美国网络安全战略分析,本文主要内容关键词为:美国论文,网络安全论文,战略论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:D81 文献标识码:A 文章编号:1004-8049(2010)07-0072-11
随着网络(Cyber)或网络空间(Cyberspace,或译为赛博空间)的发展,网络安全问题也随之出现。网络安全是指为保护网络基础设施、保障安全通信以及对网络攻击所采取的措施。美国是一个高度依赖网络的国家,计算机网络已经渗透到美国政治、经济、军事、文化、生活等各个领域。各种业务处理基本实现网络化,美国整个社会运转已经与网络密不可分。但是各领域对网络的高度依赖,导致其抵御网络安全威胁的脆弱性;换言之,一旦出现网络危机,有可能导致美国整个社会陷于瘫痪。这就是美国人所担忧的“网络珍珠港”(cyber Pearl Harbor)或者“电子9·11事件”(e-9/11 event)。为避免这种情况的出现,美国是世界上第一个制定网络安全战略的国家,而且也是首个把网络安全战略作为国家安全战略组成部分的国家。本文试图分析从克林顿政府到小布什总统再到奥巴马政府的网络安全战略的演变,以及美国网络安全战略的保障措施,及其实质和影响。在论述之前,有必要明确一下,美国政府和军方是如何界定网络空间的。小布什总统签发的第54号国家安全政策指令和第23号国土安全总统指令(NSPD-54/HSPD23)中规定:“赛博空间是指互相依赖的信息技术基础设施网,包括因特网、电信网、计算机系统以及重要行业的嵌入式处理器和控制器。”①美国军方对网络空间的定义则是:“赛博空间是信息环境内的全球领域,它由独立的信息技术基础设施网组成,包括因特网、电信网、计算机系统以及嵌入式处理器和控制器。”②由此可见,政府和军方对网络空间的界定几乎是一致的。
一、网络安全战略的基础——制网权理论
1988年,美国康奈尔大学计算机系研究生罗伯特·莫里斯(Robert Morris)制造出震惊世界的“莫里斯蠕虫病毒”,造成全球6000多所大学和军事机构的计算机受到感染并瘫痪,而美国遭受的损失最为惨重。该病毒进入美国国防部战略系统的主控中心和各级指挥中心,使得共约8500台军用计算机出现各种异常情况,其中6000部计算机无法正常运行,造成直接经济损失上亿美元。这次事件向人们展示了网络战的基本方式和巨大威力,对方只要有一台计算机并接入互联网就可以进行“潜伏式战斗”,而且有的时候比任何高技术武器造成的损失还要大。第一次海湾战争中,美国特工利用伊拉克购置的一批用于防空系统的打印机途经安曼的机会,将一套带有病毒的芯片换装到这批打印机中,并在美军空袭伊拉克的“沙漠风暴”行动开始后,用无线遥控装置激活潜伏的病毒,致使伊拉克的防空系统很快陷入瘫痪,多国部队的空军如入无人之境。1993年,美国兰德公司的两位学者首次提出“网络战”的概念,并从理论上界定了何为“网络战”,系统介绍了如何利用网络“干扰、破坏敌方的信息和通讯系统”,如何在阻止敌方获取自己信息的同时,尽量多地掌握对方信息。③1997年美军提出“网络中心战”概念,于2001年开始成为美军纲领性作战概念,并于2003年在伊拉克战争中付诸实施。美国著名军事预测学家詹姆斯·亚当斯(James Adams)在其所著的《下一场世界战争》中曾预言:“在未来的战争中,计算机本身就是武器,前线无处不在,夺取作战空间控制权的不是炮弹和子弹,而是计算机网络里流动的比特和字节,鼠标比导弹更强大,每一个芯片就是轰炸机。”④2005年美国国防部公布的《国防战略报告》里,就明确将网络空间与陆、海、空和太空定义为同等重要的、需要美国维持其决定性优势的五大空间。⑤2006年初,美军制定网络战的总体规划。⑥在谋划网络战构想的同时,美国三军组建了各自的网络部队。
由此,制网权理论逐渐形成。所谓制网权,简单地说就是对互联网的控制权。在由网线、调制解调器、交换机和处理器构成的“战场”中,无数的二进制代码正在进行着渗透、阻塞和攻击的惨烈搏杀,以及对网络硬件(如计算机、网络的基础设施)的物理破坏与反破坏,为的就是争夺制网权。制网权将是在制海权、制空权、制天权之后,各国争夺的又一控制权。控制制网权,因此成为决定战争胜负的另一重要战略制高点。
制网权理论的提出与完善,以及为此而进行的网络战,主要在于网络与社会紧密联系。随着计算机网络逐渐渗入金融、商贸、交通、通信、军事等各个领域,网络也成为一国赖以正常运转的“神经系统”。网络一旦出现漏洞,事关国计民生的许多重要系统都将陷入瘫痪状态,国家安全也将受到威胁。
网络安全漏洞不仅影响国家社会生活的正常运转、经济竞争力,而且影响着战斗、战争的胜负。1999年的科索沃战争中,南联盟电脑黑客对北约进行了网络攻击,使北约的通信控制系统,参与空袭的各作战单位的电子邮件系统都不同程度地遭到了电脑病毒的袭击,部分计算机系统的软、硬件受到破坏,使“尼米兹”号航空母舰的指挥控制系统被迫停止运行3个多小时,美国白宫网站一整天无法工作。美国高级官员称科索沃战争为“第一次网络战争”。2007年4月,俄青年运动组织纳什(Nashi)对爱沙尼亚互联网发动大规模网络袭击,黑客们仅用大规模重复访问使服务器瘫痪这一简单手法,即控制了爱沙尼亚互联网的制网权,此次事件被视为首次针对国家的网络战。2008年8月的俄格战争中,俄罗斯在军事行动前攻击格鲁吉亚互联网,使格政府、交通、通讯、媒体和金融互联网服务瘫痪。这是全球第一次针对制网权的、与传统军事行动同步的网络攻击,也是第一次大规模网络战争。
美国尤其美军对制网权理论深信不疑,大力推行而且努力实践。美军是世界上受惠于网络的最大的军队,从第一次海湾战争到现在的阿富汗战争,美军的网络使其战争机器高效稳定地运转,其网络如同人的神经系统一样延伸至美军的各个作战单位,甚至是普通的士兵(体现在士兵系统上)。美军的网络化程度稳步提升,伊拉克战争被称为第一场“连线战争”,其战果大大超出了原先的预想。由不停运动着的0和1组成的庞大的数字河流,如今已经成了美军纵横驰骋的又一块“新大陆”。国防部长盖茨说,“美国在陆地、海上和空中的全频谱的军事能力,依赖于数字通讯、卫星和数据网络”。⑦但是,美军高度依赖网络也会产生致命的缺陷,一旦网络被破坏,大则战争机器无法运转,小则战斗效果大减,如武装分子依靠26美元的软件入侵“掠夺者”无人机的视频系统,截获美军重要情报。⑧网络安全漏洞成为美军压倒性军事优势的“阿基里斯脚踵”。⑨
简言之,网络已经成为提升军队作战能力的“倍增器”,如同制海权、制空权、制天权一样,争夺网络空间控制权已逐渐演变成为美军维持其军事霸权的重要组成部分。但是,网络安全漏洞也让美国经济利益和国家安全受到严重损害。美国的网络安全战略正是在此基础上制定。
二、网络安全战略的演变:从克林顿政府到奥巴马政府
美国十分重视网络安全,是最早制定和实施网络安全战略的国家,并随着形势的变化不断发展和完善。
克林顿时代,美国政府致力于维护信息的保密性、完整性、可控性与安全性的信息/网络安全战略。1998年,克林顿总统签发《关键基础设施保护》总统令(PDD-63),⑩首次明确信息/网络安全战略的概念、意义和长期短期目标。该命令开宗明义地说明,世界上最强大的军事力量和经济力量相互促进和依赖,但是也越来越依赖某些关键设施和以网络为基础的信息系统。所谓关键基础设施是指“那些对国家十分重要的物理性的以及基于计算机的系统和资产,它们一旦受损或遭破坏,将会对国家安全、国家经济安全和国家公众健康及保健产生破坏性的冲击”。(11)关键基础设施日益自动化、相互联结,但是这种先进性却对网络袭击的防范能力越来越脆弱。美国应该从国家高度保护包括网络在内的基础设施。该命令还对今后一段时间内加强基础设施安全作出了指示,即对脆弱性进行评估;制定补救计划;进行预警;实时反应;对破坏的关键基础设施进行重建;教育民众,让其知晓关键基础设施的重要性;研发相关技术;加强情报工作;进行国际合作;采取立法与预算措施。
1998年年底,美国国家安全局(NSA)公布《信息保障技术框架》(12),提出“深度防御战略”(Defense-in-Depth)。所谓深度防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在深度防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域:网络和基础设施,区域边界、计算环境和支撑性基础设施。
2000年12月克林顿总统签署《全球时代的国家安全战略》(13)文件,是美国国家信息/网络安全政策的重大事件。文件将信息安全/网络安全列入国家安全战略,成为国家安全战略的重要组成部分。这标志着网络安全正式进入国家安全战略框架,并具有独立地位。
克林顿时代通过保护关键基础设施来确保网络安全,其中一个关键问题就是防范恐怖分子利用网络对美国发起恐怖袭击,“采取一切必要措施,迅速消除导致关键基础设施面临物理和网络攻击的明显弱点”。《信息系统保护国家计划》本来规划到2003年5月完成对信息系统的保护。但不幸的是,克林顿政府所担心的事情在2001年9月11日发生了。“9·11事件”加速了美国政府对关键基础设施的保护,强化了美国对网络安全战略的施行。
“9·11事件”后不久的10月,小布什总统以13231号行政令,发布《信息时代保护关键基础设施》(14),组建了总统关键基础设施保护委员会,取代克林顿政府时期成立的总统关键基础设施保护委员会,成为一个实体机构。该委员会成员包括国务卿、国防部长、司法部长、商务部长、行政治理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令,委员会主席将成为总统网络安全事务顾问。他有权了解各部/局内属于其管辖范围的所有情况,并召集和主持委员会的各种会议、制定委员会的议事日程,向相关官员提供保护关键基础设施的政策和方案,并向总统国家安全事务助理汇报。根据这个行政命令,小布什总统任命反恐专家理查德·克拉克(Richard Clarke)为委员会主席,并任命他为“总统网络安全顾问”。在2003年3月,这个委员会解散,其职责移交给刚成立的国土安全部。
小布什政府从两个方面着手确保网络安全。一是制定关键基础设施的保护措施;二是制定网络安全战略,两个方面互相促进。在13231号行政令基础上,2003年2月,小布什签发《关键基础设施和重要资产物理保护的国家战略》(15)。在这个文件中,小布什政府重新界定了关键基础设施的内涵和外延。小布什政府认为关键基础设施,是系统和资产,不管是物资的,还是虚拟的,对国家至关重要,以至于它们能力不足或者毁损对国家安全、国家经济安全和国民健康,都会产生影响。(16)小布什政府改变了克林顿政府没有说明、区分关键基础设施和主要资产的做法,把通讯、信息技术、国防工业基础等18个基础设施部门列为关键基础设施,并把核电厂、政府设施等5项列为重要资产。这个文件成为美国政府制定保护关键基础设施计划的基础。小布什任内国土安全部先后两次颁布《国家基础设施保护计划》,具体地说明了如何保护这些关键基础设施和重要资产。(17)
另一方面,2003年2月小布什政府签发《确保网络空间安全国家战略》。(18)这个网络安全战略确立了三项总体战略目标和五项优先目标。三项总体战略目标是:阻止针对美国至关重要的基础设施的网络攻击;减少美国对网络攻击的脆弱性;在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。五项优先目标是:建立国家网络安全反应系统;建立一项减少网络安全威胁和脆弱性的国家项目;建立一项网络安全预警和培训的国家项目;确保政府各部门的网络安全;国家安全与国际网络安全合作。文件明确规定,国土安全部将成为联邦政府确保网络安全的核心部门,并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织,即公共部门、私营部门和研究机构之间的指挥中枢。国土安全部要制定一项确保美国关键资源和至关重要的基础设施安全的全面的国家计划,以便向私营部门和其他政府机构提供危机治理、预警信息和建议、技术援助、资金支持等5项责任。文件强调,确保美国网络安全的关键在于美国公共与私营部门的共同参与,以便有效地完成网络预警、培训、技术改进、脆弱性补救等工作。
2007年,爱沙尼亚政府、银行等网络遭到来自俄罗斯黑客的猛烈攻击,美国渲染其政府各部门也遭到了来自中国、俄罗斯的网络袭击。始终抱有冷战思维,以俄罗斯、中国等为假想敌的美国政府面对国际和国内网络安全形势的恶化,重新审视了以往的网络安全战略,面对新的挑战,及时补充、调整并制定新的网络安全战略。2008年,小布什总统签发了“综合国家网络安全倡议”(简称CNCI)。这是一个秘密文件,主要内容是为保证美国网络安全采取防御和攻击等措施。根据透露出的信息,CNCI主要包括12项核心内容(19):①朝着管理单一联邦网络;②部署内部侦知系统;③发展和部署入侵预防工具;④评估和可能改变研究和资助方式;⑤连接当前政府网络行动中心;⑥制定涵盖整个政府的网络情报计划;⑦增加秘密网络的安全性;⑧扩大网络教育;⑨界定持久的领先技术;⑩界定持久威慑技术和项目;(11)发展多层交叉方式,支持供应链风险管理;(12)界定私营部门的网络安全作用。总的来讲,CNCI的实施为美国政府提供了一整套主要面向政府信息网络的安全保障措施。它关注于国家层面上的三个关键领域(20):①建立起防御的前沿阵地,减少目前的漏洞并预防入侵;②利用情报并加强供应链安全来防御各种威胁;③通过增加研究、开发和教育水平以及对先进技术的投资来塑造未来的环境。最后一点,明显涵盖有进攻内容。
虽然,小布什政府对网络安全付出了巨大努力,但是并没有解决网络安全问题,只能寄希望于下一届总统。因此,成立了“第44届总统网络空间安全委员会”,为美国网络安全提供建议。经过一年半的努力,2008年12月由该委员会提交了一份名为“为第44界总统确保网络空间安全”(21)的报告,并提交给当选总统奥巴马。该报告认为,过去20年来,美国一直致力于设计一种战略,应对网络安全挑战,保护美国利益,但是始终都不算成功。网络安全以及信息基础设施在激烈竞争中受到攻击,削弱了美国力量,使国家处于风险之中。报告提出了12项建议,分别从制定战略、设立部门、制定法律法规、身份管理、技术研发等方面进行了阐述。
奥巴马在竞选总统期间就表示要高度重视网络安全。上台后,在这份报告基础上,奥巴马非常重视网络安全在国家安全战略中的作用,将其列为执政的首要任务之一,并于2009年2月委托曾在小布什政府制定CNCI中发挥重要作用的梅利萨·哈撒韦(Melissa Hathaway)对美国目前的网络安全状况进行为期60天评估。
2009年5月29日,奥巴马公布了由哈撒韦评估小组制定的《网络空间政策评估——保障可信和强健的信息和通信基础设施》的报告。报告开宗明义指出:①国家现在处于一个十字路口;②现状已不能再接受;③必须从现在开始全国性的网络空间安全对话;④如果孤立地工作美国不可能成功地确保网络空间的安全;⑤联邦政府不能完全委托或取消其保护国家免受网络事件或事故影响的角色;⑥与私营部门合作,必须定义下一代基础设施的性能和安全目标;⑦白宫必须领导前进的道路。报告提出的建议是:①加强顶层领导。设立一个总统的网络空间安全政策官员和支持机构;审查法律和政策;加强联邦对网络空间安全的领导力,强化对联邦的问责制;提升州、地方和部落(Tribal)政府的领导力。②建立数字化国家的能力。提升公众的网络安全意识,加强网络安全教育,扩大联邦信息技术队伍,使网络安全成为各级政府领导人的一种责任。③共担网络安全责任。改进私营部门和政府的合作关系,评估公私合作中存在的潜在障碍,与国际社会有效合作。④建立有效的信息共享和应急响应机制。建立事件响应框架,加强事件响应方面的信息共享,提高所有基础设施的安全性。⑤鼓励创新。通过创新来解决网络空间安全问题,制定全面、协调并面向新一代技术的研发框架,建立国家的身份管理战略,将全球化政策与供应链安全综合考虑,保持国家安全/应急战备能力。⑥行动计划。提出了近期行动计划10项和中期行动计划14项。奥巴马政府的网络安全战略出台后,2009年6月,美国国防部成立网络司令部,负责进行网络战争,防护针对美军计算机网络的安全威胁。
三、网络安全战略的保障体系
经过三任总统的不断努力,美国政府在保证网络安全战略方面形成了全面的综合保障系统,可以简要概括为4大体系,即组织管理体系、法律法规体系、技术体系和执行体系。
3.1 组织管理体系
克林顿政府时期设立总统关键基础设施保护委员会,作为一个跨部门的协调机构。这个机构只是发挥了有限作用,这也可能是由于克林顿时期美国并没有出现诸如小布什政府时期的大停电事故、恐怖主义袭击灾难等。“9·11”事件后,美国政府成立了“总统关键基础设施委员会”,并首次设立由委员会主席担任的“总统网络安全顾问”,但其职权比较小。2003年国土安全部成立后,美国政府把保障美国网络安全的职责移交给该部。
奥巴马在竞选总统期间就表示,要设立一个专门职位,负责美国网络安全事宜。2009年3月美国国会服务局提出建议,由美国国家安全局、空军、国土安全部和其他涉及网络安全的部门,联合设立“国家网络安全顾问”职位。该网络安全顾问被授予权力,审查联邦机构网络系统的安全性,随时关闭不安全的联邦机构网络系统。2009年2月9日,奥巴马政府公布将专设国家网络安全顾问一职,负责制定政策,协调联邦机构力量,并直接向总统报告工作。该网络安全顾问配有10-20名工作人员,他们在网络安全顾问的带领下与强化后的国家安全委员会网络工作人员以及执行总统网络政策的联邦机构协同工作,运用外交、情报和军事工具,应对网络空间的威胁,加强美国的网络安全。
奥巴马总统在2009年5月公布《网络空间政策评估》报告时说,白宫正在组建一个新的由网络安全协调官领导的办公室,处理所有有关网络安全的事情。该办公室将要履行的重要职责是:精心策划和整合所有政府网络的安全政策;与管理预算办公室密切协作以确保机构预算反应这些优先事项;在发生重大事件或网络攻击时,协调反应机制。这个官员将是国家安全委员会成员,还将是国家经济委员会的成员,可以直接向总统汇报。这个网络安全协调官就是“网络沙皇”,由起草报告的领导人哈撒韦担任。(22)
美国此次体制调整主要是提高网络安全的工作领导和协调的层级,由原来的政府部长层级,提高到总统层级,并且与情报收集工作、军队网络安全保障整合起来,形成一体化的综合性国家网络安全领导和协调体制。国防部网络司令部将总负责军方网络安全的政策、网络战实施指挥等;国土安全部将主管政府机构、社会团体、大型企业等网络安全的政策、实施、保障;其他方面的网络安全事务则将由国家安全局负责。上述这些工作全部汇集到白宫网络安全协调员处,并由网络安全协调员通过国家安全委员会和国家经济委员会两个机构整合到美国国家的安全政策和经济发展政策之中。
3.2 法律法规体系
就行政法规而言,有连续三届政府颁布的保护关键基础设施计划(国家战略、国家规划)。如前所述,克林顿政府和小布什政府都为此颁布了行政命令(包括国土安全部制定的NIPP),要求公司履行职责,保护美国包括网络在内的基础设施的安全。奥巴马政府把网络等基础设施列为关键基础设施,并视之为国家战略资产,是国家安全与经济的命脉。在2009年5月公布《网络空间政策评估》时奥巴马谈到,美国21世纪的经济繁荣将依赖于网络空间安全。他将网络空间安全威胁定位为“举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项”。(23)2009年2月,奥巴马政府公布NIPP,要求美国联邦政府、州政府、地方政府和私营企业合作,全力保护网络安全,把网络安全视为国家安全战略的一部分。2009年美国公布的《国家情报战略》把反情报工作和维护网络安全确定为情报部门未来4年的两个重点,而且反情报工作要在“整个互联网范围内”开展,以“保护关键性基础设施”(24)。
就法律、法案而言,包括《国家信息基础设施保护法案》(the National Information Infrastructure Protection Act of 1996)、《爱国者法案》(Patriot Act of 2001)、《联邦信息安全管理法案》(Federal Information Security Management Act of 2002,FISMA)、《国土安全法案》(Homeland Security Act 2002)、《网络安全法案》(the Cybersecurity Act of 2009)等。《国家信息基础设施保护法案》规定:未经授权,擅自进入在线的计算机获取机密的、访问受限制的或受保护的数据,或是试图这样做,就应受到刑事指控。这些数据可能包括:金融和信用卡信息、医疗信息、法律文件、国防和国家安全文件,以及其他存储于政府或私人计算机上的保密信息。被定义为犯罪要符合两个条件:一是未经授权进入计算机;二是获取了数据。(25)
《爱国者法案》在网络安全方面的规定中有一项争议最大,即漫游窃听条款。根据漫游窃听条款,调查人员可以得到授权,截取嫌疑人的电话通话内容或因特网通信内容,而监控目标并不局限于某个可疑电话,调查人员也不用明确要窃听的嫌疑对象。
2002年公布的《联邦信息安全管理法案》是美国《电子政务法》中的第三部分。《电子政务法》(the E-Government Act of 2002)的目的是整合政府机关的互联网服务,更有效地建立、推广电子政府服务,其规定了行政管理和预算局(OMB)、联邦政府机关等机构在推动电子政府方面的职责。《联邦信息安全管理法案》修正了1987年的《计算机安全法案》(the Computer Security Act of 1987),目的是为了确保联邦政府机关能够高效率、低成本地实现信息及信息系统的安全。《国土安全法案》规定国土安全部的责任是协调国家工作,保护所有领域的关键基础设施,包括信息技术和通讯系统。也给予国土安全部部长获取威胁美国的恐怖主义的相关信息的权力。2009年的《网络安全法案》一共23条(26),涉及的内容广泛,涵盖上述几个法律法规的内容,并提出每4年进行一个网络安全评估,进行联合情报威胁评估,提出网络风险管理报告,制定国际标准和网络安全威慑标准。
就网络安全的国际法而言,2007年美国加入欧盟委员会于2001年制定的《网络犯罪公约》(Cyber Crime Convention)。《网络犯罪公约》规定了9类网络犯罪行为以刑法处罚:①非法存取(illegal access);②非法截取(illegal interception);③资料干扰(data interference);④系统干扰(system interference);⑤设备滥用(misuse of devices);⑥伪造电脑资料(computer-related forgery);⑦电脑诈骗(computer-related fraud);⑧儿童色情的犯罪(offences related to child pornography);⑨侵犯著作权及相关权利的行为。该公约是打击网络犯罪的国际司法合作协议。
3.3 技术体系
技术体系是确保网络安全的基础。为了保证网络安全,美国对技术防范体系进行了不断的完善和更新,其主要包括安全标准化建设、计算机事件响应机制、攻击与防御新技术研发,以及网络安全演习等几个方面。
在网络安全防御与进攻技术方面,美国研发了诸多技术,如前述的“逻辑炸弹”等。小布什政府2008年出台的CNCI就是典型的网络安全的攻防技术的体现。为验证这些技术,美国政府在2008年5月,建立了国家网络靶场(National Cyber Range,NCR)。该靶场是美国防高级研究计划局(DARPA)根据2008年CNCI设立的一个项目,为测试和证实超时代网络研究技术和系统提供全自动的靶场和测试管理配套设施,为国家的网络研发技术提供真实、可定性的评估,促进国家网络能力的提升,而且会加速技术转让来支持CNCI。NCR被称为“数字曼哈顿工程”(digital "Manhattan Project")。
在网络安全演习方面,美国政府每两年举行一次网络风暴演习(Cyber Storm)。这个演习由国土安全部主办,类似于美国国防部每两年举行一次的“施里弗”(Schriever)系列太空安全演习。2006年和2008年分别举行了第一次和第二次网络风暴演习。2008年的演习,有超过115个政府机构、公司及其他组织参与,其中包括美国白宫国家安全委员会、司法部、国防部、国家安全局。此次演习的主要目的,是检验各部门如何应对全球激进主义者、黑客和博客发起的破坏性网络攻击。2010年将举行第三次演习。
3.4 执行体系
执行体系涉及联邦政府各个部门,如国家情报局、联邦调查局、中央情报局、国土安全部、国防部,每个部门各司其职,负责执行。这里着重谈美国军方如何执行网络安全战略。
20世纪90年代,美军就开始进行网络战的研究与实践。1993年,美国兰德公司的两位学者首次提出“网络战”的概念,从理论上界定了何为“网络战”,系统介绍了如何利用网络“干扰、破坏敌方的信息和通讯系统”,如何在阻止敌方获取自己信息的同时,尽量多地掌握对方信息。(27)1997年,美军提出网络中心战概念,并于2001年成为军方一个核心概念。2005年3月,美国国防部公布的《国防战略报告》,更明确地将网络空间与陆、海、空和太空定义为同等重要的、需要美国维持决定性优势的五大空间。
在谋划网络战概念的同时,美国也在积极组建网络部队,从2002年开始着手建立世界首支网络黑客部队,海军、空军以及战略司令部也都分别组建了各自的网络部队及领导机构。为整合三军的网络部队,2009年6月23日,美国国防部长盖茨正式下令创建网络司令部,以协调网络安全以及指挥网络战。根据盖茨当天签署的备忘录,网络司令部将在2009年9月1日前向国防部提交相关实施计划,最晚将在10月进入工作状态,并将于2010年10月全部投入运行。由现任国家安全局局长基思·B.亚历山大(Keith B.Alexander)中将兼任网络司令部司令,而未来该司令一职则将由四星级上将担任。目前美军共有3000-5 000名信息战专家,5万—7万名士兵涉足网络战。如果加上原有的电子战人员,美军的网战部队人数应该在9万人左右。(28)新成立的美军网络司令部将会作为美军网络战方面的最高管理部门,整合各军种网络战资源,协调全军联合网络战模式。美军从事网络战任务有三:一是机密资料的防与窃;二是进行舆论战;三是直接的网络对抗。
四、网络安全战略的实质
纵观美国三任总统的网络安全战略,明显体现出该战略的“扩张性”,先后经历了保护美国关键基础设施,扩展先发制人的网络打击,再到谋取全球制网权的演变。
如前所述,克林顿时代偏重于关键基础设施的防御保护。那时美国政府保护美国网络安全策略主要围绕三个目标进行,即准备与预防(prepare and prevent),就是采取必要措施,使对美国关键信息网络进行重大、成功的袭击的可能性最小化,同时建设一个基础设施,确保网络受到攻击时维持网络的有效性;侦察与反应(detect and respond),实时确认和评估网络袭击,然后牵制这种攻击,并迅速从袭击中恢复过来,重建受损的系统;建立坚实基础(build strong foundations),就是建立机构,教育民众,制定法律,做好“准备和预防”。(29)
小布什时代则偏重于网络安全的进攻。先发制人的军事打击是小布什政府的军事原则,这个原则也运用到网络安全领域。除了保护基础设施外,小布什政府则主张对敌进行先发制人的网络攻击。为此,小布什政府非常重视美军网络战进攻能力建设,大力开发计算机网络战武器。三军成立各自的网络部队,研发、利用新网络技术,实施先发制人的网络打击。在软杀伤网络战武器方面,美军已经研制出2000多种计算机病毒武器;在硬杀伤网络战武器方面,美国正在发展或已开发出电磁脉冲弹、高功率微波武器等,旨在对别国网络的物理载体进行攻击。
奥巴马政府则通过网络威慑,谋求制网权,这一点尤其体现在美国成立网络司令部上。美国也具备网络威慑的条件。在互联网13台根服务器中,10台在美国;微软的操作系统已经占据个人电脑操作系统的85%以上;思科核心交换机遍布全球网络节点;英特尔的CPU占据全球计算机90%以上的市场份额。美国对互联网的控制程度已经远远超出了其他任何国家,一旦网络战爆发,美国政府将随时可以调用可怕的力量,它不仅从理论上可以轻松地瘫痪一个国家,事实上,它也这样做过。2009年5月30日,在美国政府授意下,微软公司关闭了古巴、伊朗、叙利亚、苏丹和朝鲜5国用户的MSN聊天系统。因此,每一块芯片都是一件重型武器,这就是网络威慑。(30)奥巴马政府的意图很明显,希望通过网络安全战略,实现网络威慑,谋求制网权。
美国谋求制网权的战略,引发各国的网络军备军赛。英国不仅早就组建了秘密的黑客部队,而且在2009年6月出台《网络安全战略》;日本、印度、法国等已经组建各自的网络战军队;俄罗斯网络战部队的力量仅次于美军;网络军备竞赛的大幕已经拉开。
五、启示
我国网络发展很快,不论网民人数还是IPv4地址量都在大幅增长,网络安全面临极大挑战。首先,国际反华势力、分裂祖国的分裂分子等利用网络,进行政治颠覆活动。最近几年,国内外反动势力利用互联网散布反华、分裂祖国的言论,进行针对我国党和政府的非法组织和串联活动,气焰嚣张。一些非法组织如“法轮功”有计划地通过网络渠道,宣传异教邪说,妄图扰乱人心;反华势力利用网络大肆攻击党和政府;分裂分子利用网络煽动分裂祖国的言论,并以此纠集党羽进行暴力分裂活动,如新疆“7·5”事件;外国网络巨头公司联手本国政府,以言论自由等借口向中国政府施压,进行政治、价值观渗透。谷歌在美国政府明目张胆的支持下,向中国政府发出“最后通牒”,表示如果中国不取消依法管理,其将退出网络搜索市场。谷歌充当了美国的“政治打手”,将美国的价值观强加于中国。此类网络安全问题严重地影响着国家政权的稳固、领土完整、民族团结。
第二,基础设施面临网络安全的严重挑战。我国是网络大国,但不是网络强国,我们的网络安全的水平和能力还处于“初级阶段”,还无力构筑一道网络的“马其顿防线”。我国网络化管理的关键基础设施(包括电信、金融、供水、交通、电力、油气管网等)面临着巨大的网络安全挑战。中国国家互联网应急中心有关官员2010年1月22日指出,中国已成为网络攻击最大的受害国,其中银行、金融和证券机构是黑客攻击的重点。工信部部长李毅中在2010年两会期间也提到,2009年,平均每天有45个政府网站被黑。
第三,中国网络遭受着严重的病毒入侵。国家互联网应急中心运行部副主任周勇林在2010年1月接受采访时指出,目前网上有成百上千万的计算机感染了木马或僵尸程序,并被各种各样的黑客暗中控制,成为所谓的“肉机”。2009年我国境内被木马程序控制的主机IP数量为26.2万个,境外有近16.5万个主机地址参与控制这些计算机,其中来自美国的占16.61%,排名第一;2009年我国境内被僵尸程序控制的主机IP数量为83.7万个,境外有1.9万个主机地址参与控制这些计算机,其中来自美国的占22.34%,排名第一。(31)
第四,网络安全面临来自淫秽色情和低俗信息、网络赌博的挑战。这些社会毒瘤侵蚀人们的心灵,危害青少年的健康成长;扰乱社会的正常秩序,危害国家经济安全。自2009年1月以来,全国开展整治互联网低俗之风专项行动,在网络扫黄、打击网络赌博方面初步取得了成效。全国打黄扫非办在2010年3月15日召开新闻发布会,报告称,全国各地已关闭了14万多个手机淫秽网站。这个数字一方面说明了专项行动所取得的成效,另一方面也说明了网络安全问题的严重性。
鉴于目前我国网络安全所面临的主要问题,我们可以从美国网络安全战略中获得不少启示。
首先,要从战略高度重视网络安全,使之成为国家安全战略的重要组成部分。这就要充分研究和分析我国在网络领域利用过程中存在的问题,及其所面临的威胁,结合我国的实际情况,建立、加强国家政治、军事、经济、文化等各领域的网络安全防范体系。这套体系应该涵盖从防范黑客攻击、监控信息流、塑造舆论环境,到应对他国发起的先发制人的网络战。我们的网络安全战略遵循国家国防战略所确定的积极防御的军事战略,确保国家网络安全,即营造有利于我的网络舆情;及时澄清真相,披露敌方的谣言;必要时对敌实施网络攻击。
国家网络安全战略应该高度重视关键基础设施的建设,及其信息安全保护和物理保护。同时,我们应该加强网络战理论的研究,辅之以网络实战演习,丰富、完善网络战理论。制网权理论和网络战理论方兴未艾,我们不能落后于他国,应该集中军方和民间力量,加强理论建设。必要时,我们应该组织由政府部门、军队、企业、非政府组织等各方参加的网络实战演习,以验证、完善理论。另外,我们也应组建我军的网络部队。我们不仅要看到网络战的威力,而且要清楚外国已经向我们发起了网络战。(32)世界军事强国都在组建网络部队,而且进行着网络军备竞赛。最后,应该建立专门的职能机构,以整合全国网络资源和力量,高效地实现国家的综合战略意图。
第二,加强网络技术的自主创新。我国网络设备中的CPU、操作系统、网关和网管设备和软件大多依靠进口,这样使得我们的网络安全性能大大降低。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全极度脆弱。维护和确保网络安全的关键是自主创新。那种以为靠市场换技术的想法是错误的、有害的,因为核心技术和关键技术是根本买不来的。在网络安全的核心和关键技术方面,我们应该加大研发力度,拥有自己的知识产权,提高抗网络安全风险的能力。在这一领域,我们应从国家战略产业高度扶植信息/网络产业的发展,提出具有超前意识的发展目标和产业政策,保证信息/网络技术产业和技术产品的发展。同时,努力培养网络人才。人才培养工程,是一个长期的系统工程,需要未雨绸缪,应立足当前,放眼长远,进行整体规划,培养出网络技术的人才梯队。
第三,建立和强化制度化的防范机制。这些机制包括,加强网络安全防范意识教育,彻底消除侥幸心理,形成主动防范、积极应对的全民意识;提高网络安全监测、防护、相应、恢复和抗击能力;加快出台相关法律法规,改变一些相关法律法规太笼统、缺乏操作性的现状,对各种信息主体的权利、义务和法律责任,做出明晰的法律界定;加强网络运行管理机制,强化安全措施和解决方案;加快制定信息安全国家标准;加强国家应急响应、保障机制,不断完善信息安全应急处置预案。
收稿日期:2010-01-26;修订日期:2010-06-15。
注释:
①小布什总统签发的这个文件是机密文件,我们是从美国有关网络安全安全的资料得知这个定义的,http://www.cybertelecom.org/security/JHJ09review.
②JP 1-02,Department of Defense Dictionary of Military and Associated Terms,p.141,http://ftp.fas.org/irp/doddir/dod/jpl_02.pdf.
③John Arquilla and David Ronfeldt,"Cyberwar is Coming!" Comparative Strategy,Vol 12 ,No.2,Spring 1993,pp.141-165.
④James Adams,The Next World War:Computers Are the Weapons& the Front Line Is Everywhere,Simon & Schuster,1998.詹姆斯·亚当斯著,军事科学院外国军事研究部译:《下一场世界战争》(内部发行),军事科学出版社,2000年版。
⑤The National Defense Strategy Of The United States of America,March 2005,p.13,http:l/www.dami.army.pentagon.mil/offices/dami-zxg/National%20Defense%20Strategy%20Mar05-U.pdf.
⑥National Military Strategy for Cyberspace Operations,December 2006,http://www.dod.mil/pubs/foi/ojcs/07-F-2105docl.pdf.该文件原本在2030年9月才能解密。
⑦这是盖茨在2009年1月27日向参议院武装力量委员会提交报告时谈到的。Major Gen.William T.Lord,"Cyberspace Operations:Air Force Space Command Takes the Lead",High Frontier,Vol.5,No.3,2009,p.3.
⑧“武装分子靠26美元软件入侵美军无人侦察机系统”,新浪网,2009年12月19日。http://news.sina.com.cn/w/2009-12-19/032719292057.shtml.
⑨Defense Science Board (DSB),Defense Imperatives for the New Administration ( Washington,DC:DSB,August 2008 ),p.3.http://www.acq.osd.mil/dsb/reports/2008-11-Defense_Imperatives.pdf.
⑩Presidential Decision Directive/NSC-63,Subject:Critical Infrastructure Protection,May 22,1998.http://ftp.fas.org/irp/offdocs/pdd/pdd-63.htm.
(11)The White House,National Plan for Information Systems Protection Version 1.0:An Invitation to a Dialogue,2000.http://fas.org/irp/offdocs/pdd/CIP-plan.pdf.
(12)最初这个版本是《网络安全框架》(Network Security Framework,NSF)。1998年5月,NSA出版NSF1.0版,1998年10月,又推出了NSF1.1版,到了1999年8月,NSA出版了2.0版,此时正式将NSF更名为《信息保障技术框架》(Information Assurance Technical Framework,IATF)。2002年9月出版了最新的IATF3.1版本。
(13)White.House,A National Security Strategy For A Global Age,December 2000.http://www.globalsecurity.org/military/library/policy/national/riss-0012.pdf.
(14)Executive Order 13231 of October 16,2001,Critical Infrastructure Protection in the Information Age.http://www.fas.org/irp/offdocs/eo/eo-13231.htm.
(15)National Strategy for the Physical Protection of Critical Infrastructures and Key Assets,February 2003.http://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf.
(16)小布什政府2003年2月颁布的《确保网络安全国家战略》明确界定了关键基础设施,“那些维持经济和政府最低限度的运作所需要的物理和网络系统,包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续运作的领导机构”。White House,National Strategy to Secure Cyberspace,February 2003.https://www.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdf.
(17)即2006年,和2007/2008年的升级版。奥巴马政府也在2009年2月颁布第3版。
(18)White House,National Strategy to Secure Cyberspace,February 2003.https://www.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdf.
(19)John Rollins & Anna C.Henning,Comprehensive National Cybersecurity Initiative:Legal Authorities and Policy Considerations,Congressional Research Service,7-5700,10 March 2009.p.6.http://www.fas.org/sgp/crs/natsec/R40427.pdf.
(20)"Protecting Our Federal Networks Against Cyber Attacks".http://www.dhs.gov/files/programs/gc_1234200709381.shtm.(美国国土安全部网站)
(21)Center for Strategic and International Studies,Securing Cyberspace for the 44th Presidency:A Report of the CSIS Commission on Cybersecurity for the 44th Presidency,December 2008.
(22)哈撒韦已于2009年8月初辞职,目前奥巴马政府还没有任命新网络沙皇。媒体报道奥巴马可能在施密特(Howard Schmidt)和克拉梅(Frank Kramer)之间进行选择。
(23)“奥巴马就保护美国网络基础设施发表的讲话”。http://www.cetin.net.en/cetin2/servlet/cetin/action/HtmlDocumentAction;jsessionid=27772105CFB992CS1D8F5B8456CDD7C6?baseid=1&docno=392023.
(24)The National Intelligence Strategy 2009,August 2009.p.9.http://www.dni.gov/reports/2009_NIS.pdf.
(25)National Information Infrastructure Protection Act (NIIPA) of(1996) http://ecommerce.hostip.info/pages/769/National-Informa-tion-Infrastructure-Protection-Act-NIIPA-1996.htm-IJHJixzz0agT6H9Zz.
(26)Text of S.773:Cybersecurity Act of 2009.http://www.govtrack.us/congress/billext.xpd? bill=s111-773.
(27)John Arquilla and David Ronfeldt,"Cyberwar is Coming!" Comparative Strategy,Vol 12,No.2,Spring 1993,pp.41-165.
(28)“聚焦美军网络战军团:从全球黑客大赛选拔人才”。http://www.echinagov.eom/gov/zxzx/2009/7/27/77911.shtml.
(29)The White House,National Plan for Information Systems Protection Version 1.0:An Invitation to a Dialogue,2000.Executive Summary,XI.http://fas.org/irp/offdocs/pdd/CIP-plan.pdf.
(30)一些学者认为冷战时期发展的威慑模式并不能给网络威慑的战略思考提供指南,网络威慑不能有效改变网络黑客动机的算计,除非对网络袭击的惩罚开始超过网络袭击的收益。Stephen W.Korns,op.cit.,p.100.兰德公司在2009年出版的一份报告也认为,网络威慑不同于核威慑,因为网络打击的对象有限,打击的效果也不明显,更起不到决定性作用。Martin C.Libicki,Cyberdeterrence and Cyberwar.http://www.rand.org/pubs?monographs/2009/RAND_MG877.pdf.
(31)“中国是网络攻击最大受害国”。http://finance.ifeng.com/money/roll/20100124/1749474.shtml.
(32)新华网说,谷歌事件的背后,美国正在强力推行网络战,美国国防部秘密研发的“网络武器”正企图将触角伸向网络世界的每一个角落。李云路、王建华、颜昊:“中国拒绝‘政治的谷歌’与‘谷歌的政治’”,新华网2010年3月20日。http://news.xinhuanet.com/world/2010-03/20/content_13209582.htm.
标签:网络安全论文; 战略分析论文; 网络空间安全论文; 计算机安全论文; 网络安全防护论文; 美国军事论文; 国家部门论文; 奥巴马论文; 国土安全论文; 美军论文; 美国总统论文;