊的實施者利用美國網絡空間系統和戰略的弱點,并評估如何在不引起美國報復的前提下對美國造成損害。美國的克制遭到了肆無忌憚的踐踏。美國網絡空間日光浴委員會是根據《2019財年國防授權法》由約翰•麥凱恩領導成立的,旨在應對這些挑戰,并就“在網絡空間保護美國免受后果嚴重的網絡攻擊的戰略手段”達成共識。
為了完成這一使命,該委員會于2020年3月發布了一份報告,概述了美國政府的戰略方針和80多項建議。在編寫報告的過程中,該委員會召集了來自工業界、學術界、聯邦、州級和地方政府、國際組織以及智庫的300多名相關人員;他們通過一系列的紅隊審查和基于場景的活動對上述建議進行了壓力測試。在Solarium事件之后,委員會對每項戰略及其支持性政策建議進行了評估,并提供了正式反饋。工作人員將這些反饋編制成冊,以備今后進一步完善建議。
在報告終稿發布的幾個月里,委員會和工作人員制定了立法提案,為其建議提供支持,他們還與眾議院和參議院的相關委員合作,執行委員會的最初建議。此外,委員會發布了四份白皮書,其中包含新的和更新的建議,內容涉及從疫情中吸取的關于網絡安全的教訓、對國家網絡總監建議的細節、網絡安全勞動力發展戰略框架,以及關于如何確保美國信息和通信技術供應鏈安全的建議。委員會的許多重要建議已被納入立法,但要應對我國面臨的緊迫挑戰,仍有更多工作要做,相信通過協調和深思熟慮的行動后可以取得很大成就。
這份白皮書旨在為即將上任的拜登-哈里斯政府提供指導,明確新政府早期可能在網絡空間采取的策略,并提出未來幾個月和幾年的行動重點。委員會的最終報告和附帶的白皮書將更詳細地討論這本小冊子中的建議。
二、優先事項:拜登政府上任頭100天
在上任的頭100天里,拜登-哈里斯政府將啟動三個進程,把網絡安全提升為政府的當務之急,降低美國遭受網絡攻擊的可能性并減輕影響力。
(一) 設立國家網絡總監辦公室
目前很多委員會、倡議和研究都建議構建一個更加健全和制度化的國家級機制,以協調網絡安全和相關新興技術的問題,監督行政部門制定和實施綜合國家網絡安全戰略。由于新興技術以及網絡空間相關問題變得更加復雜,對美國國家安全構成更大威脅,總統對合理建議和及時選項的需求將變得越來越重要。
為了確保白宮擁有強大、穩定和專家領導的網絡安全領導能力,拜登-哈里斯政府應在頭30天內提名一位參議院認可的國家網絡總監,并著手建立國家網絡總監辦公室。《2021財年國防授權法》(NDAA)設立了國家網絡總監職位和國家網絡總監辦公室。作為總統行政辦公室的下設職位之一,國家網絡總監是經參議院批準的總統顧問,其擔任著多項重要職務,包括:
(1)擔任總統在網絡安全和相關新興技術問題上的首席顧問;
(2)領導制定國家網絡戰略,并確保其在各部門和機構的實施,包括評估機構預算和確保機構間行動的有效整合;
(3)監督和協調聯邦政府在對抗網絡行動中保護美國的行動,包括作為與私營部門、州、地方、部落和屬地聯系的主要聯絡點;
(4)經國家安全顧問或國家經濟顧問同意,召集和協調內閣級或國家安全委員會主要委員會級會議及相關籌備會議。
作為建立國家網絡總監辦公室的一部分,拜登-哈里斯政府應明確白宮負責網絡和新興技術的國家安全副顧問和國家網絡主管之間的關系、角色和責任。委員會認為,這類角色相輔相成,共同確保國家安全顧問在評估和執行支持國家安全目標的全國戰略時發揮良好作用。國家安全副顧問將代表“按《美國法典》第10編和第50編開展網絡行動”的各部門和機構的利益,展示這些部門和機構的能力,并在它們和國家安全委員會之間起著重要的橋梁,確保國家網絡總監對這些部門的網絡行動有充分了解。國家網絡總監應專注于協調、支持和消除行政部門領導的國家網絡安全和防御型網絡行動的沖突。
在此過程中,國家網絡總監應負責白宮與私營部門的接觸,建立信任和推進共同利益,并應在國內外網絡問題上代表政府。與此同時,拜登-哈里斯政府還應評估并更新第41號總統令,以指定國家網絡總監作為聯邦網絡事件響應工作的主要協調人,明確國家網絡總監向國家安全顧問提供綜合建議政策和行動的責任。此外也應更新對網絡安全有影響的其它規則制定流程,以便讓國家安全總監參與進來。
(二) 制定并頒布國家網絡戰略
一旦國家網絡主管到位,拜登-哈里斯政府應開始制定和頒布新的美國國家網絡戰略。《2018年國家網絡戰略》是近15年來發布的第一份美國國家網絡安全戰略,也是美國歷史上第二份。
任何有效的網絡空間戰略都需要聯邦政府、州政府和地方政府以及私營部門等多個利益攸關方的協調努力,這些利益攸關方都有責任在這一領域保護和捍衛美國。因此,戰略必須明確地調整和同步利益相關者的戰略目標,確定將戰略付諸實施的努力方向,明確各項工作的優先順序,并制定共同的風險原則。此外,該戰略應該將目前支撐國防部2018年網絡戰略的“前向防御”概念納入更廣泛的美國網絡戰略。該戰略應使前向防御成為綜合方法的一個組成部分,該方法不僅包括使用嚴格的軍事能力,還包括使用所有國家權力工具:包括經濟、執法、外交工具以及針對盟友和對手的手段。
新的國家網絡戰略應闡明一種架構,通過分層網絡威懾成功地瓦解和阻止美國的對手進行重大網絡攻擊,并應提出以下方法和手段:(1)構建對手行為,(2)拒絕對手優勢(3)增加對手成本。雖然威懾是美國持久的戰略,但有兩個因素使分層網絡威懾變得大膽而獨特。首先,這種方法優先考慮通過拒絕來威懾,特別是通過彈性和公私部門合作來增強網絡空間的防御和安全,減少對手可能瞄準的漏洞。第二,該戰略納入了上文討論的“前向防御”的概念。
最后,新戰略應該納入一個針對美國的多層級的具有標志性意義的戰略和一個新的具有宣言性意義的政策。這個具有標志性意義的戰略應闡明這樣一種框架,即能明確傳達美國政府將在何時和何種條件下自愿披露網絡作戰和行動,以便向各類受眾傳達其能力和意圖。宣言性政策應明確指出美國將利用網絡和非網絡能力進行反擊,而且針對敵方網絡活動的代價必須控制在使用武力的門檻以下。從根本上說,美國政府應公開宣布它將實施前向防御,并應該將這種宣稱與在國家各個權力層面實施的果斷和一致的行動結合。
(三) 加強現有政府網絡安全工作的一致性、影響力以及與私營部門的合作
雖然各個私營實體以及州、地方、部落和區塊政府負責其網絡的防御和安全,但美國政府必須利用其獨特的權力和資源以及外交、經濟、軍事、執法和情報能力來支持上述機構的防御工作。此外,正如“太陽風”(SolarWinds)事件所表明的那樣,聯邦政府部門和機構必須加強其能力,以防止網絡事件,并在事件發生時識別、檢測和有效應對它們。為了提高美國政府在網絡空間保衛自己以及與私營實體和其它關鍵角色合作這二方面的能力,拜登-哈里斯政府應強化網絡安全和基礎設施安全局(CISA)內部的綜合網絡中心,并建立聯合網絡規劃辦公室。
1.審查聯邦機構2022財年網絡安全預算撥款
“太陽風”大規模黑客攻擊暴露了迫切需要改善聯邦部門和機構以及聯邦網絡安全中心的網絡安全。通過國家網絡總監,拜登-哈里斯政府應對聯邦機構網絡安全預算進行90天的審查。預算審查應確定聯邦部門和機構內部網絡安全運營和規劃的現有預算,并應評估當前分配的金額與完成規定任務所需的金額之間的差距。它應該檢查機構企業網絡安全和《聯邦信息安全管理法》的預算以及機構網絡安全規劃的預算。
審查范圍還應包括各機構執行新任務所需的預算,包括2021財年NDAA對網絡安全和基礎設施安全局以下項目的預算,包括:(1)在聯邦信息系統中尋找和識別威脅和漏洞;(2)提供服務、功能和能力以協助聯邦機構;以及(3)部署、操作和維護安全的技術平臺和工具,包括網絡和常見的業務應用程序。此外,審查應評估行業風險管理機構的現有預算是否足夠,以適應2021財年NDAA法規對其角色的新要求。
2.強化CISA的綜合網絡中心
2021財年NDAA要求對聯邦網絡中心進行審查,并加強CISA新興的綜合網絡中心。為了真正落實與私營部門的網絡安全合作,拜登-哈里斯政府應執行這一任務,強化CISA的綜合網絡中心,指定其為負責資產響應活動的網絡安全中心,并改善其與其它主要聯邦和私營網絡和網絡安全中心的聯系。這樣做將確保協作和整合的系統、流程和人員等各要素在關鍵基礎設施網絡安全和彈性任務的業務支持中充分發揮作用。CISA的網絡任務最初是想構建一個國家網絡安全和通信一體化中心,計劃作為美國政府的主要協調機構,負責在網絡安全行動中打造政府一體化、公私合作。然而,由于設施和人事政策不足、資源不足、缺乏其它聯邦部門和機構的支持、國會對其相對于其它機構的作用和地位模糊不清以及對私營部門的支持和與私營部門的整合不一致,CISA全面執行這一任務的能力在體制上受到限制。
3.在CISA內部建立聯合網絡規劃辦公室
除了呼吁建立一個更強大的綜合網絡中心來進行實時網絡防御,2021財年NDAA還要求在CISA建立“聯合網絡規劃辦公室”(JCPO),以制定計劃和協調演習。在2021財年的國土安全部法定經費中,有1056.8萬美元將用于此項工作。拜登-哈里斯政府應在CISA領導下建立JCPO,以協調整個聯邦政府以及公共和私營部門之間的網絡安全規劃和準備工作,為重大網絡事件和惡意網絡活動做準備。從由國家網絡主管監督的國家網絡戰略中獲取戰略指導,JCPO應由中央規劃人員和來自綜合網絡中心的代表組成,以及來自擁有網絡作戰能力和/或負責保護關鍵基礎設施的其它聯邦機構的代表組成。聯合反恐行動計劃應旨在促進各機構對防御性、非情報性網絡安全活動的全面規劃,將這些規劃工作與私營部門的規劃工作相結合,并由CISA管理和主辦。
4.為行業風險管理機構確立預期和責任
2021財年NDAA將特定行業機構從法律上歸為行業風險管理機構(SRMA),并且為這些與關鍵基礎設施部門保持聯系的重要機構設定了基準預期和責任。這是建立政府結構的關鍵的第一步,使政府能夠在網絡安全方面向私營部門提供更成熟的支持。拜登-哈里斯政府應執行《2021財年國防授權法》中關于行業風險管理機構的規定,并通過改寫總統第21號指令政策以及闡述SRMA機構的期望和責任來提高SRMA應對威脅的能力。拜登-哈里斯政府在頭100天內將這樣做,以便SRMA可以利用這一年的剩余時間來了解他們的新職責,并提交與這些職責相一致的預算請求。
三、100天后的優先行政舉措
在前100天內確立了白宮的領導和協調體制以及國家網絡安全戰略后,拜登-哈里斯政府接下來就應優先關注七個方面的網絡安全問題。
(一) 恢復美國在網絡領域的國際領導地位
我們可以看到,美國在網絡安全問題上的國際領導地位正日益衰弱。盡管美國的外交官一直在按部就班地與世界各地的其它政府和組織接洽,但除非為他們提供足夠的資源并優先考慮此類事項,否則這些接洽工作的效果就不盡如人意。若要形成穩定的全球體系,并讓對手和盟友都在網絡空間內規矩行事,那么國際合作就必不可少;而要想切實且持續做到這兩點,則多半還必須建立覆蓋全球的網絡安全能力。為此美國可以加強與美國站在同一陣線的民主聯盟,并與盟友和志同道者組成新的聯盟,從而一同在網絡空間內激勵各國作出負責任的行為,讓惡意攻擊者付出沉重代價,以及動員各國共同應對全球網絡威脅。
1. 組建網絡空間政策與新興技術局
既然拜登-哈里斯政府將網絡安全視為首要的國際政策問題之一,就理應為此組建網絡空間政策與新興技術局(CPET)。CPET的機制和資源理應滿足領導國際聯盟的需要,并由其負責實施方方面的美國網絡安全戰略。按照2019年提出的《網絡外交法》(Cyber Diplomacy Act)所概述的結構和責任,CPET必須有權在諸多問題上發揮領導作用,包括倡導負責任的網絡空間國家行為規范,加強互信措施,通過外交手段與國際社會一同應對網絡威脅,推動建立由多個利益攸關方共同治理、開放且可互操作的互聯網模式,通過國際合作來確保數字經濟安全,培養合作方/盟友提升網絡安全和打擊網絡犯罪的能力,以及承擔國務卿下達的其它任何任務。
2. 擴大美國政府在能力建設、規范和互信措施方面的支持范圍
一旦組建CPET,拜登-哈里斯政府就應借助該局來擴大美國政府在能力建設、規范和互信措施的支持范圍。國際社會已在聯合國等場合上表態同意制定網絡規范,但這些規范的實施力度各不相同。在CPET牽頭下,美國政府應在照顧到多個利益攸關方的前提下,逐行業地實施規范,在國家元首的層級上主導關于網絡安全規范的討論,并在聯合國及其它場合參與各類廣泛性論壇和專業性論壇。拜登-哈里斯政府應與國會合作,確保CPET擁有必要的人力、資源和權限來開展能力建設,從而激勵和支持各國在網絡空間內作出負責任的行為。
此外國務院應繼續制定和實施地區層面和全球層面的網絡互信措施,并籍此與私營機構等非國家的利益攸關方進行接觸。在建設國際網絡安全能力的同時,美國政府還應該確保這種能力建設工作在美國的對外政策中發揮不可或缺的作用。美國將以建立國際伙伴關系和國際聯盟的方式開展能力建設和拓寬國際合作,進而向恢復美國的領導地位邁出關鍵一步。
3. 更積極且更有效地參與國際信通技術標準討論
除了圍繞規范和CBM進一步開展工作外,美國政府還必須更積極且更有效地參與關于國際信通技術(ICT)標準的討論。拜登-哈里斯政府應為此與國會合作,以確保聯邦部門/機構擁有所需的資源和權力,從而促進聯邦政府、學術界、專業協會和行業的人士深度參與關于制定信通技術標準的討論。為提高參與效果,美國政府還應在討論信通技術標準之前和期間主動與各行各業的利益攸關方接觸。此外行政部門的領導人不僅應派出技術專家和標準專家參與各類信通技術標準論壇,還應派出外交官參與此類論壇。
(二) 投入更多必要人手來抵御惡意網絡攻擊
目前公共部門的網絡安全職位缺口多達37000多人。鑒于公共部門已雇傭了56000多名網絡安全專業人員,這一缺口意味著公共部門缺少約三分之一的網絡安全人員。另一方面,企業的網絡安全職位缺口更是接近50萬人10。在2009年時,為填補聯邦政府的網絡職位缺口,有專家呼吁白宮網絡安全協調員制定聯邦級的網絡勞動力戰略11;然而12年后,美國聯邦政府仍既未制定有效的網絡勞動力戰略,也未明確由誰負責制定和實施此類戰略。
1. 建立勞動力領導與協調體制
美國政府中的許多部門和機構都在采取措施招募網絡工作人員,但并沒有中央層面的領導或戰略來協調這些工作。為此拜登-哈里斯政府應組建兩個聯邦網絡勞動力開發機構,并與這些機構合作起草一項聯邦網絡勞動力戰略。首先,美國政府應組建一個網絡勞動力指導委員會(CW-SC),由國家網絡總監擔任該委員會主席,其成員則應包括來自管理與預算辦公室(OMB)、人事管理局(OPM)、國家網絡安全教育倡議、國家科學基金會、網絡安全與基礎設施安全局(CISA)和國防部(DoD)的代表。CW-SC應提供出自領導層的戰略指導和直接資源,以確保整個聯邦政府協調一致地開發網絡勞動力。
除此之外,對所有部門和機構開放的“網絡勞動力協調工作組”則應負責解決各種項目的日常開發和運營問題,同時確保這些項目獲得特許和資源,并遵循指導委員會確立的戰略方向。國家網絡總監應與這兩個機構及教育部(教育部在加強全美的網絡勞動力開發方面也發揮著重要作用)等其它聯邦部門/機構合作制定一項網絡勞動力戰略,以減少重復工作,確保從戰略角度分配資源,以及減輕各機構對人才的爭奪程度。在設立這些機構并制定勞動力戰略后,國家網絡總監便可在倡導有效整合勞動力開發方面發揮核心作用。
2. 確保美國政府能在網絡工作方面擁有特殊的招聘權限和制定靈活的付薪制度
在使用網絡人才方面,不同聯邦機構有著不同的招聘權限和付薪制度。許多部門和機構費盡心思制定和使用了一套復雜的職業編碼與權限制度,另一些部門則完全拋棄了這一套,轉而建立了其特有的人事管理制度。為了形成開發未來聯邦網絡勞動力所需的靈活性和創新性,拜登-哈里斯政府應致力于消除既有障礙,使所有聯邦部門都能擁有特殊的招聘權限和制定靈活的付薪制度。
在2018年和2019年發布的報告中,政府問責局概述了聯邦網絡崗位定密方面的挑戰,而正是這些挑戰妨礙了各部門擁有特殊的招聘權限和制定靈活的付薪制度12。OPM后來提供了一些信息,以幫助聯邦管理人員利用這些報告開展工作。拜登-哈里斯政府應評價OPM的工作,以判斷現有制度是否能有效管理網絡人才。如果不能,美國政府就應該指示OPM設置一系列網絡職位,以更好地利用特殊的招聘權限和靈活的付薪制度。
3. 擴大“網絡企業服務獎學金”計劃范圍
“網絡企業服務獎學金”(SFS)計劃是一項經濟且可放大的網絡人才培養計劃,并立足于現有學院和大學的教育基礎設施。不過近年來其預算始終沒有增長,以至于阻礙了SFS最大限度地發揮其潛力。在向國會提交的預算申請中,拜登-哈里斯政府應優先考慮該“服務獎學金”的需求,以(1)增加參與該計劃的學院和大學的數量,以及(2)增加參與機構所授獎學金的數量。受現實條件的限制,美國政府只能逐步擴大該計劃的范圍:在10年時間內,其預算的年均增幅應比通貨膨脹率高出20%到30%,這意味著該計劃在2022財年的預算將達到8000萬美元。為推動網絡勞動力的多樣性(目前這種多樣性明顯不足),美國政府還應盡量努力鼓勵以少數族裔為主的機構參與該計劃。
(三) 加大我國在基礎設施彈性方面的投資
網絡領域中對對手有吸引力的大部分資產、功能和實體由私營部門擁有和運營;因此,賽博防御雖然是一項共同的責任,但在很大程度上取決于私有網絡和基礎設施的擁有者和運營商的努力。
1. 啟動經濟延續性規劃
2021財年NDAA要求總統“制定并維持一項計劃,以維持和恢復美國經濟,應對重大事件13”。拜登-哈里斯政府應開始制定經濟連續計劃。盡管美國政府保持著運營的連續性和政府計劃的連續性,但沒有同等的措施來確保經濟的連續性,而經濟是美國國力的重要來源。規劃制定應包括國土安全部、國防部、國防部、商務部、財政部、能源部、衛生和公眾服務部、小企業管理局以及總統確定的任何其它部門或機構。
作為規劃制定的一部分,行政部門應確定在發生災難時實施計劃所需的任何額外權限或資源,或制定計劃來支撐和維持部門和機構使得他們能實現經濟的連續性。規劃過程應分析國家關鍵職能14,側重于美國經濟可靠運行所必需的貨物和服務的國家級分配;它還應概述構成或被集成到這些分配機制的關鍵私營部門實體,這些實體對特定部門或區域整體經濟的維持和運作負有主要責任14。此外,該計劃應確定關鍵材料、貨物和服務;響應和恢復優先級;投資恢復領域;和必須保存數據的領域。
2. 探索以機器速度共享信息的可行性
拜登-哈里斯(Biden-Harris)政府應責成國土安全部部長和國家情報局局長起草一份報告,說明建立一個聯合的、基于云的信息共享環境的可行性和合理性,在這個環境中,聯邦政府的非機密和機密網絡威脅信息、惡意軟件取證和來自于監控程序的網絡數據一般可用于查詢和分析。
3. 改善對私營部門的情報支持
雖然情報界在美國政府為防護者的情況下信息安全足夠強大,但它缺乏恰當的政策和措施來處理主要責任不在美國政府范圍內的情況。歸私營部門所有和運營的數字基礎設施亟需依托美國情報界的獨家情報來開展防御,外國的惡意行為體也比過去更加詭計多端,然而現行的情報政策和程序卻未能考慮到這些問題。因此,情報界依然被嚴格限制在保持對不斷演變的網絡威脅的警覺并對美國實體在被攻擊時提供必要告警能力范圍內。美國政府必須對在其能力范圍內向所有私營部門利益相關者和相關組織(如信息共享和分析中心以及系統風險分析和彈性中心)提供情報支持確定更普遍的限制。
為此,拜登-哈里斯政府應對情報政策、程序和資源進行為期六個月的全面審查,以確定和解決情報界向私營部門提供情報支持的能力的關鍵限制。行政部門應在審查結束后向國會報告其調查結果,其中應包括應對報告中確定的挑戰的具體建議或計劃。審查應審查情報機構,以確定當前支持私營部門利益相關者收集方面的限制,審查情報界與私營部門利益相關者共享情報的能力限制,審查賽博威脅情報降級和解密的程序,并審查與賽博相關的信息共享允諾流程。此外,拜登-哈里斯政府應建立一個正式的程序,征求和匯編私營部門的意見,以通報國家情報優先事項、情報收集需求,并更加聚焦于美國對私營部門網絡安全行動的情報支持。
(四) 保護美國的高科技供應鏈
正如歐盟委員會在2020年10月的白皮書中指出的那樣,就信通技術供應鏈而言,“美國有一個中國問題15 ”。由于中國政府的干預,關鍵技術領域的國際商業體系既不自由也不公平,這阻礙了美國和合作伙伴公司爭奪全球市場共享并成為安全可靠供應鏈的一部分的能力。然而,正如太陽風事件所強調的,盡管中國對美國供應鏈構成了重大風險,但威脅并不僅限于中國。美國必須做更多的工作來識別我們的信通技術供應鏈中的風險,并投入資源來管理這些風險。
1. 制定和頒布信通技術產業基礎戰略
盡管2021財年NDAA啟動了多項舉措,以幫助美國了解問題的范圍,放開一些公共投資工具,并更積極地參與至關重要的標準制定論壇,但美國仍然缺乏一項全面的總體戰略來確保美國的信通技術供應鏈,確保規則有利于我們的工人和我們的經濟,并幫助我們的公司以及合作伙伴和盟友國家的公司在面臨反競爭的中國政府干預市場的情況下進行全球競爭。拜登-哈里斯政府應制定并頒布一項產業戰略,以保護美國的高科技未來。該戰略應建立在堅實的伙伴關系基礎上——與美國工業、盟國政府以及盟國和伙伴國家的外國公司——并應建立在五個不同的支柱上。該戰略應:
(1)通過政府審查和行業咨詢,確定關鍵技術、設備和原材料。
(2)通過將私人投資與關鍵的制造業需求相結合,在絕對必要的地方提供政府投資,以一個混合投資和經濟保護相結合來幫助經濟集群,確保關鍵領域的最低可行制造能力。
(3)通過聯邦政府層面的更好協調、增強對私營部門的情報支持以及針對關鍵技術的更強大的脆弱性測試,保護供應鏈免受損害。
(4)通過釋放更多的中頻段頻譜,并將未來政府對信通技術的投資與開放和可互操作的標準掛鉤,刺激信通技術的國內市場。
(5)通過戰略性地利用在美國進出口銀行、美國國際開發金融公司、美國貿易發展署和美國國際開發署的現有工具,增強美國公司和合作伙伴公司的全球競爭力。
(五) 維護美國的軍事網絡優勢
美國擁有世界上最成熟、最先進的軍事網絡能力之一。然而,除非增加關注、評估和投資,否則這種軍事網絡優勢可能會萎縮或消失。然而,除非關注、評估和投資增加,否則這種軍事網絡優勢可能會萎縮或消失。下面的許多建議出現在2021財年的NDAA中,但需要行政部門的關注和實施。
1. 對網絡任務部隊進行部隊結構評估
網絡任務部隊(CMF)目前被認為具備全面的作戰能力,有133個團隊,共約6200人。但這些要求是在2013年確定的,早在一些關鍵事件形成美國政府對對手構成的網絡威脅的緊迫性和重要性的認識之前,也早在國防部制定防御前沿戰略之前。今天,組成CMF的團隊負責一系列不同的國防部網絡任務,包括保衛國防部信息網絡(DoDIN),通過地理作戰司令部為軍事行動提供支持,以及在日常競爭中保衛國家以對抗惡意對手行為。這些活動代表了CMF任務范圍的擴大(在DoDIN外執行) 及其行動規模(增加行動以應對更危險的威脅環境),盡管其部隊結構目標保持不變。拜登-哈里斯國防部應該對美國網絡司令部的網絡任務部隊進行部隊結構評估,以反映其任務需求和期望日益增長的范圍及規模。
2. 為網絡司令部創建主要部隊計劃
拜登-哈里斯國防部應該提交一份預算理由顯示,其中包括美國網絡司令部的訓練、人員配備和裝備的主要部隊計劃(MFP)類別。根據《美國法典》第10編第238條,國防部必須向國會提交一份預算證明,其中包括網絡任務部隊的MFP類別。然而,這項法律是在2014年頒布的,當時美國網絡司令部還沒有被提升為統一的作戰司令部。因此,需要一個新的預算論證顯示,為美國網絡司令部建立一個MFP類別。這一資金類別將為美國網絡司令部提供針對司令部特殊需要的貨物和服務的采購權限。它還應提供一個迅速解決作戰指揮/勤務經費爭端的程序,與國防部指令5100.03.17的意圖一致,雖然2021財年的NDAA確實包含了一些改進的內容,最顯著的是呼吁提出建議,使網絡司令部能夠執行超出現有限制的預算和采辦要求,并取消7500萬美元的年度支出上限——但它并沒有為網絡司令部創建一個主要的部隊項目類別17 18。
3. 更新網絡使用武力的交戰規則和指南
《常規交戰規則》(SROE)和《常規使用武力規則》(SRUF)已經有十多年的歷史了。作為下一次網絡態勢評估的一部分,拜登-哈里斯國防部應該編寫一份研究報告,評估美國軍隊的常規交戰規則和常規使用武力規則,并在必要時提出修正建議。這項研究應根據具體情況進行,并考慮到部隊所分配的任務。鑒于網絡空間行動的獨特性,特別是在使用武力的門檻之下,SROE/SRUF指南必須與網絡空間內和通過網絡空間采取的行動相關。
4. 評估建立軍事網絡儲備
2021財年NDAA要求行政部門對建立軍事網絡儲備的必要性進行審查。拜登-哈里斯國防部應評估軍事網絡儲備的需求和要求、其可能的組成及其結構(即,保留模式、非傳統儲備、戰略技術儲備或其它模式)。對軍事網絡后備力量的評估應探討不同類型的后備力量模式如何解決更廣泛的人才管理問題,并應考慮網絡后備力量如何有意招募關鍵的私營部門參與者。此外,評估還應研究如何有效地招募和留住沒有軍事專門知識、有意服役的文職人才;同時,評估網絡后備人才在從私營部門和政府非國防部工作人員中吸引文職人才方面可能產生的影響。最后,評估應涉及國防部如何利用現有機制,在需要時引進技術專長,以應對危機和危機應找出網絡專業知識中的缺陷,這些缺陷可以通過更有針對性的招聘實踐加以解決。
5. 審查防御前沿概念和進攻性網絡行動的授權
國防部繼續穩步提高其進攻性網絡能力。在其2018年國防網絡戰略中,國防部明確提出了一項“防御前沿”戰略,以干擾或降低其內部的惡意網絡活動來源。這個積極主動的方法通過利用美國網絡司令部的“持續參與”概念,提高了美國在網絡戰場上的地位。新戰略還得到了2019財年NDAA的三個關鍵條款的支持,這些條款授權了現有進攻性網絡行動的框架。第1632節授權國防部作為傳統軍事活動進行網絡監視和偵察;第1636節制定了美國應對外國勢力進行的網絡攻擊和其它惡意網絡活動的政策;第1642節授權國防部應對惡意的俄羅斯、中國、朝鮮,或者伊朗的網絡活動。行政部門隨后制定了國家安全總統備忘錄13,授權進攻性網絡行動。
(六) 保護美國全方位的作戰和威懾能力免受網絡威脅
美國的全方位作戰和威懾能力對我們持續的國家安全至關重要,并為網絡威懾奠定了堅實的基礎。如果這些能力失效,分層網絡威懾就會崩潰。因此,美國必須保護這些能力免受網絡威脅。以下所有建議均出現在2021財年NDAA,但需要行政部門立即關注和實施。
1. 制定防御核指揮、控制和通信網絡攻擊的計劃
美國的核能力是我們總體威懾態勢的基石。如果沒有可操作的核能力,我們阻止對手行動的能力的所有方面——包括網絡攻擊——都將失敗。為了確保我們核武器系統的持續運行并降低其脆弱性,拜登-哈里斯政府應實施《2021財年國防授權法》,以制定一個防御核指揮、控制和通信系統免受網絡攻擊的作戰概念。
2. 要求國防工業基地參與威脅情報共享計劃
2021財年,NDAA要求國防部長提交一份關于項目可行性和適用性的報告,要求國防工業基地內部以及國防工業基地和國防部之間共享威脅情報23。這是一個良好的開端,但是拜登哈里斯政府應超越一份報告,通過一項政策指令,要求構成國防工業基地的公司,作為其與國防部合同條款的一部分,參與一項威脅情報共享計劃,該計劃將設在國防部組成部分一級。
3. 國防工業基地網絡需要威脅搜索
國防預算局網絡上搜尋威脅的計劃的可行性和適用性24。拜登哈里斯政府應超越一份報告,通過一項政策指令,要求構成國防工業基地的公司,作為他們與國防部合同條款的一部分,創建一種機制,允許在DIB網絡上強制搜索威脅。
四、拜登-哈里斯政府的積極網絡立法議程
利用現有的權力和撥款,行政部門可以在重建美國網絡安全方面取得巨大進展,但是沒有國會的支持和批準,網絡空間日光浴委員會(CSC)的一些建議是無法實施的。拜登-哈里斯政府應與國會合作,以確保美國最有能力預防、防御和應對重大網絡事件并最終從中恢復過來。美國政府的積極網絡安全立法議程應側重于改善政府的網絡專業知識,建立國際網絡合作制度,推動實現更安全的國家網絡生態系統,投資網絡彈性,為網絡犯罪受害者提供支持,以及保護美國民主。
(一) 改善政府的網絡專業知識
聯邦政府的行政和立法部門都將受益于更好的網絡政策專業知識和更穩健的指標與數據,從而更好地實施網絡政策。拜登-哈里斯政府應與國會合作,實施CSC最終報告中旨在建設這一能力的兩項建議:(1)在行政部門內建立一個網絡統計局;(2)將網絡威脅情報整合中心納入法律范疇并加強該中心。
1. 建立網絡統計局
雖然人們普遍認為,針對美國公民和企業的網絡攻擊的頻率和嚴重性正在增加,但美國政府其它市場主體需要進一步了解這些攻擊的性質和范圍,以便制定細致入微且有效的對策。為了填補其它政策領域的類似空白,美國成立了經濟分析局、勞工統計局和人口普查局等統計機構,以便為公共決策和私人決策提供信息。拜登-哈里斯政府應與國會合作,在商務部或其它部門或機構內建立網絡統計局。該局作為政府機構,收集、處理、分析和向美國公眾、國會、其它聯邦機構、州和地方政府以及私營部門發布關于網絡安全、網絡事件和網絡生態系統的基本統計數據。
2. 將網絡威脅情報整合中心納入法律范疇并加強該中心
在政府對影響美國的重大網絡威脅的整體認識上,網絡威脅情報整合中心(CTIIC)發揮著關鍵作用,并可圍繞快速準確歸因開展必要的分析和協調。
然而,為了完成其全部任務,CTIIC需要充足的資源,包括充足的資金、人力和分析資源,以充分支持聯邦部門和機構開展業務,并向私營部門和國際合作伙伴提供情報產品。拜登-哈里斯政府應與國會合作,通過立法建立網絡威脅情報整合中心,并確保其具備充足的資源。
(二) 建立國際網絡合作制度國際網絡合作
雖然拜登-哈里斯政府可以采取一些措施,通過國務院重新安排國際網絡合作的優先順序,以有意義地提升國際網絡合作并使其制度化,但拜登-哈里斯政府必須建立一個新的機構和任命一名與網絡空間政策和新興技術相關的大使,級別相當于助理部長。同樣應該修改1961年《對外援助法》第二部分,以便為全球重要的網絡安全能力建設項目提供更有效的結構性支持。
1. 在國務院設立網絡政策局
拜登-哈里斯政府應與國會合作,將國務院專門負責網絡空間政策的部門編寫進法律,并由一名網絡空間政策大使領導,其級別相當于助理部長,并向主管政治事務的副部長或更高級別的官員匯報工作。擬議的《2019年網絡外交法》為未來的立法提供了基礎。
除了指導志同道合的伙伴和盟友組成聯盟之外,該局還應負責一系列任務,包括倡導網絡空間中負責任的國家行為規范和制定互信措施,與國際社會一道以外交方式應對網絡威脅,倡導互聯網自由,確保安全的數字經濟,培養我們伙伴和盟友的能力,以促進網絡安全和打擊網絡犯罪,以及執行國務卿指派的其它任何任務。拜登-哈里斯政府應與國會合作,為這個新機構提供額外的資金,以及其執行國際網絡任務(特別是建立強大聯盟的任務)所需的人員和項目。
2. 最大限度地提高國際網絡安全能力建設的靈活性
網絡安全能力建設的宗旨是通過向遵守既定規范的國家提供資源和專業知識,來激勵負責任的國家行為。此外,網絡安全能力建設為志同道合的外國政府提供了一條切實可行的途徑來幫助這些國家的網絡安全企業變得更加成熟。對于那些希望遏制源自其境內的網絡犯罪和其它惡意活動但又無處著手的國家來說,提供這種支持有助于改善全球的網絡安全。雖然美國政府通過廣泛的機制參與網絡能力建設,但主要資源之一——經濟支持基金——只能用于支持“軍事或準軍事”以外的活動。
但是,由于許多外國政府將其民用公共部門網絡安全基礎設施置在軍事或準軍事機構內,這一限制會妨礙那些對民用網絡安全至關重要的人群為此提供支持。既然接受資助的網絡安全機構位于特定的機構內,那么拜登-哈里斯政府就應應與國會合作,授權有關部門不受限制地為增強外國民用網絡安全性的項目撥發資金。
(三) 推動實現更安全的國家網絡生態系統
如今網絡生態系統不僅僅是互聯網技術(即信息、網絡和運行技術)之外,也包括采用這些技術的人、流程和組織以及由此產生的數據。這個生態系統改善了我們的通信速度、效率、功能和經濟增長。盡管這個生態系統對國家的運作至關重要,但它也給美國帶來了重大挑戰,并帶來了潛在的危害。
對手利用其漏洞及其對我們社會的廣泛影響來獲得不對稱優勢,并發展能力以使我們的關鍵基礎設施面臨風險,破壞我們的選舉,并窺探和危害美國人民的數據、系統和恢復能力。拜登-哈里斯政府應采取措施,將安全負擔從最終用戶轉移到能更有效地以適當的規模實施安全解決方案的所有者、運營商、開發人員和制造商身上,從而鞏固整個生態系統。
1. 創建國家網絡安全認證與標簽管理局
雖然統一的安全標準和最佳實踐有助于減少信息技術產品中的漏洞,但如果產品開發人員將安全性視為產品的一個獨特之處,就可以更加有效地利用這些標準和實踐。如果沒有證書和標簽等便于購買者比較產品安全等級的透明機制,關鍵基礎設施的所有者和運營商就難以在制定購買決策時確定安全性的價值。拜登-哈里斯政府應與國會合作,通過立法授予商務部相應的資金和權限(由國土安全部和國防部配合工作),以便以競標的方式組建名為“國家網絡安全認證與標簽管理局”的非營利非政府組織,并為該局提供資金。
2. 通過物聯網安全法
在新冠疫情期間,美國相當一部分人都在家工作,使得家庭物聯網設備(尤其是家庭路由器)成為了國家網絡生態系統中一個重要但脆弱的部分,而美國的對手也可通過這些設備發起網絡攻擊。第116屆國會通過了《2020年物聯網網絡安全改進法》,該法案規定了聯邦政府購買物聯網設備的基本安全要求,從而在改善美國物聯網生態系統安全的道路上邁出了重要的第一步。拜登-哈里斯政府應與國會合作通過一項物聯網安全法,以確保在美國市場上銷售的物聯網產品均采取了基本的安全措施。該法應側重于目前已知的挑戰(如無線路由器的不安全問題),并要求物聯網設備采取合理的安全措施,比如美國國家標準與技術研究所最近發布的“面向物聯網設備制造商的基礎網絡安全活動建議”等。
3. 為州、地方、部落和屬地政府制定信息技術現代化補助計劃
新冠肺炎改變了當前的社會現實,并展現了關鍵服務數字化的重要意義。在疫情爆發期間,美國人越來越依賴聯邦和州級的援助項目,然而用于這些項目的老舊系統已瀕臨崩潰。為了挺過將來的流行病或災難性的網絡事件,我國需要安全可靠的遠程數字服務。雖然現代化和數字化改革在短期內成本不菲,但從長期來看,此類改革可以改善提供服務的效率和靈活性,減少支出,提高生產率,并縮小掌握數字技術者和未掌握數字技術者之間的經濟差距。
盡管如此,州、地方、部落和屬地政府及小企業通常會優先考慮短期內的資金需求,以至于推遲其數字化進程。這種以短期為重的思路會帶來破壞性的長期后果,而美國正在為幾十年來的短視付出沉重代價。拜登-哈里斯政府有意投資美國的實體基礎設施,為此拜登-哈里斯政府應與國會合作,通過未來的新冠疫情刺激立法中向州、地方、部落和屬地政府提供補助,以便這些實體能夠更快地向云端遷移,并實現數字基礎設施的現代化。擬議的《州和地方信息技術現代化網絡安全法》將為未來的立法奠定基礎。
4. 闡明硬件、軟件和固件的最終產品組裝者的法律責任
美國的對手會試圖利用我們系統中的軟件漏洞。若能確保及時創建和安裝補丁程序,就能縮短漏洞的存在時間,從而使對手難以放開手腳利用這些漏洞,同時還會抬升對手的行動成本,并使其無法通過利用漏洞而獲益。為了鼓勵硬件、軟件和固件的最終產品組裝者通過更快地開發和發布補丁程序,從而縮短漏洞的存在時間,拜登-哈里斯政府應與國會一同盡職盡責地制定相關法律,以規定如果交付時已知存在漏洞或事后發現漏洞、且并未及時加以修復,那么一旦有人利用這些漏洞造成損失,軟件、硬件和固件的最終產品組裝者就要對此負責。
5. 通過《國家數據泄露通報法》
各類數據泄露通報法均要求數據泄露方(無論泄露原因如何)通知其消費者和其他相關方,并采取措施來彌補泄露造成的傷害。盡管所有50個州、哥倫比亞特區、關島、波多黎各和維爾京群島都以某種形式通過了這種法律,但尚無關于此類通報的國家標準,以至于無法按統一標準來保護美國人的數據。我國需要圍繞消費者的期望來建立一種國家框架,并以明確的方式來監管從事州際和全球貿易的美國企業。拜登-哈里斯政府應與國會合作通過一項國家數據泄露通報法,以便為美國制定標準化的數據泄露通報要求,并由此取代54個州、地區和屬地現有的數據泄露通報法。
(四) 投資網絡彈性
美國政府應增加對私營部門網絡防御行動的支持力度。然而由于資源和能力有限,聯邦政府應優先保護具有系統重要性的關鍵基礎設施,即管理那些“一旦中斷就可能對美國的國家安全、經濟安全或公共健康和安全產生連鎖影響,并使之陷入動蕩”的系統和資產的關鍵基礎設施實體。
1. 將具有系統重要性的關鍵基礎設施納入法律
從第13636號行政命令的第9條可以看出,奧巴馬政府已認識到一個關鍵問題:并非所有關鍵基礎設施都會在維護公共健康和安全、經濟安全或國家安全發揮同等重要的作用。盡管該命令認為需要在網絡安全方面建立共擔責任和相互合作的社會契約關系,但其既未將這種契約關系編撰成法,也未充分建立這種關系。
此外該第9條一方面并未允許美國政府利用任何新的要求、資源或權限來支持具有系統重要性的關鍵基礎設施,另一方面也未對受該條款約束的機構提出任何額外的期望。拜登-哈里斯政府應與國會合作,在第13636號行政命令的基礎上通過一項法案,以便將“具有系統重要性的關鍵基礎設施”這一概念納入法律。該法應確保負責“具有系統關鍵性的系統和資產”的實體獲得美國政府的特別援助,并要求這些實體履行與其獨特地位和重要性相稱的額外安全及信息共享要求。
2. 建立國家風險管理循環
拜登-哈里斯政府應與國會合作通過一項法案,以建立國家風險管理循環和國家關鍵基礎設施彈性策略,從而協調和簡化國家風險管理工作。應由國土安全部主導這一循環牽頭,但所有SRMA也都應參與其中;在規定了識別、評估和區分風險優先級的程序后,信息化部門應該將這種認知轉化為相關部門和機構的戰略、預算和計劃性優先事項。應與關鍵基礎設施所有者和運營商協商制定這些流程和程序,然后公開發布并向公眾征求意見。此外這些流程和程序還應具有適應性和迭代性,這樣才能將前一循環的經驗教訓納入考量。應在“關鍵基礎設施彈性策略”中直接體現此類循環中的風險識別和評估事宜,從而為各SRMA規定將在下一個“五年國家風險管理循環”中優先執行的計劃和預算事項。
(五) 為網絡犯罪的受害者提供支持
欺詐和其它惡意活動在新冠肺炎疫情期間激增,這表明犯罪分子在重大緊急事件中有更多空子可鉆,從而使本就負擔沉重的公共服務和美國人民陷入更大的困境。拜登-哈里斯政府應與國會合作,通過創建“國家網絡犯罪受害者援助與恢復中心”等機構來向絡犯罪受害者提供支持,并制定一項補助項目來幫助那些支持網絡犯罪受害者的非營利機構。
(六) 保護美國民主
美國政府應確保其選舉安全和民主韌性。美國人民對其民主制度的信任和信心仍是國家恢復能力的基本要素,同時也是惡意行為體極力破壞的目標。我國的選舉制度其實是一種由各種制度、工具和人員構成的網絡,這種網絡依賴于互聯互通和數據,以至于為破壞美國的政治體制(不論是投票還是其它方面)提供了可乘之機。負責保護我們選舉進程的聯邦機構需要在組織上進行改革、獲得持續不斷的經費并及時得到授權,以確保各州和我國政治體系中的其他合作伙伴(包括政黨和競選團隊)能夠改善和維持其網絡安全能力。
此外,美國人還必須有更好的設備來識別依托于網絡的信息行動,這樣才能將其造成的損害降至最低。需要指出的是,這些信息行動可能會削弱各方對美國民主及其制度(包括選舉及其它方面的民主和制度)的信任和信心,從而危及國家安全。
1. 加強和改善選舉協助委員會的結構
包括選舉協助委員會在內,負責保護我們選舉進程的聯邦機構需要在組織上進行改革、獲得持續不斷的經費并及時得到授權,以確保各州和我國政治體系中的其他合作伙伴能夠改善和維持其網絡安全能力。拜登-哈里斯政府應與國會合作,加強選舉協助委員會的能力,以此來保護美國的民主。
2. 促進數字素養、國民教育和公眾意識
美國的對手會依托網絡發起信息行動,以破壞公眾對民主制度的信任,進而危害美國的民主。對手會通過這些行動來傳播各種壞事,以便讓受眾對某種看法深信不疑,并認為體制正在不可逆轉地惡化,同時也加劇國民之間的分歧。要想讓公眾抵制這些不良信息,首先就要重新重視公民教育,以提醒美國人民主的內涵:民主并非天賜,而是必須為之奮斗;我們擁抱民主并非因為它是完美的,而是因為它能帶來積極的變化;我們每個人都必須通過合法手段來有效推動這種變化。拜登-哈里斯政府應與國會合作,為振興我國的數字素養和公民教育提供支持。
