美国网络安全政策:历史经验与现实动向

王本欣

美国网络安全政策:历史经验与现实动向

王本欣

奥巴马作为美国第一位“网络总统”，上任后高度重视网络空间安全，大力推进网络安全建设，从加强政府协调能力、完善网络空间各项制度、增强网络空间行动能力等方面入手，全力打造美国网络安全战略体系。2016年11月9日，共和党候选人特朗普当选美国新一任总统，美国的网络安全政策处在了新的十字路口。可以预计，特朗普的治网理念一定会既汲取奥巴马网络安全政策的某些经验，又有调整与变化，这将给美国乃至世界的网络安全治理及美中涉网合作带来机遇和挑战。

美国 奥巴马 特朗普 网络安全 安全治理

[作者介绍] 王本欣，中国现代国际关系研究院博士生，主要研究信息安全与社会治理。

美国政府过去八年空前重视网络空间安全，奥巴马离任前夕采取系列举措，以图将其“网络新政”留作政治遗产。奥巴马作为美国第一位“网络总统”*刘平：“奥巴马政府艰难推进网络安全政策”，《中国青年报》，2014年2月20日。，竞选时靠小额网络捐款筹得大笔经费，上任后高度重视网络空间的战略地位，大力推进网络安全建设。其政策核心不同于克林顿政府的“全面防御”政策和小布什政府攻防结合的“网络反恐”政策*朱丹丹：“网络时代美国国家安全框架下的信息安全与对外政策”，《辽宁大学学报(哲学社会科学版)》， 2015年第2期，第155～160页。，是建立在“网络实力”理论基础上的“网络威慑战略”。*张力：“网络威慑：奥巴马网络安全战略的政治遗产”，《汕头大学学报·网络空间研究》，2016年第8期，第72～75页。美国理论界近年讨论如何通过网络传递威慑意志、实行拒止威慑和报复威慑等问题，其目标正是“为美国实施网络威慑战略服务”。*何奇松：“近年美国网络威慑理论研究述评”，《现代国际关系》，2012 年第 10 期，第7页。新总统特朗普面对的是变化莫测的网络空间和不断恶化的安全形势，这必然要求新的治网理念，美国网络安全战略走到了新的十字路口。本文拟总结奥巴马政府的网络安全政策，以期梳理出特朗普政府的网络安全政策思路。

一

奥巴马上任伊始就组织专家团队对网络安全议题开展深入调研，很快为其网络安全政策定下基调。一是美国战略与国际问题研究中心(CSIS)资深网络安全专家詹姆斯·刘易斯(James Lewis)等专家提交的加强美国网络安全的政策建议书；二是美国国家安全委员会专家梅利萨·哈撒韦(Melissa Hathaway)等专家撰写的《网络空间政策评估：保障可信和强健的信息和通信基础设施》；三是美国国防大学富兰克林·克莱默(Franklin Kramer)等专家以及美国务院在2009年初完成了“网络威慑”项目研究报告。2009年5月，奥巴马即着手调整美国的网络安全机制，美国网络安全政策的制度化日益加强。

第一，加强对网络安全事务的协调管理。奥巴马政府认识到，网络安全政策调整的重中之重是整合国内涉网资源力量，使之在应对网络威胁时能形成合力、快速反应、及时决策。2009年5月，奥巴马宣布成立白宫网络安全办公室，负责协调整合政府网络安全战略和政策，与国会、其他联邦部门和机构、州和地方政府就网络安全事务加强协商。2009年12月，霍华德·施密特(Howard A. Schmidt)获任为首位白宫网络安全事务协调官，人称“网络沙皇”。2010年5月，美国防部宣布成立网络司令部，原国家安全局局长基斯·亚历山大(Keith Alexander)任司令，主要职责是保护军方网络免遭敌方入侵和破坏，并配合白宫网络安全办公室，与民间组织一起反制网络入侵，以掌握网络空间的控制权。2011年1月，美国网络安全管理和执行办公室成立，该机构“采取政府和民间合作形式，将最高程度确保网络传输及信息安全”。*刘丹：“美国政府将成立加强网络安全管理和执行办公室”，《计算机安全》,2011年第1期，第96页。2016年2月，美国国家网络安全促进委员会成立，由前国家安全事务助理汤姆·多尼伦(Tom Donilon)和IBM前首席执行官彭明盛(Sam Palmisano)共同领导，“以期规划未来十年的网络安全技术、政策发展路线图”。*“Fact Sheet: Cybersecurity National Action Plan”, Office of the Press Secretary, The White House, February 9, 2016.国家网络安全促进委员会的成立被视为奥巴马保留自身网络政策遗产的收官之作。

第二，完善网络空间安全制度建设。奥巴马执政期间，先后出台了多项指导性文件，为美国网络安全领域的诸多举措提供依据。2009年出台《美国国家情报战略》，将“确保网络安全作为情报系统重大任务之一”*钟思礼：“《2009年美国国家情报战略》报告解读”，《国际研究参考》,2009年第12期，第30～31页。；同时发布《网络空间政策评估·保障可信和强健的信息和通信基础设施》，强调“政府要加强对网络安全的领导，提升建设数字化国家的能力和民众网络安全意识，促进政府与私营企业合作，明确美国数字基础设施将被视为国家资产”*“Cyber Space Policy Review”，The White House，May 2009.。2011年5月出台《网络空间国际战略》，首次全面阐述维护网络安全、推进网络自由政策，显示出明确的战略意图，即制定规则、谋求优势、控制世界。*International Strategy for Cyberspace, The White House, May 2011.同年7月，美国国防部发布《网络空间行动战略》，提出捍卫美国在网络空间的利益，“使得美国及其盟国和国际合作伙伴可以继续从信息时代的创新中获益”。*沈昌祥：“网络空间安全战略思考与启示”，2014中国互联网安全大会论文，2014年9月25日。2012年10月，奥巴马签署《美国网络行动政策》，在法律上赋予美军进行非传统战争的权力，将网络攻击视为战争行为，明确网络空间是与陆海空天并列的第五大作战领域。2013年2月，奥巴马发布《增强关键基础设施网络安全》，并指出这项网络安全政策旨在提升国家关键基础设施安全及其恢复能力。2015年12月，美国白宫向国会提交《网络威慑政策报告》，为美国的网络威慑战略盖棺论定。

第三，增强网络防御及其行动能力。一是打造强大的网络防御能力。为此，奥巴马政府采取多方措施减少网络安全漏洞和隐患，力图用“坚不可摧”的网络防御慑止敌人潜在的网络攻击意图和行为。经过多年的努力，美国网络关键基础设施的保护效果明显增强。二是加强网络空间态势的感知和溯源能力。美国国土安全部2010年开始实施“爱因斯坦-3”(E3)计划，以增强网络安全态势的感知能力，该计划的核心就是构建防御入侵的能力，将被动监测变为主动防御。*Jonathan Cantor, “Privacy Impact Assessment for EINSTEIN 3 - Accelerated (E3A)”，Department of Homeland Security, April 19, 2013.2012年10月，时任国防部长莱昂·帕内塔(Leon Panetta)表示，美国投入巨大人力和财力以解决网络攻击的溯源问题，“目前正取得回报”；他在首次网络政策演说中宣布，“美军现在有能力追踪到计算机网络攻击的源头”。*徐龙第：“美国‘先发制人’网络打击政策的背景条件与挑战”，《当代世界》，2013年第7期，第64页。三是举行网络演习，以检验网络空间行动能力。2011年、2012年，美国网络司令部先后组织了两次“网络旗帜”演习，参与者超过700人，汇集了国防部、其他政府部门、实验室以及盟国的网络安全技术专家，“通过应用全球靶场互联网模拟器，为国防部下属众多司令部提供阻止、挫败网络攻击的仿真训练”*李恒阳：“奥巴马第二任期美国网络安全政策探析”，《美国研究》，2014年第2期，第56～57页。。2016年3月，美国举行“网络风暴5”演习，旨在建立信息共享机制，检验国土安全部(重点是新机构国家网络安全与通信整合中心, NCCIC)和其他政府部门在网络安全事件中的应对能力，“检验联邦政府、州、私营企业和盟友之间的协作、信息共享、网络威胁感知和决策能力”*“Cyber StormⅤ,National Cyber Exercise”, https://www.dhs.gov/cyber-storm-v.(上网时间2016年12月10日)。该演习为检验“美国国家网络事件应急计划”(NCIRP)、探索国土安全部和其他政府部门应对网络威胁的责任划分提供了机会。2011年12月，23个北约成员国和6个伙伴国举行“2011网络联盟”演习，显示了北约在网络空间军事化背景下进行网络战合作的意图。美国通过演习检验了网络武器实战效果，“增强了网络攻防能力，也确立了自己在国际网络军事合作中的领导地位”。*“北约举行代号为"2011网络联盟"的网络防御演习”，http:// www.chinanews.com/ gj/ 2011/12-16/ 3538878. shtml.(上网时间：2016年12月10日)四是增强网络空间执法能力。美司法部根据《联邦起诉原则》，多次起诉黑客及相关组织，以此贯彻落实网络威慑战略，重点是增加网络威胁制造者或支持者的直接成本，使之付出代价，从而慑止网络攻击行为。

奥巴马政府在两届任期内大力加强白宫协调网络事务和应对网络威胁的能力，制定了相关政策，健全了关键基础设施的保护制度；同时，使网络空间作战合法化，构建出完整的网络威慑战略体系。白宫2015年12月发布的《网络威慑政策报告》中列举了网络威慑组成要素，其中包括“强力而明确的政策宣告，构建网络安全防御能力，增强指挥与控制能力，增加网络威胁者的经济成本，采取执法行动，构建网络威胁态势感知，增强跨部门协作和国际合作能力”。*“White House Finally Acquiesces to Congress on Cyber Deterrence Policy”, http://federalnewsradio.com/cybersecurity/2015/12/white-house-finally-acquiesces-congress-cyber-deterrence-policy/.(上网时间：2016年12月10日)实际上，网络威慑战略涵盖了奥巴马网络安全政策的各个环节及流程。

二

尽管奥巴马政府在维护网络空间安全方面的政绩可圈可点，但不容否认的是，随着国际网络安全态势的变化，并且由于网络威慑政策自身的局限性，美国既往的网络安全政策遭遇重重挑战。

第一，网络安全事件频频冲击美国的价值观。“自由与民主”一直是美国标榜的核心价值观，然而近年来遭遇连串网络事件的严重冲击。一是“斯诺登事件”撕下了美国的“互联网自由”标签。2013年6月，美国媒体披露：“过去6年间，美国国家安全局和联邦调查局通过侵入苹果、微软、谷歌、雅虎等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料”。*“揭秘：棱镜计划”，http:// news.ifeng.com/ world/ special/ sndxiemi/ content-4/ detail_2013_06/ 13/ 26366771_ 0.shtml.(上网时间：2016年12月10日)在辩解时，奥巴马称阻止恐怖主义优先于保护隐私权，“你不能在拥有100%安全的情况下同时拥有100%隐私和100%便利”。美国IT巨头处境尴尬，一方面标榜网络自由，反对其他国家政府监管互联网；另一方面又与美国政府合作监控公民隐私，这与美国价值观中的“自由”、“人权”等原则背道而驰。二是2016年美国大选诸多活动和事项频遭网络攻击和域外势力干涉。面对大选结果，奥巴马以及国会要求情报部门调查希拉里“邮件门”及网络攻击事件是否为域外政治势力主导。如果调查结果得以证实，惯常利用网络干涉他国内政的美国将成为全世界的笑柄。受“邮件门”事件的影响，2016年12月23日，奥巴马在即将卸任之际签署了《波特曼-墨菲反宣传法案》，此法案没有明确指向恐怖主义和极端宗教主义，反而特别指出针对中国和俄罗斯，表明了美国从国际宣传斗争中角色由“进攻者”向“防守者”转变，它所塑造的“自由民主灯塔”显然在歪斜。

第二，网络威慑战略思维具有局限性。美国网络威慑战略脱胎于冷战期间的核威慑思想，其目标是影响敌方(主要是国家和国家集团)网络攻击决策的制定，阻止对方发动侵害美国和美盟友的网络攻击。它沿用了“以战止战”的大棒思路去慑止网络空间威胁。这种“以战止战”的冷战思维在一段时期内产生过一定的威慑效果，但与现实世界相对稳定的大国关系密切相关。然而，随着网络技术的普及、网络空间的深化和国际形势的发展，网络威慑战略的局限性不断暴露出来。许多研究人员指出，这种局限性表现在多个方面。兰德公司资深研究员马丁·利比基(Martin C. Libicki)的观点较有代表性。一是网络恐怖主义势力抬头，潜在的网络攻击方不仅限于国家行为体，“第三方攻击”的发起者构成复杂，核威慑战略的“理性行为前提假定”如何适用于网络威慑的思维及实践有待商榷。二是“网络威慑战略难以保证将威慑意志准确传达给对方，可能引发误解进而导致冲突升级失控”。*Martin C. Libicki，“Cyberdeterrence and Cyberwar”, Blackstone Audiobooks,Vol. 25, No.4, 2010, pp.11-22.三是将网络攻击简单定义为战争行为过于草率。一般认为，网络攻击和网络战之间的“转换阈值”不能过低，否则会容易在网空引发冲突升级，使各国陷入竞相研发网络武器的恶性循环。此外，网络攻击的技术门槛较低，从国家到普通黑客均可发起攻击行为，且网络武器具有“一次性”特征，一经展示即有可能被对方破解而失效，因此无法保证彻底摧毁对方并解除其反击能力。四是企业加入国家网络威慑体系的意愿不强，因而在提升自身的网络安全水平上受到制约。

与此同时，网络威慑刺激了国家之间网络空间军备竞赛的升级，引发冷战思维在网络空间的肆虐。最突出的是，近年来，美国尽管具有超强的网络攻防能力却也成了网空威胁的受害者，它遭受的网络攻击数量不减反增，呈现频发高发态势。可见，网络威慑战略所达成的效果越来越有限，远跟不上当今世界网络空间发展及网络安全形势的需要。

第三，万物互联时代呼吁新的网络安全理念。云计算、物联网、大数据时代的来临，正在改变当今网空治理的格局。攻击者可通过物联网入侵国家关键基础设施，譬如黑客可从入侵一个红绿灯信号控制系统入手，进而黑掉全国的交通信号指挥系统，造成全国城市的交通瘫痪；可以入侵一个安装了传感器的井盖造成全城天然气管道泄漏。这样的场景从“震网事件”开始就在全世界不断上演。近期的例子是，2016年10月下旬，黑客借助物联网设备发动攻击，引发美国东部地区网络大瘫痪。万物互联时代，个人健康状况、指纹等公民隐私从一出生就被记录在云端，诸如希拉里的“健康门”事件已经成为公开的秘密，“隐私”的概念正在被改写。各行为主体互通互联，利益交织、深度融合，单凭陈旧的冷战思维、威慑思想、大棒逻辑去追求网络空间的绝对安全如同刻舟求剑。网络空间形势，亟须网络安全治理的新思维。本着构建网络空间命运共同体的理念，寻求各方广泛合作前提下的“相对安全”，彼此尊重各方关切、相互信任，已经成为网络空间安全治理的基本共识。

三

特朗普就任美国总统之前没有任何从政经验，外界对其执政理念无从预知、多有猜测。特朗普在竞选中几乎没有提及“互联网”(Internet)，而是使用“网络(cyber)”一词，并表示“现在网络这东西超大”。在民主党遭遇“邮件门”事件时，他戏称“欢迎俄罗斯对希拉里开展黑客攻击”。在联邦调查局(FBI)要求苹果公司协助解锁罪犯的加密苹果手机(iphone)而遭到拒绝时，特朗普呼吁抵制苹果公司。在与希拉里的辩论中，特朗普申明了对网络安全的立场：“要让美国真正安全起来，我们必须把网络安全放到首要位置。如果我当上了总统，必将要求对美国当前应对黑客攻击的能力做个综述。”*“Trump: Cybersecurity should be A Top Priority”, https://www.cnet.com/news/trump-cybersecurity-should-be-a-top-priority/.(上网时间：2017年4月5日)关于网络安全政策的细节，特朗普及其团队一直含糊其辞。再结合美国硅谷的高科技企业对特朗普本人和共和党的态度，可以推断，特朗普政府在网络安全领域将面临来自科技界和政府安全部门的多重压力。

实际上，美国各大智库和学者早就开始酝酿、献计献策，以期影响特朗普政府的网络安全政策。比如，美国企业研究所(AEI)2016年6月发布报告——《美国网络空间战略：促进自由、安全与繁荣》，评估美国既有网络安全政策的成败、得失，探讨下届政府网络空间战略与政策走向，提出一整套网络空间战略的新设想，包括“加强互联网自由与人权、维护公平的数字贸易环境、建立国际执法合作机构打击网络犯罪、实施网络威慑战略保护构建基础设施等”。*马芳、桂畅旎：“美国智库网络空间战略新倡议评述”，《汕头大学学报·网络空间研究》，2016年第8期。再比如，特朗普当选后不久，美国互联网协会(Internet Association)向特朗普提供了一份网络发展路线图，涵盖如何使互联网继续成长、繁荣、持续成功并创造更多就业岗位等要点。它提出了一系列意见、建议，诸如“保护知识产权，促进网络空间表达自由、创新和商业发展，保持自由和开放的全球互联网政策和强大的数字贸易政策，敦促政府提高公共政策的制定水平，在美国的外交活动中推动保持互联网的开放性，支持建立坚实的多方参与监管机制”等。*孙那、李金磊：“美国互联网界致信特朗普，提出互联网未来发展路线图”，腾讯研究院，2016年11月28日。此外，美国国际战略研究中心、美国东西方研究所、兰德公司、布鲁金斯学会、卡耐基国际和平基金会等智库也已经或者准备为特朗普的网络安全政策建言献策。目前，特朗普的网络政策团队尚未成型。在网络安全领域，美国是按照既定网络安全政策路线走下去，还是会采纳智库和学者的意见另辟蹊径，仍需拭目以待。但是，近期一系列事件释放出明确的信号，那就是特朗普在网络安全等诸多涉网议题上将一改共和党人的“短板”，力争有所作为。一是主动改善执政团队、新政府与科技界关系。2016年12月14日，特朗普邀请13位硅谷高科技企业高管举行会谈，特朗普称：要“帮助你们这些家伙干好”*“Donald Trump Strikes Conciliatory Tone in Meeting with Tech Executives”, The Wall Street Journal, December 15, 2016.，希望通过此次会谈改善美科技界对他本人及共和党的态度，若双方关系有所缓和将使他转变科技工作思路。二是任命网络安全专家担任国土安全顾问。2016年12月底，特朗普决定由托马斯·波塞特(Thomas Bossert)出任国土安全顾问。波塞特曾在小布什政府担任副国家安全顾问，协助规划关键基础设施的网络安全工作，是网络安全和反恐领域资深决策者。这一任命旨在加强特朗普政府在涉网问题上的决策能力，预示新政府将视涉网安全为国家安全工作的重头戏。

当前，特朗普网络安全政策尚未定型，中美网络安全关系正值“空档期”，中美双方可以利用这个间隙，认清在网络安全领域的共同利益，以扩大网络空间方面的共识与合作基础，为双边网络安全合作打造新亮点。

第一，不断扩大共识，深化网空合作。一直以来，美国是网络空间的先驱和秩序规则的主导者，而中国是网络空间的建设者和规则制定进程的积极参与者。两国在网络空间拥有巨大的合作潜力，共同面临猖獗的网络恐怖主义、网络跨国犯罪、频发的网络攻击行为及各种新情况、新问题、新威胁。在利益深度交织、命运攸关、安全紧密相连的网络空间中，中美两国应该而且必须抛弃冷战思维和意识形态斗争，求同存异，秉持“开放、平等、协作、共享”的互联网精神，并与其他国家一起践行“相对的、开发的、合作的网络安全观”*张力：“网络威慑：奥巴马网络安全战略的政治遗产”，《汕头大学学报·网络空间研究》，2016年第8期，第72～75页。。这才是新时期网络空间安全的应有之义。

第二，多维度沟通交流，在网空领域增进互信。中美在网络安全领域应通过多种方式、不同维度、多条渠道开展合作对话，增加相关政策观点的透明度，加深了解，化解误会。在官方层面，2013年，中美在安全战略对话框架下成立了网络安全工作组，然而一年后由于美方挑起对华司法争端，该工作组被迫停止活动。2015年9月习近平主席访美期间，中美双方同意加强网络安全领域对话合作，建立两国“共同打击网络犯罪及相关事项高级别联合对话”机制，该机制的运作迄今已经进行三轮磋商，取得了积极进展。不久的将来，中美两国可望在经过紧密磋商、博弈之后，逐渐搭建起更高层级、覆盖更多网络议题的综合性网络安全高层级对话机制。在非官方层面，从2009年起，中美之间的二轨渠道如中国现代国际关系研究院与美国国际战略研究中心之间等多次举办网络安全对话，两国网络安全领域的政府官员和学者均以个人名义参与。“二轨对话”旨在减少双方误解，提升网络安全管理机制的透明度，重点加强合作以建立互信、制定网络行为准则等。预计，中美在二轨渠道将逐渐扩大并深化有关专业性对话，涉及的主题包括物联网安全、云安全、大数据安全、数字经济发展及网络与数字产品知识产权保护等。

第三，深度整合中国国内网空力量，维护中国在网空领域的安全和利益。特朗普在总统竞选过程中，频频语出惊人。就对华方面而言，特朗普“随性”的言论让人大跌眼镜，在竞选中多次无端指称中国是“货币、汇率操纵国”，当选后公开与中国台湾当局领导人蔡英文通话，给中美关系的走向带来高度不确定性。事后直至今日，经过两国多方的努力，这种不确定性才逐渐淡化。在网络安全领域，重大突发性网络安全事件爆发的危险一直存在。为此，中国国内应充分整合政府、企业和学术界资源，统一声音、权威发声，用一致而明确的立场、态度和观点，运用底线思维，加强沟通、据理力争，维护中国在网络空间的国家安全和民众利益。2016年12月27日，中国《国家网络空间安全战略》的发布以及不久前发布的《网络空间国际合作战略》就是两项重大举措，这表明：中国决心顺应大数据、物联网的时代要求，在网络空间领域与美国等所有国家一道务实合作、精诚进取，以维护全球网络空间稳定，使之惠及全人类。○

(责任编辑：新南)