美國信息安全最新發展綜述

郝文江,馬曉明

(公安部第一研究所,北京 100048;中國人民公安大學,北京 100038)

現代社會中信息安全開始滲透到社會生活的各個領域,對傳統的行政權力劃分提出挑戰。美國現有的網絡安全部門結構非常復雜,國防部、國家安全局、國土安全部之間存在職能沖突,信息安全行政主管權的職能沖突也同樣延伸到了立法領域。美國政府歷來高度重視網絡空間的安全部署,奧巴馬執政以來則出臺了一系列網絡安全戰略,使之成為美國國家安全戰略的一部分。國家層面的戰略計劃、法律法規也集中出爐,體現了美國將迎來信息安全政策的重大調整。

一、奧巴馬政府的信息安全戰略部署[1]

奧巴馬政府高度重視網絡安全在美國國家安全戰略中的作用,將信息安全戰略列為執政的首要任務之一。其內容包括:任命白宮網絡安全協調官協調美國的網絡安全事務;把網絡基礎設施列為戰略資產加以保護;成立網絡戰司令部,加強網絡攻防能力。奧巴馬政府網絡安全戰略的實質是謀求網絡威懾,實現制網權。

(一)確立了信息安全的集中領導權

奧巴馬執政以來出臺了一系列信息安全機構的調整政策,如:增設白宮網絡安全事務協調官和白宮網絡安全辦公室。白宮網絡安全辦公室是直接對國家安全委員會和美國總統負責的網絡安全機構,凌駕于軍隊和政府情報部門之上,負責統籌全國網絡安全事務。

面對美國政府、民間力量和軍方在應對網絡突發事件時各自為政的局面,2009年 5月底,在經過為期兩個月的網絡安全評估后,奧巴馬宣布將成立一個新的用于保護網絡安全的白宮辦公室,其指導人被稱為“網絡沙皇”。奧巴馬宣布,要把保護美國最重要的計算機網絡的安全作為美國國家和經濟安全的最優先項目。“我們將確保這些網絡是安全的、值得信賴的并且輕易恢復的,”奧巴馬說,“我們將防備、阻止、跟蹤和防備那些網絡攻擊,并且迅速從任何攻擊中恢復過來。”2009年 12月 22日,奧巴馬正式任命網絡安全專家霍華德·施密特為美國網絡安全協調官,統籌協調美國網絡安全政策和行動。

網絡安全協調官指導下的網絡安全辦公室將為總統提供網絡安全方面的決策和方針,并協調美國全國的網絡安全力量,特別是在主要的網絡突發事件或網絡攻擊中,調整美國政府的反應能力。之所以稱其“網絡沙皇”,是因為奧巴馬總統給予了強有力的支持。用奧巴馬的話說,“我將依賴這個辦公室解決涉及網絡安全的問題,這個辦公室正規的權力將得到我的全力支持”。“網絡沙皇”的自身任務也不輕,他將擔任“整個美國所依賴的要害的網絡基礎設施的安全”,這些網絡基礎設施并不限于聯邦政府。他還將同各州當地政府的官員以及對抗網絡攻擊的國際性組織聯合工作,而且也將同私人部門聯合,以確保對未來的網絡突發事件采取有組織的、統一的行動。

(二)高度重視網絡基礎設施

2009年 2月制定的“國家網絡安全綜合倡議”對美國目前的網絡安全狀況進行為期 60天的評估。這期間,美國國會研究服務局和政府問責局分別出臺了兩份有關美國網絡安全的報告。

2009年 3月 10日,美國國會研究服務局針對小布什政府提出的 CNC I,發布了《國家網絡安全綜合倡議:法律授權和政策考慮》的報告。這是一份關于美國網絡戰爭及國防法律與政策問題的報告。報告認為對政府關鍵基礎設施的網絡攻擊是要高度關注的首要威脅,奧巴馬政府的網絡安全重點是加強行政和立法部門應對網絡安全挑戰的能力。同一天,美國國會政府問責局公布《國家網絡安全戰略》報告,提出了美國需要進一步采取措施加強的五大網絡安全領域,即支持網絡分析和預警能力,完成網絡演習中提出的行動,增強基礎設施控制系統的網絡安全性,加強國土安全部對網絡攻擊的恢復能力,控制網絡犯罪。

2009年 5月 29日,奧巴馬指導了一個 60天全面廣泛的、對美國網絡安全政策和結構“徹底清查(clean-slate)”的評論評估。經過幾個月的工作,評論小組公布了一份結論性報告——《網絡空間政策評估——保障可信和可恢復的信息和通信基礎設施》,該報告概述了朝向未來的可靠、可恢復、可信的數字基礎設施的起始之路。網絡安全政策包括關于網絡空間操作和安全的戰略、方針和標準,網絡安全政策不包括其他與國家安全和基礎設施安全不相關的信息通信政策。政府網絡安全專家評論小組參考并接收了工業、學術界、公民自由保密團體、州政府、國際伙伴、立法執法部門各個方面的反饋意見。報告指出:國家正處于一個十字路口;現狀已不可接受;必須馬上開始全國性的網絡空間安全對話;美國不可能獨自確保網絡空間的安全;聯邦政府不能完全委托或取消其保護國家免受網絡事件或事故影響的角色;與私營部門合作,必須定義下一代基礎設施的性能和安全目標;白宮必須在提高網絡安全方面起領導作用。

2010年 6月 25日,白宮公布了網絡空間可信身份戰略,建立網絡空間的身份生態環境。6月下旬,美國網絡安全協調官霍華德·施密特在白宮網站上發布了《國家網絡安全網絡空間可信身份國家戰略》(NSTIC)草案。NSTIC是為了響應奧巴馬總統批準的《網絡空間政策評估》中提出的要求,在綜合了政府關鍵部門、龍頭企業和個人隱私等各方面的基礎上撰寫而成。最終的目的是建立一個以用戶為中心的身份生態認證系統,該系統在對用戶進行身份認證的同時,能夠更多地控制相關個人信息。并且,在通常情況下,個人無需提供不必要的個人隱私及相關信息。這個系統建成后,無論是個人還是組織都能夠在信任狀態下進行在線業務,保證業務雙方的身份認可,以及運行這些業務的基礎設施的身份認可。

(三)提高網絡攻防能力,實施積極防御

2009年 6月 23日,美國國防部 (DOD)部長蓋茨正式下令創建網絡戰司令部,以協調美軍的網絡安全以及指揮網絡戰。根據蓋茨當天簽署的一份長達 3頁的備忘錄,網絡戰司令部將于 2010年 10月全部投入運行。

關于美國網絡戰司令部使命的許多方面是保密的。在此前參議院海陸空三軍委員會聽證會上,A lexander就參議員詢問的問題(共有 98個)進行回答,其中 29個書面回答是“在保密附錄中提供答案”,這些問題如:對于網絡戰司令部你的優先權是什么?你怎樣定義美國網絡司令部的使命? DOD具有在網絡空間在戰術、戰斗和戰略層面上指揮軍事戰斗的重大能力嗎?美國有適合于網絡戰爭的威懾學說和威懾戰略嗎?到什么程度DOD考慮某些美國關鍵基礎設施的防御必須包括延伸到國外的網絡?等等。

該司令部隸屬于美國戰略司令部,駐馬里蘭州米德堡基地。該司令部將對目前分散在美國各軍種中的網絡戰指揮機構進行整合,最終可能完全獨立運作。2010年 3月 17日,美戰略司令部司令奇爾頓表示,美軍目前已經基本完成網絡戰司令部組建準備工作,美國國家安全局局長亞歷山大中將已經被提名兼任該司令部司令,經國會批準后網絡戰司令部正式投入運行。據分析,國防部的網絡戰司令部主要完成三項任務:首先是保護軍方的網絡免遭敵方入侵和破壞。其次是在網絡安全辦公室的協調下,與政府及民間的網絡安全組織和公司一起,反制敵方黑客對諸如電力控制系統、供水控制系統等美國重要民用網絡的破壞和入侵。第三則是對感興趣的別國網絡進行侵入和破壞,爭奪網絡空間的控制權。屆時,國防部的網絡戰司令部既是美國民間網絡安全力量的骨干,又將在為總統提供決策建議時,作為網絡安全辦公室的一個有益補充。

2010年 2月 16日,美國兩黨間政策問題研究中心組織了“網絡風暴”演習,旨在使美國領導人演練應對未來災難性的網絡襲擊。

網絡戰司令部的成立被外界稱為從被動響應到積極防御的戰略轉變,甚至有人認為美國成立網絡戰司令部的目的是在網絡空間實施“先發制人”的政策。早在 2009年 4月,一個美國空軍官員就對BBC說過:“美國應當構建一個攻擊性的僵尸網絡,把向美國發起網絡攻擊的任何力量作為目標。”幾乎同時美國報紙也透露,“國防部確實在開發進攻性網絡武器”。可以設想,網絡戰司令部非常可能利用在美國國內眾多的僵尸網絡及其命令和通過控制服務器來隱蔽其秘密的軍用進攻性僵尸網絡。美國建立網絡司令部可能在網絡戰空間中引起新的軍備競賽。

二、近年美國政府信息安全法律動向[2]

信息安全開始滲透到社會生活的各個領域,對傳統的行政權力劃分提出挑戰。美國現有的網絡安全部門結構非常復雜,國防部、國家安全局、國土安全部之間存在職能沖突,許多新成立的機構嚴重缺員。信息安全行政主管權的職能沖突也同樣延伸到了立法領域。近幾年的網絡安全立法更像是信息安全主管權的爭奪戰。各部門都想通過立法來分未來信息安全主導權的一杯羹。美國在近十年間一直努力構建嚴密而復雜的網絡監管體系。美國政府對互聯網的監管措施越來越嚴密,并呈現出“法制化”、“規范化”的特點。

(一)已通過的信息安全法律

1.《美國信息與通訊增強法案》修訂法案

2009年 8月 13日通過了《美國信息與通訊增強法案》修訂法案(U.S.ICE),該法案是對《聯邦信息安全管理法案》(FISMA)所規定的 IT安全指導的更新。U.S.ICE修訂本將監督聯邦機構信息安全的職責從白宮的OMB轉移到DHS。

修訂版刪除了在總統行政辦公室中設置國家網絡安全辦公室的規定。U.S.ICE改為將大多數政府的 IT安全監管授予國土安全部部長及其國家保護的項目部門。OMB將不會失去所有的職權,他將保留對預算內容的最終發言權。但是,按修訂版,DHS將檢查所有部門和機構網絡安全開銷計劃并且向OMB發布他的建議。從OMB到DHS轉移職權背后的想法是國土安全部具有網絡安全專門技術而OMB精通的是預算。依據委員會的高級委員,“國土安全部”已經是關于網絡安全的協調機構。該法案授權國家標準和技術研究所(N IST)作為制定 IT安全規范指導重要政府機構,但是授權DHS指導具有優先權的政府機構。

U.S.ICE修訂版的其他規定包括:

(1)在DHS內構建一個機構間網絡安全委員會,提供來自不同機構研究聯邦網絡安全政策的專家。來自每個機構負責 IT安全政策的資深人員將是委員會成員。在有些機構這些成員將是首席信息官,而在其他機構則是首席信息安全官。

(2)與 IT供應商合作,以驅動成本效能為目標,為商業現貨供應產品設立 IT安全基線。

(3)構成一個包括DHS、N IST和政府服務局的機構間聯合小組,為安全技術建立通用認證和認可框架。政策將不允許機構建立它們自己的C&A標準。

2.2010 年通過的決議

2010年的美國信息安全立法提案不少,但真正獲得通過的僅是幾個決議,而非實質性的法律法規。在通過的《國土安全部撥款法案 2010》和《國土安全法律和技術授權法案2010》中,2010年財年預算給予國土安全部的科學與技術局10億美元,用于諸如網絡安全等研究。這些預算不包括國防部用于網絡安全的費用。這些費用主要用于研發、部署新的網絡攻防技術設施,如小布什政府 CNC I中的愛因斯坦 3型(Einstein3)等網絡偵測設備,以及國家網絡靶場 (National CyberRange,NCR)和網絡風暴 3(Cyber Storm 3)演習等項目。

為研發網絡新技術和保護網絡安全,美政府通過一系列決議來培養信息安全人才,為信息安全做人才儲備。2010年6月 29日眾議院教育和勞工委員會提案通過,決定未來 5年內推進全國高校中網絡安全課程的學習,并舉辦全國大學生網絡防御比賽。另外,《網絡安全研究和發展法案》修正案旨在促進學院、大學和制造技術推廣中心之間的合作。

(二)2010年具有影響力的信息安全法提案

2010年,最受關注的兩個提案是《國家網絡基礎設施保護法案 2010》和《網絡空間作為國有資產保護法案 2010》。

1.《國家網絡基礎設施保護法 2010》(NationalCyber Infrastructure Protection A ctof 2010)

該提案提出了三點建議:一是國會應該在網絡基礎設施保護領域設置“安全線”,以保障美國的網絡基礎設施安全,當然要留給政府和私營部門一定的靈活性。二是提議成立國家網絡中心,并由參議院指定一個人作為中心主任,直接向國會、美國人民和總統就信息安全問題負責。提案未提及在總統行政辦公室設立法定的協調中心來解決網絡安全問題。因為目前白宮的網絡安全協調中心既沒有權限也沒有人員來協調政府范圍內的網絡運營和戰略。三是提議在政府和私營部門之間建立網絡防御聯盟的伙伴關系,以促進私營部門和政府之間關于網絡威脅和最新技術信息的信息互通。私營部門往往是遭受網絡攻擊的前沿陣地,該網絡攻擊的信息可以提高政府對網絡威脅性質的認識,政府也應該分享其掌握的網絡威脅信息,包括機密或解密的情報。該聯盟將成為傳遞敏感信息和網絡威脅信息的交換所,當然該聯盟的工作必須嚴格遵守《信息自由法》、《反壟斷法》等法律法規的規定。

2.《網絡空間作為國有資產保護法案 2010》(Protecting Cyberspace as a NationalA ssetA ctof 2010)

美國國土安全委員會主席、資深參議員喬·利伯曼日前向美國參議院提出該法案。該法案已經由參議院國土安全與政府事務委員會通過,提案授權國土安全部對國家機構的IT系統進行維護監管。該法案同樣遭到了質疑,不少人認為該法案授權美國國土安全部監管新 IT安全產品的測試和政府采購,而國土安全部并沒有這方面的專門人才。去年 12月,總統任命了一個新的白宮網絡安全協調官,該法案似乎試圖繞過網絡安全協調官及其辦公室的權限。

該法案中最有爭議的條款,是它規定總統可以宣布國家緊急網絡狀態,并強制私營業主對關鍵 IT系統采取補救措施,以保護國家的利益。根據該提案,當美國政府認為美國安全將因互聯網的開放而受到侵犯時,總統可以命令谷歌、雅虎等搜索引擎運營商暫停互聯網服務。其他以美國為基地的互聯網服務提供商,在全國發生互聯網安全緊急事件時,都將受到總統的管制,違者將遭到嚴厲的處罰。若如此,美國總統就正式擁有開啟和關閉“互聯網按鈕”的權力。

三、對我國信息安全戰略的幾點啟示

通過控制互聯網來控制世界一直是美國的主導戰略。通過對近兩年來美國的信息安全戰略和立法分析看出,美國的國家信息安全戰略已經進入了奧巴馬時代的“網絡威懾”期,經歷了一個“從預防為主到先發制人”的演化過程,手段經歷了“從控制互聯網軟硬件系統到控制互聯網內容”的演化過程。擁有開啟和關閉互聯網的“總開關”成為美國通過互聯網來控制世界最終目的的重要手段。而更令人擔憂的是,根據《網絡空間作為國有資產保護法案 2010》的提案,以美國為基地的互聯網服務提供商,在全國發生互聯網安全緊急事件時,都將受到總統的管制。與此同時,美國在近十年間一直努力構建嚴密而復雜的網絡監管體系。由于互聯網本身的“活躍”屬性和美國社會對公權力膨脹的擔心,“管”與“放”的矛盾一直十分激烈,且將長期爭論下去。但總的來看,美國政府對互聯網的監管措施將越來越嚴密,并呈現出“法制化”、“規范化”的特點。我國應該加快信息安全的立法工作,為我國信息化健康發展提供法制保障。

(一)加快制定信息安全立法規劃

我國在網絡安全立法方面以 2004年通過的《電子簽名法》為標志實現了零的突破,隨后,各部門發布了電信條例、信息網絡傳播權條例、互聯網信息服務管理辦法、計算機信息系統安全保護條例、互聯網視聽節目服務管理規定等。與發達國家和一些發展中國家相比,我國在信息安全方面的立法明顯滯后,表現在不僅已有立法的范圍只覆蓋了網絡安全的個別領域,而且立法的效力層次較低。信息安全涉及各行各業,由某一個行業主管部門出臺的行政性規制很難做到全面公正。鑒于此,我們建議我國應盡快制定信息安全立法規劃,明確立法時間表。

(二)加強對國家信息基礎設施的保護

信息基礎設施已經在國家社會生活的各個領域中發揮著不可替代的作用,政治生活、經濟運作、商業活動、軍事安全和文化娛樂,都依賴龐大而復雜的網絡系統。而政府、社會團體、公司的網站每天都會面臨各種網絡攻擊,給國家的政治經濟和國家安全帶來嚴重隱患。在今天的經濟形勢下,所有個人和組織都需要為網絡攻擊關鍵基礎設施導致的不穩定性做好準備。為消除這一日益增加的隱患,我國應該盡快出臺國家信息基礎設施保護方面的法律法規,不僅包括對光纜和移動通信基礎設施的保護,而且包括對非法接入行為的界定,對黑客和制造病毒等網絡系統中的惡意破壞行為進行處罰。

(三)明確國家在重大安全事件時可以對網絡進行管制

網絡世界從來不是一個不用現實的法律條例約束的獨立王國。高聲宣揚“網絡自由”的美國,從來都沒有對互聯網“疏于”防范和管控。美國通過各種途徑,對網絡實施著當今世界最成熟和最有效率的監控和管制措施。不論是戰略層面還是策略層面,不論是技術層面還是管理層面,美國都是當今世界在這一領域最具實力和最具執行力的國家。政府有對網絡行為進行管制的必要性和正當性。我國應該制定完備的信息安全法對網絡進行管控。有消息稱《信息安全條例》已納入 2011年國務院立法規劃。我國的信息安全法應該包括國家在重大安全應急事件情況下對通信網絡的管制權力的授予,尤其是把在有理由相信國家安全受到威脅時,可以將采取臨時管制措施納入信息安全法的規定當中。

四、結語

互聯網是一個開放的世界,但“沒有規矩,不成方圓”,互聯網上一旦出現法律和監管上的真空,國家安全、信息安全、電子商務、個人隱私、未成年人保護等合法行為、合法權益、合理訴求必將遭受沖擊和破壞。依法管理互聯網已成國際慣例,只有明確互聯網法律保護什么、禁止什么,明確互聯網主體參與者的權利和義務,才能保障互聯網健康、有序、快速的發展。只有讓法律法規適應日新月異的互聯網技術發展,依法管理好互聯網,才能讓網民安全使用互聯網,共享互聯網科技進步帶來的碩大成果。

[1]John Ro llins&Anna C.Henning.Comp rehensive National Cybersecurity Initiative:Legal Au tho rities and Po licy Considerations[R].Congressional Research Service,10 m ach2009.

[2]United StatesGovernm entA ccountabilityO ffice(GAO).NationalCybersecurity Strategy:Key Im p rovem entsA reNeeded to Strengthen theNationp s Posture[EB/OL].http://www. gao.gov/new.item s/d09432 t.pdf.