在特朗普时期网络安全战略基础上,拜登政府不断完善网络安全机构设置,并新设负责网络和新兴技术的国家安全副顾问一职。
尹西子
自去年12月以来,美国遭受多起网络攻击,多家政府机构和数十家公司受到严重影响。美国总统拜登表示,黑客攻击构成了“对美国国家安全的严重威胁”。在此背景下,当地时间5月12日,拜登签署行政令,要求联邦政府加强美国网络安全能力,解决美国当前易受黑客攻击的问题。
网络攻击导致紧急状态
5月7日,美国最大燃油运输管道商科洛尼尔公司遭网络攻击,5500英里长的输油管道被迫暂停输送业务。美国联邦调查局(FBI)5月10日发布声明,称“黑暗面”(Darkside)黑客组织对这一事件负责。11日,“黑暗面”在其官网发布一则消息:“我们的目的是要钱,而不是为社会制造麻烦”,并强调该组织“不涉及政治”。
网络安全专家介绍,“黑暗面”成立于2020年8月,通过开发软件工具,帮助其他“附属机构”实施攻击。被攻击者数据被盗、计算机被锁定时,必须付费才能重新访问网络并阻止敏感信息发布。“黑暗面”通过这样的行动以获利。在本次科洛尼尔公司事件中,尚不清楚攻击是来自“黑暗面”还是其附属机构。
作为美国东海岸供油“大动脉”,科洛尼尔公司输油管道负责东海岸45%的燃料供应,断网使美国南部和东部14个州受到严重影响。随后,相关政府部门宣布美国17个州和华盛顿特区进入紧急状态。这是美国首次因网络攻击导致多州进入国家紧急状态。该事件也引发市场对燃料供应短缺的担忧,美国汽油期货价格5月10日一度跃升至2.217美元/加仑,创2018年5月以来新高,扰乱了能源市场,引起市场恐慌。
这是近半年时间里类似事件中的一例。2020年12月17日,美国国土安全部网络安全与基础设施安全局称,美国政府机构和企业遭受网络攻击已有一周,风险已达“危重”级别;今年1月,美国多家政府部门和企业因SolarWinds软件漏洞遭黑客攻击,美国财政部、国土安全局、国家卫生院甚至国务院都受到影响;2月,佛罗里达州一小镇的水处理系统遭到攻击,供水中的化学物质含量被改变,当地饮用水变得十分危险;4月,北美地区1500家公用事业公司中有四分之一都遭到SolarWinds软件攻击,公司运行受到影响。
行政令四大要点
输油管道事件后,拜登于5月12日签署了公众期待已久的行政令,提出多项行动加强美国网络安全防御能力。
一是消除政府与私营部门间的信息共享障碍。行政令提到“IT服务提供商对网络威胁事件和信息有独特的访问权限和洞察力”,要求与政府有业务往来的IT服务提供商必须公开其有关安全数据,报告是否受到了黑客入侵。拜登政府表示,消除信息共享障碍可以增强事件威慑、预防和响应能力,能更有效地保护各机构系统和联邦政府的信息。
二是推动联邦政府网络安全现代化。拜登政府表示,随着人工智能、数字经济不断发展,美国需要跟上科技发展的脚步,应对不断演变的新风险。行政令提到,各机构负责人应更新本机构现有计划,优先考虑使用云技术,使网络安全手段现代化。行政令要求国内推进使用“零信任”架构,即通过多因素认证提升网络安全。
三是确保软件供应链安全。联邦政府使用软件的安全性至关重要。商业软件的开发通常缺乏透明度、对软件抵抗攻击关注不够、对恶意攻击行为缺乏足够控制。行政令要求联邦政府必须采取行动,迅速提高软件供应链的安全性和完整性,并优先解决关键软件问题。联邦政府使用的所有软件需在9个月内达到新的安全标准。
四是成立网络安全审查委员会。行政令提出效仿美国国家运输安全委员会设立网络安全审查委员会,由政府和私营部门的代表共同主持,以分析网络攻击事件并提出建议。行政令要求制定一套标准行动手册,规范联邦政府对网络安全事件的响应。
强化网络安全建设
美国政府对国家网络安全日趋重视。2012年美国网络安全方面投入34亿美元,2013年飙升至103亿美元。2013年到2020年间,该数额一直居高不下。
特朗普政府坚持“美国优先”,推行与前任相比较为激进的国家网络安全战略。就任初期,特朗普将网络司令部升级为一级联合作战司令部。2018年5月,美军网络司令部完成升级,升级后的网络司令部与太平洋司令部和欧洲司令部同级。任职总统期间,特朗普多次对国家网络安全团队进行人事调整。对网络作战体系的不断完善,展现出特朗普政府对网络部队军事作战能力的重视。
在特朗普时期网络安全战略基础上,拜登政府不断完善网络安全机构设置,并新设负责网络和新兴技术的国家安全副顾问一职。根据美国2021财年《国防授权法案》,美国将新设国家网络总监一职及国家网络总监办公室。4月12日,拜登宣布任命前国家安全局副局长克里斯·英格利斯为第一任总统行政办公室国家网络总监。5月12日,拜登在行政令中提出效仿美国国家运输安全委员会设立网络安全审查委员会,以分析网络攻击事件并提出建议。
拜登重视网络安全人才,其政府内多人具有网络安全领域背景。国土安全部长亚历杭德罗·马约卡斯任国土安全部副部长时,曾负责网络威胁信息共享等工作;国家情报总监埃夫丽尔·海恩斯曾负责白宫的国家安全事务,后又出任美中情局副局长。
美国正用优越条件大量招募网络安全人才。据路透社报道,在上任之初拜登就开始雇用一批具有深厚网络专业知识的国家安全领域老手,帮助美国应对黑客攻击。5月5日,美国国土安全部宣布,计划在两个月内招聘200名网络安全专业人员,以遏制影响美国企业的勒索软件攻击以及外国间谍活动。马约卡斯称这次招聘为国土安全部18年历史上“最重要的招聘行动”。
加强与盟友合作
1月25日,美国国务院发言人曾表示,拜登总统致力于确保中国公司不能滥用和盗用美国数据,并将确保美国技术不会最终支持中国的“恶意活动”。4月9日,拜登政府公布了2022财年联邦政府预算案提案大纲,提出向国防部拨款7150亿美元,并特别提到这一拨款将优先应对来自所谓“中国的威胁”。
为此,拜登政府主张与盟友合作,共同制定科技等领域的规则与标准,以应对来自中国等国的“威胁”。有专家表示,拜登会延续科技战并拉拢盟友,通过科技限制、技术转让、网络安全等传统手段对中国实施打压。
哈佛大学肯尼迪学院某学者指出,拜登政府将通过建立可信赖的专有技术联盟来增强“民主”,对抗中俄等国势力。拜登政府可能会推出“技术民主联盟”,如正在探讨的T-12联盟,并致力于将华为排除在美国所结联盟的5G网络之外,以最终建立一批受信任的供应商。
从维基解密事件到斯诺登事件,近年来美方在网络安全问题上的虚伪和双重标准早已大白于天下。美国将网络安全问题政治化,既损害中美在网络安全领域的信任与合作,也不利于全球网络安全治理。
正如美中关系全国委员会会长斯蒂芬·欧伦斯所说:“美中作为世界上两个最大的数字强国,两国之间的信任与合作至关重要。” 中方已提出全球数据安全倡议,希望与国际社会一道共同努力,携手营造一个开放安全合作的网络空间。
(作者单位:中国国际问题研究院)
来源:2021年6月2日出版的《环球》杂志 第11期
《环球》杂志授权使用,其他媒体如需转载,请与本刊联系
本期更多文章敬请关注《环球》杂志微博、微信客户端:“环球杂志”
|