拜登政府网络安全体系四大架构分析
文│中国现代国际关系研究院网络空间安全治理研究中心主任、研究员 唐岚
在美国总统拜登上任后,网络安全问题回归为国家要务,白宫当局在相应的理念、机制和举措等方面随之加以调整和改进,网络安全新政频出,整饬力度明显。拜登政府网络安全政策旨在增强统筹协同,理顺指挥链条,打造全方位能力,构建有效的网络安全防御体系,体现了整合所有国家权力工具、动员多方和全员参与的“全政府”“全国家”特点。现阶段,拜登政府网络安全体系基本上形成了包括网络威胁战略认知、网络防御重点、统筹协调机制和网络防御能力的四大架构。
一、达成网络威胁战略认知与共识
本届政府当选后,美国相继遭遇多起大规模网络攻击,“太阳风”事件致使政府网络瘫痪,勒索病毒导致油气供应中断,学校、医疗机构等停摆,网络攻击的现实危害显而易见。美国政界对网络安全威胁有了更深刻的感触和认识。一方面,美国深感建立在“由系统组成的系统”之上的社会面临更复杂和迫切的网络威胁。网络安全与基础设施安全局(CISA)局长简·伊斯特利(Jen Easterly)反复指出,社会的关键功能依赖于无数相互依赖的复杂设计,万物融合导致“所有事物都是脆弱的”,攻击者可利用的漏洞及其网络能力均呈指数级增加。应对这种全新的、极易造成连锁反应的系统性风险,须采取系统方法,构建一个全新的防御体系。另一方面,地缘博弈因素使得国家级网络行动日益危及美国战略优势。美国认为,网络空间本质上是“对抗的环境”,其面临的不仅是“网络珍珠港”等灾难性事件,更是一连串“温水煮青蛙”式的网络战役,后者“持续”干扰和破坏美金融、能源、选举等系统,还发起影响行动破坏国内民主,使美国陷入战略劣势。美国把主要威胁源指向所谓的战略竞争对手,不断渲染中俄等带来的网络威胁。在 2021 年度《数字防御报告》(Microsoft Digital Defense Report)中,微软称,2020 年 7 月至 2021 年 6 月发现的国家级网络攻击,有58% 来自俄罗斯。
负责网络与新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)指出,“网络是重大的国家安全问题”,是国家安全的首要任务。美国国家网络总监(NCD)克里斯·英格利斯(Chris Inglis)认为,“网络是一个权力工具”且“牵一发而动全身”。拜登在“网络安全教育月”声明中誓言增强网络安全、全力打击恶意网络行为、紧锁“数字大门”。综合美国各界的网络安全认知,即将出台的新版国家网络战略将立足于大国战略竞争、着眼于技术和社会发展新特点,以“全政府”“全国家”方式构建数字生态,实现网络空间的安全、自由、可靠和互操作。英格利斯在解读《国家网络总监战略意图说明》(AStrategic Intent Statement for The Office of The NationalCyber Director)时指出,美国的国家网络政策除了发现和应对威胁,更要“灌输希望”,秉记“保护网络是为了让所有人享受数字互联互通带来的益处”的初衷,通过数字赋能,迈向经济繁荣、政治机制反应迅速和更负责、文化蓬勃多样的“数字未来”。由此可见,拜登当局重视平衡网络安全与数字转型和发展二者间关系,双管齐下巩固美国在数字时代的优势。
二、力保两大网络防御重点
2021 年 10 月,美国网络司令部司令保罗·中曾根(Paul Nakasone)表示,美国正面临网络安全政策的“转折点”,需要新思维。这一提法得到 CISA局长、国务卿布林肯等多位官员的响应,进而提出转变范式的设想。综合其表述与实际举措看,所谓的“网络安全新思维”可归纳为三个关键词,即“现代化”“弹性”和“共同防御”。在伊斯特利看来,“现代化”就是要解决“过时网络和技术欠账”问题,要全面革新 102 个政府部门网络安全状况,以做出表率。白宫还为此增设了一位副国家网络总监负责联邦网络安全。在网络安全、新兴技术等对国家安全至关重要的领域建设能力,也是布林肯提出的实现美国外交现代化的首要任务。他在 10 月 27 日的讲话中强调,美国要确保数字革命服务于美国人、保护美国人的利益和竞争力、维护美国价值观,这是美国外交政策做出的“重大重新定位”。“弹性”不是一个新概念,但新安全风险凸显其重要意义并赋予新含义,即假设无法完全拒敌于网外,通过提升识别、保护、检测、响应和恢复能力,确保国家或基础设施在遭受攻击后仍可运行关键功能。拜登政府尤其强调要确保数字基础设施从设计之初就具备弹性,并提出与欧盟、北约等实现“共同弹性”。拜登于 11 月 15 日签署《基础设施投资和就业法案》(Infrastructure Investment and Jobs Act),承诺为此投资 500 亿美元。《国家网络总监战略意图说明》呼吁,“如果数字生态中的每个贡献者知道他们在整个体系中的作用且负责任地做出贡献,美国就能开始建设一个稳定和弹性的生态”,因此“共同防御是必答题而非选择题”。
基于对威胁的判断,拜登政府把资源与力量集中于两个领域的网络安全保障。一是联邦信息系统和网络。在微软探查的国家级网络攻击中,79% 是针对机构,而政府又占其中的 48%。为提升联邦网络安全水平,拜登政府采取了加快政府业务和数据向云平台迁移、实行多因子认证等安全基准、推广零信任等新框架、推荐最佳安全实践、充实专业人才、理顺事件响应流程等多项措施。二是关键基础设施。7 月,拜登政府发布《提升关键基础设施控制系统网络安全的国家安全备忘录》(National SecurityMemorandum on Improving Cybersecurity for CriticalInfrastructure Control Systems),重申“控制和运营国家所依赖的关键基础设施的系统构成的网络安全威胁,是美国面对的最重要和日益严重的问题之一”,要求 CISA 和国家标准与技术研究院(NIST)合作制订关键基础设施网络安全性能目标,正式启动“工业控制系统网络安全计划”,鼓励运营商自愿与政府合作,共同推进侦测、预警技术和系统的部署。该计划已于 4 月在电力部门进行试点,将在年底前推广至天然气、水务和化工等行业。鉴于网络安全的复杂性,美国正考虑界定和识别关键基础设施的新办法,从国家关键功能或“具有系统重要性的主要实体”(PSIES)角度认定要害部位,打破以往按行业分割、条块化开展关键基础设施保护的做法。
为确保上述两大目标的安全,美国政府突出了供应链安全的基础性地位。英格利斯将系统性风险分为三类,即软件供应链漏洞、产品和设备中普遍存在的漏洞及信息基础设施完整性,均涉及供应链安全。2021 年年内,NIST、CISA、商务部等完成了关键软件的定义及安全措施、软件材料清单的最低元素(SBOM)、软件源代码测试的最低标准、软件开发与安装标准、软件供应链框架等的制订。此外,美国还以国家安全为由全面清除所谓“不可信的”信息通信供应商。11 月 11 日,拜登签署《安全设备法》(Secure Equipment Act),要求联邦通信委员会(FCC)不再审查或批准任何所谓“对国家安全构成不可接受风险”的设备的授权申请,彻底将华为、中兴等中国企业排除出美国市场。
三、重塑网络安全统筹协调机制
拜登政府网络安全政策的一大亮点,是设置了一些关键岗位并任用了大批有专业知识和从业经历的官员,以期在白宫、国家安全委员会层面进行统揽性的政策协调,综合调度各主责部门,实现网络政策一致连贯、国家网络防御行动协同互补。
根据《2021 财年国防授权法》设立的 NCD 一职,“作为总统网络安全相关事务的主要顾问,领导国家层面网络安全战略与政策的协调”。该职位直到 6月才通过参议院听证任命,NCD 办公室计划在年底前配备 25 名雇员(未来将增至 75 人)。《基础设施投资和就业法》为该办公室拨款 2100 万美元。英格利斯主要对国会负责,强制权力有限,职能涵盖两方面,即审查各机构预算并评估支出决策、确保联邦政府采取一致方法预防和应对攻击。《国家网络总监战略意图说明》称,面对系统性挑战,需要变革性解决方案,NCD 办公室将担此重任。11 月初,英格利斯在美国会众议院国土安全委员会作证时表示,将推动整个联邦网络安全工作的连贯性,确保政府“发出同一个声音,朝一个方向行动”。在他看来,实现网络安全防御体系化的一个前提是界定好各方职责和任务,制订清晰的工作准则(doctrine),提升工作效率。NCD 办公室下阶段聚焦 7 项工作,即国家网络安全、联邦政府网络安全、预算审查和评估、技术与生态安全、规划与事件响应、人才培育和多方合作。NCD 与负责网络和新兴技术的副国家安全顾问各有侧重,双方都有“足够的空间”但没有“非常明确的界限”。NCD 将监督“完全可以在网络空间内解决的活动”,如修补漏洞,当网络事件需运用外交或制裁等其他权力工具时,将由后者和国家安全委员会负责。
CISA 局长伊斯特利称,已按时完成第 14028号行政令布置的 35 项工作,包括出台《零信任成熟度模型》(Zero Trust Maturity Model)、《 云 安全技术参考架构》(Cloud Security TRA)等标准文件,发布了新版《网络安全事件和漏洞响应手册》(Cybersecurity Incident & Vulnerability ResponsePlaybooks),确保所有部门能按章统一行事,“全政府”携手响应与处置事件。2021 年,CISA 最主要的工作成果还在于与各级政府和企业“建立了伙伴关系和信任”。8 月,CISA 发起“联合网络防御协作中心”(JCDC),整合联邦机构、私营部门、各州和地方政府网络能力,制订和实施全国网络防御计划,降低网络攻击风险并在攻击发生时进行统一防御。伊斯特利强调,CISA 所倡导的政企合作不同于以往单纯的信息共享,而是“转变为可付诸行动的信息赋能”,政企要共同策划,联合演习和携手行动。
四、围绕四方面构建网络防御能力体系
一国的网络实力,除了战略、理念和机制层面的部署,还体现在是否具备威胁的发现、预警、处置、应对和反制能力以及统筹运用各种能力上。拜登政府从感知威胁,处置和应对网络事件、塑造网络空间规则着手,加快形成全国一体、攻防兼备、指挥顺畅的网络防御能力体系。
(一)网络安全态势感知和情报能力
2021 年,拜登政府突出了网络情报获取的主动性和攻击性,加强多源头情报的整合与综合研判,全面提升对高级网络威胁的可见性(visibility)。一方面,强调主动出击发现漏洞与潜在威胁。在联邦层面部署端点检测与响应(EDR),实时连续监控和收集端点数据。美网络司令部副司令查尔斯·摩尔(Charles Moore)称,2018 年以来,美国网军已在全球 14 个国家开展了超过 24 次“靠前狩猎”(huntforward)行动,发现近 30 种新恶意软件。在美国网军看来,“靠前狩猎”通过主动协助他国发现敌对行动和网络漏洞,可在攻击到达美国之前探明攻击者意图和手法并予以阻止。摩尔进一步称,中国是此类行动的第一优先目标。另方面,努力做好“拼图”,掌控威胁“全貌”。10 月 28 日,英格利斯在参加美国智库战略与国际问题研究中心(CSIS)线上研讨会时感叹,美政府、企业等所掌握的威胁信息、情报是割裂和碎片化的,可谓“只见树木不见森林”。CISA 的 JCDC、NSA 的网络安全协作中心(Cybersecurity Collaboration Center)等都在努力弥补这一不足,同时从单纯的建立数据链转向整合行动性数据(actionable data),提高发现网络威胁的主动性和处置能力。除传统的北约和“五眼联盟”情报共享机制外,美国还新建了美日澳印四边机制(QUAD)、美英澳三边安全伙伴关系(AUKUS)等,在具有高地缘利益区域开展针对性布局,加大网络情报的收集和挖掘。美国网络司令部前司令亚历山大(Keith Alexander)甚至建议,QUAD 和 AUKUS可利用人工智能建立“网络雷达早期预警系统”。美国还与英国、新加坡、以色列、乌克兰及波罗的海国家深化了双边网络安全合作,加大情报共享与行动协同。例如,美英情报和作战部门在网络管理审查(Cyber Management Review)论坛上表示,“长期的情报伙伴关系已转化为在线进攻性行动。”
(二)行动能力
网络行动能力主要包括应急响应和执法两个层面。《网络安全事件和漏洞响应手册》为各级政府提供了一套网络事件响应标准程序,指导准备、检测与分析、遏制、根除与恢复、事后活动和协调等各阶段具体工作。例如,手册要求每个机构在影响运营的网络安全事件发生后 1 小时内报告 CISA,CISA 亦将于 1 小时后制定事件编号并根据国家网络事件评分系统(NCISS)确定事件严重程度,决定是否需升级至“网络统一协调小组”(C-UCG)处置。美国还考虑将非政府部门纳入,已强制要求航空和轨道交通部门、银行在发生任何“重大”网络安全事件后及时上报监管机构。
日趋猖獗的勒索攻击成为本年度美国执法部门的打击重点。美国司法部“国家加密货币执法团队”(National Cryptocurrency Enforcement Team)负责调查和起诉滥用加密货币刑事犯罪,追缴勒索攻击赎金。美国还通过“民事网络欺诈计划”(CivilCyber-Fraud Initiative),使用民事执法工具追诉接受联邦经费但未遵循网络安全标准、提供有缺陷产品和服务的政府承包商。美国执法机关还在全球猎捕网络罪犯。美国召集欧盟及其他 30 国召开网络安全峰会并启动“打击勒索攻击倡议”(CounterRansomware Initiative),从打造弹性、打击非法金融、执法和外交四个层面构造全球行动网。11 月 8 日,美国司法部部长联袂联邦调查局(FBI)、财政部等召开发布会,高调展示工作成果,包括联合欧盟、罗马尼亚、韩国等抓捕并引渡了 7 名参与 REvil 勒索攻击的黑客,先后制裁了加密货币交易平台 Suex、Chatex 等。系列执法行动表明了美国集成国内司法、联合执法及追踪溯源的综合行动能力。
(三)反制能力
威慑始终是美国网络安全防御的关键内核,而且越来越突出“全国家”“全政府”的分层和综合威慑,集合包括军事打击在内的所有手段让攻击者承担责任,付出代价,从而达到拒止和预防威胁的目的。2021 年,美国延续了以往的反制手法且更为激进、主动。中曾根在接受美联社采访时叫嚣“必要时让对方付出代价”,包括“公开将敌对国家与高调攻击活动联系起来,披露攻击行为的具体实施方式”等。回顾 2021 年,美国频频动用制裁、起诉等单边手段。4 月以来,拜登政府先后对俄罗斯、中国、伊朗等多个个人和实体实施制裁。美国及其盟友更为惯常地把公开溯源作为政策工具,通过污名化达到施压目的,强势占据网络攻击溯源的话语优势。7 月 19 日,美国与 30 多国抱团发出“集体溯源”,指责中国发动网络攻击并予以起诉,极力抹黑,掩盖其破坏网络空间和平与稳定的事实。中曾根还主张,勒索攻击或散布虚假和错误信息不再是简单的犯罪,而是国家安全问题,军队的介入就显得理所应当且“绝不手软”。网络司令部发言人桑塞特·别林斯基(SunsetBelinsky)坦承,美国网军利用从 FBI 获取的信息攻击了 REvil 勒索团伙服务器,劫持其网络流量,致其中断行动。此外,“持续交手”和“靠前防御”战略的实施也进一步提升了美国网军的行动能力。摩尔称,通过入侵对手网络,既使其能“在危机或冲突时实现想要的效果”,又可为联合全域作战提供“网络作战图”,甚至能在敌方发起网络行动前予以阻止。
(四)引领和塑造能力
拜登就任后不断搭建新的战略“小圈子”,用符合西方价值观、吻合其利益的叙事和话语体系塑造网络空间负责任行为规范和国际规则,煽动网络空间民主与威权的治理模式对立,欲借意识形态划线挽回美国在数字领域的颓势。6 月 9 日,布林肯抛出降低网络风险、保护民主价值观和生活方式的 6大支柱,重申美国要捍卫一个开放、安全、可靠和互操作的互联网,要“让技术为民主服务”。10 月底,国务院正式设立网络空间与数字政策局,分管国际网络安全、数字政策和数字自由工作,并任命特使负责关键与新兴技术事务,期望通过外交“重塑数字革命”。
具体而言,美国的引领塑造包含三个方面:一是经略网络空间大国外交,主导网络空间格局。《纽约时报》等透露,在普京与拜登的 6 月峰会后,双方国安和情报团队频繁会面,组建了专家组,多次就网络安全威胁信息通报、行为规则等展开磋商。俄罗斯《生意人报》称,10 月,美俄两国还向联合国大会第一委员会提交了一份决议草案,此举被美俄视为双方网络关系转圜的“重大事件”。尽管中美两国不乏沟通渠道,也共同促成了第 6 届联合国信息安全政府专家组(UN GGE)取得成果,但美国对华网络政策仍不明朗,未来如何找到共同关切、形成互惠双赢是关键。二是主导网络及新兴技术标准。QUAD 推出“技术设计、开发、治理和使用原则”,突出共同民主价值观和尊重人权的基本原则。美欧贸易与技术委员会(TTC)重点围绕技术标准合作、信通技术与服务安全、数据治理与技术平台、威胁安全和人权的技术误用等问题协调立场,塑造全球标准。三是举民主大旗加强技术控制。美国商务部工业安全局出台一项临时规定,要求向外国出售某类软件(尤其是用来从事黑客或监控目的的网络安全工具)的公司须事先获得许可,并将以色列间谍软件公司 NSO 和其他三家实体列入实体清单。此举将进一步推动《瓦森纳协定》(WassenaarArrangement)在两用技术,尤其是渗透性测试等网络安全技术上的管控。受美该项政策的影响,以色列日前以侵犯人权为借口,大大削减了可进口其网络攻击工具的国家数量。
总体看,为跟上威胁与技术发展步伐,美国致力于实现网络安全防御体系的改良与迭代升级,这一过程既有继承又有创新,实际运作效果还有待观察。
(本文刊登于《中国信息安全》杂志2021年第12期)
评论