美国网络安全体制暴露立法问题 多部法律补漏洞

  近十多年来,由于网络攻击日益频繁以及网络攻击技术越来越复杂多样,网络攻击产生的经济负担和社会影响越来越广泛,美国政府对信息系统的安全性(通常也称为网络安全)越来越重视。同时,“斯诺登事件”也促使美国政府各个部门采取行动,以平衡国家安全、网络安全和公民隐私权利保护。美国对信息系统的依赖程度非常高,网络安全是美国国家安全战略的一个重要组成部分。随着美国网络安全战略的出台,网络安全协调和实施机制、网络安全立法也逐步完善,网络安全体制逐步健全。本文首先总结了美国政府对网络空间的认识,以帮助读者理解美国制定网络安全战略的出发点;第二部分重点论述了奥巴马政府的网络空间政策;第三部分通过分析国家网络事件响应计划、关键基础设施部门网络安全计划、国防部网络事故民事支持计划,表明目前美国联邦政府围绕国家应急架构制定了明确分工、统一协调的网络安全实施机制;美国政府的立法部门也认识到需要完善目前的网络安全法律框架,以满足改善网络安全的需要,因此,第四部分论述了近十年美国立法部门制定综合性网络安全立法的努力以及遇到的阻力。

  一、美国政府对网络空间的认知

  根据美国政府已经颁布的权威性网络空间政策文件、国家高层领导人的讲话、权威调查报告,笔者把美国的网络空间认知概括为以下四点:

  (一)网络空间是一个重要的行动领域,美国的经济繁荣、国家安全都依赖于网络空间,网络威胁是美国国家安全面临的最严重的威胁之一。

  “借助网络空间,美国及国际企业可以交易货物和服务,并在几秒钟内实现全球范围内的资产转移。除了为其他领域的贸易提供便利,网络空间本身就是全球经济的一个关键领域。它已成为创业、技术进步、言论自由传播和新型社会网络的新型孵化器,推动着我们经济的发展。能源、银行、金融、交通、通讯、国防工业基础等各项关键基础设施的安全和有效运作,都依赖于网络空间、工业控制系统和信息技术,然而这些都易于受到攻击而中断或被刺探。” 而且,承担保卫美国国家安全的机构,比如国土安全部、国防部以及各个军种也非常依赖这些信息环境以完成这些任务;没有这些信息环境,这些机构就不能有效地提供国家安全。联邦调查局、国土安全部、国家安全局的领导人在许多证词中都警告网络安全对美国国家安全的重要性不断增长。 2012年10月,国防部长帕内塔警告在将来会发生网络领域的“珍珠港事件”,电网、金融系统、交通运输系统遭受网络攻击只是时间早迟的问题,敌人可能对美国的关键基础设施,包括关键军事系统和通讯网络发动网络攻击,以配合物理性攻击。 2013年3月12日,美国国家情报总监发布的报告指出,网络威胁已经成为美国的头号威胁(在《全球威胁》一节中,把网络放在第一位)。 2013年11月防务新闻网站(Defense News)对350多位来自产业界、军界和国家安全政策领域的领导人进行的调查表明,他们认为网络威胁是美国政府面临的头号威胁,超越了恐怖主义。2013年10月30日到11月6日,美国皮尤研究中心对2003名成年人的民意调查结果也显示,70%的受访者认为网络攻击是美国面临的一个新的重大威胁。

  (二)目前,网络攻击和网络间谍是美国面临的最重要的网络威胁,网络空间的非对称性可能促使潜在对手利用网络空间获得非传统优势,美国必须对此保持警惕。

  制定合理的网络空间战略的前提是必须理解网络空间威胁的本质。对网络空间威胁的认识是建立在对网络空间中人类行为特征的理解的基础之上的。网络空间域的绝大多数信息网络和关键基础设施为民营企业所拥有,而且互联网是一种开放式的体系结构。因此,比起陆海空天等传统行为领域,网络空间中人类行为产生影响的速度非常快,而波及范围又非常广,往往突破了主权国家疆界的限制。如果不是不可能的话,追查网络攻击的肇事者也是很困难的。而且,在市场上可以买到非常实惠的电脑硬件,上网的价格越来越便宜,而且可以广泛获得更先进的信息技术和产品。还有一点是,可供使用的网络人力资源也是容易获得。这导致进入网络领域的技术障碍和经济成本是很低的,网络空间中的行为者多种多样,包括国家政府、非国家政治组织、犯罪网络、企业和恐怖分子、心怀不满的内部人士、黑客等。

  网络空间的这些特性决定了网络空间的非对称性,美国政府一直在警告,具备创新能力的潜在对手会在“信息化”领域大有作为,利用网络空间的非对称性突破美国在传统军事能力方面的主导优势。

  2013年3月12日,美国国家情报总监发布的报告使用“网络攻击”和“网络间谍”来定义网络威胁。“网络攻击是一种非动能进攻行动,旨在产生物理效应,或操纵、破坏、删除数据。其包括暂时阻止网站访问的拒绝服务式攻击、针对涡轮发动机的、可以造成持续数日的物理伤害和中断的攻击等行动。网络间谍是指侵入网络获得敏感的外交、军事、经济情报……外国情报和安全机构已经渗透了美国政府、商业公司、学术机构、私营部门机构的网络。他们的目标既包括非机密信息,也包括机密信息。我们无法估计专利技术和敏感商业信息的价值,因此无法评估商业网络间谍活动的影响,但是这些信息能力帮助他们在一些行业获得不公平利益。” 2014年5月8日,美国国家安全局局长、网络司令部司令基斯接受《澳洲经济评论》记者采访时表示,“在过去的十年或二十年,从美国偷走的知识产权是人类历史上规模最大的、最快速的非自愿性财富转移。要有越来越好的计算机硬化技术,加强存储和保护我们的知识产权的网络,我们的关键基础设施也依赖这些。这是国家安全局的信息保障业务。”

  (三)美国把网络安全纳入外交政策议题,推动制定网络空间行为规范,维护这一国际公域的基本秩序。美国的网络空间国际战略是保障基本自由、隐私权和信息自由流动,同时也要掌握网络空间治理的国际话语权。

  白宫在2011年5月发布的《网络空间国际战略》指出,国际合作是维持网络空间环境的最佳做法,更是首要原则。美国将进行国际协作,完善开放、互操作、安全、可靠的信息和通信基础设施,以保障国际贸易和商业,加强国际安全,促进言论自由和创新。为了实现这一目标,我们将建立和维持一种环境,以责任行为规范指导国际行动,维持伙伴关系,并保障网络空间中的法律规则。美国制定国际网络空间政策的目标是为了获得网络空间的主动权、话语权,不过美国政府也注意到了目前在网络空间治理方面不同国家所持立场的不同。“互联网信息控制是美国和其他国家之间讨论的一个关键问题。一些国家,包括俄罗斯、中国、伊朗,关注于互联网内容可能导致政局不稳、政权更迭的‘网络影响’和风险。而美国关注于网络和系统的可靠性和完整性方面的网络安全与风险。这是我们定义网络威胁的根本区别。当前的互联网治理多方利益攸关者模式为政府、商界、学术界和民间社会讨论互联网的组织和技术标准并达成共识提供了一个论坛。然而,重塑互联网治理模式,采用以国家政府为基础的治理模式将违背我们的许多政策目标,特别是保护言论自由、网上信息的自由流动和确保信息技术产品和服务的自由市场方面的目标。”

  (四)网络空间威胁问题的解决,仅依靠技术的力量是不够的,也需要制度规范。建立公私合作伙伴关系对于解决网络安全问题至关重要。

  网络安全问题的解决,一方面需要技术力量储备,比如云计算、新的互联网架构,另一方面需要建立完备的网络安全处理机制。美国政府对网络技术、信息技术的发展做出了清晰的规划,美国强大的科研体系保证了美国可以掌握最先进的信息技术、网络安全技术。在奥巴马政府的领导下,美国已经建立了多个联邦政府机构、国防机构、私营部门广泛参与的网络安全机制。为了加强关键基础设施的弹性,奥巴马总统在2013年2月12日签署了第13636号行政令——《提高关键基础设施的网络安全》,该行政令要求建立一个自愿性的网络安全框架,提供一个优选的、灵活的、可复制的、基于绩效的、具备经济效益的方法,协助提供关键基础设施服务的机构管理网络风险。

  二、美国网络安全政策的制定

  要建立一个完善的网络安全战略,美国政府就必须解决各个政府部门和联邦机构间的任务分配和法定授权问题。特别是在电信网络和互联网相互融合以及其他基础设施部门日益依赖互联网以实现互联互通的背景下,更是如此。回顾美国政府行政部门颁布的有关网络安全的重要政策文件,可以看到随着网络威胁的日益复杂,美国政府对网络空间风险的重视程度越来越高,联邦机构间的沟通协调机制也不断完善。

  1998年5月签署的第63号总统令(PDD-63)规定,在白宫的直接领导下,设立了一个机制,协调牵头部门和相关机构的行动,联邦机构还要与私营部门合作,以防范和抵御针对关键基础设施的物理攻击和网络攻击,特别是针对美国的网络系统的攻击。这项政策在2003年的《确保网络空间安全国家战略》中又进行了修订。2003年的第7号国家安全总统令(HSPD-7)进一步增强了这项工作,第7号国家安全总统令为政府部门划分了具体的职责,各个机构也需要实施跨部门协调,同时赋予国土安全部总体协调国家重要基础设施(包括网络基础设施)的保护工作。这两项政策的重点是实施防御性措施,而且第7号国家安全总统令不涉及联邦政府信息系统的保护。2007年,《国家网络安全综合计划》(CNCI)采取了不同的策略,其核心是一改过去分散化的网络防御做法,把各个政府机构的网络防御行动与执法、情报、反间谍和军事能力整合起来,以全面解决各种网络威胁,如远程网络入侵、内部人员入侵、供应链威胁。“国家网络安全综合计划”被写入乔治·W.布什政府于2008年颁布的第54号国家安全总统指令/第23号国土安全总统指令(NSPD-54/HSPD-23)中。目前,这些文件属于机密,但根据奥巴马政府2010年3月公布的简报,这个计划的目标包括整合联邦信息系统的外部接入点;在这些系统部署入侵检测和防御系统;加强研究协调和优先事项安排,并研制“下一代”技术;加强信息共享、网络安全教育和宣传;减轻源自信息技术全球供应链的风险;并明确联邦政府在保护关键基础设施方面的作用。但是“国家网络安全综合计划”主要是解决行政部门网络的安全,这只是美国所依赖的全球信息与通信基础设施中很小的一部分。

  奥巴马政府认为网络安全是美国面临的最严峻的经济和国家安全威胁之一。奥巴马总统指示对网络安全战略进行全面审查,评估与信息和通信基础设施有关的所有活动(包括计算机网络防御、执法调查、军事与情报活动)以及有关的信息保障、反间谍、反恐、电信政策和综合性的关键基础设施保护。由政府网络安全专家组成的评估小组彻查了相关的总统政策令、行政命令、国家战略和政府顾问委员会及私营部门提供的研究报告。

  在经过60天的全面审查后,美国白宫网站2009年5月29日发表了一份报告,题为《网络空间政策评估——确保可信的和有弹性的信息与通信基础设施》。报告指出,网络安全政策包括网络空间安全和网络空间作战的战略、政策及标准,涵盖了降低威胁、减少漏洞、威慑、国际参与、事故响应、弹性及恢复政策与行动,包括与全球信息与通信基础设施的安全与稳定息息相关的计算机网络作战、信息保障、执法、外交、军事和情报任务等。

  根据这份报告,奥巴马总统决定设立网络安全协调官,负责协调联邦政府的网络安全事务,为总统提供网络安全事务方面的咨询;奥巴马还指示联邦政府和私营部门加强协调,提高应对网络事故的能力,同时加强技术合作,为网络安全寻找创新解决方案。2009年12月,奥巴马政府任命霍华德·施密特为白宫网络安全协调官。他参与的一个重要的行动就是自动化地连续监测联邦信息系统。其他事项还包括:为网络安全和事故响应制定统一的战略,并加强与私营部门和其他国家的合作关系。他与白宫国家安全和经济委员会协调开展工作,但是他不能直接控制权联邦机构的预算。2012年5月迈克尔·丹尼尔接任白宫网络安全协调官一职。

  另外,这份报告指出,到目前为止,联邦政府处理网络事故的行动还不统一,因此,联邦政府需要修订《国家应急响应框架附件——网络事故》(Cyber Incident Annex for the National Response Framework),建立一个明确的且具权威性的网络事故响应框架。与处理其他重大国家事故一样,在发生重大网络事故时,只有白宫有法定授权协调一系列职能部门和权力机构。各政府部门和机构应按白宫总体战略指导履行各自责任。总统的网络安全政策官员应是网络事故应急行动的白宫执行官(其职能与帮助白宫监测恐怖主义袭击或自然灾害的执行官的职能类似)。

  三、美国网络安全实施机制

  (一)国家网络事故响应计划

  美国国土安全部联合其他联邦政府、州政府和产业界,按照《美国国家应急响应架构》的原则,制定了《国家网络事故响应计划》;然后,修订了《国家应急响应框架附件——网络事故》帮助《国家网络事故响应计划》的实施。《国家应急响应框架附件——网络事故》指明了网络事故处理的政策、各个机构的具体职责、行动方案和具体责任,以具体协调各方行动,应对重大网络事故。《国家网络事件响应计划》为日常的网络事故处理提供了战略指导,并说明在什么情况下需要发起全国性的协调行动。为此,参照第5号国土安全总统令,按照一次网络事故是否会影响到国土安全、公共健康和公共安全、国家经济(包括会波及国家经济的某个行业)、公众信心,制定了国家网络风险预警分级系统(见表1) 。

  网络事故响应机构必须熟悉《美国国家应急响应架构》、《国家应急响应框架附件——网络事故》、国家事故管理系统以及《国家网络事故响应计划》。提供支持的部门、机构参照《美国国家应急响应架构》、国家事故管理系统、《国家基础设施保护计划》以及《国家网络事故响应计划》,对网络事故的预备、响应、恢复活动提供具体、详细指导。

  (二)关键基础设施部门网络安全计划

  奥巴马政府还推出了多项措施加强关键基础设施信息系统的安全,其中包括第13636号行政命令——《改善关键基础设施的网络安全》。它扩展了政府与私营部门之间的信息共享和合作机制,为识别特别需要保护的关键基础设施确立了一个程序,要求美国国家标准与技术研究院牵头制定保护关键基础设施网络安全的标准和最佳实践;并要求监管机构审查当前的安全标准是否可行,如果不可行,如何解决风险。同时,第21号总统政策令(PPD-21)修改了关键基础设施安全政策的其他方面,以提高整体性和效率。

  (三)国防部网络事故民事支持计划

  国防部通过两个不同但相互关联的任务保护美国国土安全:一是国土防御,主要是打击恐怖主义、大规模杀伤性武器以及处理网络事故等;二是民事支持,为其他联邦政府机构提供支持,帮助它们应对国内发生的重大灾害、突发事件和特殊事件。

  2010年,美国国防部与国土安全部就关键民事和军事计算机系统和网络的防御达成了备忘协议。虽然情报界持反对意见,但是国防部认可了国土安全部在网络事务方面的领导作用。协议就发生了国内网络事故的情况下,在事故响应过程中,国防部在接到请求后如何提供民事支持做了详细的规定,但是有一些问题没有解决。首先,美国国防部还没有明确角色和职责,负责全球战略事务的助理国防部长、负责国土防御和国家安全事务的助理国防部长的角色存在冲突和重叠。其次,国防部并没有确保其民事支持与国家战略框架相符合,不能确保国防部为国内网络事故响应提供民事支持做了充分的准备。国土安全部对国内网络攻击做出有效响应并减轻攻击的威胁的行动就会受到影响。

  2005年国防部第一次发布了《国土防御和民事支持战略》。2013年2月国防部发布了新的《国土防御和民事支持战略》,强调国防部将与国土安全部、联邦调查局和其他跨机构合作伙伴密切合作,支持国家打击攻击关键基础设施的网络威胁的行动。国防部已经具备了有效的行动能力,可以保护关键基础设施免遭网络威胁,而且在接到总统的指示后,会采取行动保护美国免遭网络攻击。

  总而言之,目前美国联邦政府围绕国家应急架构制定了网络安全实施机制(见图1)。所有的联邦政府机构必须为自己计算机系统的网络安全承担责任,而且许多机构对关键基础设施的某个具体部门承担安全责任(表2),如交通运输部负责交通运输部门的安全。跨机构协调是复杂的,简单地说,在一般情况下,除了白宫,国土安全部是是负责民事部门网络安全的主要机构,承担重要的协调职能。美国商务部的国家标准与技术研究院负责制定网络安全标准和指南,这些标准和指南然后由联邦政府行政管理和预算办公室颁布。司法部主要负责网络安全执法。美国国家科学基金会、美国国家标准与技术研究院和国土安全部都具备网络安全研究和开发职能。美国国防部与国土安全部、联邦调查局协调,为国内网络事故提供民事支持。国家安全局是负责国家安全部门网络安全的主要机构,但其他国防机构也发挥重要作用。2010年美国国防部在战略司令部下设立的美国网络司令部主要负责网络空间的军事作战行动,以提高网络空间作战的军事效能。

  四、美国网络安全立法的现状与问题

  美国联邦政府在解决网络安全问题方面面临诸多挑战,因为一方面涉及保护联邦政府信息系统的安全,另一方面也涉及在保护非联邦政府信息系统方面联邦政府如何发挥适当的作用。目前,美国还没有制定总体的网络安全法律框架,但许多重要法规对网络安全的多个方面做出了法律界定,见表3。

  美国国会研究服务处的研究确定还有40多个法律文件有网络安全方面的规定。而且,许多网络安全法案被提交到最近三届国会(第111、112、113届国会),美国立法部门正打算对现行法律做出修改,以完善美国网络安全立法。

  2011年4月,白宫向国会提交了一个综合性的、分七个部分的网络安全立法建议。该提案的一些内容被众议院和参议院的网络安全法案所采纳。在第112届国会期间,参议院制定了一个综合性网络安全法案——2012年2月提交的《2012年网络安全法案》(S.2105)——这个法案整合了国土安全和政府事务委员会与商务、科学和运输委员会的议案。2012年3月提交参议院的另一个法案《信息技术安全法案》(S. 3342)是S. 2151的修订版。

  在2012年7月,参议院就S. 3342展开辩论,但没有通过。奥巴马政府转而采取行政命令的形式,美国国会一些议员认为这不利于与私营部门和国际伙伴的谈判,会阻碍立法工作,因此表示反对奥巴马的行动。但是,2013年2月奥巴马政府发布了第13636号行政命令——《改善关键基础设施的网络安全》。

  第113届国会期间,参议院放弃了综合性网络安全立法,转而针对网络安全的具体方面提出了10个独立法案,包括《2013年网络安全法案》(S. 1353)。

  众议院在2011年6月组建了有12个成员的众议院共和党网络安全工作小组(House Republican Cybersecurity Task Force),小组提出了一系列的建议(工作组报告),众议院随后提交的法案专门针对小组报告书中所提出的问题,这些建议推进了众议院的网络安全立法。2012年4月众议院通过了四个法案:

  ·《2011年增强网络安全法案》(H.R. 2096),涉及联邦政府网络安全研发和技术标准的制定;

  ·《网络情报共享和保护法案》(H.R. 3523),其重点是信息共享和协调,包括共享机密信息;

  ·《2012年推进美国网络和信息技术的研究和开发法案》(H.R. 3834),涉及网络和信息技术研发,但不限于安全;

  ·《2012年联邦信息安全修正法案》(H.R. 4257),涉及《联邦信息安全管理法案》的改革。

  这些法案在遇到反对之后,经过一些修订后,2013年4月在众议院获得通过:

  ·《2013年加强网络安全法案》(H.R. 756);

  ·《网络情报共享和保护法案》(H.R. 624);

  ·《2013年推进美国的网络和信息技术的研究和开发法案》(H.R.967);

  ·《2013年联邦信息安全修正法案》(H.R. 1163)。

  提交国会的网络安全法案的立法建议主要集中在10大领域:国家战略和政府的角色、《联邦信息安全管理法案》的改革、保护关键基础设施(尤其是电网和化工)、信息共享和跨部门协调、造成个人数据(如财务信息)失窃或泄露的入侵、网络犯罪预防和处罚、电子商务环境下的隐私、国际协调、研究与开发、网络安全队伍建设。 而事实上,美国政府的努力主要是推动两个方面的网络安全立法——保护关键基础设施以及促进政府与产业界之间的信息交换。

  比如,在促进政府与产业界之间的信息交换这个问题上,众议院在2012年通过了《网络情报共享和保护法案》,但是法案受到了工业界、隐私保护团体的阻碍,众议院不得不加以修订,在2013年通过了新的《网络情报共享和保护法案》。 即便经过修订,白宫仍然认为不够,如果这个版本提交总统签字的话,奥巴马总统会否决这个法案。

  自2002年以来,美国政府还没有颁布综合性网络安全立法。而且,最近几年,美国网络安全立法成果寥寥可数。虽然众议院、参议院和白宫都提出了数量庞大的网络安全议案,涉及网络安全的诸多方面,既有综合性的网络安全法案,也有就网络安全的某个具体问题而提出的法案,但是由于多方利益、意见分歧,这些法案在一次又一次的修订后,也很难获得通过,成为正式法律文件。

  五、结语

  奥巴马政府对美国网络安全政策进行了全面审查,美国政府认为网络空间是美国经济繁荣和国家安全面临的严峻挑战之一,甚至超过恐怖主义袭击的威胁程度。网络空间的保护是美国国家安全战略的重要内容,国土安全部总体负责协调保护和防御民用网络的行动,同时国防部对国土安全部、司法部提供网络防御民事支持能力;国防部主要负责军事网络的防御,国防部设立了美国网络司令部加强美军的网络空间作战能力,提高作战效能。网络技术发展日新月异,先进网络技术往往是掌握在私营部门手中,因此网络防御需要与私营企业的紧密合作,需要加强网络空间情报交换;而且还涉及如何处理隐私保护的问题。那么,如何理清这些关系是目前美国网络安全立法面临的最严峻的挑战。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:独联体明斯克峰会强调合作与安全问题