美国网络空间日光浴室委员会:“分层网络威慑”新战略解析
2020年3月11日,美国网络空间日光浴室委员会(Cyberspace Solarium Commission,CSC)发布预热许久的综合报告——网络空间未来警示报告,综合报告中呼吁美国政府“提高速度和敏捷性”,改善美国的网络空间防御能力。这篇报告最值得我们关注的是提出了一个应对网络安全的新的战略路径:分层网络威慑(layered cyber deterrence),这是美国历次网络威慑战略中,首次提出的“分层”战略手段,并且由六项政策支柱以及超过75条政策建议加以支撑。
一、概念解析
1.网络威慑(Cyber Deterrence)
网络威慑是一国通过充分显示强大的网络优势和网络对抗能力,使敌方因惧怕不堪后果而不敢贸然采取行动,或使其行动有所收敛的行为。网络威慑提出的思路同核威慑大体相似,强调威慑方拥有使敌方难以承受的报复能力。这个名词最早由美国布朗大学国际关系学教授詹姆斯·德·代元(James Der Derian)于1994年提出,此后受到美国决策层高度重视,并成为美国网络安全战略的重要组成部分,和核威慑战略、太空威慑战略共同形成美国“新三位一体”国家安全战略。
2011年5月,美国在《网络空间国际战略》中正式提出网络威慑的战略名词,宣布保留以军事手段惩戒网络敌对行为的自卫权,倡导建立国际威慑联盟应对网络空间的恶意行为。2015年12月,白宫提交《网络威慑战略》,美国政府采取整个政府层面和整个国家层面的多元性方法,以慑止网络威慑;2017年2月,美国国防部科学委员会发布《关于网络威慑的工作组》报告,历数美国所面临的主要网络安全威慑,并提出了应对建议;2018财政年度国防预算授权法案,明确要求国防部长提出适用于网络行动的威慑概念,并大幅增加对网络威慑和防御能力的预算投入。
2.向前防御(Defend forward)
“向前防御”被描述为尽可能接近对手,以了解他们的计划,以告知其他人自己准备或采取行动。“向前防御”的作战理念是国防部于2018年发布《国防部网络战略》时首次提出的,强调“通过网络空间建立更致命军事力量,加快网络作战和打击恶意网络行动的能力建设;国防部通过‘向前防御’(Defend forward)来应对日常的恶意网络活动”。
美国认为,其对手无论是因为在网络空间的运作方式上,还是因为全球地理位置和相互联系的性质,反应和应对态势都不足以应对所受到的威胁。因此,美国在战略规划和行动上都需要有前瞻性思维,以便在对手机动时追击对手,了解他们如何作为一个充满活力的实体发展,并且在理想情况下,在提升到对美国构成重大挑战的水平之前,对对手的进攻能力及其支持他们的组织施加成本。
由此,随着美军网络空间作战规则的演进,先发制人的特点越来越突出,归咎于“向前防御”的作战理念与其他网络战略的融合。
二、新战略提出的背景
1.美国面临的网络困境
报告指出,20多年来,国家及非国家行为体一直利用网络来颠覆美国的国力、安全及生活方式。尽管有许多刑事起诉、经济制裁,并发展了强大的网络与非网络军事能力,但美国依然在遭受网络袭击。犯罪分子利用全球网络窃取个人、公司和政府的资产。极端组织利用网络筹集资金并招募追随者,从而加剧了跨国威胁。尽管袭击者们给美国造成了伤害,但却没有招致美国实施大规模报复。而美国的这种“克制忍耐”换来的是更加肆无忌惮的掠夺。报告认为,虽然数字连接给美国人带来经济增长、技术优势和生活质量的提高,但也给美国造成了战略困境。数字连接更紧密、数据交换越多,对手就会越有机会侵犯私人生活、破坏关键基础设施、颠覆美国的经济和民主体制。目前,整个美国都在网络环境中运行,这需要一定的数据安全、弹性和可信赖性。而且,美国政府内部以及公私部门之间严重缺乏敏捷性、技术专家和团结。
图1 美国面临的主要威胁排行榜
2.“日光浴室”委员会
2019年5月8日,根据2019年《国防授权法案》授权,美国政府宣布成立“网络空间日光浴室委员会”(Cyberspace Solarium Commission,CSC)的两党制机构,该委员会以艾森豪威尔时代的“日光浴项目”(因为参与者在白宫的日光浴室里开会)为蓝本,旨在评估美国在网络空间面临的威胁,并就如何防范网络威胁提供战略指导和政策建议。该机构由14名既具有网络安全背景又了解国家安全的官员组成,分别是国家情报总监首席副总监、国土安全部副部长、国防部副部长、联邦调查局局长,参议院多数党任命的三名成员、参议院少数党领袖任命的两名成员、众议院院长任命的三名成员、众议院少数党领袖任命的两名成员。委员会旨在联合美国各部门形成一个具有共识的战略路径,以防御重大网络攻击。
委员会的职责主要有:
(1) 衡量保护美国网络安全各种战略选项的成本和收益,包括美国的政治制度、美国的国家安全工业部门以及美国创新基地的保护举措。评估的选项包括威慑、基于规则的制度以及通过持续接触来主动瓦解对手的攻击。
(2) 评估执行这些选项的最佳方法,以及美国应该如何在国家战略中纳入和执行这些选项。
(3) 审视并决定美国应该寻求建立什么样的基于规则的机制,美国应该怎样执行这些规则,美国在执行威慑或持续接触战略中愿意承担多少损害,在威慑和持续接触战略中,需要回应哪些攻击,以及美国应该如何更好地执行这些战略。
(4) 评估对手的战略和意图,当前防御美国的项目,以及美国联邦政府是否具有了解对手在网络空间的目标和野心及其如何被阻止或阻扰的能力。
(5) 评估当前涉及网络空间、网络安全以及关于扰乱、击败和防御网络攻击的网络战等相关国家网络政策的有效性。
(6) 考虑联邦政府内部可能需要建立、修订或扩充的结构和权限。
三、分层网络威慑(layered cyber deterrence)
CSC以艾森豪威尔时期的“日光浴项目”(Project Solarium)为蓝本,通过对超过300个受访者的全面调查,以外部红队实施压力测试,提出了“分层网络威慑”战略路径。该战略路径最理想的目标是减少重大网络攻击(cyberattack of significant consequence)的概率和影响。
1.三种战略手段(即三项威慑层)
(1)塑造行为(Shape bebavior)。美国政府必须与盟友和合作伙伴合作推动网络空间的负责任行为。
(2)获益拒止(Deny benefits)。美国政府必须对那些长期利用网络空间实施较低成本的网络攻击以获取自身优势,而扩大美国劣势的对手实施获益拒止。这种新方法需要联合私营企业保护关键基础设施,发展国家韧性,提高网络生态的安全。
(3)施加成本(Impose costs)。美国必须保持相应的能力、职能和信誉反制利用(或在)网络空间攻击美国的对手。
三种战略手段分别涉及一个威慑层,即通过调整对手攻击美国的成本收益预期,提高美国公共和私营部门的安全。三项威慑层主要由六项政策支柱以及超过75条政策建议加以支撑,这些政策支柱也是实施分层网络威慑的主要方式。
2.六项政策支柱及具体建议
支柱1:改革美国政府网络空间架构和组织。
具体包括:发布更新版国家网络战略;在国会两院建立网络安全委员会;设立国家网络主管;强化网络安全与基础设施安全局(CISA);扩大并加强联邦网络安全人力。
支柱2:强化规则和非军事工具。
具体包括:在国务院创建一个网络空间安全和新兴技术局并设立一个助理国务卿;积极有效地参与和设置信息和通信技术标准的国际论坛;国会采取措施提高网络空间执法行动的国际工作。
支柱3:强化国家韧性。
具体包括:将专职机构以“危险管理专职机构”的形式写入法律并强化其管理关键基础设施危险的能力;发展并保持经济规划的持续性;将“网络困境”及相关联的“网络响应和恢复资金”写入法律;改善选举协助委员会架构并增加拨款;建立应对国外恶意网络信息战的社会韧性。
支柱4:重塑更安全的网络生态系统。
具体包括:建立并资助一个国家网络安全认证与标识机构;建立软硬件及固件成品汇编的可靠性;建立一个网络统计局;向联邦资助的研发中心提供资源以促进网络安全保险产品的认证;开发云安全认证;开发并实施信息和通信技术的工业界基础战略以确保可信的供应链;通过一项国家数据安全和隐私保护法律。
支柱5:实施与私营部门的网络安全协同合作。
具体包括:将“系统性重要关键基础设施”的概念写入法律;建立和资助一个联合协同环境,共享并融合威胁信息;在CISA内部建立一个综合网络中心并促进联邦网络中心的整合;在CISA下面建立一个联合网络规划单元。
支柱6:保持和利用军事手段。
具体包括:指示国防部开展对网络任务部队实施力量结构评估;对所有核控制设备实施网络安全漏洞评估;要求国防工业基地(DIB)参与威胁情报共享项目和威胁狩猎项目。
图2 “分层网络威慑”战略示意图1
四、定性与分析
1.实施“分层网络威慑”战略的必要性
报告指出,尽管威慑是美国长期奉行的战略,但“分层网络威慑”战略更加大胆、独特。
首先,该战略突出强调拒止威慑,即通过应变能力以及公私部门间合作来提高网络空间的防御与安全。
其次,该策略采用了“向前防御”的概念,以降低遭受低阀值网络攻击的频率及危害性。“向前防御”意味着为袭扰和击败对手的网络攻势,美国必须主动观察、追击和应对对手的网络行动,并在不引发武装冲突的前提下施加成本。此举可向对手表明,美国政府将利用一切工具,依据国际法对一切网络攻击作出反应,即使是那些武装冲突阀值以下,不会造成人身伤亡的网络攻击。
报告强调,目前的网络空间态势是令人难以接受的,很容易引发入侵行动,并且使对美发动攻击的行为体不必担心遭到报复。对手正在不断增强其网络作战能力,而美国的网络漏洞却在不断增加。最终大规模的网络攻击可能导致大规模的物理破坏,引发政府盲目应对,进而扼杀数字经济创新并进一步侵蚀美国的实力。为避免出现这种结果,美国政府必须采取“分层网络威慑”战略。
图3 “分层网络威慑”战略示意图2
2.“分层网络威慑”战略军事力量运用
报告指出,美国需要保留和使用军事力量以及所有其他可供选择的手段,来阻止任何级别的网络攻击。网络空间早已成为全球战略竞争领域,各国在这里投入力量,保护其利益并且惩罚对手。美国必须采取“向前防御”的作战理念,已将其对手的恶意攻击行为限制在武装攻击的阀值水平之下,必须威慑冲突,必要时充分利用全部能力取得胜利。为了实现这些目标,美国必须表现出让对手付出代价的能力,并建立明确的声明性政策,向竞争对手发出信号,告知攻击美国网络空间的成本和风险。具体包括:
(1)国会应指示国防部,对网络任务部队进行结构评估,以确保美国在任务范围和规模上,以及不断增加的要求和不断提高的期望下,具有适当的部队结构和能力。
(2)国会应指示国防部对核控制系统的所有部分进行网络空间安全漏洞评估,并不断评估武器系统的网络空间脆弱性。
图4 “分层网络威慑”战略军事力量运用
五、总 结
该报告首次提出“分层网络威慑”的新战略,并且融合“向前防御”的理念,较之2015年奥巴马政府时期出台的《网络威慑战略》(Cyber Deterrence Strategy)目标更加清晰,建议举措的颗粒度更加细化,具有很强的规范指导作用和极具实践的可能性。
1.首先,对内,报告主要聚焦于美国国内改革。
报告认为,分层网络威慑主要基于一个共同的基础:即改革美国政府保护网络空间、应对网络攻击的组织。美国政府目前并未按照网络空间国家防御所需的速度和敏捷度来设计,既有的政府结构和司法管辖边界影响到网络政策制定进程,限制了政府行动的机会,阻碍了网络行动。对此,报告认为所有级别的政府均需要迅速和全面的改革。
2.其次,对外,该报告明确将中国,俄罗斯,伊朗和朝鲜列为美国网络安全的主要威胁。
报告指出中国运营商进行的“窃取知识产权”,销蚀了美国的优势;俄罗斯进行的“干预选举”直接破坏公众对于美国选举和民主制度完整性的信任;中国、俄罗斯、伊朗和朝鲜都在不断入侵美国关键基础设施,并且未受到明显惩罚;极端团体利用网络募集资金、招聘人员、提高跨境威胁。
总体来看,这是特朗普执政以来美国政府提出的最具综合性和系统性的跨部门提议,反映了美国国内网络安全工作的现状和转型趋势,报告中明确指出中国为其主要战略威胁对象之一,可见,我国将是美国实施分层威慑网络战略的主要对象,此战略的提出对我国网络空间战略规划或将起到有的放矢的指导意义。
