奧巴馬和特朗普時期美國網絡安全戰略體制研究對我國的啟示*

廖蓓蓓，邢 松，孟繁瑞，冀 冰，于進洲

（1.國家計算機網絡應急技術處理協調中心山東分中心，山東 濟南 250002；2.中國聯合網絡通信有限公司青島市分公司，山東 青島 266071）

0 引 言

網絡空間已成為繼陸海空天之后的第五疆域，網絡安全關乎國家的政治、經濟、文化和社會發展的方方面面。隨著全球網絡對抗態勢的升級,各國更加注重網絡安全治理。美國網絡安全戰略體系經歷了從無到有、從分散到系統的過程，一直處在發展演變中。網絡安全體制也日漸成熟，值得研究與借鑒。

1 奧巴馬政府和特朗普政府網絡安全戰略體制梳理

美國作為擁有最復雜信息網絡的國家之一，高度重視網絡安全戰略體制建設，已經形成了較為科學高效的管理體制，通過多項措施，全方位保障美國網絡空間安全。

1.1 形成全方位的網絡空間安全戰略

1.1.1 政策層面：網絡安全應急管理體系逐步成型

隨著技術的發展，網絡安全事件日益增多，對社會的正常運轉產生了極大威脅。建立健全應急管理體系，對未雨綢繆，將網絡安全事件的負面影響降到最低是大有裨益的。

2009 年5 月，奧巴馬政府公布了《網絡空間政策評估》報告,規定建議設立網絡安全協調官一職，以統籌協調全國的網絡安全事件。同年，成立了國家網絡安全與通信綜合中心（NCCIC）。2014 年《聯邦信息安全現代法》與2015 年《網絡安全信息共享法》賦予了該中心在網絡安全預警方面的11 項職能，同時在聯邦和非聯邦實體之間扮演著應急信息共享的“橋梁”角色。2010 年9 月《國家網絡安全應急預案（草案）》的出臺和2016 年12 月正式版本的《國家網絡安全應急預案》，均體現了在國家層面對網絡安全的重視，標志著網絡安全應急管理行動有了明確的標準與導向。奧巴馬政府時期的網絡應急管理體系快速發展、日趨成熟。

隨著多項網絡安全戰略文件的相繼密集出臺，特朗普政府時期的網絡安全職能更加細化和具有層次性，進入成熟期。2017 年5 月，特朗普簽署《增強聯邦政府網絡與關鍵性基礎設施網絡安全》行政令，將美國政府機構內部的網絡安全風險納入管理范疇，各聯邦機構對各自網絡安全負責。同年12 月，白宮發布《國家安全戰略報告》，確定了保衛美國安全、促進美國繁榮、捍衛和平和提升美國影響力的四大核心國家利益。2018 年5 月國土安全部發布《網絡安全戰略》，8 月特朗普簽署《2019 財年國防授權法案》，9 月白宮發布《國家網絡戰略》、國防部發布《2018 國防部網絡戰略概要》。這些層層迭代的“頂層”文件，反復宣揚美國網絡主張，進攻反制色彩濃厚，震懾力空前[1]。

1.1.2 行動層面：網絡安全作戰體系形成

奧巴馬政府時期致力于組建網絡作戰指揮機構，增強自身威懾力。2010 年5 月21 日，美國網絡司令部正式成立，標志著美國“網軍”的形成。2016 年12 月，奧巴馬簽署的《國防授權法案》，將網絡司令部提升至更加重要的位置，升格為作戰司令部。司令部在作戰方面涉及三大領域，一是國家電網、核電站等重要基礎設施保障；二是美國國防部信息網絡安全維護；三是具體網絡作戰任務[2]。2011 年美國出臺《網絡空間國際戰略》，宣布將“網絡威懾”作為重要的戰略部署，將網絡空間作為與陸、海、空、天并駕齊驅的“行動領域”。在網絡空間，美國不斷增強其持續的作戰能力，并且保證自身能在其他國家對其發動網絡攻擊時利用軍事力量予以反擊。2012 年，美國政府簽發《20 號總統政策指令》，該指令要求美國在沒有任何警告的前提下，為實現其國家安全的目標，可以發動網絡攻擊。這種攻擊不僅僅局限在報復范圍之內。一系列的政策措施表明，美國已經將網絡作戰列為自身的戰略核心，加劇了全球對互聯網軍事化的恐慌。

特朗普政府時期的政策將上述恐慌進一步升級，賦予在網絡空間開展軍事行動明確的權限。特朗普上任初期，將美國軍隊中具有網絡戰職能的不同部門聯合形成單獨的高級別的司令部門。2018 年5 月，美軍網絡司令部完成升級，升級后的網絡司令部，與太平洋司令部和歐洲司令部同級，可向國防部長作直接匯報[3]。本次升級具有里程碑意義，突顯美國網絡空間作戰能力。在網絡攻擊方面也給予網絡司令部更大權限。同年8 月，特朗普撤銷奧巴馬的《第20 號總統政策令》，20 號政策令中要求發動重大網絡進攻前需要獲得層層審批，而此撤銷舉動賦予美國發動網絡攻擊更大的自主性。同月特朗普簽署的第13 號國家安全總統備忘錄賦予網絡司令部可以更自由地部署先進網絡武器的權限，從而使網絡空間行動效率大大提升。

1.2 形成關鍵信息基礎設施保護管理體系

布什政府在2003 年12 月發布的第7 號國土安全總統令賦予國土安全部在民事領域的網絡安全職能。2008 年，布什政府出臺的《第54號國家安全總統指令/第23 號國土安全總統指令》，其中提出了《國家網絡安全綜合計劃》，該項戰略規定由國土安全部制定《國家基礎設施保護計劃》，以及時迅速地將網絡威脅等相關信息報送至持有或者運營關鍵基礎設施的機構。奧巴馬政府時期，國土安全部統籌協調職責確立。2013 年奧巴馬政府簽署第13636 號行政令《提高關鍵基礎設施網絡安全》，行政令要求國土安全部提高態勢感知、應急協調等方面的能力，致力于降低關鍵基礎設施網絡安全風險。特朗普政府對關鍵基礎設施保護戰略進行了進一步升級。2018 年，國土安全部宣布成立國家風險管理中心，作為風險評估單位對關鍵基礎設施企業評估其存在的網絡安全威脅。2019 年8 月，美國政府問責署發布《關鍵基礎設施保護：采取措施應對電網面臨的重大網絡安全風險》，報告分析了美國電網所面臨的網絡威脅，指出其不足并提出相關的改進建議。

1.3 對重點行業的外國投資審查成為重點

奧巴馬政府時期，國防部在2013 年發布國防聯邦采購補充條例，即第2012-D050 號臨時政策。要求國防部在采購信息技術時著重審查供應鏈的相關情況。如果存在供應鏈風險審查不通過的情況，國防部具有不披露具體原因也不接受申訴就拒絕供應商的產品或者服務的權利。特朗普政府時期尤其在中美貿易戰期間，美國加大了審查力度。2018 年，美國國會出臺《國防授權法案》，其中附帶的《外國投資風險審查現代化法案》，規定擴大外國投資委員會的審查權，并將網絡安全作為重點考慮因素。伴隨著中美貿易摩擦的升級，美國總統特朗普于2019 年發布了《確保信息通信技術與服務供應鏈安全》行政令，其內容涉及對特定國家提供的電信產品或者服務具有禁止或取消的權力，在某種程度上成為遏制中國發展的重要手段。

1.4 注重網絡安全人才培養

早在20 世紀90 年代，美國對網絡安全人才就非常重視，2003 年，小布什政府《網絡空間安全國家戰略》[4]提出的五項優先計劃中，第三項為“國家級網絡安全意識和培訓計劃”[5]。2008 年，時任美國總統小布什出臺的《第54號國家安全總統指令/第23 號國土安全總統指令》中提出了《國家網絡安全綜合計劃》，即CNCI[6]。CNCI 將擴大網絡教育作為內容之一，強調網絡安全技術發展需要相應人員具備一定的技能，并提出要加強網絡安全人才隊伍建設。奧巴馬政府對布什政府時期的人才培養政策具有一定的延續性，尤其是對CNCI 中的人才培養計劃進行了繼承與發展。2009 年，奧巴馬政府發布的首份網絡空間報告《網絡空間政策評估》，其中對加強網絡安全教育、加強聯邦政府信息技術人才隊伍建設等內容有所涉及。同年，奧巴馬宣布每年10 月為美國網絡安全意識月，從提高公眾的網絡安全意識出發，呼吁掌握基本的網絡安全知識與技能。次年，美國正式啟動“國家網絡安全教育計劃”，也就是“NICE 計劃”，在未來大約每5 年對計劃進行一次更新與調整。NICE 計劃是美國進行網絡安全人才培養的指導性綱領，具有里程碑意義。

特朗普政府時期的人才培養政策具有延續性和創新性。2018 年3 月，美國的NICE 計劃創新設立“網絡安全學徒制”，用于培養網絡安全多能人才。同年9 月，總統簽署發布美國《國家網絡戰略》，強調要把加強網絡安全人才隊伍建設、培養卓越的網絡安全人才上升為國家網絡安全戰略目標。2019 年，特朗普簽署了《網絡安全人才行政令》，提出通過開展網絡安全競賽、實行輪崗計劃等措施，從而加強網絡安全隊伍建設，留住人才、填補人才空缺。

2 奧巴馬政府和特朗普政府網絡安全戰略比較

作為美國歷史上的兩屆政府，雖然在網絡安全戰略、關鍵信息基礎設施保護、對外審查等方面有著一脈相承之處，但是在網絡空間治理方面也有著不同的態度與主張，從而折射出各自的治網理念。

在對國際互聯網治理模式方面，奧巴馬當政時期是美國出臺網絡安全政策指令、網絡空間戰略文件最多的時期，反映了美國政府對網絡空間事務和網絡空間治理的極度重視[7]。奧巴馬時期對國際網絡空間治理的意愿是比較強烈的，其當政時期簽署過《網絡空間國際戰略》，闡述美國“在日益與網絡相聯的世界如何建立繁榮、增進安全和保護開放”。與以往的互聯網空間治理政策措施不同，該戰略顯示了美國將網絡空間治理的范圍擴展到全球以及謀求掌握全球互聯網發展、治理主導權的野心。特朗普上臺后，戰略側重點有所變化，更加傾向建立雙邊關系，對國際網絡空間的治理欲望明顯下降，在一定程度上影響了美國在國際網絡空間的主導地位。2017 年6 月，聯合國政府專家組（UNGGE）第五次會議中就出現了比較大的分歧，各成員國從各自國家利益出發，尤其是針對自衛權和《國際人道主義法》對網絡沖突的適用性方面問題無法達成一致，最終會議在沒有形成共識性報告的情況下不了了之。美國白宮安全顧問在此次會議后發表聲明表示，建立網絡空間各方行為規范的努力，可能無法通過聯合國的機制來實現，將考慮與小范圍的伙伴進行合作，如果需要可以與合作國家達成雙邊協議。可見特朗普政府在網絡空間行為規范制定方面，對聯合國框架下的機制并不看好，更傾向與“志同道合”的國家合作，以雙邊協議為基礎搭建國際網絡空間行為規范的藍本[8]。

在網絡空間治理理念方面，奧巴馬和特朗普也有著不同的思路。奧巴馬秉承“互聯網應該自由公開”的理念，并在執政生涯內多次強調“網絡中立”。“互聯網自由”戰略背后是出自美國政府的深謀遠慮，是為美國打造網絡空間主導權做出的鋪墊。奧巴馬上臺后相繼出臺《國家網絡安全戰略報告》《網絡空間政策評估》等一系列文件，并采取設立網絡空間司令部等多項舉措，均是站在美國的立場上定義互聯網領域的是與非，意味著美國已將網絡空間納入傳統的公共外交范疇，互聯網已經成為美國加緊在海外推進民主的重要工具和全新領域[9]。

特朗普上臺后，“互聯網自由”的觀念逐漸趨于淡化，推行以“規則為基礎的國際秩序”，推行美國主張的國際規則成為網絡外交的使命[10]。特朗普時期，以互聯網為旗號的外交被嚴重弱化，以“互聯網自由”為目的的項目也陸續邊緣化。對前任主張的弱化并不代表特朗普放松對網絡安全的重視，特朗普治網更傾向于將發力的抓手朝向國內，加強美國自身的網絡安全能力建設，從重視安全和經濟發展的角度促進美國倡導國際規則的構建。

3 美國網絡安全管理體系發展趨勢

不同時期的政府在網絡安全管理方面的側重點有差異，但是總體趨勢的總基調依然是從早期的分散狀態逐步走向系統、從局部走向整體，網絡安全管理體制實現遞進式的調整。

網絡安全的戰略地位不斷上升。克林頓政府通過一系列的政策措施，將對網絡信息安全的關注上升到國家安全的高度。“9·11 事件”給予布什政府一定沖擊，布什政府認識到保障網絡安全迫在眉睫，將網絡安全置于國家安全戰略的核心位置，并重視職能部門的建設，賦予當時新成立的美國國土安全部維護國內民事領域網絡安全職能。奧巴馬政府時期維護網絡安全的工作重心集中在保護網絡基礎設施。特朗普總統上臺后，網絡安全戰略措施進一步升級，并帶有更加濃重的反制色彩。

戰略目標逐漸向全球蔓延。克林頓和布什政府時期，網絡安全防護的范圍不斷拓展，美國政府于2003 年發布的《保護網絡空間國家戰略》具有里程碑意義，標志著美國網絡安全管理體系初具雛形。隨著奧巴馬政府時期網絡安全政策措施的出臺，美國對網絡安全管理的觸角延伸至全球。特朗普總統上臺后，致力于打造網絡安全空間的國際秩序，更強調網絡安全的全局性和戰略性。

戰略側重點發生改變，由以防為主轉變為以攻為主。在克林頓政府時期，網絡安全戰略的思路以防御為主，注重信息安全保護和信息保障。小布什時代，因遭受“9·11 事件”的沖擊，網絡安全戰略的重心轉移到攻防結合，更加重視反恐，并且加強軍方的網絡作戰能力。奧巴馬上臺后，戰略手段更加強硬，轉為利用武力進行威懾。成立網軍，并且將網絡威懾上升為戰略部署。特朗普政府時期，將網絡安全領域視為國際競爭和防范的重要戰場，將增強網絡技術能力作為提升綜合國力的重要環節。

4 對我國的影響

一是為美國針對我國收緊的網絡安全審查制度做好應對方案。近年來，美國歷屆總統將網絡安全保護的重點之一轉移到網絡安全審查上來。尤其是特朗普上臺以來，美國的網絡安全審查職能實現了國防部、國土安全部、商務部等跨部門性的全面覆蓋。網絡安全審查也成為美國反制他國、提升國際話語權的有力武器。歷史上，日本、德國等很多國家都曾遭受過美國網絡安全審查制度的強力打擊。以華為為例，中國的互聯網高科技企業也在美國的壓力下，其發展面臨重重阻礙，在國際競爭中處于備受阻撓的境地。

二是警惕美國網絡安全戰略的轉變。奧巴馬時代，美國的網絡安全戰略就開始進行主動攻擊。到了特朗普總統上臺以后，網絡安全戰略導向以防轉攻，更加帶有“激進攻擊”的色彩。美國成立網絡司令部，標志著美國對網絡空間實行軍事化的管理，威懾、防御和攻擊的力度加大，為其網絡霸權護持提供了強有力的保障和軍事上的威懾。

三是推行網絡戰，加劇全球網絡空間的“不信任”危機。美國曾公開宣布對伊朗實施網絡戰，并借助其擁有完備、龐大的計算機病毒庫、計算機硬件軟件漏洞庫的技術優勢，開創了運用網絡手段攻擊其他國家電力能源等關鍵信息基礎設施的先例，引發全球陷入網絡戰陰影[11]。美國擴充網絡軍隊的舉措，加劇了國際社會的不信任危機，進而影響國際網絡空間的合作與發展。

5 對策建議

一是針對美國網絡安全政策動向，加快形成網絡安全應急法律體系，不斷完善網絡應急管理體系。美國形成了以法律、行政令、總統令等為主體的網絡安全應急法律體系。作為制度保障，為網絡安全應急管理體制機制提供了基本依據和重要保障[12]。以美國相關的戰略措施為借鑒，汲取美國治網新理念和實踐經驗。出臺相應的應急法律法規。尤其注意在關鍵時間階段，如美國大選、中美貿易摩擦期間，我國更應當完善機制，加強對網絡安全態勢感知，并且主動發聲，給予美國所倡導的“中國威脅論”以強有力回擊。

二是增強互聯網攻防能力，為網絡戰做能力儲備。研制出具有自主知識產權的網絡技術和培養出世界水平的人才隊伍需要國家加強網絡核心技術研發，加大網絡教育投資力度[13]。發揮技術和人才優勢，加強頂層設計，從國家層面構筑網絡攻防體系，提高網絡安全防御能力。

三是立足頂層設計，將關鍵信息基礎設施安全的防護納入網絡安全能力評估框架中。提高關鍵信息基礎設施網絡安全防護能力，應當從我國國情出發，突出威脅信息共享、監測預警、應急處置等橫向協同的安全域內容，將關鍵信息基礎設施安全防護與網絡安全能力評估有機結合[14]，找差距、補短板，從而逐步強化關鍵信息基礎設施的安全保護能力。

四是將網絡安全審查貫穿到全球供應鏈中。美國對其他國家開展網絡安全審查過程中，往往夾雜著政治因素、經濟因素的考量。我國應當借鑒相關經驗，以全球供應鏈視角審視網絡安全審查，將網絡安全管理滲透到信息技術產品生產的全生命周期，將技術審查、產品審查、資質審查、企業審查全面結合，并以立法的形式予以確認，在維護我國關鍵信息基礎設施安全的基礎上，最大限度地維護我國網絡空間主權、安全和發展利益[15]。

五是加強人才隊伍建設。要從國家層面制定網絡安全人才培養戰略，明確人才培養目標和具體措施。構建全方位的人才培養體系，致力于培養跨學科、跨領域的網絡安全多面手。政府可與高校等科研單位聯合進行人才的定向培養，致力于填補我國網絡安全人才的缺口，將滿足國家需求同個人職業發展有機結合，形成網絡空間安全人才創造力迸發、活力涌流的良好局面。

六是深化國際互信關系，提升我國在世界上的話語權。積極參與制定網絡空間的國際規則，加強與各國的合作交流，增進戰略互信關系，讓更多國家能夠傾聽中國聲音，避免網絡空間成為新的戰場。構建網絡空間命運共同體，追求更加公正、合理的國際空間網絡安全治理模式，進一步打破美國等少數國家對網絡空間安全的絕對控制，提高我國對美國聯盟體系的網絡攻擊抵御能力[11]。

6 結 語

美國仗著全球最強大的網軍和網絡武器庫，將網絡戰付諸實踐，一步步將網絡空間引向戰爭深淵[16]。近年來，美國絲毫沒有放松對中國的網絡安全攻擊。中國計算機網絡應急技術處理協調中心（CNCERT）2020 年發布的《2019 年中國互聯網網絡安全態勢綜述》中提到，我國境內被植入后門的網站數量較2018 年增長超過2.59 倍。其中約有4 萬個境外IP 地址（占全部IP 地址總數的90.9%）對境內約8 萬個網站植入后門，位于美國的IP 地址最多，占境外IP 地址總數的33.5%[17]。通過對美國不同當政者所采取的網絡安全戰略進行研究分析，希望給我國在網絡空間治理方面提供參考，在展現大國擔當、構建網絡空間命運共同體方面也是有意義的。