近十多年來,由于網(wǎng)絡(luò)攻擊日益頻繁以及網(wǎng)絡(luò)攻擊技術(shù)越來越復(fù)雜多樣,網(wǎng)絡(luò)攻擊產(chǎn)生的經(jīng)濟(jì)負(fù)擔(dān)和社會(huì)影響越來越廣泛,美國政府對(duì)信息系統(tǒng)的安全性(通常也稱為網(wǎng)絡(luò)安全)越來越重視。同時(shí),“斯諾登事件”也促使美國政府各個(gè)部門采取行動(dòng),以平衡國家安全、網(wǎng)絡(luò)安全和公民隱私權(quán)利保護(hù)。美國對(duì)信息系統(tǒng)的依賴程度非常高,網(wǎng)絡(luò)安全是美國國家安全戰(zhàn)略的一個(gè)重要組成部分。隨著美國網(wǎng)絡(luò)安全戰(zhàn)略的出臺(tái),網(wǎng)絡(luò)安全協(xié)調(diào)和實(shí)施機(jī)制、網(wǎng)絡(luò)安全立法也逐步完善,網(wǎng)絡(luò)安全體制逐步健全。本文首先總結(jié)了美國政府對(duì)網(wǎng)絡(luò)空間的認(rèn)識(shí),以幫助讀者理解美國制定網(wǎng)絡(luò)安全戰(zhàn)略的出發(fā)點(diǎn);第二部分重點(diǎn)論述了奧巴馬政府的網(wǎng)絡(luò)空間政策;第三部分通過分析國家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃、關(guān)鍵基礎(chǔ)設(shè)施部門網(wǎng)絡(luò)安全計(jì)劃、國防部網(wǎng)絡(luò)事故民事支持計(jì)劃,表明目前美國聯(lián)邦政府圍繞國家應(yīng)急架構(gòu)制定了明確分工、統(tǒng)一協(xié)調(diào)的網(wǎng)絡(luò)安全實(shí)施機(jī)制;美國政府的立法部門也認(rèn)識(shí)到需要完善目前的網(wǎng)絡(luò)安全法律框架,以滿足改善網(wǎng)絡(luò)安全的需要,因此,第四部分論述了近十年美國立法部門制定綜合性網(wǎng)絡(luò)安全立法的努力以及遇到的阻力。
一、美國政府對(duì)網(wǎng)絡(luò)空間的認(rèn)知
根據(jù)美國政府已經(jīng)頒布的權(quán)威性網(wǎng)絡(luò)空間政策文件、國家高層領(lǐng)導(dǎo)人的講話、權(quán)威調(diào)查報(bào)告,筆者把美國的網(wǎng)絡(luò)空間認(rèn)知概括為以下四點(diǎn):
(一)網(wǎng)絡(luò)空間是一個(gè)重要的行動(dòng)領(lǐng)域,美國的經(jīng)濟(jì)繁榮、國家安全都依賴于網(wǎng)絡(luò)空間,網(wǎng)絡(luò)威脅是美國國家安全面臨的最嚴(yán)重的威脅之一。
“借助網(wǎng)絡(luò)空間,美國及國際企業(yè)可以交易貨物和服務(wù),并在幾秒鐘內(nèi)實(shí)現(xiàn)全球范圍內(nèi)的資產(chǎn)轉(zhuǎn)移。除了為其他領(lǐng)域的貿(mào)易提供便利,網(wǎng)絡(luò)空間本身就是全球經(jīng)濟(jì)的一個(gè)關(guān)鍵領(lǐng)域。它已成為創(chuàng)業(yè)、技術(shù)進(jìn)步、言論自由傳播和新型社會(huì)網(wǎng)絡(luò)的新型孵化器,推動(dòng)著我們經(jīng)濟(jì)的發(fā)展。能源、銀行、金融、交通、通訊、國防工業(yè)基礎(chǔ)等各項(xiàng)關(guān)鍵基礎(chǔ)設(shè)施的安全和有效運(yùn)作,都依賴于網(wǎng)絡(luò)空間、工業(yè)控制系統(tǒng)和信息技術(shù),然而這些都易于受到攻擊而中斷或被刺探。” 而且,承擔(dān)保衛(wèi)美國國家安全的機(jī)構(gòu),比如國土安全部、國防部以及各個(gè)軍種也非常依賴這些信息環(huán)境以完成這些任務(wù);沒有這些信息環(huán)境,這些機(jī)構(gòu)就不能有效地提供國家安全。聯(lián)邦調(diào)查局、國土安全部、國家安全局的領(lǐng)導(dǎo)人在許多證詞中都警告網(wǎng)絡(luò)安全對(duì)美國國家安全的重要性不斷增長。 2012年10月,國防部長帕內(nèi)塔警告在將來會(huì)發(fā)生網(wǎng)絡(luò)領(lǐng)域的“珍珠港事件”,電網(wǎng)、金融系統(tǒng)、交通運(yùn)輸系統(tǒng)遭受網(wǎng)絡(luò)攻擊只是時(shí)間早遲的問題,敵人可能對(duì)美國的關(guān)鍵基礎(chǔ)設(shè)施,包括關(guān)鍵軍事系統(tǒng)和通訊網(wǎng)絡(luò)發(fā)動(dòng)網(wǎng)絡(luò)攻擊,以配合物理性攻擊。 2013年3月12日,美國國家情報(bào)總監(jiān)發(fā)布的報(bào)告指出,網(wǎng)絡(luò)威脅已經(jīng)成為美國的頭號(hào)威脅(在《全球威脅》一節(jié)中,把網(wǎng)絡(luò)放在第一位)。 2013年11月防務(wù)新聞網(wǎng)站(Defense News)對(duì)350多位來自產(chǎn)業(yè)界、軍界和國家安全政策領(lǐng)域的領(lǐng)導(dǎo)人進(jìn)行的調(diào)查表明,他們認(rèn)為網(wǎng)絡(luò)威脅是美國政府面臨的頭號(hào)威脅,超越了恐怖主義。2013年10月30日到11月6日,美國皮尤研究中心對(duì)2003名成年人的民意調(diào)查結(jié)果也顯示,70%的受訪者認(rèn)為網(wǎng)絡(luò)攻擊是美國面臨的一個(gè)新的重大威脅。
(二)目前,網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)間諜是美國面臨的最重要的網(wǎng)絡(luò)威脅,網(wǎng)絡(luò)空間的非對(duì)稱性可能促使?jié)撛趯?duì)手利用網(wǎng)絡(luò)空間獲得非傳統(tǒng)優(yōu)勢,美國必須對(duì)此保持警惕。
制定合理的網(wǎng)絡(luò)空間戰(zhàn)略的前提是必須理解網(wǎng)絡(luò)空間威脅的本質(zhì)。對(duì)網(wǎng)絡(luò)空間威脅的認(rèn)識(shí)是建立在對(duì)網(wǎng)絡(luò)空間中人類行為特征的理解的基礎(chǔ)之上的。網(wǎng)絡(luò)空間域的絕大多數(shù)信息網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施為民營企業(yè)所擁有,而且互聯(lián)網(wǎng)是一種開放式的體系結(jié)構(gòu)。因此,比起陸海空天等傳統(tǒng)行為領(lǐng)域,網(wǎng)絡(luò)空間中人類行為產(chǎn)生影響的速度非常快,而波及范圍又非常廣,往往突破了主權(quán)國家疆界的限制。如果不是不可能的話,追查網(wǎng)絡(luò)攻擊的肇事者也是很困難的。而且,在市場上可以買到非常實(shí)惠的電腦硬件,上網(wǎng)的價(jià)格越來越便宜,而且可以廣泛獲得更先進(jìn)的信息技術(shù)和產(chǎn)品。還有一點(diǎn)是,可供使用的網(wǎng)絡(luò)人力資源也是容易獲得。這導(dǎo)致進(jìn)入網(wǎng)絡(luò)領(lǐng)域的技術(shù)障礙和經(jīng)濟(jì)成本是很低的,網(wǎng)絡(luò)空間中的行為者多種多樣,包括國家政府、非國家政治組織、犯罪網(wǎng)絡(luò)、企業(yè)和恐怖分子、心懷不滿的內(nèi)部人士、黑客等。
網(wǎng)絡(luò)空間的這些特性決定了網(wǎng)絡(luò)空間的非對(duì)稱性,美國政府一直在警告,具備創(chuàng)新能力的潛在對(duì)手會(huì)在“信息化”領(lǐng)域大有作為,利用網(wǎng)絡(luò)空間的非對(duì)稱性突破美國在傳統(tǒng)軍事能力方面的主導(dǎo)優(yōu)勢。
2013年3月12日,美國國家情報(bào)總監(jiān)發(fā)布的報(bào)告使用“網(wǎng)絡(luò)攻擊”和“網(wǎng)絡(luò)間諜”來定義網(wǎng)絡(luò)威脅。“網(wǎng)絡(luò)攻擊是一種非動(dòng)能進(jìn)攻行動(dòng),旨在產(chǎn)生物理效應(yīng),或操縱、破壞、刪除數(shù)據(jù)。其包括暫時(shí)阻止網(wǎng)站訪問的拒絕服務(wù)式攻擊、針對(duì)渦輪發(fā)動(dòng)機(jī)的、可以造成持續(xù)數(shù)日的物理傷害和中斷的攻擊等行動(dòng)。網(wǎng)絡(luò)間諜是指侵入網(wǎng)絡(luò)獲得敏感的外交、軍事、經(jīng)濟(jì)情報(bào)……外國情報(bào)和安全機(jī)構(gòu)已經(jīng)滲透了美國政府、商業(yè)公司、學(xué)術(shù)機(jī)構(gòu)、私營部門機(jī)構(gòu)的網(wǎng)絡(luò)。他們的目標(biāo)既包括非機(jī)密信息,也包括機(jī)密信息。我們無法估計(jì)專利技術(shù)和敏感商業(yè)信息的價(jià)值,因此無法評(píng)估商業(yè)網(wǎng)絡(luò)間諜活動(dòng)的影響,但是這些信息能力幫助他們?cè)谝恍┬袠I(yè)獲得不公平利益。” 2014年5月8日,美國國家安全局局長、網(wǎng)絡(luò)司令部司令基斯接受《澳洲經(jīng)濟(jì)評(píng)論》記者采訪時(shí)表示,“在過去的十年或二十年,從美國偷走的知識(shí)產(chǎn)權(quán)是人類歷史上規(guī)模最大的、最快速的非自愿性財(cái)富轉(zhuǎn)移。要有越來越好的計(jì)算機(jī)硬化技術(shù),加強(qiáng)存儲(chǔ)和保護(hù)我們的知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò),我們的關(guān)鍵基礎(chǔ)設(shè)施也依賴這些。這是國家安全局的信息保障業(yè)務(wù)。”
(三)美國把網(wǎng)絡(luò)安全納入外交政策議題,推動(dòng)制定網(wǎng)絡(luò)空間行為規(guī)范,維護(hù)這一國際公域的基本秩序。美國的網(wǎng)絡(luò)空間國際戰(zhàn)略是保障基本自由、隱私權(quán)和信息自由流動(dòng),同時(shí)也要掌握網(wǎng)絡(luò)空間治理的國際話語權(quán)。
白宮在2011年5月發(fā)布的《網(wǎng)絡(luò)空間國際戰(zhàn)略》指出,國際合作是維持網(wǎng)絡(luò)空間環(huán)境的最佳做法,更是首要原則。美國將進(jìn)行國際協(xié)作,完善開放、互操作、安全、可靠的信息和通信基礎(chǔ)設(shè)施,以保障國際貿(mào)易和商業(yè),加強(qiáng)國際安全,促進(jìn)言論自由和創(chuàng)新。為了實(shí)現(xiàn)這一目標(biāo),我們將建立和維持一種環(huán)境,以責(zé)任行為規(guī)范指導(dǎo)國際行動(dòng),維持伙伴關(guān)系,并保障網(wǎng)絡(luò)空間中的法律規(guī)則。美國制定國際網(wǎng)絡(luò)空間政策的目標(biāo)是為了獲得網(wǎng)絡(luò)空間的主動(dòng)權(quán)、話語權(quán),不過美國政府也注意到了目前在網(wǎng)絡(luò)空間治理方面不同國家所持立場的不同。“互聯(lián)網(wǎng)信息控制是美國和其他國家之間討論的一個(gè)關(guān)鍵問題。一些國家,包括俄羅斯、中國、伊朗,關(guān)注于互聯(lián)網(wǎng)內(nèi)容可能導(dǎo)致政局不穩(wěn)、政權(quán)更迭的‘網(wǎng)絡(luò)影響’和風(fēng)險(xiǎn)。而美國關(guān)注于網(wǎng)絡(luò)和系統(tǒng)的可靠性和完整性方面的網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)。這是我們定義網(wǎng)絡(luò)威脅的根本區(qū)別。當(dāng)前的互聯(lián)網(wǎng)治理多方利益攸關(guān)者模式為政府、商界、學(xué)術(shù)界和民間社會(huì)討論互聯(lián)網(wǎng)的組織和技術(shù)標(biāo)準(zhǔn)并達(dá)成共識(shí)提供了一個(gè)論壇。然而,重塑互聯(lián)網(wǎng)治理模式,采用以國家政府為基礎(chǔ)的治理模式將違背我們的許多政策目標(biāo),特別是保護(hù)言論自由、網(wǎng)上信息的自由流動(dòng)和確保信息技術(shù)產(chǎn)品和服務(wù)的自由市場方面的目標(biāo)。”
(四)網(wǎng)絡(luò)空間威脅問題的解決,僅依靠技術(shù)的力量是不夠的,也需要制度規(guī)范。建立公私合作伙伴關(guān)系對(duì)于解決網(wǎng)絡(luò)安全問題至關(guān)重要。
網(wǎng)絡(luò)安全問題的解決,一方面需要技術(shù)力量儲(chǔ)備,比如云計(jì)算、新的互聯(lián)網(wǎng)架構(gòu),另一方面需要建立完備的網(wǎng)絡(luò)安全處理機(jī)制。美國政府對(duì)網(wǎng)絡(luò)技術(shù)、信息技術(shù)的發(fā)展做出了清晰的規(guī)劃,美國強(qiáng)大的科研體系保證了美國可以掌握最先進(jìn)的信息技術(shù)、網(wǎng)絡(luò)安全技術(shù)。在奧巴馬政府的領(lǐng)導(dǎo)下,美國已經(jīng)建立了多個(gè)聯(lián)邦政府機(jī)構(gòu)、國防機(jī)構(gòu)、私營部門廣泛參與的網(wǎng)絡(luò)安全機(jī)制。為了加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的彈性,奧巴馬總統(tǒng)在2013年2月12日簽署了第13636號(hào)行政令——《提高關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》,該行政令要求建立一個(gè)自愿性的網(wǎng)絡(luò)安全框架,提供一個(gè)優(yōu)選的、靈活的、可復(fù)制的、基于績效的、具備經(jīng)濟(jì)效益的方法,協(xié)助提供關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的機(jī)構(gòu)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。
二、美國網(wǎng)絡(luò)安全政策的制定
要建立一個(gè)完善的網(wǎng)絡(luò)安全戰(zhàn)略,美國政府就必須解決各個(gè)政府部門和聯(lián)邦機(jī)構(gòu)間的任務(wù)分配和法定授權(quán)問題。特別是在電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)相互融合以及其他基礎(chǔ)設(shè)施部門日益依賴互聯(lián)網(wǎng)以實(shí)現(xiàn)互聯(lián)互通的背景下,更是如此。回顧美國政府行政部門頒布的有關(guān)網(wǎng)絡(luò)安全的重要政策文件,可以看到隨著網(wǎng)絡(luò)威脅的日益復(fù)雜,美國政府對(duì)網(wǎng)絡(luò)空間風(fēng)險(xiǎn)的重視程度越來越高,聯(lián)邦機(jī)構(gòu)間的溝通協(xié)調(diào)機(jī)制也不斷完善。
1998年5月簽署的第63號(hào)總統(tǒng)令(PDD-63)規(guī)定,在白宮的直接領(lǐng)導(dǎo)下,設(shè)立了一個(gè)機(jī)制,協(xié)調(diào)牽頭部門和相關(guān)機(jī)構(gòu)的行動(dòng),聯(lián)邦機(jī)構(gòu)還要與私營部門合作,以防范和抵御針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的物理攻擊和網(wǎng)絡(luò)攻擊,特別是針對(duì)美國的網(wǎng)絡(luò)系統(tǒng)的攻擊。這項(xiàng)政策在2003年的《確保網(wǎng)絡(luò)空間安全國家戰(zhàn)略》中又進(jìn)行了修訂。2003年的第7號(hào)國家安全總統(tǒng)令(HSPD-7)進(jìn)一步增強(qiáng)了這項(xiàng)工作,第7號(hào)國家安全總統(tǒng)令為政府部門劃分了具體的職責(zé),各個(gè)機(jī)構(gòu)也需要實(shí)施跨部門協(xié)調(diào),同時(shí)賦予國土安全部總體協(xié)調(diào)國家重要基礎(chǔ)設(shè)施(包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施)的保護(hù)工作。這兩項(xiàng)政策的重點(diǎn)是實(shí)施防御性措施,而且第7號(hào)國家安全總統(tǒng)令不涉及聯(lián)邦政府信息系統(tǒng)的保護(hù)。2007年,《國家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)采取了不同的策略,其核心是一改過去分散化的網(wǎng)絡(luò)防御做法,把各個(gè)政府機(jī)構(gòu)的網(wǎng)絡(luò)防御行動(dòng)與執(zhí)法、情報(bào)、反間諜和軍事能力整合起來,以全面解決各種網(wǎng)絡(luò)威脅,如遠(yuǎn)程網(wǎng)絡(luò)入侵、內(nèi)部人員入侵、供應(yīng)鏈威脅。“國家網(wǎng)絡(luò)安全綜合計(jì)劃”被寫入喬治·W.布什政府于2008年頒布的第54號(hào)國家安全總統(tǒng)指令/第23號(hào)國土安全總統(tǒng)指令(NSPD-54/HSPD-23)中。目前,這些文件屬于機(jī)密,但根據(jù)奧巴馬政府2010年3月公布的簡報(bào),這個(gè)計(jì)劃的目標(biāo)包括整合聯(lián)邦信息系統(tǒng)的外部接入點(diǎn);在這些系統(tǒng)部署入侵檢測和防御系統(tǒng);加強(qiáng)研究協(xié)調(diào)和優(yōu)先事項(xiàng)安排,并研制“下一代”技術(shù);加強(qiáng)信息共享、網(wǎng)絡(luò)安全教育和宣傳;減輕源自信息技術(shù)全球供應(yīng)鏈的風(fēng)險(xiǎn);并明確聯(lián)邦政府在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施方面的作用。但是“國家網(wǎng)絡(luò)安全綜合計(jì)劃”主要是解決行政部門網(wǎng)絡(luò)的安全,這只是美國所依賴的全球信息與通信基礎(chǔ)設(shè)施中很小的一部分。
奧巴馬政府認(rèn)為網(wǎng)絡(luò)安全是美國面臨的最嚴(yán)峻的經(jīng)濟(jì)和國家安全威脅之一。奧巴馬總統(tǒng)指示對(duì)網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)行全面審查,評(píng)估與信息和通信基礎(chǔ)設(shè)施有關(guān)的所有活動(dòng)(包括計(jì)算機(jī)網(wǎng)絡(luò)防御、執(zhí)法調(diào)查、軍事與情報(bào)活動(dòng))以及有關(guān)的信息保障、反間諜、反恐、電信政策和綜合性的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)。由政府網(wǎng)絡(luò)安全專家組成的評(píng)估小組徹查了相關(guān)的總統(tǒng)政策令、行政命令、國家戰(zhàn)略和政府顧問委員會(huì)及私營部門提供的研究報(bào)告。
在經(jīng)過60天的全面審查后,美國白宮網(wǎng)站2009年5月29日發(fā)表了一份報(bào)告,題為《網(wǎng)絡(luò)空間政策評(píng)估——確保可信的和有彈性的信息與通信基礎(chǔ)設(shè)施》。報(bào)告指出,網(wǎng)絡(luò)安全政策包括網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)空間作戰(zhàn)的戰(zhàn)略、政策及標(biāo)準(zhǔn),涵蓋了降低威脅、減少漏洞、威懾、國際參與、事故響應(yīng)、彈性及恢復(fù)政策與行動(dòng),包括與全球信息與通信基礎(chǔ)設(shè)施的安全與穩(wěn)定息息相關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)作戰(zhàn)、信息保障、執(zhí)法、外交、軍事和情報(bào)任務(wù)等。
根據(jù)這份報(bào)告,奧巴馬總統(tǒng)決定設(shè)立網(wǎng)絡(luò)安全協(xié)調(diào)官,負(fù)責(zé)協(xié)調(diào)聯(lián)邦政府的網(wǎng)絡(luò)安全事務(wù),為總統(tǒng)提供網(wǎng)絡(luò)安全事務(wù)方面的咨詢;奧巴馬還指示聯(lián)邦政府和私營部門加強(qiáng)協(xié)調(diào),提高應(yīng)對(duì)網(wǎng)絡(luò)事故的能力,同時(shí)加強(qiáng)技術(shù)合作,為網(wǎng)絡(luò)安全尋找創(chuàng)新解決方案。2009年12月,奧巴馬政府任命霍華德·施密特為白宮網(wǎng)絡(luò)安全協(xié)調(diào)官。他參與的一個(gè)重要的行動(dòng)就是自動(dòng)化地連續(xù)監(jiān)測聯(lián)邦信息系統(tǒng)。其他事項(xiàng)還包括:為網(wǎng)絡(luò)安全和事故響應(yīng)制定統(tǒng)一的戰(zhàn)略,并加強(qiáng)與私營部門和其他國家的合作關(guān)系。他與白宮國家安全和經(jīng)濟(jì)委員會(huì)協(xié)調(diào)開展工作,但是他不能直接控制權(quán)聯(lián)邦機(jī)構(gòu)的預(yù)算。2012年5月邁克爾·丹尼爾接任白宮網(wǎng)絡(luò)安全協(xié)調(diào)官一職。
另外,這份報(bào)告指出,到目前為止,聯(lián)邦政府處理網(wǎng)絡(luò)事故的行動(dòng)還不統(tǒng)一,因此,聯(lián)邦政府需要修訂《國家應(yīng)急響應(yīng)框架附件——網(wǎng)絡(luò)事故》(Cyber Incident Annex for the National Response Framework),建立一個(gè)明確的且具權(quán)威性的網(wǎng)絡(luò)事故響應(yīng)框架。與處理其他重大國家事故一樣,在發(fā)生重大網(wǎng)絡(luò)事故時(shí),只有白宮有法定授權(quán)協(xié)調(diào)一系列職能部門和權(quán)力機(jī)構(gòu)。各政府部門和機(jī)構(gòu)應(yīng)按白宮總體戰(zhàn)略指導(dǎo)履行各自責(zé)任。總統(tǒng)的網(wǎng)絡(luò)安全政策官員應(yīng)是網(wǎng)絡(luò)事故應(yīng)急行動(dòng)的白宮執(zhí)行官(其職能與幫助白宮監(jiān)測恐怖主義襲擊或自然災(zāi)害的執(zhí)行官的職能類似)。
三、美國網(wǎng)絡(luò)安全實(shí)施機(jī)制
(一)國家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃
美國國土安全部聯(lián)合其他聯(lián)邦政府、州政府和產(chǎn)業(yè)界,按照《美國國家應(yīng)急響應(yīng)架構(gòu)》的原則,制定了《國家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃》;然后,修訂了《國家應(yīng)急響應(yīng)框架附件——網(wǎng)絡(luò)事故》幫助《國家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃》的實(shí)施。《國家應(yīng)急響應(yīng)框架附件——網(wǎng)絡(luò)事故》指明了網(wǎng)絡(luò)事故處理的政策、各個(gè)機(jī)構(gòu)的具體職責(zé)、行動(dòng)方案和具體責(zé)任,以具體協(xié)調(diào)各方行動(dòng),應(yīng)對(duì)重大網(wǎng)絡(luò)事故。《國家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃》為日常的網(wǎng)絡(luò)事故處理提供了戰(zhàn)略指導(dǎo),并說明在什么情況下需要發(fā)起全國性的協(xié)調(diào)行動(dòng)。為此,參照第5號(hào)國土安全總統(tǒng)令,按照一次網(wǎng)絡(luò)事故是否會(huì)影響到國土安全、公共健康和公共安全、國家經(jīng)濟(jì)(包括會(huì)波及國家經(jīng)濟(jì)的某個(gè)行業(yè))、公眾信心,制定了國家網(wǎng)絡(luò)風(fēng)險(xiǎn)預(yù)警分級(jí)系統(tǒng)(見表1) 。
表1 美國處理國內(nèi)網(wǎng)絡(luò)風(fēng)險(xiǎn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)預(yù)警分級(jí)系統(tǒng)
網(wǎng)絡(luò)事故響應(yīng)機(jī)構(gòu)必須熟悉《美國國家應(yīng)急響應(yīng)架構(gòu)》、《國家應(yīng)急響應(yīng)框架附件——網(wǎng)絡(luò)事故》、國家事故管理系統(tǒng)以及《國家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃》。提供支持的部門、機(jī)構(gòu)參照《美國國家應(yīng)急響應(yīng)架構(gòu)》、國家事故管理系統(tǒng)、《國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》以及《國家網(wǎng)絡(luò)事故響應(yīng)計(jì)劃》,對(duì)網(wǎng)絡(luò)事故的預(yù)備、響應(yīng)、恢復(fù)活動(dòng)提供具體、詳細(xì)指導(dǎo)。
(二)關(guān)鍵基礎(chǔ)設(shè)施部門網(wǎng)絡(luò)安全計(jì)劃
奧巴馬政府還推出了多項(xiàng)措施加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)的安全,其中包括第13636號(hào)行政命令——《改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》。它擴(kuò)展了政府與私營部門之間的信息共享和合作機(jī)制,為識(shí)別特別需要保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施確立了一個(gè)程序,要求美國國家標(biāo)準(zhǔn)與技術(shù)研究院牽頭制定保護(hù)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)和最佳實(shí)踐;并要求監(jiān)管機(jī)構(gòu)審查當(dāng)前的安全標(biāo)準(zhǔn)是否可行,如果不可行,如何解決風(fēng)險(xiǎn)。同時(shí),第21號(hào)總統(tǒng)政策令(PPD-21)修改了關(guān)鍵基礎(chǔ)設(shè)施安全政策的其他方面,以提高整體性和效率。
(三)國防部網(wǎng)絡(luò)事故民事支持計(jì)劃
國防部通過兩個(gè)不同但相互關(guān)聯(lián)的任務(wù)保護(hù)美國國土安全:一是國土防御,主要是打擊恐怖主義、大規(guī)模殺傷性武器以及處理網(wǎng)絡(luò)事故等;二是民事支持,為其他聯(lián)邦政府機(jī)構(gòu)提供支持,幫助它們應(yīng)對(duì)國內(nèi)發(fā)生的重大災(zāi)害、突發(fā)事件和特殊事件。
2010年,美國國防部與國土安全部就關(guān)鍵民事和軍事計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的防御達(dá)成了備忘協(xié)議。雖然情報(bào)界持反對(duì)意見,但是國防部認(rèn)可了國土安全部在網(wǎng)絡(luò)事務(wù)方面的領(lǐng)導(dǎo)作用。協(xié)議就發(fā)生了國內(nèi)網(wǎng)絡(luò)事故的情況下,在事故響應(yīng)過程中,國防部在接到請(qǐng)求后如何提供民事支持做了詳細(xì)的規(guī)定,但是有一些問題沒有解決。首先,美國國防部還沒有明確角色和職責(zé),負(fù)責(zé)全球戰(zhàn)略事務(wù)的助理國防部長、負(fù)責(zé)國土防御和國家安全事務(wù)的助理國防部長的角色存在沖突和重疊。其次,國防部并沒有確保其民事支持與國家戰(zhàn)略框架相符合,不能確保國防部為國內(nèi)網(wǎng)絡(luò)事故響應(yīng)提供民事支持做了充分的準(zhǔn)備。國土安全部對(duì)國內(nèi)網(wǎng)絡(luò)攻擊做出有效響應(yīng)并減輕攻擊的威脅的行動(dòng)就會(huì)受到影響。
2005年國防部第一次發(fā)布了《國土防御和民事支持戰(zhàn)略》。2013年2月國防部發(fā)布了新的《國土防御和民事支持戰(zhàn)略》,強(qiáng)調(diào)國防部將與國土安全部、聯(lián)邦調(diào)查局和其他跨機(jī)構(gòu)合作伙伴密切合作,支持國家打擊攻擊關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅的行動(dòng)。國防部已經(jīng)具備了有效的行動(dòng)能力,可以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免遭網(wǎng)絡(luò)威脅,而且在接到總統(tǒng)的指示后,會(huì)采取行動(dòng)保護(hù)美國免遭網(wǎng)絡(luò)攻擊。
圖1 美國網(wǎng)絡(luò)安全實(shí)施機(jī)制
總而言之,目前美國聯(lián)邦政府圍繞國家應(yīng)急架構(gòu)制定了網(wǎng)絡(luò)安全實(shí)施機(jī)制(見圖1)。所有的聯(lián)邦政府機(jī)構(gòu)必須為自己計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全承擔(dān)責(zé)任,而且許多機(jī)構(gòu)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的某個(gè)具體部門承擔(dān)安全責(zé)任(表2),如交通運(yùn)輸部負(fù)責(zé)交通運(yùn)輸部門的安全。跨機(jī)構(gòu)協(xié)調(diào)是復(fù)雜的,簡單地說,在一般情況下,除了白宮,國土安全部是是負(fù)責(zé)民事部門網(wǎng)絡(luò)安全的主要機(jī)構(gòu),承擔(dān)重要的協(xié)調(diào)職能。美國商務(wù)部的國家標(biāo)準(zhǔn)與技術(shù)研究院負(fù)責(zé)制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和指南,這些標(biāo)準(zhǔn)和指南然后由聯(lián)邦政府行政管理和預(yù)算辦公室頒布。司法部主要負(fù)責(zé)網(wǎng)絡(luò)安全執(zhí)法。美國國家科學(xué)基金會(huì)、美國國家標(biāo)準(zhǔn)與技術(shù)研究院和國土安全部都具備網(wǎng)絡(luò)安全研究和開發(fā)職能。美國國防部與國土安全部、聯(lián)邦調(diào)查局協(xié)調(diào),為國內(nèi)網(wǎng)絡(luò)事故提供民事支持。國家安全局是負(fù)責(zé)國家安全部門網(wǎng)絡(luò)安全的主要機(jī)構(gòu),但其他國防機(jī)構(gòu)也發(fā)揮重要作用。2010年美國國防部在戰(zhàn)略司令部下設(shè)立的美國網(wǎng)絡(luò)司令部主要負(fù)責(zé)網(wǎng)絡(luò)空間的軍事作戰(zhàn)行動(dòng),以提高網(wǎng)絡(luò)空間作戰(zhàn)的軍事效能。
表2 美國關(guān)鍵基礎(chǔ)設(shè)施部門分類和具體負(fù)責(zé)機(jī)構(gòu)。信息來源:第21號(hào)總統(tǒng)政策令《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》。
四、美國網(wǎng)絡(luò)安全立法的現(xiàn)狀與問題
美國聯(lián)邦政府在解決網(wǎng)絡(luò)安全問題方面面臨諸多挑戰(zhàn),因?yàn)橐环矫嫔婕氨Wo(hù)聯(lián)邦政府信息系統(tǒng)的安全,另一方面也涉及在保護(hù)非聯(lián)邦政府信息系統(tǒng)方面聯(lián)邦政府如何發(fā)揮適當(dāng)?shù)淖饔谩D壳埃绹€沒有制定總體的網(wǎng)絡(luò)安全法律框架,但許多重要法規(guī)對(duì)網(wǎng)絡(luò)安全的多個(gè)方面做出了法律界定,見表3。
表3 美國的重要網(wǎng)絡(luò)安全法律文件
美國國會(huì)研究服務(wù)處的研究確定還有40多個(gè)法律文件有網(wǎng)絡(luò)安全方面的規(guī)定。而且,許多網(wǎng)絡(luò)安全法案被提交到最近三屆國會(huì)(第111、112、113屆國會(huì)),美國立法部門正打算對(duì)現(xiàn)行法律做出修改,以完善美國網(wǎng)絡(luò)安全立法。
2011年4月,白宮向國會(huì)提交了一個(gè)綜合性的、分七個(gè)部分的網(wǎng)絡(luò)安全立法建議。該提案的一些內(nèi)容被眾議院和參議院的網(wǎng)絡(luò)安全法案所采納。在第112屆國會(huì)期間,參議院制定了一個(gè)綜合性網(wǎng)絡(luò)安全法案——2012年2月提交的《2012年網(wǎng)絡(luò)安全法案》(S.2105)——這個(gè)法案整合了國土安全和政府事務(wù)委員會(huì)與商務(wù)、科學(xué)和運(yùn)輸委員會(huì)的議案。2012年3月提交參議院的另一個(gè)法案《信息技術(shù)安全法案》(S. 3342)是S. 2151的修訂版。
在2012年7月,參議院就S. 3342展開辯論,但沒有通過。奧巴馬政府轉(zhuǎn)而采取行政命令的形式,美國國會(huì)一些議員認(rèn)為這不利于與私營部門和國際伙伴的談判,會(huì)阻礙立法工作,因此表示反對(duì)奧巴馬的行動(dòng)。但是,2013年2月奧巴馬政府發(fā)布了第13636號(hào)行政命令——《改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》。
第113屆國會(huì)期間,參議院放棄了綜合性網(wǎng)絡(luò)安全立法,轉(zhuǎn)而針對(duì)網(wǎng)絡(luò)安全的具體方面提出了10個(gè)獨(dú)立法案,包括《2013年網(wǎng)絡(luò)安全法案》(S. 1353)。
眾議院在2011年6月組建了有12個(gè)成員的眾議院共和黨網(wǎng)絡(luò)安全工作小組(House Republican Cybersecurity Task Force),小組提出了一系列的建議(工作組報(bào)告),眾議院隨后提交的法案專門針對(duì)小組報(bào)告書中所提出的問題,這些建議推進(jìn)了眾議院的網(wǎng)絡(luò)安全立法。2012年4月眾議院通過了四個(gè)法案:
·《2011年增強(qiáng)網(wǎng)絡(luò)安全法案》(H.R. 2096),涉及聯(lián)邦政府網(wǎng)絡(luò)安全研發(fā)和技術(shù)標(biāo)準(zhǔn)的制定;
·《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》(H.R. 3523),其重點(diǎn)是信息共享和協(xié)調(diào),包括共享機(jī)密信息;
·《2012年推進(jìn)美國網(wǎng)絡(luò)和信息技術(shù)的研究和開發(fā)法案》(H.R. 3834),涉及網(wǎng)絡(luò)和信息技術(shù)研發(fā),但不限于安全;
·《2012年聯(lián)邦信息安全修正法案》(H.R. 4257),涉及《聯(lián)邦信息安全管理法案》的改革。
這些法案在遇到反對(duì)之后,經(jīng)過一些修訂后,2013年4月在眾議院獲得通過:
·《2013年加強(qiáng)網(wǎng)絡(luò)安全法案》(H.R. 756);
·《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》(H.R. 624);
·《2013年推進(jìn)美國的網(wǎng)絡(luò)和信息技術(shù)的研究和開發(fā)法案》(H.R.967);
·《2013年聯(lián)邦信息安全修正法案》(H.R. 1163)。
提交國會(huì)的網(wǎng)絡(luò)安全法案的立法建議主要集中在10大領(lǐng)域:國家戰(zhàn)略和政府的角色、《聯(lián)邦信息安全管理法案》的改革、保護(hù)關(guān)鍵基礎(chǔ)設(shè)施(尤其是電網(wǎng)和化工)、信息共享和跨部門協(xié)調(diào)、造成個(gè)人數(shù)據(jù)(如財(cái)務(wù)信息)失竊或泄露的入侵、網(wǎng)絡(luò)犯罪預(yù)防和處罰、電子商務(wù)環(huán)境下的隱私、國際協(xié)調(diào)、研究與開發(fā)、網(wǎng)絡(luò)安全隊(duì)伍建設(shè)。 而事實(shí)上,美國政府的努力主要是推動(dòng)兩個(gè)方面的網(wǎng)絡(luò)安全立法——保護(hù)關(guān)鍵基礎(chǔ)設(shè)施以及促進(jìn)政府與產(chǎn)業(yè)界之間的信息交換。
比如,在促進(jìn)政府與產(chǎn)業(yè)界之間的信息交換這個(gè)問題上,眾議院在2012年通過了《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》,但是法案受到了工業(yè)界、隱私保護(hù)團(tuán)體的阻礙,眾議院不得不加以修訂,在2013年通過了新的《網(wǎng)絡(luò)情報(bào)共享和保護(hù)法案》。 即便經(jīng)過修訂,白宮仍然認(rèn)為不夠,如果這個(gè)版本提交總統(tǒng)簽字的話,奧巴馬總統(tǒng)會(huì)否決這個(gè)法案。
自2002年以來,美國政府還沒有頒布綜合性網(wǎng)絡(luò)安全立法。而且,最近幾年,美國網(wǎng)絡(luò)安全立法成果寥寥可數(shù)。雖然眾議院、參議院和白宮都提出了數(shù)量龐大的網(wǎng)絡(luò)安全議案,涉及網(wǎng)絡(luò)安全的諸多方面,既有綜合性的網(wǎng)絡(luò)安全法案,也有就網(wǎng)絡(luò)安全的某個(gè)具體問題而提出的法案,但是由于多方利益、意見分歧,這些法案在一次又一次的修訂后,也很難獲得通過,成為正式法律文件。
五、結(jié)語
奧巴馬政府對(duì)美國網(wǎng)絡(luò)安全政策進(jìn)行了全面審查,美國政府認(rèn)為網(wǎng)絡(luò)空間是美國經(jīng)濟(jì)繁榮和國家安全面臨的嚴(yán)峻挑戰(zhàn)之一,甚至超過恐怖主義襲擊的威脅程度。網(wǎng)絡(luò)空間的保護(hù)是美國國家安全戰(zhàn)略的重要內(nèi)容,國土安全部總體負(fù)責(zé)協(xié)調(diào)保護(hù)和防御民用網(wǎng)絡(luò)的行動(dòng),同時(shí)國防部對(duì)國土安全部、司法部提供網(wǎng)絡(luò)防御民事支持能力;國防部主要負(fù)責(zé)軍事網(wǎng)絡(luò)的防御,國防部設(shè)立了美國網(wǎng)絡(luò)司令部加強(qiáng)美軍的網(wǎng)絡(luò)空間作戰(zhàn)能力,提高作戰(zhàn)效能。網(wǎng)絡(luò)技術(shù)發(fā)展日新月異,先進(jìn)網(wǎng)絡(luò)技術(shù)往往是掌握在私營部門手中,因此網(wǎng)絡(luò)防御需要與私營企業(yè)的緊密合作,需要加強(qiáng)網(wǎng)絡(luò)空間情報(bào)交換;而且還涉及如何處理隱私保護(hù)的問題。那么,如何理清這些關(guān)系是目前美國網(wǎng)絡(luò)安全立法面臨的最嚴(yán)峻的挑戰(zhàn)。
京公網(wǎng)安備 11010502049343號(hào)