中国信息安全测评中心  桂畅旎

特朗普“爆冷”胜出当选美国第45任总统,曾令全球为之侧目,特朗普执政一年来的政策举措和成败得失更是美国和全世界关注和评论的焦点。网络安全问题作为当今各国面临的共同问题,特朗普政府的所作所为更是值得我们全面观察和仔细分析。

一、特朗普网络安全治理回顾

从一年来见诸媒体的网络安全态势看,涉美重大事件10余起,美国政府出台的相关政策法规10余件,联邦政府在网络治理上的具体举措达50余项,各类智库涉及网络安全的重头报告接近百余份。由此可见,网络安全问题保持了从奥巴马执政以来的持续热度和发展惯性。但从时间轴线上细作分析又不难看出,特朗普政府一年来的网络安全治理具有非常鲜明的特点,其中年初的所谓“通俄门”事件、年中《增强联邦政府网络和关键基础设施网络安全》行政令以及年末的美国《国家安全战略》报告这三件大事不失为考察特朗普开局之年治网特点的典型样本。

(一)“通俄门”事件:尴尬的“当头一棒”

2017年可圈可点的涉美网络安全事件不少,譬如美国国安局(NSA)网络攻击工具的外泄,是继美中央情报局(CIA)秘密手段曝光后对美国强力部门的又一次打脸,征信巨头 Equifax 数据泄漏又再次刺激到美国金融网络安全的神经,“想哭”勒索病毒的爆发更是让以“世界警察”自居的美国“哭笑不得”,但最让特朗普头疼的则是当选前后的“通俄门”事件。“通俄门”事件源于美国情报机构指控俄罗斯利用网络攻击干预美国2016年大选,帮助特朗普获选,这也成为大选期间民主党攻击特朗普的一大竞选利器。选举结束后,有关特朗普的“通俄门”愈演愈烈,美国中央情报局、美国联邦调查局以及国家情报总监三家情报机构共同发布了俄干预美国大选的评估结果,一致认为针对美国大选的相关网络攻击行动是经俄罗斯最高层官员授权的国家行动,致使特朗普从中获益。特朗普虽多次发声否认相关指控,并斥责相关报道为“假新闻”,但不得不说“通俄门”的指控给了特朗普“当头一棒”,直接影响到特朗普入主白宫的合法性和团队的可信度,这也促使特朗普在处理网络安全问题时处于十分尴尬的地位,使得一向“口无遮拦”的他在该问题上变得“谨言慎行”。目前,“通俄门”调查还未结束,特朗普团队中的不少现任和前官员都已牵涉其中,但其所揭示的“网络政治干预”无疑已成为2017年全球网络安全的头等大事。网络舆情与选情的交织、信息传播与政治操纵的结合加剧了网络安全的复杂性,不仅让特朗普感到棘手,欧洲国家也深受其害,并采取各种措施加以应对,如德国通过专门的《网络执行法》重点打击网络非法言论、虚假新闻。欧盟国家联合成立“网络外交工具箱”,加大对社交媒体的管理等,互联网内容安全成为全球网络治理的重中之重。

(二)《增强联邦政府网络与关键性基础设施网络安全》行政令:承上启下的中场应对

特朗普入主白宫后,全球舆论普遍认为特朗普与奥巴马的世界观截然不同,奥巴马政府主要是为了让美国适应不断变化的世界,而特朗普则誓言让全世界适应美国。在执政元年,特朗普尽管怪招频出,从医改、应对全球气候变化和TPP上不断颠覆奥巴马的“政治遗产”,但是在网络安全问题上仍可看到美国政治体制的稳定性和政策的连续性,集中体现就是2017年5月11日特朗普政府颁布的《增强联邦政府网络与关键性基础设施网络安全》行政令(简称“网络安全行政令”)。该行政令主要从联邦政府网络安全、关键基础设施网络安全和国家网络安全三大领域进一步强化网络安全的政策举措,这是特朗普政府在“百日新政”后提出的网络安全要求,外界普遍认为该行政令基本上沿袭了奥巴马政府的网络安全战略与政策要点:一是加快联邦政府网络设施升级。特朗普继承奥巴马联邦政府信息技术现代化这一思路,并将其作为其治网的首要职责,委任美国创新办公室和技术委员会主责联邦政府的IT设施更新。二是强化关键基础设施保护。该行政令明确要求落实奥巴马政府第21号总统行政令中界定的16个关键基础设施领域保护要求,并提出了具体的落实要求。三是建立国家网络安全综合能力,特朗普同样继承了奥巴马政府时期强调的网络威慑、国际合作以及人才培养的观点。此外,该行政令还明确了各项网络治理任务的主责机构与问责机制,基本形成国土安全部和管理预算办公室负责民用设施网络安全,国防部和国家情报总监负责国家安全系统网络安全的格局。作为特朗普政府网络战略与思路的集中表述,该行政令也奠定了其在网络治理上更直接、务实和结果导向的风格,其中要求相关部门提交12份网络安全问题与整改报告基本上构成了特朗普政府2017年下半年网络安全的工作重点。

(三)《国家安全战略》报告:“特”氏风格的年度收官

2017年12月18日,特朗普政府公布了其首份《国家安全战略》报告,引起强烈反响。战略从保护国土安全、促进美国繁荣、以实力维护和平和彰显美国影响力四方面来阐述特朗普“美国优先”的理念,其中网络安全贯穿其中,具体内容包括:一是明确网络空间四大威胁,将中俄列为网络空间中的“修正主义者”,直言中国和俄罗斯试图改变现存的国际秩序,持续挑战美国的地缘政治优势;同时指责朝鲜和伊朗等国家加速网络武器的开发和利用,危及美国关键基础设施。二是提出网络安全建设优先举措,包括:1、识别和优先处理风险,评估国家安全、能源和电力、银行和金融、医疗和安全、通信和运输六大关键基础设施面临的网络攻击风险,并相应地优先考虑美国政府的保护工作、能力和预防措施。2、建立防御性强的政府网络,利用最新的商业能力、共享服务以及最佳实践来实现联邦信息技术的更新与现代化。3、威慑和瓦解恶意的网络行动,提高网攻美国的成本,并联合盟友加大对网络空间恶意行为者的威慑。4、提高信息共享与感知,联合关键基础设施合作伙伴共同评估其信息需求,减少信息共享的障碍。5、部署分层防御,力求在网络层面修复已知的恶意活动活动,尽量减少其影响范围。三是提出应对挑战的改进手段。战略表示,许多国家现在将网络能力视为投射影响力的工具,对此美国不会“规避风险”,而是以一种“风险意识”应对挑战。对此,战略提出三点优先举措:1、提高归因、问责和响应能力,提高对网络归因的研究力度与资助,加大与私营企业在保护公民隐私、网络归因上的合作,以便快速作出回应。2、加强队伍建设,改进网络工具,提高专业知识。如开发先进的调查工具来削弱犯罪分子利用网上市场、加密货币和其他方式从事非法活动的能力。3、提高集成度和灵活性,改进和整合美国政府部门与流程,协调联邦政府各部门的网络行动,在改善情报与信息共享,规划网络行动,开发网络工具上加强行政机构与国会的合作。国安战略呼应了网络安全行政令的主要内容,同时提出了更为具体的实施要求,体现了特朗普政府治网理念的进化。

二、端倪初现的特朗普治网特色

对于一个不按常理出牌的总统,仅凭一年的时间来评价其政策得失还远远不够,但是结合特朗普一贯的行事作风,仍可大致勾勒出其治网特点。

(一)主张“美国优先” 

“美国优先”既是其竞选承诺,也是其内外政策调整的准则,网络安全亦不例外,主要体现在:一是重国内,轻国际。不同于奥巴马政府国内外“多管齐下”的治网思路,特朗普政府宣示从“美国人的切身利益出发解决网络安全问题”,因此更加偏向优先处理国内的现实问题。无论是在行政令还是在国安战略中,特朗普政府网络安全治理的重心都是围绕提升联邦政府计算机安全性和维护关键基础设施网络安全展开,其中升级联邦政府基础设施更是重中之重。二是重现实利益,轻长远考虑。在“美国优先”的理念下,特朗普不仅在经贸领域扛起“保护主义”的大旗,也将其投射至网络空间。2017年9月,特朗普以国家安全为由全面禁用俄罗斯杀毒软件卡巴斯基,引发了普京政府的强硬回应,后者要求俄罗斯科技公司采用自主软件,同时俄国防部近日也要求所有办公电脑操作系统从微软操作系统转用国产Astra Linux系统,美俄间信息技术领域的保护主义愈演愈烈,这对两国的信息产业都将造成重击。三是重问题反映,轻规则引领。特朗普上台后其网络安全议题主要是围绕美国当前面临的最棘手的如联邦政府IT技术落伍、选举系统漏洞未补、关键基础设施保护责任分散、风险评估不足、僵尸网络盛行等问题入手,出台的技术指令也是以上述议题为主,少有对国际网络空间机制建设的长远考虑。

(二)秉持“特立独行” 

这是特朗普最为明显的行为标签,一年来,行政令治国、推特发声、大刀阔斧地拆撤部门等引发争议的举动在网络安全治理上尤为明显。如作为推特总统,特朗普善于利用推特发表对美国内政外交的观点,充分利用互联网表达其个人意志,但同时也招惹不少麻烦。特朗普就曾利用推特表示将与俄罗斯合作建立网络安全部队,引发美国舆论一片哗然,政界更是冷嘲热讽批评不断,迫使其不得不进行专门澄清。此外,特朗普还顶着舆论压力关闭成立6年之久的国务院“网际事务协调员办公室”,将部分职能交由经济暨商业局负责;留任包括联邦政府首席信息安全官在内的大量网络安全职位空缺,均体现了特朗普特立独行的行事风格,引发较大争议。

(三)遵从“商业逻辑”

商人出生的特朗普将大量商业规则沿袭至网络治理中,一是重双边,轻多边,讲究所谓“交易的艺术”,认为目前联合国、WTO等多边组织的网络安全规制已难以发挥作用,而更应该通过双边关系来达成新的网络安全合作协议,重新制定国际网络规则。二是强调公平贸易,重视自由竞争,废除奥巴马时期制定的“网络中立”规则,减少对大型互联网服务提供商的监管规定,要求互联网经济发展中的各方基于市场进行竞争。三是突出经济利益,重新启动“301条款”,对美国企业在中国等地是否涉及技术转让、知识产权、创新领域等活动进行调查,以维护美国的经济利益。                                                         

(四)信奉“实力政治”

特朗普政府信奉“以实力求和平”,主张加大投入,提升美国网军力量。一是调结构强军力,整合网络行动,宣布将美军网络司令部升级为美军第十个联合作战司令部,地位与美国中央司令部等主要作战司令部持平,并将解决美国网络司令部司令和NSA局长“双帽”领导角色提上日程。二是任用技术官僚,突出专业治理。由于缺乏网络安全相关经验,特朗普政府在网络安全上更突出对技术专家的依赖与信任,包括统筹网络安全事务的国土安全顾问托马斯·博塞特,总统特别助理暨白宫网络安全协调员罗伯特·乔伊斯,美国技术委员会主任克里斯·利德尔,国土安全部长克尔斯蒂恩·尼尔森,网络与技术安全理事会(CTS)临时主席朗尼·普赖斯,国土安全部网络安全与通讯办公室助理秘书长杰奈特·曼弗拉等都具有非常丰富的网络安全经验。三是固守传统优势,突出美国支配地位。国安战略明确强调互联网是美国创新的产物,必须反映美国的价值观,并要求美国政府必须在国际法框架内领导并提供相关技术来塑造和管理包括网络在内的公域。

三、未来展望

对于刚刚结束执政元年的特朗普,一年来实施的战略与政策虽非议不断,但成效明显。据称,特朗普政府很快将推出“国家网络安全战略”,依照其一年来的执政风格与治网特点,我们可作出以下预判:

(一)网安战略将更加强硬

一是更强硬的政策宣示。纵观一年来特朗普的政策宣示,均以保守派作风的强硬风格为基调,如在国安战略中诋毁中国为“修正主义”与战略竞争者,直接点明中国、俄罗斯、伊朗和朝鲜是网络空间的主要威胁。尽管外界普遍认为特朗普的战略与政策宣示与实际行动会有偏离,但为塑造和突出其一贯“美国优先”的特氏风格,特朗普必将在网安战略中通过更为强硬的政策宣示来突出其维护网络空间美国利益的决心。二是进一步推行网络威慑。网络威慑是特朗普在网络空间贯彻实力政治的抓手,随着网络安全行政令将网络威慑列为优先项,特朗普再在2017年年底签署的《2018财年国防授权法案》中要求大幅增加对网络威慑和防御能力的预算投入,同时国安战略也再次重申加快将威慑理论利用到网络空间。与此同时,美国防部将网络威慑作为工作的重点,围绕其进行了一系列排兵布局与力量建设,美国网络威慑实战化的势头已显。三是坚决反制网络攻击。特朗普政府一直认为奥巴马未对黑客攻击采取实质性惩罚措施,批评其是在“利用20世纪的手段解决21世纪的问题”。对此,特朗普主张对网络攻击采取更为直接和强硬的手段进行回击。除美国两党议员正在积极推动的“主动网络防御明确法案”外,特朗普在《2018财年国防授权法案》中也明确授权予国会可寻求支持回击网络攻击,并正式指控朝鲜对WannaCry病毒攻击“负有直接责任”。随着美国网络归因技术取得进展,网络反制将逐渐成为常态。

(二)将网络安全问题与经贸挂钩

在资本逐利驱动下,特朗普将围绕促进美国经济增长的目标,将网络安全问题与经贸挂钩:一是注重知识产权、数字贸易和商业利益。随着数字经济在美国对外贸易中的比重不断增加,特朗普多次以保护“知识产权”施压其贸易伙伴,如改革北美自由贸易协定中知识产权、数字贸易方面的规定,同时针对所谓“中国不公平贸易行为”发起调查,以确保美国的知识产权和技术得到保护。二是高度审视技术转移,加强网络安全审查。在外国投资委员会(CFIUS)的改革方案中,美国大幅增加了网络安全的内容,将不断收紧对外国收购网络技术的审查,并且严审涉及可能产生或加剧网络安全漏洞的交易,还对外国有可能获得恶意网络攻击能力的贸易进行专门的规定,其实质是将网络安全作为重要的贸易壁垒工具,加速网络安全问题贸易化。三是在贸易协定中附加“网络安全框架”的遵从要求,促其成为国际标准,随着美国国家标准技术研究所(NIST)制定的“网络安全框架”逐渐完善,特别是在当前分散的国际网络安全规则对美国企业不利的背景下,美国逐渐表现出将其作为国际“公共产品”在贸易协定中“推而广之”,与市场准入相捆绑,使其成为全球企业共同遵循的网安标准的趋势。

(三)规则之争更趋激烈

目前,美国内形成一种共识,认为互联网是美国提供给世界的“公共产品”,但是却让中国占尽互联网发展的红利,让俄罗斯掌握了互联网内容安全的主动权,美国必将重新制定“游戏规则”来改变当前被动的局面。对此,美国将继续加固在网络空间中的传统优势,联合私营企业强化多利益攸关方的治理模式,弱化包括联合国和WTO在内的多边模式;同时大力在发展双边关系上着力,通过加大与传统伙伴国如以色列和日本在网络安全上的合作,共同塑造网络空间“好”的行为准则,打击“坏”的网络行为来谋取和推行强权和霸权。

(四)更加务实面对未来发展

在技术官员的加持下,特朗普政府在网络治理上务实的特点越来越明显,如加快完善“网络安全框架”,扩大适用范围;发布《美国联邦政府漏洞公平裁决政策和程序》(VEP),提高漏洞披露的透明度和问责制,对美国漏洞管理进行实质性的改善。随着网络威胁的变化,美未来治网政策的重心将会落在在发展数字经济、完善网络基础设施上;并重点关注互联网内容安全,严防网络政治干政,加大意识形态宣示,捍卫民主制度;同时将加大对新技术,如人工智能、物联网、区块链、5G等的关注,并提出新的规制。

四、启示

(一)网络安全问题仍是中美关系中高度不确定的现实问题,我们应就预防特朗普在此领域可能使出的大招怪招做好准备。从承认耶路撒冷为以色列首都加剧中东乱局,到加强印太战略痛斥巴基斯坦发力亚洲,这种大招怪招很有可能应用到网络安全问题上。因此,意识形态差别、网络攻击的误判和面对挑战的焦虑都极有可能成为中美网络冲突的导火索,对此,我们应用好合作机制平台,加强沟通协调,有效管控好风险。

(二)网安问题极有可能成为中美贸易摩擦的热点领域,成为“301”调查和网络安全审查的重点。随着中美贸易摩擦日益升温,IT作为中美贸易的重要组成部分,从软件开发到硬件设施,从制造业到投资并购都可能成为中美摩擦的焦点问题。对此,我们应加大对中美IT贸易的合规性指导,关注美方关切,妥善应对不断增多的贸易摩擦。

(三)中美在国际网络空间治理规则话语权上的博弈会更加频繁和直接,在多边、多方和双边等场合均可能展开。中国已成为全球最为瞩目的网络大国,并在向网络强国加速迈进,中国的网络发展对美国主导的规则体系构成了挑战,“崛起国”与“霸权国”之间的矛盾日益显现,美国必将加大对我防范和应对。同时特朗普治下的美国围绕网络攻击活动与我国的口水战必将增加,美国的过激行为和单边行动也将更加频繁。对此,我们应该审时度势,警惕美国在联合国、WTO等多边组织上给我添乱,在中美官方和二轨对话等双边协商中向我施压,或通过其他双边成果形成联盟对我实施围堵和遏制。

(四)我国内网络安全政策实施会受到美国等西方国家的非议和抵制,我国在网络治理方面走出去的举措会面临更多挑战。美国政府联合私营企业抵制我国网络安全法和网络安全审查,在国际上打压我国在人工智能、5G、机器人等发展优势的迹象越来越明显,这些都将为我国“一带一路”、“人类命运共同体”的实施增加阻力,考验着我们的战略耐心、工作恒心和战术匠心。 

结语

网络安全问题深刻而复杂,仅凭公开信息和事件分析只能捕捉到特朗普元年治网战略的“冰山一角”,要想清晰把握特朗普政府的治网思路,仍需持续跟踪其涉网战略与治理动向,对于美国新一届政府如何管网治网我们拭目以待。

(本文刊登于《中国信息安全》杂志2018年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。