8月2日,美國國家網信總監克里斯•英格利斯(Chris Inglis)在“大西洋理事會”(Atlantic Council)的會議上指出,聯邦政府迫切需要開始評估和發布有關網信安全事件的數據;并稱,白宮正在考慮采納國會“網信空間戰略顧問委員會”關于設立“網信統計局”(Bureau of Cyber Statistics)的建議。英格利斯表示,如果沒有“網信統計局”,美國對網信攻擊的響應將變得越來越“斷斷續續”(episodic)、“疙疙瘩瘩”(uneven),而且存在“短板差距”(less optimal);并披露,“網信統計局”將隸屬于國土安全部,其主要任務是,定期公布網信安全(Cybersecurity,下同)威脅數據,并分析來自各部門和組織機構以及網信安全服務公司報告的網信安全事件,為決策者提供參考信息。英格利斯強調,為了正確處理風險,首先必須了解風險,以及知道風險的聚焦點、風險的關聯點和造成風險的原因;更重要的是,然后方能有針對性地解決風險問題。“網信統計局”就是因此被催生。英格利斯透露,盡管目前白宮還沒有出臺相關的官方政策,但是“我想所有人都會同意設立網信統計局”。美國“國家網信總監”(National Cyber Director)及其辦公室(簡稱ONCD),作為聯邦政府的一個法定行政實體,是由國會“網信空間戰略顧問委員會”(Cyberspace Solarium Commission,簡稱CSC,也有譯為“網絡空間日光浴室委員會”)于2020年3月11日提出建議,并在2021年1月1日生效的《2021年國防授權法》(NDAA)中授權設立。美國“國家網信總監”的職責包括:隸屬于總統辦公廳,擔任總統的網信安全和相關新興技術問題的主要顧問,國家級網信戰略、政策和防御性網信行動的協調牽頭人,以及作為在網信安全問題上的美國首席代表和發言人。4月12日,拜登總統提名克里斯•英格利斯,作為美國首任“國家網信總監”。6月17日,美國參議院全票通過確認拜登的提名。7月12日,英格利斯正式宣誓就職。英格利斯,1954年10月29日出生于美國馬里蘭州;2006-2014年任國家安全局(NSA)副局長,2014年1月10日退休。2015年,受聘為美國海軍學院網信科學系教授。英格利斯在就任“國家網信總監”之前,是“網信空間戰略顧問委員會”的成員之一。因此,推進設立“網信統計局”,既是英格利斯擔任“國家網信總監”所開展的一項重要工作,也是推動落實“網信空間戰略顧問委員會”建議的具體行動。信息安全專家霍華德•施密特(Howard Schmidt)曾在2009年12月22日被任命為奧巴馬總統的“網信安全協調員”(Cybersecurity Coordinator),業內稱其為美國國家網信安全“特使”(Czar);作為總統顧問,向國家安全委員會負責。“國家網信總監”與“網信安全協調員”的明顯不同在于,是法定的常設性政府職位,且“國家網信總監辦公室”作為行政實體(Entity,目前編制75人)提供工作支持。CSC稱,“國家網信總監”的履新,實現了其最高優先級的目標;CSC將繼續工作的重點包括“網信外交法”(Cyber Diplomacy Act),4月20日獲眾議院通過提案,參議院外交關系委員會正在審議中。根據CSC的建議,“網信統計局”負責收集、分析和傳遞有關網信安全和網信生態系統的統計數據,為制定政策和政府計劃提供參考信息。設立“網信統計局”的要素包括:雖然人們普遍的共識是,針對美國的網信攻擊在頻率、頻度和嚴重程度上都在明顯地增加,但是美國政府和更廣泛的市場競爭對這些攻擊的性質和范圍,缺乏足夠清晰的理解和處置能力,無法制定有效的針對性應對政策。使這個問題更加復雜的是,在技術、商業和企業,甚至在制定國家政策的層面,根本不清楚哪些安全措施可以有效地減少風險。這種混亂限制了政府評估其網信安全計劃的可執行力度和能力,并使民營企業和保險公司無法充分地對網信風險進行理賠定價、建模和理解。因為,現有的數據集是不完整的,只能對網信安全和網信空間(Cyberspace,下同)的不斷變化趨勢提供膚淺或粗略的理解。為了解決類似差距,在其他的政策領域,美國建立了統計機構,為國家政策制定和民營企業決策提供信息。這些機構(如勞工統計局,人口統計局等),建立了對政府政策的執行和民營行業的狀況之衡量標準以及評估報告。這些統計機構取得的巨大成功之一,是提供有用的信息,以改善美國民眾的日常生活;同時,對這些信息進行匿名化處理以保護隱私。美國政府應該在網信空間采用這種模式。美國國會應規定在商務部或其他部門或機構內設立“網信統計局”,作為政府的統計機構,收集、處理、分析有關網信安全、網信事件和網信生態系統的基本統計數據,并傳遞給美國公眾、國會、其他聯邦部門、州和地方政府以及民營部門。該局提供的統計分析將有助于認知國家安全風險,有助于保險行業創建更準確的風險評估模型,并有助于美國政府制定更有效的網信安全政策和計劃。目前,尚未明確“網信統計局”,是由國會立法的法定機構或是由白宮任命的行政部門;是設立在商務部或是國土安全部(英格利斯如是說),有待觀察。但是可見,“網信統計局”的設立,不僅是為解決存在的問題和風險以及凸顯的缺失和差距,以適應網信安全和網信空間的現狀及發展趨勢,而且作為首任“國家網信總監”及其辦公室行政實體,能夠自上而下地開展改革國家網信工作所依靠的重要支柱之一。CSC是根據2019財年《國防授權法》成立的,其目的和作用是:“在網信空間保護美國免受具有重大后果的網信攻擊之戰略方法達成共識”。2020年3月11日,CSC發布一份報告,包括82項建議,被分類并構成網信空間安全的6個“支柱”(Pillars):其中,設立“國家網信總監”和“網信統計局”的建議分別屬于第1 個支柱(改革美國政府的組織結構以捍衛網信空間)和第4 個支柱(重塑網信的生態系統)。
相應于網信空間安全的6個支柱,CSC提出:戰略方針即是層次化的威懾力(圖1)。
● 第一層:塑造網信行為準則(Shape Behavior)。通過加強行為準則和非軍事化手段,促進在網信空間的克制和約束力(Restraint),以塑造負責任的行為。沒有美國的領導,就不會產生有效的行為準則。出于這個原因,美國需要建立一個伙伴和盟友的聯盟,以確保其在網信空間的共同利益和價值觀。● 第二層:遏制對手獲利受益(Deny Benefits)。通過提高國家的適應力、重塑網信生態系統以及推進政府與民營行業的合作關系,建立更高水平的共同態勢感知和聯合行動協作,以遏制對手獲利受益。美國需要舉全國之力的方法,保護其在網信空間的利益和制度。● 第三層:迫使對手付出代價(Impose Costs)。通過運用所有具有影響力的手段,捍衛網信空間(包括系統性的關鍵基礎設施),迫使對手增加代價,以阻止未來的網信惡意行為并減少對手的持續行動(不包括常規性武裝沖突)。迫使對手增加代價的一個(但不是唯一的)關鍵要素,是軍事實力。因此,美國必須保持從競爭到危機和沖突的全方位參與,以及提升網信和非網信的能力、適應力和戒備力。美國需要具備隨時準備和迅速響應的能力,以應對和挫敗對手的行動。8月12日,CSC發布了“2021年度執行報告”,評估了對其在2020年所提出建議的實施情況,并明確未來行動的領域。在過去18個月中,美國國會和聯邦政府對CSC提出82項建議的立法和行政命令的實施狀況是:已實施(22.0%),即將實施(13.4%),部分實施(43.9%),延遲實施(15.9%),實施存在顯著障礙(4.9%)。如圖2:
【圖2 在18個月中對82項建議的實施狀況:國會立法和行政命令】
美國設立“網信統計局”勢在必行,其所要解決的問題在全球網信空間具有普遍性。畢竟,“統計是動態的歷史,歷史是靜態的統計。”“統計”,既是一門交叉科學,也是廣泛實踐的思維和方法,在數字化信息時代發揮著(透視和推斷)的顯著作用,不僅具有數量性、總體性、具體性和社會性的特點,而且具備信息、咨詢和監督的職能。但是,當“統計”被局限于諸如“網絡攻擊的源IP地址”數量、掃描漏洞的數量、泄露數據的數量等,則必然形成“現有的數據集是不完整的,只能對網信安全和網信空間的不斷變化趨勢提供膚淺或粗略的理解。”簡單地說,統計不是簡單、機械地“計數”,而是基于科學的分類方法、時序的關聯分析、深入的持續實踐。在數字信息化時代,統計(科學、工作、資料)拓展了在網信空間和網信安全領域的應用,并凸顯其重要性和必要性。關聯上述“網信統計局”的設立與“戰略方針”的實施建議(即層次化的網信威懾力),提出參考觀點如下(但不限于):根據CSC建議,設立“網信統計局”是“重塑網信的生態系統”及“第4個支柱”的組成部分,表明:數據資產和信息資源應屬于國家所有(或由國家統一管理)。任何政府部門、行業企業(尤其是關鍵信息基礎設施)都有義務和責任,按需、真實且及時地呈報數據和信息以及安全事件,并接受國家(政府)監督、監管和整改。另一方面,可以認為,“網信統計局”收集和匯總、處理和分析有關網信安全、網信事件和網信生態系統的基本統計數據,雖然是非軍事化的網信安全信息中心,但依然與“維護和運用國家軍事力量”相關聯,并不獨立和孤立,且軍事化網信安全信息(情報)中心與之相類同。此前我們發表的《數字現代化轉型的一個重要標志》一文中,涉述“國防情報中心”(Defense Intelligence Enterprise),“是國防部唯一的情報協調中心(focalpoint),在支持國防部的作戰需求和制定戰略重點方面發揮著至關重要的作用。”根據CSC建議的職能,“網信統計局”是一個行政實體,而不是一個指導性、協調性的官僚機構。事實上,在網信安全和網信空間領域,美國政府的相關部門多具有行政實體能力。如國家安全局(NSA);國家網信總監辦公室(ONCD),其中包括法定新的、獨立的網信安全行政機構。依據《網信安全和基礎設施安全法》,“網信安全和基礎設施安全局”(簡稱CISA)于2018年11月16日成立,是在美國國土安全部監督下獨立運行的美國聯邦政府行政機構;替代并提升了前“國家保護和計劃局”(NPPD)的使命和功能,主要任務是協助其他政府部門和民營組織解決網信安全問題。【圖3 舉國家之力的框架(來源:CSC,2020-3)】在舉國家之力的框架中,政府部門的行政實體機構不僅具有引導力和凝聚力,而且在深入的實踐中掌握第一手資料和信息,有助于戰略決策的執行性、政策制定的針對性和組織機構改革的適應性。2018年9月,在美國國防部發布的《網信戰略》中,明確“推進防御”(Defend Forward)是:“從源頭上破壞或制止惡意網信活動,包括采取各類非常規性沖突程度的行動。”在具有影響力的CSC建議中(圖1),“推進防御”被作為是網信戰略方針(即層次化的網信威懾力),并發(Concurrent)、持續(Continuous)和協同(Collaborative),突出地表現為:因此,常規性(殺傷性)的軍事沖突是戰略威懾的組成,但是在目前的權衡利弊中,所賦予的是“克制”屬性,并不排除發生的可能性。無論如何,統籌安全與發展的網信戰略方針是構建威懾力。綜上,網信安全和網信空間是當前斗爭的主戰場及競爭的焦點。如果把基礎能力、綜合實力、戰略威懾力構成相互關聯、相互依存的三個層次(或舉國之力的框架),尋求達到與彼方對等的“旗鼓相當”(nearing-peer),努力避免“顧此失彼”,必須堅持上下求索、與時俱進、與數俱進,繼往開來。(作者:邱實,網絡信息安全技術專家;牟承晉,昆侖策研究院高級研究員、中國移動通信聯合會國際戰略研究中心主任。來源:昆侖策網【原創】,作者授權發布)
【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網》,網址:
http://www.kunlunce.cn
http://m.jqdstudio.net
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
