2018年9月20日,白宫发布新网络安全战略,几个重大调整旨在赋予政府机构和司法机关更强的网络犯罪及民族国家网络攻击响应能力。
新的美国网络战略明确了一个信息:遭到网络攻击时美国绝不会毫无动作。相反,从关键基础设施到空间探索到知识产权保护,美国都会在网络空间采取进攻性和防御性响应。
正如网络政策研究员 Justin Sherman 指出的:
新美国网络战略中一个最重要的方面就是对威慑的强调:有整整一节都在讲述溯源和威慑恶意网络空间行为,还特别谈到了构建网络威慑倡议。这与美国国防部新网络战略中‘面向防御’的用语不谋而合。对网络行为的威慑未必只能通过网络空间进行,该战略恰恰反映出了这一点。
Sherman表示:文档大部分内容重申了之前奥巴马和小布什政府在互联网治理与网络政策方面的立场,讨论了现行的项目与倡议,比如改善网络安全就业市场,加强包括电力运营商和金融机构在内的关键基础设施行业建设。
唯一的问题就是如何实现。
新战略包括四大支柱:
1. 保护美国人民、美国国土和美国生活方式
通过护卫联邦网络及信息安全,保护关键基础设施,对抗网络犯罪和提升事件响应能力来实现。这里面就包括了赋予美国国土安全部(DHS)更多的民用网络安全工作监管权和与其他国家合作抓捕网络罪犯的权力。
2. 促进美国繁荣
通过培育生机勃勃的数字经济,培养并保护美国独创性,以及发展高端美国劳动力市场来实现。美国政府宣称将与科技公司合作,共同推进新产品网络安全测试,加强高级网络安全人才的招募与保留。
3. 以实力维护和平
通过负责任国家行为规范和溯源并威慑不可接受的网络空间行为,提升网络稳定性。美国政府将运用一切国家力量威慑网络攻击,对恶意攻击者施以迅速而直接的打击。该战略还呼吁外国盟友签订“网络威慑倡议”,相互支持各自对重大网络攻击的响应。
4. 提升美国影响力
推动建立一个开放、互动、可靠和安全的互联网,以及通过为美国盟友提供网络能力以应对伤害双方利益的网络威胁来构筑国际网络能力。
最重要的改变就是转向了更富进攻性的网络安全立场,从而遵循国会更积极对抗民族国家威胁的要求。
新闻发布会上,国家安全顾问Bolton称:“我们将识别、应对、破坏、降级和威慑那些破坏稳定和违背国家利益的网络空间行为,同时保持美国在网络空间的优势。
我们已授权可经由协调过程进行的攻击性网络行动。这不是因为我们想在网络空间进行更多攻击行动,而是为了创建威慑结构,向对手表明参与针对美国的行动会收到他们绝对不想承受的后果。
该战略还深化了小布什和奥巴马政府在网络空间上的努力,将“点名羞辱”更多网络罪犯及其背后支持国家。该战略强调了美国机构的网络安全力量,DHS在网络防御上起到越来越重要的国内咨询顾问的作用,国防部(DoD)则采取了比之前更为强硬的攻击性态度。
该战略将NSA及各军兵种等与国防部配合的机构能力合法化,允许它们在网络空间执行进攻行动。也就是说,这些机构将能更主动地追捕海外攻击源。
关于“黑回去”的做法有很多各种各样的讨论,比如这些行动有风险啦,比如网络罪犯可以从中立第三方或无恶意国家发起攻击啦等等。这让美国参与网络战的前景变得更加复杂了。这些来来回回的攻击也会对支撑互联网的基础设施造成伤害,尤其是电信提供商们。
在两个主要领域对政府承包商产生影响:
1) 强化联邦承包商网络安全;
2) 改善联邦供应链风险管理。
对于前者,《国家网络战略》的实施会在一些重要方面影响到联邦承包商。政府会在确保承包商信息系统足够安全上更加主动。
文档中几乎每一节都有提到联邦网络安全工作有赖私营产业的支持。其中有7个行业被指出应与政府合作伙伴共享信息:国家安全、能源与电力、银行与金融、医疗健康、通信、信息技术,以及交通运输。
该战略还支持司法机构解密犯罪嫌疑人的通信:“司法机构将与私营产业合作,对抗匿名化与加密等技术障碍带来的挑战,依据恰当的法律程序获取时效性证据。”
强调要配合政府机构打击网络犯罪对美国公司而言可能并不是什么好事。因为公司企业不仅要遵守美国法律,还需遵循其业务运营地区的隐私及安全法律,比如GDPR。
五眼联盟倡议创建加密后门以辅助司法机构通过监视私人通信的方式打击犯罪。因此,这份国家级战略文档其实并没有提供尊重人们隐私的框架,与美国一直以来标榜的民主自由人权国家形象不符。
白宫还认识到了构建有效网络响应所需人才储备的长远问题。美国计算机科学专业的本科生和研究生中,只有21%是真正的美国公民。美国联邦政府想要实现全面的网络安全战略,恐怕不得不先全力解决这个人才问题。
但尽管认识到了网络人才不足的问题,该战略还是没有提及任何应对措施,比如加强中小学STEM(科学、技术、工程、数学)课程和网络教育等。
最后,该战略计划指出了必须应对未来量子技术挑战的问题。白宫希望科技初创公司和私营产业与政府机构合作,共同开发人工智能和量子计算产品,帮助威慑网络威胁。
空间网络安全也是该战略的重点之一,定位、导航和计时等功能所受网络威胁越来越引人担忧。事实上,美国退役中将 Kevin McLaughlin 一直建议要考虑将空间列入关键基础设施领域。同样的建议适用于海事和交通网络安全,可以强化国防部那脆弱的后勤网络。
毫无疑问,该文档是美国迄今为止最为激进的网络安全战略计划。Shark Bye Solutions 首席执行官 Gina Yacone 评论道:尽管该文档还算有用,美国也必须将网络安全战略推进到下一个层级了。美国面临风险,我希望听到政府致力于分拨足够的预算投入到国防,以及创建数千个面向无法避免的‘键盘战争’的工作岗位上。
这就涉及如何实现该战略的问题了。网络策略顾问 Justin Sherman 强调:与其他任何战略性文档类似,就看政府怎么开展实施了。
虽然有人称该战略在加速改革上深入不足,但也不应忽略文档开头“我们是如何走到这一步的”章节。美国一直以来发布的互联网相关和网络相关政策文件都依赖于自由、开放、互动、安全和可靠的全球互联网这一概念。
理论很美好,现实很骨感。互联网架构的集中化,国内网络中立性保护的倒退,公共互联网上恶意流量(从恶意软件到仇恨言论到虚假信息到儿童色情)的持续增加,正逐渐让决策者意识到互联网的现实:必须在完全开放与彻底安全之间构筑一片某种形式上的中间平衡带。美国《国家网络战略》的发布表明,如果美国及其盟友要与中国、俄罗斯和伊朗等国推行的限制性、主权控制的互联网(审查制度等)理念作斗争,美国依赖多年的策略可能需要重新考虑一下了。
美国《国家网络战略》:
https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf