解析美新版《国家网络安全战略》

当地时间3月2日,美国国家网络总监办公室(Office of the National Cyber Director, ONCD)发布拜登政府首份《国家网络安全战略》,新战略旨在为美国如何保护其数字生态系统免受犯罪和其他行为体的影响提供战略指导。3月7日,白宫国家安全事务助理杰克·沙利文发布声明,支持两党参议员提出的所谓“限制危及资通讯技术安全威胁法案”(RESTRICT Act),打响新战略公布后“保卫”美国网络安全的“第一枪”。值得注意的是,尽管新战略建立在此前三届政府的网络安全工作之上,该文件打破了美国一些过去的做法和原则。如果充分实施,有可能极大改变美国的网络安全态势。斯坦福大学网络安全专家、美国国家科学院国家研究委员会计算机科学与电信委员会的名誉退休首席科学家赫伯特·林(Herbert Lin)近日在法律事务(Lawfare)网站上撰文,分析了美国新网络安全战略与以往原则的不同之处,及其可能引发的争议。


赫伯特·林

重新平衡网络安全的负担

如果说政府曾经希望终端用户管理自己网络安全的想法是合理的,那么这个时代早已过去。新战略终于承认了这一点,认为终端用户在减轻网络风险方面承担的负担太大,个人、小企业、州政府和地方政府以及基础设施运营商的资源有限,集体网络安全不能依赖最小的组织和公民个人的持续警惕。

在主张重新平衡网络安全的责任时,新战略并没有完全免除终端用户的安全责任。但它确实指出,国家必须向社会中“最有能力和最有条件的行为体提出更多要求”,也就是强调基于信息技术的产品(和服务)的供应商以及技术供应商的责任。新战略还认识到,美国政府在提供网络安全方面的作用有明显的界限,包括保护政府的系统和网络,确保私营部门在维护网络安全方面发挥自己的作用,履行支持网络安全的政府职能。


加强对产品和技术供应商的监管

新战略对基于信息技术的产品(和服务)的供应商以及技术供应商进行问责的一个关键因素是它支持监管。新战略没有采用传统的、自愿的、“开明的自利”(enlightened self-interest)的方法来鼓励私营部门的网络安全,而是指出虽然这种方法有时会改善私营部门的网络安全状况,但从整体上看,这种改善并不足以满足国家对网络安全的需求。

因此,该战略认为,必须对以往的网络安全法规进行调整,“在保护和保障个人、受监管的实体及其雇员、客户、业务和数据安全的同时,满足国家安全和公共安全需求”。这意味着,网络安全的力度不能简单地由个别私营部门的行为体仅根据其业务需求来决定。为了公共安全和国家安全需要,国家需要一个更强大的网络安全态势。


可以预料的是,那些将受影响的行为体将反对加强监管。以往的经验表明,这些行为体应承担举证责任,制定计划,证明在没有监管的情况下,他们将如何实现足够强大的网络安全态势。如果他们确实能够制定这样的计划,那么监管者和立法者就有可能接受这些计划,让行为体负责实施,并对由于计划本身或实施过程中的缺陷而导致的网络安全事故进行惩罚。

加强对不安全的软件产品和服务的追责

新战略明确认识到,如果任由其自行发展,软件市场往往会奖励那些在安全方面投资不足的供应商,使其获得更大的市场份额并缩短产品上市时间。因此,美国必须开始将责任转移给那些未能采取合理预防措施以确保其软件安全的实体。同时,制造软件的公司在享有创新自由的同时,必须承担起对消费者、企业或关键基础设施供应商的责任。

该战略指出,促使上述两方承担责任的立法应防止具有市场力量的制造商和软件出版商通过合同完全免除责任,并在特定的高风险情况下为软件制定更高的注意标准(standards of care)。

军事力量可能会在美网络安全态势中发挥更大作用

新战略还提出,必须采取坚定、果断的举措来应对在网络空间带来威胁的行为体,甚至在必要情况下使用军事力量。该战略称,国防部将在国家安全战略、国防战略和国家网络安全战略的指导下,制定一项该部门的网络战略。国防部的新战略将阐明美国网络司令部和国防部其他部门将如何把网络空间行动纳入其工作,以抵御对美国利益构成战略威胁的国家和非国家行为体。

美国网络司令部为破坏外国勒索软件行为体的活动而采取的进攻性网络行动已经表明,公众更加重视使用军事力量破坏威胁行为体。随着拜登政府新国家网络安全战略的颁布,军队可能会在美国网络安全态势中发挥更大的作用,从参与“被动防御活动”到主动参与。


以威慑促进网络安全的政策宣告失败

另一个值得注意的地方是,文件通篇都未出现“威慑”一词。这不可能是偶然的,而是指出了威慑作为促进网络安全政策的失败。通过惩罚来威慑依赖于给攻击者施加重大代价的能力,但美国始终没有一种可靠和确定的方式来做到这一点。因此,恶意行为体选择无视美国的报复威胁,在相对不受惩罚的情况下进行交易。迄今为止,通过减少利益来进行威慑的方式也并不成功,因为越来越多的价值已经在网络空间中存在。

新战略可能引发诸多争议

新战略公开呼吁监管,要求产品和技术提供商对不安全的软件产品和服务承担责任,并让美国军队更多地参与支持私营部门的网络安全,这些举措将引发争议。

新战略也的确承认这一点,例如在监管方面,它承认有责任最大限度地减少可能存在冲突、重复或过于繁琐的法规带来的危害,并指出需要协调法规和规则以及对受监管实体的评估和审计。

在责任方面,该战略提出建立“安全港”,以保护那些安全地开发和维护其软件产品和服务的公司免于承担责任。但是,责任的性质、范围和程度都有待确定。譬如,哪些证据能用来减轻责任?多方行为导致的网络安全漏洞的责任应该如何分配?赔偿责任是否应该有一定的上限,以什么为依据?在软件安全领域,保险公司能发挥什么作用?是否应该禁止集体诉讼?许多这样的问题仍有待回答。


针对美国军方参与网络安全的问题,该战略承诺国防部和情报界将在其法定角色范围内破坏恶意网络行为体的活动。但是,国防部和情报界要对民用基础设施进行有效防御,将不可避免地意味着这些国家安全部门与民用基础设施资产的所有者和经营者之间的关系将更加密切。例如,对广泛的民用资产进行有效的攻击评估将需要私营部门和美国政府在技术、法律和政策方面进行协调,并可能需要国防部在私人拥有的网络上大量存在。美国民众将对这种协调作何反应,还有待观察。 

相关产品

评论