美國網絡安全體制暴露立法問題 多部法律補漏洞
責編:admin |2014-10-11 20:56:54近十多年來,由于網絡攻擊日益頻繁以及網絡攻擊技術越來越復雜多樣,網絡攻擊產生的經濟負擔和社會影響越來越廣泛,美國政府對信息系統的安全性(通常也稱為網絡安全)越來越重視。同時,“斯諾登事件”也促使美國政府各個部門采取行動,以平衡國家安全、網絡安全和公民隱私權利保護。美國對信息系統的依賴程度非常高,網絡安全是美國國家安全戰略的一個重要組成部分。隨著美國網絡安全戰略的出臺,網絡安全協調和實施機制、網絡安全立法也逐步完善,網絡安全體制逐步健全。本文首先總結了美國政府對網絡空間的認識,以幫助讀者理解美國制定網絡安全戰略的出發點;第二部分重點論述了奧巴馬政府的網絡空間政策;第三部分通過分析國家網絡事件響應計劃、關鍵基礎設施部門網絡安全計劃、國防部網絡事故民事支持計劃,表明目前美國聯邦政府圍繞國家應急架構制定了明確分工、統一協調的網絡安全實施機制;美國政府的立法部門也認識到需要完善目前的網絡安全法律框架,以滿足改善網絡安全的需要,因此,第四部分論述了近十年美國立法部門制定綜合性網絡安全立法的努力以及遇到的阻力。
一、美國政府對網絡空間的認知
根據美國政府已經頒布的權威性網絡空間政策文件、國家高層領導人的講話、權威調查報告,筆者把美國的網絡空間認知概括為以下四點:
(一)網絡空間是一個重要的行動領域,美國的經濟繁榮、國家安全都依賴于網絡空間,網絡威脅是美國國家安全面臨的最嚴重的威脅之一。
“借助網絡空間,美國及國際企業可以交易貨物和服務,并在幾秒鐘內實現全球范圍內的資產轉移。除了為其他領域的貿易提供便利,網絡空間本身就是全球經濟的一個關鍵領域。它已成為創業、技術進步、言論自由傳播和新型社會網絡的新型孵化器,推動著我們經濟的發展。能源、銀行、金融、交通、通訊、國防工業基礎等各項關鍵基礎設施的安全和有效運作,都依賴于網絡空間、工業控制系統和信息技術,然而這些都易于受到攻擊而中斷或被刺探。” 而且,承擔保衛美國國家安全的機構,比如國土安全部、國防部以及各個軍種也非常依賴這些信息環境以完成這些任務;沒有這些信息環境,這些機構就不能有效地提供國家安全。聯邦調查局、國土安全部、國家安全局的領導人在許多證詞中都警告網絡安全對美國國家安全的重要性不斷增長。 2012年10月,國防部長帕內塔警告在將來會發生網絡領域的“珍珠港事件”,電網、金融系統、交通運輸系統遭受網絡攻擊只是時間早遲的問題,敵人可能對美國的關鍵基礎設施,包括關鍵軍事系統和通訊網絡發動網絡攻擊,以配合物理性攻擊。 2013年3月12日,美國國家情報總監發布的報告指出,網絡威脅已經成為美國的頭號威脅(在《全球威脅》一節中,把網絡放在第一位)。 2013年11月防務新聞網站(Defense News)對350多位來自產業界、軍界和國家安全政策領域的領導人進行的調查表明,他們認為網絡威脅是美國政府面臨的頭號威脅,超越了恐怖主義。2013年10月30日到11月6日,美國皮尤研究中心對2003名成年人的民意調查結果也顯示,70%的受訪者認為網絡攻擊是美國面臨的一個新的重大威脅。
(二)目前,網絡攻擊和網絡間諜是美國面臨的最重要的網絡威脅,網絡空間的非對稱性可能促使潛在對手利用網絡空間獲得非傳統優勢,美國必須對此保持警惕。
制定合理的網絡空間戰略的前提是必須理解網絡空間威脅的本質。對網絡空間威脅的認識是建立在對網絡空間中人類行為特征的理解的基礎之上的。網絡空間域的絕大多數信息網絡和關鍵基礎設施為民營企業所擁有,而且互聯網是一種開放式的體系結構。因此,比起陸海空天等傳統行為領域,網絡空間中人類行為產生影響的速度非常快,而波及范圍又非常廣,往往突破了主權國家疆界的限制。如果不是不可能的話,追查網絡攻擊的肇事者也是很困難的。而且,在市場上可以買到非常實惠的電腦硬件,上網的價格越來越便宜,而且可以廣泛獲得更先進的信息技術和產品。還有一點是,可供使用的網絡人力資源也是容易獲得。這導致進入網絡領域的技術障礙和經濟成本是很低的,網絡空間中的行為者多種多樣,包括國家政府、非國家政治組織、犯罪網絡、企業和恐怖分子、心懷不滿的內部人士、黑客等。
網絡空間的這些特性決定了網絡空間的非對稱性,美國政府一直在警告,具備創新能力的潛在對手會在“信息化”領域大有作為,利用網絡空間的非對稱性突破美國在傳統軍事能力方面的主導優勢。
2013年3月12日,美國國家情報總監發布的報告使用“網絡攻擊”和“網絡間諜”來定義網絡威脅。“網絡攻擊是一種非動能進攻行動,旨在產生物理效應,或操縱、破壞、刪除數據。其包括暫時阻止網站訪問的拒絕服務式攻擊、針對渦輪發動機的、可以造成持續數日的物理傷害和中斷的攻擊等行動。網絡間諜是指侵入網絡獲得敏感的外交、軍事、經濟情報……外國情報和安全機構已經滲透了美國政府、商業公司、學術機構、私營部門機構的網絡。他們的目標既包括非機密信息,也包括機密信息。我們無法估計專利技術和敏感商業信息的價值,因此無法評估商業網絡間諜活動的影響,但是這些信息能力幫助他們在一些行業獲得不公平利益。” 2014年5月8日,美國國家安全局局長、網絡司令部司令基斯接受《澳洲經濟評論》記者采訪時表示,“在過去的十年或二十年,從美國偷走的知識產權是人類歷史上規模最大的、最快速的非自愿性財富轉移。要有越來越好的計算機硬化技術,加強存儲和保護我們的知識產權的網絡,我們的關鍵基礎設施也依賴這些。這是國家安全局的信息保障業務。”
(三)美國把網絡安全納入外交政策議題,推動制定網絡空間行為規范,維護這一國際公域的基本秩序。美國的網絡空間國際戰略是保障基本自由、隱私權和信息自由流動,同時也要掌握網絡空間治理的國際話語權。
白宮在2011年5月發布的《網絡空間國際戰略》指出,國際合作是維持網絡空間環境的最佳做法,更是首要原則。美國將進行國際協作,完善開放、互操作、安全、可靠的信息和通信基礎設施,以保障國際貿易和商業,加強國際安全,促進言論自由和創新。為了實現這一目標,我們將建立和維持一種環境,以責任行為規范指導國際行動,維持伙伴關系,并保障網絡空間中的法律規則。美國制定國際網絡空間政策的目標是為了獲得網絡空間的主動權、話語權,不過美國政府也注意到了目前在網絡空間治理方面不同國家所持立場的不同。“互聯網信息控制是美國和其他國家之間討論的一個關鍵問題。一些國家,包括俄羅斯、中國、伊朗,關注于互聯網內容可能導致政局不穩、政權更迭的‘網絡影響’和風險。而美國關注于網絡和系統的可靠性和完整性方面的網絡安全與風險。這是我們定義網絡威脅的根本區別。當前的互聯網治理多方利益攸關者模式為政府、商界、學術界和民間社會討論互聯網的組織和技術標準并達成共識提供了一個論壇。然而,重塑互聯網治理模式,采用以國家政府為基礎的治理模式將違背我們的許多政策目標,特別是保護言論自由、網上信息的自由流動和確保信息技術產品和服務的自由市場方面的目標。”
(四)網絡空間威脅問題的解決,僅依靠技術的力量是不夠的,也需要制度規范。建立公私合作伙伴關系對于解決網絡安全問題至關重要。
網絡安全問題的解決,一方面需要技術力量儲備,比如云計算、新的互聯網架構,另一方面需要建立完備的網絡安全處理機制。美國政府對網絡技術、信息技術的發展做出了清晰的規劃,美國強大的科研體系保證了美國可以掌握最先進的信息技術、網絡安全技術。在奧巴馬政府的領導下,美國已經建立了多個聯邦政府機構、國防機構、私營部門廣泛參與的網絡安全機制。為了加強關鍵基礎設施的彈性,奧巴馬總統在2013年2月12日簽署了第13636號行政令——《提高關鍵基礎設施的網絡安全》,該行政令要求建立一個自愿性的網絡安全框架,提供一個優選的、靈活的、可復制的、基于績效的、具備經濟效益的方法,協助提供關鍵基礎設施服務的機構管理網絡風險。
二、美國網絡安全政策的制定
要建立一個完善的網絡安全戰略,美國政府就必須解決各個政府部門和聯邦機構間的任務分配和法定授權問題。特別是在電信網絡和互聯網相互融合以及其他基礎設施部門日益依賴互聯網以實現互聯互通的背景下,更是如此。回顧美國政府行政部門頒布的有關網絡安全的重要政策文件,可以看到隨著網絡威脅的日益復雜,美國政府對網絡空間風險的重視程度越來越高,聯邦機構間的溝通協調機制也不斷完善。
1998年5月簽署的第63號總統令(PDD-63)規定,在白宮的直接領導下,設立了一個機制,協調牽頭部門和相關機構的行動,聯邦機構還要與私營部門合作,以防范和抵御針對關鍵基礎設施的物理攻擊和網絡攻擊,特別是針對美國的網絡系統的攻擊。這項政策在2003年的《確保網絡空間安全國家戰略》中又進行了修訂。2003年的第7號國家安全總統令(HSPD-7)進一步增強了這項工作,第7號國家安全總統令為政府部門劃分了具體的職責,各個機構也需要實施跨部門協調,同時賦予國土安全部總體協調國家重要基礎設施(包括網絡基礎設施)的保護工作。這兩項政策的重點是實施防御性措施,而且第7號國家安全總統令不涉及聯邦政府信息系統的保護。2007年,《國家網絡安全綜合計劃》(CNCI)采取了不同的策略,其核心是一改過去分散化的網絡防御做法,把各個政府機構的網絡防御行動與執法、情報、反間諜和軍事能力整合起來,以全面解決各種網絡威脅,如遠程網絡入侵、內部人員入侵、供應鏈威脅。“國家網絡安全綜合計劃”被寫入喬治·W.布什政府于2008年頒布的第54號國家安全總統指令/第23號國土安全總統指令(NSPD-54/HSPD-23)中。目前,這些文件屬于機密,但根據奧巴馬政府2010年3月公布的簡報,這個計劃的目標包括整合聯邦信息系統的外部接入點;在這些系統部署入侵檢測和防御系統;加強研究協調和優先事項安排,并研制“下一代”技術;加強信息共享、網絡安全教育和宣傳;減輕源自信息技術全球供應鏈的風險;并明確聯邦政府在保護關鍵基礎設施方面的作用。但是“國家網絡安全綜合計劃”主要是解決行政部門網絡的安全,這只是美國所依賴的全球信息與通信基礎設施中很小的一部分。
奧巴馬政府認為網絡安全是美國面臨的最嚴峻的經濟和國家安全威脅之一。奧巴馬總統指示對網絡安全戰略進行全面審查,評估與信息和通信基礎設施有關的所有活動(包括計算機網絡防御、執法調查、軍事與情報活動)以及有關的信息保障、反間諜、反恐、電信政策和綜合性的關鍵基礎設施保護。由政府網絡安全專家組成的評估小組徹查了相關的總統政策令、行政命令、國家戰略和政府顧問委員會及私營部門提供的研究報告。
在經過60天的全面審查后,美國白宮網站2009年5月29日發表了一份報告,題為《網絡空間政策評估——確保可信的和有彈性的信息與通信基礎設施》。報告指出,網絡安全政策包括網絡空間安全和網絡空間作戰的戰略、政策及標準,涵蓋了降低威脅、減少漏洞、威懾、國際參與、事故響應、彈性及恢復政策與行動,包括與全球信息與通信基礎設施的安全與穩定息息相關的計算機網絡作戰、信息保障、執法、外交、軍事和情報任務等。
根據這份報告,奧巴馬總統決定設立網絡安全協調官,負責協調聯邦政府的網絡安全事務,為總統提供網絡安全事務方面的咨詢;奧巴馬還指示聯邦政府和私營部門加強協調,提高應對網絡事故的能力,同時加強技術合作,為網絡安全尋找創新解決方案。2009年12月,奧巴馬政府任命霍華德·施密特為白宮網絡安全協調官。他參與的一個重要的行動就是自動化地連續監測聯邦信息系統。其他事項還包括:為網絡安全和事故響應制定統一的戰略,并加強與私營部門和其他國家的合作關系。他與白宮國家安全和經濟委員會協調開展工作,但是他不能直接控制權聯邦機構的預算。2012年5月邁克爾·丹尼爾接任白宮網絡安全協調官一職。
另外,這份報告指出,到目前為止,聯邦政府處理網絡事故的行動還不統一,因此,聯邦政府需要修訂《國家應急響應框架附件——網絡事故》(Cyber Incident Annex for the National Response Framework),建立一個明確的且具權威性的網絡事故響應框架。與處理其他重大國家事故一樣,在發生重大網絡事故時,只有白宮有法定授權協調一系列職能部門和權力機構。各政府部門和機構應按白宮總體戰略指導履行各自責任。總統的網絡安全政策官員應是網絡事故應急行動的白宮執行官(其職能與幫助白宮監測恐怖主義襲擊或自然災害的執行官的職能類似)。
三、美國網絡安全實施機制
(一)國家網絡事故響應計劃
美國國土安全部聯合其他聯邦政府、州政府和產業界,按照《美國國家應急響應架構》的原則,制定了《國家網絡事故響應計劃》;然后,修訂了《國家應急響應框架附件——網絡事故》幫助《國家網絡事故響應計劃》的實施。《國家應急響應框架附件——網絡事故》指明了網絡事故處理的政策、各個機構的具體職責、行動方案和具體責任,以具體協調各方行動,應對重大網絡事故。《國家網絡事件響應計劃》為日常的網絡事故處理提供了戰略指導,并說明在什么情況下需要發起全國性的協調行動。為此,參照第5號國土安全總統令,按照一次網絡事故是否會影響到國土安全、公共健康和公共安全、國家經濟(包括會波及國家經濟的某個行業)、公眾信心,制定了國家網絡風險預警分級系統(見表1) 。
網絡事故響應機構必須熟悉《美國國家應急響應架構》、《國家應急響應框架附件——網絡事故》、國家事故管理系統以及《國家網絡事故響應計劃》。提供支持的部門、機構參照《美國國家應急響應架構》、國家事故管理系統、《國家基礎設施保護計劃》以及《國家網絡事故響應計劃》,對網絡事故的預備、響應、恢復活動提供具體、詳細指導。
(二)關鍵基礎設施部門網絡安全計劃
奧巴馬政府還推出了多項措施加強關鍵基礎設施信息系統的安全,其中包括第13636號行政命令——《改善關鍵基礎設施的網絡安全》。它擴展了政府與私營部門之間的信息共享和合作機制,為識別特別需要保護的關鍵基礎設施確立了一個程序,要求美國國家標準與技術研究院牽頭制定保護關鍵基礎設施網絡安全的標準和最佳實踐;并要求監管機構審查當前的安全標準是否可行,如果不可行,如何解決風險。同時,第21號總統政策令(PPD-21)修改了關鍵基礎設施安全政策的其他方面,以提高整體性和效率。
(三)國防部網絡事故民事支持計劃
國防部通過兩個不同但相互關聯的任務保護美國國土安全:一是國土防御,主要是打擊恐怖主義、大規模殺傷性武器以及處理網絡事故等;二是民事支持,為其他聯邦政府機構提供支持,幫助它們應對國內發生的重大災害、突發事件和特殊事件。
2010年,美國國防部與國土安全部就關鍵民事和軍事計算機系統和網絡的防御達成了備忘協議。雖然情報界持反對意見,但是國防部認可了國土安全部在網絡事務方面的領導作用。協議就發生了國內網絡事故的情況下,在事故響應過程中,國防部在接到請求后如何提供民事支持做了詳細的規定,但是有一些問題沒有解決。首先,美國國防部還沒有明確角色和職責,負責全球戰略事務的助理國防部長、負責國土防御和國家安全事務的助理國防部長的角色存在沖突和重疊。其次,國防部并沒有確保其民事支持與國家戰略框架相符合,不能確保國防部為國內網絡事故響應提供民事支持做了充分的準備。國土安全部對國內網絡攻擊做出有效響應并減輕攻擊的威脅的行動就會受到影響。
2005年國防部第一次發布了《國土防御和民事支持戰略》。2013年2月國防部發布了新的《國土防御和民事支持戰略》,強調國防部將與國土安全部、聯邦調查局和其他跨機構合作伙伴密切合作,支持國家打擊攻擊關鍵基礎設施的網絡威脅的行動。國防部已經具備了有效的行動能力,可以保護關鍵基礎設施免遭網絡威脅,而且在接到總統的指示后,會采取行動保護美國免遭網絡攻擊。
總而言之,目前美國聯邦政府圍繞國家應急架構制定了網絡安全實施機制(見圖1)。所有的聯邦政府機構必須為自己計算機系統的網絡安全承擔責任,而且許多機構對關鍵基礎設施的某個具體部門承擔安全責任(表2),如交通運輸部負責交通運輸部門的安全。跨機構協調是復雜的,簡單地說,在一般情況下,除了白宮,國土安全部是是負責民事部門網絡安全的主要機構,承擔重要的協調職能。美國商務部的國家標準與技術研究院負責制定網絡安全標準和指南,這些標準和指南然后由聯邦政府行政管理和預算辦公室頒布。司法部主要負責網絡安全執法。美國國家科學基金會、美國國家標準與技術研究院和國土安全部都具備網絡安全研究和開發職能。美國國防部與國土安全部、聯邦調查局協調,為國內網絡事故提供民事支持。國家安全局是負責國家安全部門網絡安全的主要機構,但其他國防機構也發揮重要作用。2010年美國國防部在戰略司令部下設立的美國網絡司令部主要負責網絡空間的軍事作戰行動,以提高網絡空間作戰的軍事效能。
四、美國網絡安全立法的現狀與問題
美國聯邦政府在解決網絡安全問題方面面臨諸多挑戰,因為一方面涉及保護聯邦政府信息系統的安全,另一方面也涉及在保護非聯邦政府信息系統方面聯邦政府如何發揮適當的作用。目前,美國還沒有制定總體的網絡安全法律框架,但許多重要法規對網絡安全的多個方面做出了法律界定,見表3。
美國國會研究服務處的研究確定還有40多個法律文件有網絡安全方面的規定。而且,許多網絡安全法案被提交到最近三屆國會(第111、112、113屆國會),美國立法部門正打算對現行法律做出修改,以完善美國網絡安全立法。
2011年4月,白宮向國會提交了一個綜合性的、分七個部分的網絡安全立法建議。該提案的一些內容被眾議院和參議院的網絡安全法案所采納。在第112屆國會期間,參議院制定了一個綜合性網絡安全法案——2012年2月提交的《2012年網絡安全法案》(S.2105)——這個法案整合了國土安全和政府事務委員會與商務、科學和運輸委員會的議案。2012年3月提交參議院的另一個法案《信息技術安全法案》(S. 3342)是S. 2151的修訂版。
在2012年7月,參議院就S. 3342展開辯論,但沒有通過。奧巴馬政府轉而采取行政命令的形式,美國國會一些議員認為這不利于與私營部門和國際伙伴的談判,會阻礙立法工作,因此表示反對奧巴馬的行動。但是,2013年2月奧巴馬政府發布了第13636號行政命令——《改善關鍵基礎設施的網絡安全》。
第113屆國會期間,參議院放棄了綜合性網絡安全立法,轉而針對網絡安全的具體方面提出了10個獨立法案,包括《2013年網絡安全法案》(S. 1353)。
眾議院在2011年6月組建了有12個成員的眾議院共和黨網絡安全工作小組(House Republican Cybersecurity Task Force),小組提出了一系列的建議(工作組報告),眾議院隨后提交的法案專門針對小組報告書中所提出的問題,這些建議推進了眾議院的網絡安全立法。2012年4月眾議院通過了四個法案:
·《2011年增強網絡安全法案》(H.R. 2096),涉及聯邦政府網絡安全研發和技術標準的制定;
·《網絡情報共享和保護法案》(H.R. 3523),其重點是信息共享和協調,包括共享機密信息;
·《2012年推進美國網絡和信息技術的研究和開發法案》(H.R. 3834),涉及網絡和信息技術研發,但不限于安全;
·《2012年聯邦信息安全修正法案》(H.R. 4257),涉及《聯邦信息安全管理法案》的改革。
這些法案在遇到反對之后,經過一些修訂后,2013年4月在眾議院獲得通過:
·《2013年加強網絡安全法案》(H.R. 756);
·《網絡情報共享和保護法案》(H.R. 624);
·《2013年推進美國的網絡和信息技術的研究和開發法案》(H.R.967);
·《2013年聯邦信息安全修正法案》(H.R. 1163)。
提交國會的網絡安全法案的立法建議主要集中在10大領域:國家戰略和政府的角色、《聯邦信息安全管理法案》的改革、保護關鍵基礎設施(尤其是電網和化工)、信息共享和跨部門協調、造成個人數據(如財務信息)失竊或泄露的入侵、網絡犯罪預防和處罰、電子商務環境下的隱私、國際協調、研究與開發、網絡安全隊伍建設。 而事實上,美國政府的努力主要是推動兩個方面的網絡安全立法——保護關鍵基礎設施以及促進政府與產業界之間的信息交換。
比如,在促進政府與產業界之間的信息交換這個問題上,眾議院在2012年通過了《網絡情報共享和保護法案》,但是法案受到了工業界、隱私保護團體的阻礙,眾議院不得不加以修訂,在2013年通過了新的《網絡情報共享和保護法案》。 即便經過修訂,白宮仍然認為不夠,如果這個版本提交總統簽字的話,奧巴馬總統會否決這個法案。
自2002年以來,美國政府還沒有頒布綜合性網絡安全立法。而且,最近幾年,美國網絡安全立法成果寥寥可數。雖然眾議院、參議院和白宮都提出了數量龐大的網絡安全議案,涉及網絡安全的諸多方面,既有綜合性的網絡安全法案,也有就網絡安全的某個具體問題而提出的法案,但是由于多方利益、意見分歧,這些法案在一次又一次的修訂后,也很難獲得通過,成為正式法律文件。
五、結語
奧巴馬政府對美國網絡安全政策進行了全面審查,美國政府認為網絡空間是美國經濟繁榮和國家安全面臨的嚴峻挑戰之一,甚至超過恐怖主義襲擊的威脅程度。網絡空間的保護是美國國家安全戰略的重要內容,國土安全部總體負責協調保護和防御民用網絡的行動,同時國防部對國土安全部、司法部提供網絡防御民事支持能力;國防部主要負責軍事網絡的防御,國防部設立了美國網絡司令部加強美軍的網絡空間作戰能力,提高作戰效能。網絡技術發展日新月異,先進網絡技術往往是掌握在私營部門手中,因此網絡防御需要與私營企業的緊密合作,需要加強網絡空間情報交換;而且還涉及如何處理隱私保護的問題。那么,如何理清這些關系是目前美國網絡安全立法面臨的最嚴峻的挑戰。