近十多年來(lái),由于網(wǎng)絡(luò)攻擊日益頻繁以及網(wǎng)絡(luò)攻擊技術(shù)越來(lái)越復(fù)雜多樣,網(wǎng)絡(luò)攻擊產(chǎn)生的經(jīng)濟(jì)負(fù)擔(dān)和社會(huì)影響越來(lái)越廣泛,美國(guó)政府對(duì)信息系統(tǒng)的安全性(通常也稱為網(wǎng)絡(luò)安全)越來(lái)越重視。同時(shí),“斯諾登事件”也促使美國(guó)政府各個(gè)部門采取行動(dòng),以平衡國(guó)家安全、網(wǎng)絡(luò)安全和公民隱私權(quán)利保護(hù)。美國(guó)對(duì)信息系統(tǒng)的依賴程度非常高,網(wǎng)絡(luò)安全是美國(guó)國(guó)家安全戰(zhàn)略的一個(gè)重要組成部分。隨著美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略的出臺(tái),網(wǎng)絡(luò)安全協(xié)調(diào)和實(shí)施機(jī)制、網(wǎng)絡(luò)安全立法也逐步完善,網(wǎng)絡(luò)安全體制逐步健全。本文首先總結(jié)了美國(guó)政府對(duì)網(wǎng)絡(luò)空間的認(rèn)識(shí),以幫助讀者理解美國(guó)制定網(wǎng)絡(luò)安全戰(zhàn)略的出發(fā)點(diǎn);第二部分重點(diǎn)論述了奧巴馬政府的網(wǎng)絡(luò)空間政策;第三部分通過(guò)分析國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃、關(guān)鍵基礎(chǔ)設(shè)施部門網(wǎng)絡(luò)安全計(jì)劃、國(guó)防部網(wǎng)絡(luò)事故民事支持計(jì)劃,表明目前美國(guó)聯(lián)邦政府圍繞國(guó)家應(yīng)急架構(gòu)制定了明確分工、統(tǒng)一協(xié)調(diào)的網(wǎng)絡(luò)安全實(shí)施機(jī)制;美國(guó)政府的立法部門也認(rèn)識(shí)到需要完善目前的網(wǎng)絡(luò)安全法律框架,以滿足改善網(wǎng)絡(luò)安全的需要,因此,第四部分論述了近十年美國(guó)立法部門制定綜合性網(wǎng)絡(luò)安全立法的努力以及遇到的阻力。
一、美國(guó)政府對(duì)網(wǎng)絡(luò)空間的認(rèn)知
根據(jù)美國(guó)政府已經(jīng)頒布的權(quán)威性網(wǎng)絡(luò)空間政策文件、國(guó)家高層領(lǐng)導(dǎo)人的講話、權(quán)威調(diào)查報(bào)告,筆者把美國(guó)的網(wǎng)絡(luò)空間認(rèn)知概括為以下四點(diǎn):
(一)網(wǎng)絡(luò)空間是一個(gè)重要的行動(dòng)領(lǐng)域,美國(guó)的經(jīng)濟(jì)繁榮、國(guó)家安全都依賴于網(wǎng)絡(luò)空間,網(wǎng)絡(luò)威脅是美國(guó)國(guó)家安全面臨的最嚴(yán)重的威脅之一。
“借助網(wǎng)絡(luò)空間,美國(guó)及國(guó)際企業(yè)可以交易貨物和服務(wù),并在幾秒鐘內(nèi)實(shí)現(xiàn)全球范圍內(nèi)的資產(chǎn)轉(zhuǎn)移。除了為其他領(lǐng)域的貿(mào)易提供便利,網(wǎng)絡(luò)空間本身就是全球經(jīng)濟(jì)的一個(gè)關(guān)鍵領(lǐng)域。它已成為創(chuàng)業(yè)、技術(shù)進(jìn)步、言論自由傳播和新型社會(huì)網(wǎng)絡(luò)的新型孵化器,推動(dòng)著我們經(jīng)濟(jì)的發(fā)展。能源、銀行、金融、交通、通訊、國(guó)防工業(yè)基礎(chǔ)等各項(xiàng)關(guān)鍵基礎(chǔ)設(shè)施的安全和有效運(yùn)作,都依賴于網(wǎng)絡(luò)空間、工業(yè)控制系統(tǒng)和信息技術(shù),然而這些都易于受到攻擊而中斷或被刺探。” 而且,承擔(dān)保衛(wèi)美國(guó)國(guó)家安全的機(jī)構(gòu),比如國(guó)土安全部、國(guó)防部以及各個(gè)軍種也非常依賴這些信息環(huán)境以完成這些任務(wù);沒(méi)有這些信息環(huán)境,這些機(jī)構(gòu)就不能有效地提供國(guó)家安全。聯(lián)邦調(diào)查局、國(guó)土安全部、國(guó)家安全局的領(lǐng)導(dǎo)人在許多證詞中都警告網(wǎng)絡(luò)安全對(duì)美國(guó)國(guó)家安全的重要性不斷增長(zhǎng)。 2012年10月,國(guó)防部長(zhǎng)帕內(nèi)塔警告在將來(lái)會(huì)發(fā)生網(wǎng)絡(luò)領(lǐng)域的“珍珠港事件”,電網(wǎng)、金融系統(tǒng)、交通運(yùn)輸系統(tǒng)遭受網(wǎng)絡(luò)攻擊只是時(shí)間早遲的問(wèn)題,敵人可能對(duì)美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施,包括關(guān)鍵軍事系統(tǒng)和通訊網(wǎng)絡(luò)發(fā)動(dòng)網(wǎng)絡(luò)攻擊,以配合物理性攻擊。 2013年3月12日,美國(guó)國(guó)家情報(bào)總監(jiān)發(fā)布的報(bào)告指出,網(wǎng)絡(luò)威脅已經(jīng)成為美國(guó)的頭號(hào)威脅(在《全球威脅》一節(jié)中,把網(wǎng)絡(luò)放在第一位)。 2013年11月防務(wù)新聞網(wǎng)站(Defense News)對(duì)350多位來(lái)自產(chǎn)業(yè)界、軍界和國(guó)家安全政策領(lǐng)域的領(lǐng)導(dǎo)人進(jìn)行的調(diào)查表明,他們認(rèn)為網(wǎng)絡(luò)威脅是美國(guó)政府面臨的頭號(hào)威脅,超越了恐怖主義。2013年10月30日到11月6日,美國(guó)皮尤研究中心對(duì)2003名成年人的民意調(diào)查結(jié)果也顯示,70%的受訪者認(rèn)為網(wǎng)絡(luò)攻擊是美國(guó)面臨的一個(gè)新的重大威脅。
(二)目前,網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)間諜是美國(guó)面臨的最重要的網(wǎng)絡(luò)威脅,網(wǎng)絡(luò)空間的非對(duì)稱性可能促使?jié)撛趯?duì)手利用網(wǎng)絡(luò)空間獲得非傳統(tǒng)優(yōu)勢(shì),美國(guó)必須對(duì)此保持警惕。
制定合理的網(wǎng)絡(luò)空間戰(zhàn)略的前提是必須理解網(wǎng)絡(luò)空間威脅的本質(zhì)。對(duì)網(wǎng)絡(luò)空間威脅的認(rèn)識(shí)是建立在對(duì)網(wǎng)絡(luò)空間中人類行為特征的理解的基礎(chǔ)之上的。網(wǎng)絡(luò)空間域的絕大多數(shù)信息網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施為民營(yíng)企業(yè)所擁有,而且互聯(lián)網(wǎng)是一種開(kāi)放式的體系結(jié)構(gòu)。因此,比起陸??仗斓葌鹘y(tǒng)行為領(lǐng)域,網(wǎng)絡(luò)空間中人類行為產(chǎn)生影響的速度非常快,而波及范圍又非常廣,往往突破了主權(quán)國(guó)家疆界的限制。如果不是不可能的話,追查網(wǎng)絡(luò)攻擊的肇事者也是很困難的。而且,在市場(chǎng)上可以買到非常實(shí)惠的電腦硬件,上網(wǎng)的價(jià)格越來(lái)越便宜,而且可以廣泛獲得更先進(jìn)的信息技術(shù)和產(chǎn)品。還有一點(diǎn)是,可供使用的網(wǎng)絡(luò)人力資源也是容易獲得。這導(dǎo)致進(jìn)入網(wǎng)絡(luò)領(lǐng)域的技術(shù)障礙和經(jīng)濟(jì)成本是很低的,網(wǎng)絡(luò)空間中的行為者多種多樣,包括國(guó)家政府、非國(guó)家政治組織、犯罪網(wǎng)絡(luò)、企業(yè)和恐怖分子、心懷不滿的內(nèi)部人士、黑客等。
網(wǎng)絡(luò)空間的這些特性決定了網(wǎng)絡(luò)空間的非對(duì)稱性,美國(guó)政府一直在警告,具備創(chuàng)新能力的潛在對(duì)手會(huì)在“信息化”領(lǐng)域大有作為,利用網(wǎng)絡(luò)空間的非對(duì)稱性突破美國(guó)在傳統(tǒng)軍事能力方面的主導(dǎo)優(yōu)勢(shì)。
2013年3月12日,美國(guó)國(guó)家情報(bào)總監(jiān)發(fā)布的報(bào)告使用“網(wǎng)絡(luò)攻擊”和“網(wǎng)絡(luò)間諜”來(lái)定義網(wǎng)絡(luò)威脅。“網(wǎng)絡(luò)攻擊是一種非動(dòng)能進(jìn)攻行動(dòng),旨在產(chǎn)生物理效應(yīng),或操縱、破壞、刪除數(shù)據(jù)。其包括暫時(shí)阻止網(wǎng)站訪問(wèn)的拒絕服務(wù)式攻擊、針對(duì)渦輪發(fā)動(dòng)機(jī)的、可以造成持續(xù)數(shù)日的物理傷害和中斷的攻擊等行動(dòng)。網(wǎng)絡(luò)間諜是指侵入網(wǎng)絡(luò)獲得敏感的外交、軍事、經(jīng)濟(jì)情報(bào)……外國(guó)情報(bào)和安全機(jī)構(gòu)已經(jīng)滲透了美國(guó)政府、商業(yè)公司、學(xué)術(shù)機(jī)構(gòu)、私營(yíng)部門機(jī)構(gòu)的網(wǎng)絡(luò)。他們的目標(biāo)既包括非機(jī)密信息,也包括機(jī)密信息。我們無(wú)法估計(jì)專利技術(shù)和敏感商業(yè)信息的價(jià)值,因此無(wú)法評(píng)估商業(yè)網(wǎng)絡(luò)間諜活動(dòng)的影響,但是這些信息能力幫助他們?cè)谝恍┬袠I(yè)獲得不公平利益。” 2014年5月8日,美國(guó)國(guó)家安全局局長(zhǎng)、網(wǎng)絡(luò)司令部司令基斯接受《澳洲經(jīng)濟(jì)評(píng)論》記者采訪時(shí)表示,“在過(guò)去的十年或二十年,從美國(guó)偷走的知識(shí)產(chǎn)權(quán)是人類歷史上規(guī)模最大的、最快速的非自愿性財(cái)富轉(zhuǎn)移。要有越來(lái)越好的計(jì)算機(jī)硬化技術(shù),加強(qiáng)存儲(chǔ)和保護(hù)我們的知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò),我們的關(guān)鍵基礎(chǔ)設(shè)施也依賴這些。這是國(guó)家安全局的信息保障業(yè)務(wù)。”
(三)美國(guó)把網(wǎng)絡(luò)安全納入外交政策議題,推動(dòng)制定網(wǎng)絡(luò)空間行為規(guī)范,維護(hù)這一國(guó)際公域的基本秩序。美國(guó)的網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略是保障基本自由、隱私權(quán)和信息自由流動(dòng),同時(shí)也要掌握網(wǎng)絡(luò)空間治理的國(guó)際話語(yǔ)權(quán)。
白宮在2011年5月發(fā)布的《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》指出,國(guó)際合作是維持網(wǎng)絡(luò)空間環(huán)境的最佳做法,更是首要原則。美國(guó)將進(jìn)行國(guó)際協(xié)作,完善開(kāi)放、互操作、安全、可靠的信息和通信基礎(chǔ)設(shè)施,以保障國(guó)際貿(mào)易和商業(yè),加強(qiáng)國(guó)際安全,促進(jìn)言論自由和創(chuàng)新。為了實(shí)現(xiàn)這一目標(biāo),我們將建立和維持一種環(huán)境,以責(zé)任行為規(guī)范指導(dǎo)國(guó)際行動(dòng),維持伙伴關(guān)系,并保障網(wǎng)絡(luò)空間中的法律規(guī)則。美國(guó)制定國(guó)際網(wǎng)絡(luò)空間政策的目標(biāo)是為了獲得網(wǎng)絡(luò)空間的主動(dòng)權(quán)、話語(yǔ)權(quán),不過(guò)美國(guó)政府也注意到了目前在網(wǎng)絡(luò)空間治理方面不同國(guó)家所持立場(chǎng)的不同。“互聯(lián)網(wǎng)信息控制是美國(guó)和其他國(guó)家之間討論的一個(gè)關(guān)鍵問(wèn)題。一些國(guó)家,包括俄羅斯、中國(guó)、伊朗,關(guān)注于互聯(lián)網(wǎng)內(nèi)容可能導(dǎo)致政局不穩(wěn)、政權(quán)更迭的‘網(wǎng)絡(luò)影響’和風(fēng)險(xiǎn)。而美國(guó)關(guān)注于網(wǎng)絡(luò)和系統(tǒng)的可靠性和完整性方面的網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)。這是我們定義網(wǎng)絡(luò)威脅的根本區(qū)別。當(dāng)前的互聯(lián)網(wǎng)治理多方利益攸關(guān)者模式為政府、商界、學(xué)術(shù)界和民間社會(huì)討論互聯(lián)網(wǎng)的組織和技術(shù)標(biāo)準(zhǔn)并達(dá)成共識(shí)提供了一個(gè)論壇。然而,重塑互聯(lián)網(wǎng)治理模式,采用以國(guó)家政府為基礎(chǔ)的治理模式將違背我們的許多政策目標(biāo),特別是保護(hù)言論自由、網(wǎng)上信息的自由流動(dòng)和確保信息技術(shù)產(chǎn)品和服務(wù)的自由市場(chǎng)方面的目標(biāo)。”
(四)網(wǎng)絡(luò)空間威脅問(wèn)題的解決,僅依靠技術(shù)的力量是不夠的,也需要制度規(guī)范。建立公私合作伙伴關(guān)系對(duì)于解決網(wǎng)絡(luò)安全問(wèn)題至關(guān)重要。
網(wǎng)絡(luò)安全問(wèn)題的解決,一方面需要技術(shù)力量?jī)?chǔ)備,比如云計(jì)算、新的互聯(lián)網(wǎng)架構(gòu),另一方面需要建立完備的網(wǎng)絡(luò)安全處理機(jī)制。美國(guó)政府對(duì)網(wǎng)絡(luò)技術(shù)、信息技術(shù)的發(fā)展做出了清晰的規(guī)劃,美國(guó)強(qiáng)大的科研體系保證了美國(guó)可以掌握最先進(jìn)的信息技術(shù)、網(wǎng)絡(luò)安全技術(shù)。在奧巴馬政府的領(lǐng)導(dǎo)下,美國(guó)已經(jīng)建立了多個(gè)聯(lián)邦政府機(jī)構(gòu)、國(guó)防機(jī)構(gòu)、私營(yíng)部門廣泛參與的網(wǎng)絡(luò)安全機(jī)制。為了加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的彈性,奧巴馬總統(tǒng)在2013年2月12日簽署了第13636號(hào)行政令——《提高關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》,該行政令要求建立一個(gè)自愿性的網(wǎng)絡(luò)安全框架,提供一個(gè)優(yōu)選的、靈活的、可復(fù)制的、基于績(jī)效的、具備經(jīng)濟(jì)效益的方法,協(xié)助提供關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的機(jī)構(gòu)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。
二、美國(guó)網(wǎng)絡(luò)安全政策的制定
要建立一個(gè)完善的網(wǎng)絡(luò)安全戰(zhàn)略,美國(guó)政府就必須解決各個(gè)政府部門和聯(lián)邦機(jī)構(gòu)間的任務(wù)分配和法定授權(quán)問(wèn)題。特別是在電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)相互融合以及其他基礎(chǔ)設(shè)施部門日益依賴互聯(lián)網(wǎng)以實(shí)現(xiàn)互聯(lián)互通的背景下,更是如此?;仡櫭绹?guó)政府行政部門頒布的有關(guān)網(wǎng)絡(luò)安全的重要政策文件,可以看到隨著網(wǎng)絡(luò)威脅的日益復(fù)雜,美國(guó)政府對(duì)網(wǎng)絡(luò)空間風(fēng)險(xiǎn)的重視程度越來(lái)越高,聯(lián)邦機(jī)構(gòu)間的溝通協(xié)調(diào)機(jī)制也不斷完善。
1998年5月簽署的第63號(hào)總統(tǒng)令(PDD-63)規(guī)定,在白宮的直接領(lǐng)導(dǎo)下,設(shè)立了一個(gè)機(jī)制,協(xié)調(diào)牽頭部門和相關(guān)機(jī)構(gòu)的行動(dòng),聯(lián)邦機(jī)構(gòu)還要與私營(yíng)部門合作,以防范和抵御針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的物理攻擊和網(wǎng)絡(luò)攻擊,特別是針對(duì)美國(guó)的網(wǎng)絡(luò)系統(tǒng)的攻擊。這項(xiàng)政策在2003年的《確保網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》中又進(jìn)行了修訂。2003年的第7號(hào)國(guó)家安全總統(tǒng)令(HSPD-7)進(jìn)一步增強(qiáng)了這項(xiàng)工作,第7號(hào)國(guó)家安全總統(tǒng)令為政府部門劃分了具體的職責(zé),各個(gè)機(jī)構(gòu)也需要實(shí)施跨部門協(xié)調(diào),同時(shí)賦予國(guó)土安全部總體協(xié)調(diào)國(guó)家重要基礎(chǔ)設(shè)施(包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施)的保護(hù)工作。這兩項(xiàng)政策的重點(diǎn)是實(shí)施防御性措施,而且第7號(hào)國(guó)家安全總統(tǒng)令不涉及聯(lián)邦政府信息系統(tǒng)的保護(hù)。2007年,《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)采取了不同的策略,其核心是一改過(guò)去分散化的網(wǎng)絡(luò)防御做法,把各個(gè)政府機(jī)構(gòu)的網(wǎng)絡(luò)防御行動(dòng)與執(zhí)法、情報(bào)、反間諜和軍事能力整合起來(lái),以全面解決各種網(wǎng)絡(luò)威脅,如遠(yuǎn)程網(wǎng)絡(luò)入侵、內(nèi)部人員入侵、供應(yīng)鏈威脅。“國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃”被寫入喬治·W.布什政府于2008年頒布的第54號(hào)國(guó)家安全總統(tǒng)指令/第23號(hào)國(guó)土安全總統(tǒng)指令(NSPD-54/HSPD-23)中。目前,這些文件屬于機(jī)密,但根據(jù)奧巴馬政府2010年3月公布的簡(jiǎn)報(bào),這個(gè)計(jì)劃的目標(biāo)包括整合聯(lián)邦信息系統(tǒng)的外部接入點(diǎn);在這些系統(tǒng)部署入侵檢測(cè)和防御系統(tǒng);加強(qiáng)研究協(xié)調(diào)和優(yōu)先事項(xiàng)安排,并研制“下一代”技術(shù);加強(qiáng)信息共享、網(wǎng)絡(luò)安全教育和宣傳;減輕源自信息技術(shù)全球供應(yīng)鏈的風(fēng)險(xiǎn);并明確聯(lián)邦政府在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施方面的作用。但是“國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃”主要是解決行政部門網(wǎng)絡(luò)的安全,這只是美國(guó)所依賴的全球信息與通信基礎(chǔ)設(shè)施中很小的一部分。
奧巴馬政府認(rèn)為網(wǎng)絡(luò)安全是美國(guó)面臨的最嚴(yán)峻的經(jīng)濟(jì)和國(guó)家安全威脅之一。奧巴馬總統(tǒng)指示對(duì)網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)行全面審查,評(píng)估與信息和通信基礎(chǔ)設(shè)施有關(guān)的所有活動(dòng)(包括計(jì)算機(jī)網(wǎng)絡(luò)防御、執(zhí)法調(diào)查、軍事與情報(bào)活動(dòng))以及有關(guān)的信息保障、反間諜、反恐、電信政策和綜合性的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)。由政府網(wǎng)絡(luò)安全專家組成的評(píng)估小組徹查了相關(guān)的總統(tǒng)政策令、行政命令、國(guó)家戰(zhàn)略和政府顧問(wèn)委員會(huì)及私營(yíng)部門提供的研究報(bào)告。
在經(jīng)過(guò)60天的全面審查后,美國(guó)白宮網(wǎng)站2009年5月29日發(fā)表了一份報(bào)告,題為《網(wǎng)絡(luò)空間政策評(píng)估——確??尚诺暮陀袕椥缘男畔⑴c通信基礎(chǔ)設(shè)施》。報(bào)告指出,網(wǎng)絡(luò)安全政策包括網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)空間作戰(zhàn)的戰(zhàn)略、政策及標(biāo)準(zhǔn),涵蓋了降低威脅、減少漏洞、威懾、國(guó)際參與、事故響應(yīng)、彈性及恢復(fù)政策與行動(dòng),包括與全球信息與通信基礎(chǔ)設(shè)施的安全與穩(wěn)定息息相關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)作戰(zhàn)、信息保障、執(zhí)法、外交、軍事和情報(bào)任務(wù)等。
根據(jù)這份報(bào)告,奧巴馬總統(tǒng)決定設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)官,負(fù)責(zé)協(xié)調(diào)聯(lián)邦政府的網(wǎng)絡(luò)安全事務(wù),為總統(tǒng)提供網(wǎng)絡(luò)安全事務(wù)方面的咨詢;奧巴馬還指示聯(lián)邦政府和私營(yíng)部門加強(qiáng)協(xié)調(diào),提高應(yīng)對(duì)網(wǎng)絡(luò)事故的能力,同時(shí)加強(qiáng)技術(shù)合作,為網(wǎng)絡(luò)安全尋找創(chuàng)新解決方案。2009年12月,奧巴馬政府任命霍華德·施密特為白宮網(wǎng)絡(luò)安全協(xié)調(diào)官。他參與的一個(gè)重要的行動(dòng)就是自動(dòng)化地連續(xù)監(jiān)測(cè)聯(lián)邦信息系統(tǒng)。其他事項(xiàng)還包括:為網(wǎng)絡(luò)安全和事故響應(yīng)制定統(tǒng)一的戰(zhàn)略,并加強(qiáng)與私營(yíng)部門和其他國(guó)家的合作關(guān)系。他與白宮國(guó)家安全和經(jīng)濟(jì)委員會(huì)協(xié)調(diào)開(kāi)展工作,但是他不能直接控制權(quán)聯(lián)邦機(jī)構(gòu)的預(yù)算。2012年5月邁克爾·丹尼爾接任白宮網(wǎng)絡(luò)安全協(xié)調(diào)官一職。
另外,這份報(bào)告指出,到目前為止,聯(lián)邦政府處理網(wǎng)絡(luò)事故的行動(dòng)還不統(tǒng)一,因此,聯(lián)邦政府需要修訂《國(guó)家應(yīng)急響應(yīng)框架附件——網(wǎng)絡(luò)事故》(Cyber Incident Annex for the National Response Framework),建立一個(gè)明確的且具權(quán)威性的網(wǎng)絡(luò)事故響應(yīng)框架。與處理其他重大國(guó)家事故一樣,在發(fā)生重大網(wǎng)絡(luò)事故時(shí),只有白宮有法定授權(quán)協(xié)調(diào)一系列職能部門和權(quán)力機(jī)構(gòu)。各政府部門和機(jī)構(gòu)應(yīng)按白宮總體戰(zhàn)略指導(dǎo)履行各自責(zé)任??偨y(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)是網(wǎng)絡(luò)事故應(yīng)急行動(dòng)的白宮執(zhí)行官(其職能與幫助白宮監(jiān)測(cè)恐怖主義襲擊或自然災(zāi)害的執(zhí)行官的職能類似)。
三、美國(guó)網(wǎng)絡(luò)安全實(shí)施機(jī)制
(一)國(guó)家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃
美國(guó)國(guó)土安全部聯(lián)合其他聯(lián)邦政府、州政府和產(chǎn)業(yè)界,按照《美國(guó)國(guó)家應(yīng)急響應(yīng)架構(gòu)》的原則,制定了《國(guó)家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃》;然后,修訂了《國(guó)家應(yīng)急響應(yīng)框架附件——網(wǎng)絡(luò)事故》幫助《國(guó)家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃》的實(shí)施。《國(guó)家應(yīng)急響應(yīng)框架附件——網(wǎng)絡(luò)事故》指明了網(wǎng)絡(luò)事故處理的政策、各個(gè)機(jī)構(gòu)的具體職責(zé)、行動(dòng)方案和具體責(zé)任,以具體協(xié)調(diào)各方行動(dòng),應(yīng)對(duì)重大網(wǎng)絡(luò)事故?!秶?guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃》為日常的網(wǎng)絡(luò)事故處理提供了戰(zhàn)略指導(dǎo),并說(shuō)明在什么情況下需要發(fā)起全國(guó)性的協(xié)調(diào)行動(dòng)。為此,參照第5號(hào)國(guó)土安全總統(tǒng)令,按照一次網(wǎng)絡(luò)事故是否會(huì)影響到國(guó)土安全、公共健康和公共安全、國(guó)家經(jīng)濟(jì)(包括會(huì)波及國(guó)家經(jīng)濟(jì)的某個(gè)行業(yè))、公眾信心,制定了國(guó)家網(wǎng)絡(luò)風(fēng)險(xiǎn)預(yù)警分級(jí)系統(tǒng)(見(jiàn)表1) 。
表1 美國(guó)處理國(guó)內(nèi)網(wǎng)絡(luò)風(fēng)險(xiǎn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)預(yù)警分級(jí)系統(tǒng)
網(wǎng)絡(luò)事故響應(yīng)機(jī)構(gòu)必須熟悉《美國(guó)國(guó)家應(yīng)急響應(yīng)架構(gòu)》、《國(guó)家應(yīng)急響應(yīng)框架附件——網(wǎng)絡(luò)事故》、國(guó)家事故管理系統(tǒng)以及《國(guó)家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃》。提供支持的部門、機(jī)構(gòu)參照《美國(guó)國(guó)家應(yīng)急響應(yīng)架構(gòu)》、國(guó)家事故管理系統(tǒng)、《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》以及《國(guó)家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃》,對(duì)網(wǎng)絡(luò)事故的預(yù)備、響應(yīng)、恢復(fù)活動(dòng)提供具體、詳細(xì)指導(dǎo)。
(二)關(guān)鍵基礎(chǔ)設(shè)施部門網(wǎng)絡(luò)安全計(jì)劃
奧巴馬政府還推出了多項(xiàng)措施加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)的安全,其中包括第13636號(hào)行政命令——《改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》。它擴(kuò)展了政府與私營(yíng)部門之間的信息共享和合作機(jī)制,為識(shí)別特別需要保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施確立了一個(gè)程序,要求美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院牽頭制定保護(hù)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)和最佳實(shí)踐;并要求監(jiān)管機(jī)構(gòu)審查當(dāng)前的安全標(biāo)準(zhǔn)是否可行,如果不可行,如何解決風(fēng)險(xiǎn)。同時(shí),第21號(hào)總統(tǒng)政策令(PPD-21)修改了關(guān)鍵基礎(chǔ)設(shè)施安全政策的其他方面,以提高整體性和效率。
(三)國(guó)防部網(wǎng)絡(luò)事故民事支持計(jì)劃
國(guó)防部通過(guò)兩個(gè)不同但相互關(guān)聯(lián)的任務(wù)保護(hù)美國(guó)國(guó)土安全:一是國(guó)土防御,主要是打擊恐怖主義、大規(guī)模殺傷性武器以及處理網(wǎng)絡(luò)事故等;二是民事支持,為其他聯(lián)邦政府機(jī)構(gòu)提供支持,幫助它們應(yīng)對(duì)國(guó)內(nèi)發(fā)生的重大災(zāi)害、突發(fā)事件和特殊事件。
2010年,美國(guó)國(guó)防部與國(guó)土安全部就關(guān)鍵民事和軍事計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的防御達(dá)成了備忘協(xié)議。雖然情報(bào)界持反對(duì)意見(jiàn),但是國(guó)防部認(rèn)可了國(guó)土安全部在網(wǎng)絡(luò)事務(wù)方面的領(lǐng)導(dǎo)作用。協(xié)議就發(fā)生了國(guó)內(nèi)網(wǎng)絡(luò)事故的情況下,在事故響應(yīng)過(guò)程中,國(guó)防部在接到請(qǐng)求后如何提供民事支持做了詳細(xì)的規(guī)定,但是有一些問(wèn)題沒(méi)有解決。首先,美國(guó)國(guó)防部還沒(méi)有明確角色和職責(zé),負(fù)責(zé)全球戰(zhàn)略事務(wù)的助理國(guó)防部長(zhǎng)、負(fù)責(zé)國(guó)土防御和國(guó)家安全事務(wù)的助理國(guó)防部長(zhǎng)的角色存在沖突和重疊。其次,國(guó)防部并沒(méi)有確保其民事支持與國(guó)家戰(zhàn)略框架相符合,不能確保國(guó)防部為國(guó)內(nèi)網(wǎng)絡(luò)事故響應(yīng)提供民事支持做了充分的準(zhǔn)備。國(guó)土安全部對(duì)國(guó)內(nèi)網(wǎng)絡(luò)攻擊做出有效響應(yīng)并減輕攻擊的威脅的行動(dòng)就會(huì)受到影響。
2005年國(guó)防部第一次發(fā)布了《國(guó)土防御和民事支持戰(zhàn)略》。2013年2月國(guó)防部發(fā)布了新的《國(guó)土防御和民事支持戰(zhàn)略》,強(qiáng)調(diào)國(guó)防部將與國(guó)土安全部、聯(lián)邦調(diào)查局和其他跨機(jī)構(gòu)合作伙伴密切合作,支持國(guó)家打擊攻擊關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅的行動(dòng)。國(guó)防部已經(jīng)具備了有效的行動(dòng)能力,可以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免遭網(wǎng)絡(luò)威脅,而且在接到總統(tǒng)的指示后,會(huì)采取行動(dòng)保護(hù)美國(guó)免遭網(wǎng)絡(luò)攻擊。
圖1 美國(guó)網(wǎng)絡(luò)安全實(shí)施機(jī)制
總而言之,目前美國(guó)聯(lián)邦政府圍繞國(guó)家應(yīng)急架構(gòu)制定了網(wǎng)絡(luò)安全實(shí)施機(jī)制(見(jiàn)圖1)。所有的聯(lián)邦政府機(jī)構(gòu)必須為自己計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全承擔(dān)責(zé)任,而且許多機(jī)構(gòu)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的某個(gè)具體部門承擔(dān)安全責(zé)任(表2),如交通運(yùn)輸部負(fù)責(zé)交通運(yùn)輸部門的安全??鐧C(jī)構(gòu)協(xié)調(diào)是復(fù)雜的,簡(jiǎn)單地說(shuō),在一般情況下,除了白宮,國(guó)土安全部是是負(fù)責(zé)民事部門網(wǎng)絡(luò)安全的主要機(jī)構(gòu),承擔(dān)重要的協(xié)調(diào)職能。美國(guó)商務(wù)部的國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院負(fù)責(zé)制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和指南,這些標(biāo)準(zhǔn)和指南然后由聯(lián)邦政府行政管理和預(yù)算辦公室頒布。司法部主要負(fù)責(zé)網(wǎng)絡(luò)安全執(zhí)法。美國(guó)國(guó)家科學(xué)基金會(huì)、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院和國(guó)土安全部都具備網(wǎng)絡(luò)安全研究和開(kāi)發(fā)職能。美國(guó)國(guó)防部與國(guó)土安全部、聯(lián)邦調(diào)查局協(xié)調(diào),為國(guó)內(nèi)網(wǎng)絡(luò)事故提供民事支持。國(guó)家安全局是負(fù)責(zé)國(guó)家安全部門網(wǎng)絡(luò)安全的主要機(jī)構(gòu),但其他國(guó)防機(jī)構(gòu)也發(fā)揮重要作用。2010年美國(guó)國(guó)防部在戰(zhàn)略司令部下設(shè)立的美國(guó)網(wǎng)絡(luò)司令部主要負(fù)責(zé)網(wǎng)絡(luò)空間的軍事作戰(zhàn)行動(dòng),以提高網(wǎng)絡(luò)空間作戰(zhàn)的軍事效能。
表2 美國(guó)關(guān)鍵基礎(chǔ)設(shè)施部門分類和具體負(fù)責(zé)機(jī)構(gòu)。信息來(lái)源:第21號(hào)總統(tǒng)政策令《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》。
四、美國(guó)網(wǎng)絡(luò)安全立法的現(xiàn)狀與問(wèn)題
美國(guó)聯(lián)邦政府在解決網(wǎng)絡(luò)安全問(wèn)題方面面臨諸多挑戰(zhàn),因?yàn)橐环矫嫔婕氨Wo(hù)聯(lián)邦政府信息系統(tǒng)的安全,另一方面也涉及在保護(hù)非聯(lián)邦政府信息系統(tǒng)方面聯(lián)邦政府如何發(fā)揮適當(dāng)?shù)淖饔?。目前,美?guó)還沒(méi)有制定總體的網(wǎng)絡(luò)安全法律框架,但許多重要法規(guī)對(duì)網(wǎng)絡(luò)安全的多個(gè)方面做出了法律界定,見(jiàn)表3。
表3 美國(guó)的重要網(wǎng)絡(luò)安全法律文件
美國(guó)國(guó)會(huì)研究服務(wù)處的研究確定還有40多個(gè)法律文件有網(wǎng)絡(luò)安全方面的規(guī)定。而且,許多網(wǎng)絡(luò)安全法案被提交到最近三屆國(guó)會(huì)(第111、112、113屆國(guó)會(huì)),美國(guó)立法部門正打算對(duì)現(xiàn)行法律做出修改,以完善美國(guó)網(wǎng)絡(luò)安全立法。
2011年4月,白宮向國(guó)會(huì)提交了一個(gè)綜合性的、分七個(gè)部分的網(wǎng)絡(luò)安全立法建議。該提案的一些內(nèi)容被眾議院和參議院的網(wǎng)絡(luò)安全法案所采納。在第112屆國(guó)會(huì)期間,參議院制定了一個(gè)綜合性網(wǎng)絡(luò)安全法案——2012年2月提交的《2012年網(wǎng)絡(luò)安全法案》(S.2105)——這個(gè)法案整合了國(guó)土安全和政府事務(wù)委員會(huì)與商務(wù)、科學(xué)和運(yùn)輸委員會(huì)的議案。2012年3月提交參議院的另一個(gè)法案《信息技術(shù)安全法案》(S. 3342)是S. 2151的修訂版。
在2012年7月,參議院就S. 3342展開(kāi)辯論,但沒(méi)有通過(guò)。奧巴馬政府轉(zhuǎn)而采取行政命令的形式,美國(guó)國(guó)會(huì)一些議員認(rèn)為這不利于與私營(yíng)部門和國(guó)際伙伴的談判,會(huì)阻礙立法工作,因此表示反對(duì)奧巴馬的行動(dòng)。但是,2013年2月奧巴馬政府發(fā)布了第13636號(hào)行政命令——《改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》。
第113屆國(guó)會(huì)期間,參議院放棄了綜合性網(wǎng)絡(luò)安全立法,轉(zhuǎn)而針對(duì)網(wǎng)絡(luò)安全的具體方面提出了10個(gè)獨(dú)立法案,包括《2013年網(wǎng)絡(luò)安全法案》(S. 1353)。
眾議院在2011年6月組建了有12個(gè)成員的眾議院共和黨網(wǎng)絡(luò)安全工作小組(House Republican Cybersecurity Task Force),小組提出了一系列的建議(工作組報(bào)告),眾議院隨后提交的法案專門針對(duì)小組報(bào)告書(shū)中所提出的問(wèn)題,這些建議推進(jìn)了眾議院的網(wǎng)絡(luò)安全立法。2012年4月眾議院通過(guò)了四個(gè)法案:
·《2011年增強(qiáng)網(wǎng)絡(luò)安全法案》(H.R. 2096),涉及聯(lián)邦政府網(wǎng)絡(luò)安全研發(fā)和技術(shù)標(biāo)準(zhǔn)的制定;
·《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》(H.R. 3523),其重點(diǎn)是信息共享和協(xié)調(diào),包括共享機(jī)密信息;
·《2012年推進(jìn)美國(guó)網(wǎng)絡(luò)和信息技術(shù)的研究和開(kāi)發(fā)法案》(H.R. 3834),涉及網(wǎng)絡(luò)和信息技術(shù)研發(fā),但不限于安全;
·《2012年聯(lián)邦信息安全修正法案》(H.R. 4257),涉及《聯(lián)邦信息安全管理法案》的改革。
這些法案在遇到反對(duì)之后,經(jīng)過(guò)一些修訂后,2013年4月在眾議院獲得通過(guò):
·《2013年加強(qiáng)網(wǎng)絡(luò)安全法案》(H.R. 756);
·《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》(H.R. 624);
·《2013年推進(jìn)美國(guó)的網(wǎng)絡(luò)和信息技術(shù)的研究和開(kāi)發(fā)法案》(H.R.967);
·《2013年聯(lián)邦信息安全修正法案》(H.R. 1163)。
提交國(guó)會(huì)的網(wǎng)絡(luò)安全法案的立法建議主要集中在10大領(lǐng)域:國(guó)家戰(zhàn)略和政府的角色、《聯(lián)邦信息安全管理法案》的改革、保護(hù)關(guān)鍵基礎(chǔ)設(shè)施(尤其是電網(wǎng)和化工)、信息共享和跨部門協(xié)調(diào)、造成個(gè)人數(shù)據(jù)(如財(cái)務(wù)信息)失竊或泄露的入侵、網(wǎng)絡(luò)犯罪預(yù)防和處罰、電子商務(wù)環(huán)境下的隱私、國(guó)際協(xié)調(diào)、研究與開(kāi)發(fā)、網(wǎng)絡(luò)安全隊(duì)伍建設(shè)。 而事實(shí)上,美國(guó)政府的努力主要是推動(dòng)兩個(gè)方面的網(wǎng)絡(luò)安全立法——保護(hù)關(guān)鍵基礎(chǔ)設(shè)施以及促進(jìn)政府與產(chǎn)業(yè)界之間的信息交換。
比如,在促進(jìn)政府與產(chǎn)業(yè)界之間的信息交換這個(gè)問(wèn)題上,眾議院在2012年通過(guò)了《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》,但是法案受到了工業(yè)界、隱私保護(hù)團(tuán)體的阻礙,眾議院不得不加以修訂,在2013年通過(guò)了新的《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》。 即便經(jīng)過(guò)修訂,白宮仍然認(rèn)為不夠,如果這個(gè)版本提交總統(tǒng)簽字的話,奧巴馬總統(tǒng)會(huì)否決這個(gè)法案。
自2002年以來(lái),美國(guó)政府還沒(méi)有頒布綜合性網(wǎng)絡(luò)安全立法。而且,最近幾年,美國(guó)網(wǎng)絡(luò)安全立法成果寥寥可數(shù)。雖然眾議院、參議院和白宮都提出了數(shù)量龐大的網(wǎng)絡(luò)安全議案,涉及網(wǎng)絡(luò)安全的諸多方面,既有綜合性的網(wǎng)絡(luò)安全法案,也有就網(wǎng)絡(luò)安全的某個(gè)具體問(wèn)題而提出的法案,但是由于多方利益、意見(jiàn)分歧,這些法案在一次又一次的修訂后,也很難獲得通過(guò),成為正式法律文件。
五、結(jié)語(yǔ)
奧巴馬政府對(duì)美國(guó)網(wǎng)絡(luò)安全政策進(jìn)行了全面審查,美國(guó)政府認(rèn)為網(wǎng)絡(luò)空間是美國(guó)經(jīng)濟(jì)繁榮和國(guó)家安全面臨的嚴(yán)峻挑戰(zhàn)之一,甚至超過(guò)恐怖主義襲擊的威脅程度。網(wǎng)絡(luò)空間的保護(hù)是美國(guó)國(guó)家安全戰(zhàn)略的重要內(nèi)容,國(guó)土安全部總體負(fù)責(zé)協(xié)調(diào)保護(hù)和防御民用網(wǎng)絡(luò)的行動(dòng),同時(shí)國(guó)防部對(duì)國(guó)土安全部、司法部提供網(wǎng)絡(luò)防御民事支持能力;國(guó)防部主要負(fù)責(zé)軍事網(wǎng)絡(luò)的防御,國(guó)防部設(shè)立了美國(guó)網(wǎng)絡(luò)司令部加強(qiáng)美軍的網(wǎng)絡(luò)空間作戰(zhàn)能力,提高作戰(zhàn)效能。網(wǎng)絡(luò)技術(shù)發(fā)展日新月異,先進(jìn)網(wǎng)絡(luò)技術(shù)往往是掌握在私營(yíng)部門手中,因此網(wǎng)絡(luò)防御需要與私營(yíng)企業(yè)的緊密合作,需要加強(qiáng)網(wǎng)絡(luò)空間情報(bào)交換;而且還涉及如何處理隱私保護(hù)的問(wèn)題。那么,如何理清這些關(guān)系是目前美國(guó)網(wǎng)絡(luò)安全立法面臨的最嚴(yán)峻的挑戰(zhàn)。