8月2日,美国国家网信总监克里斯•英格利斯(Chris Inglis)在“大西洋理事会”(Atlantic Council)的会议上指出,联邦政府迫切需要开始评估和发布有关网信安全事件的数据;并称,白宫正在考虑采纳国会“网信空间战略顾问委员会”关于设立“网信统计局”(Bureau of Cyber Statistics)的建议。英格利斯表示,如果没有“网信统计局”,美国对网信攻击的响应将变得越来越“断断续续”(episodic)、“疙疙瘩瘩”(uneven),而且存在“短板差距”(less optimal);并披露,“网信统计局”将隶属于国土安全部,其主要任务是,定期公布网信安全(Cybersecurity,下同)威胁数据,并分析来自各部门和组织机构以及网信安全服务公司报告的网信安全事件,为决策者提供参考信息。英格利斯强调,为了正确处理风险,首先必须了解风险,以及知道风险的聚焦点、风险的关联点和造成风险的原因;更重要的是,然后方能有针对性地解决风险问题。“网信统计局”就是因此被催生。英格利斯透露,尽管目前白宫还没有出台相关的官方政策,但是“我想所有人都会同意设立网信统计局”。美国“国家网信总监”(National Cyber Director)及其办公室(简称ONCD),作为联邦政府的一个法定行政实体,是由国会“网信空间战略顾问委员会”(Cyberspace Solarium Commission,简称CSC,也有译为“网络空间日光浴室委员会”)于2020年3月11日提出建议,并在2021年1月1日生效的《2021年国防授权法》(NDAA)中授权设立。美国“国家网信总监”的职责包括:隶属于总统办公厅,担任总统的网信安全和相关新兴技术问题的主要顾问,国家级网信战略、政策和防御性网信行动的协调牵头人,以及作为在网信安全问题上的美国首席代表和发言人。4月12日,拜登总统提名克里斯•英格利斯,作为美国首任“国家网信总监”。6月17日,美国参议院全票通过确认拜登的提名。7月12日,英格利斯正式宣誓就职。英格利斯,1954年10月29日出生于美国马里兰州;2006-2014年任国家安全局(NSA)副局长,2014年1月10日退休。2015年,受聘为美国海军学院网信科学系教授。英格利斯在就任“国家网信总监”之前,是“网信空间战略顾问委员会”的成员之一。因此,推进设立“网信统计局”,既是英格利斯担任“国家网信总监”所开展的一项重要工作,也是推动落实“网信空间战略顾问委员会”建议的具体行动。信息安全专家霍华德•施密特(Howard Schmidt)曾在2009年12月22日被任命为奥巴马总统的“网信安全协调员”(Cybersecurity Coordinator),业内称其为美国国家网信安全“特使”(Czar);作为总统顾问,向国家安全委员会负责。“国家网信总监”与“网信安全协调员”的明显不同在于,是法定的常设性政府职位,且“国家网信总监办公室”作为行政实体(Entity,目前编制75人)提供工作支持。CSC称,“国家网信总监”的履新,实现了其最高优先级的目标;CSC将继续工作的重点包括“网信外交法”(Cyber Diplomacy Act),4月20日获众议院通过提案,参议院外交关系委员会正在审议中。根据CSC的建议,“网信统计局”负责收集、分析和传递有关网信安全和网信生态系统的统计数据,为制定政策和政府计划提供参考信息。设立“网信统计局”的要素包括:虽然人们普遍的共识是,针对美国的网信攻击在频率、频度和严重程度上都在明显地增加,但是美国政府和更广泛的市场竞争对这些攻击的性质和范围,缺乏足够清晰的理解和处置能力,无法制定有效的针对性应对政策。使这个问题更加复杂的是,在技术、商业和企业,甚至在制定国家政策的层面,根本不清楚哪些安全措施可以有效地减少风险。这种混乱限制了政府评估其网信安全计划的可执行力度和能力,并使民营企业和保险公司无法充分地对网信风险进行理赔定价、建模和理解。因为,现有的数据集是不完整的,只能对网信安全和网信空间(Cyberspace,下同)的不断变化趋势提供肤浅或粗略的理解。为了解决类似差距,在其他的政策领域,美国建立了统计机构,为国家政策制定和民营企业决策提供信息。这些机构(如劳工统计局,人口统计局等),建立了对政府政策的执行和民营行业的状况之衡量标准以及评估报告。这些统计机构取得的巨大成功之一,是提供有用的信息,以改善美国民众的日常生活;同时,对这些信息进行匿名化处理以保护隐私。美国政府应该在网信空间采用这种模式。美国国会应规定在商务部或其他部门或机构内设立“网信统计局”,作为政府的统计机构,收集、处理、分析有关网信安全、网信事件和网信生态系统的基本统计数据,并传递给美国公众、国会、其他联邦部门、州和地方政府以及民营部门。该局提供的统计分析将有助于认知国家安全风险,有助于保险行业创建更准确的风险评估模型,并有助于美国政府制定更有效的网信安全政策和计划。目前,尚未明确“网信统计局”,是由国会立法的法定机构或是由白宫任命的行政部门;是设立在商务部或是国土安全部(英格利斯如是说),有待观察。但是可见,“网信统计局”的设立,不仅是为解决存在的问题和风险以及凸显的缺失和差距,以适应网信安全和网信空间的现状及发展趋势,而且作为首任“国家网信总监”及其办公室行政实体,能够自上而下地开展改革国家网信工作所依靠的重要支柱之一。CSC是根据2019财年《国防授权法》成立的,其目的和作用是:“在网信空间保护美国免受具有重大后果的网信攻击之战略方法达成共识”。2020年3月11日,CSC发布一份报告,包括82项建议,被分类并构成网信空间安全的6个“支柱”(Pillars):其中,设立“国家网信总监”和“网信统计局”的建议分别属于第1 个支柱(改革美国政府的组织结构以捍卫网信空间)和第4 个支柱(重塑网信的生态系统)。
相应于网信空间安全的6个支柱,CSC提出:战略方针即是层次化的威慑力(图1)。
● 第一层:塑造网信行为准则(Shape Behavior)。通过加强行为准则和非军事化手段,促进在网信空间的克制和约束力(Restraint),以塑造负责任的行为。没有美国的领导,就不会产生有效的行为准则。出于这个原因,美国需要建立一个伙伴和盟友的联盟,以确保其在网信空间的共同利益和价值观。● 第二层:遏制对手获利受益(Deny Benefits)。通过提高国家的适应力、重塑网信生态系统以及推进政府与民营行业的合作关系,建立更高水平的共同态势感知和联合行动协作,以遏制对手获利受益。美国需要举全国之力的方法,保护其在网信空间的利益和制度。● 第三层:迫使对手付出代价(Impose Costs)。通过运用所有具有影响力的手段,捍卫网信空间(包括系统性的关键基础设施),迫使对手增加代价,以阻止未来的网信恶意行为并减少对手的持续行动(不包括常规性武装冲突)。迫使对手增加代价的一个(但不是唯一的)关键要素,是军事实力。因此,美国必须保持从竞争到危机和冲突的全方位参与,以及提升网信和非网信的能力、适应力和戒备力。美国需要具备随时准备和迅速响应的能力,以应对和挫败对手的行动。8月12日,CSC发布了“2021年度执行报告”,评估了对其在2020年所提出建议的实施情况,并明确未来行动的领域。在过去18个月中,美国国会和联邦政府对CSC提出82项建议的立法和行政命令的实施状况是:已实施(22.0%),即将实施(13.4%),部分实施(43.9%),延迟实施(15.9%),实施存在显著障碍(4.9%)。如图2:
【图2 在18个月中对82项建议的实施状况:国会立法和行政命令】
美国设立“网信统计局”势在必行,其所要解决的问题在全球网信空间具有普遍性。毕竟,“统计是动态的历史,历史是静态的统计。”“统计”,既是一门交叉科学,也是广泛实践的思维和方法,在数字化信息时代发挥着(透视和推断)的显著作用,不仅具有数量性、总体性、具体性和社会性的特点,而且具备信息、咨询和监督的职能。但是,当“统计”被局限于诸如“网络攻击的源IP地址”数量、扫描漏洞的数量、泄露数据的数量等,则必然形成“现有的数据集是不完整的,只能对网信安全和网信空间的不断变化趋势提供肤浅或粗略的理解。”简单地说,统计不是简单、机械地“计数”,而是基于科学的分类方法、时序的关联分析、深入的持续实践。在数字信息化时代,统计(科学、工作、资料)拓展了在网信空间和网信安全领域的应用,并凸显其重要性和必要性。关联上述“网信统计局”的设立与“战略方针”的实施建议(即层次化的网信威慑力),提出参考观点如下(但不限于):根据CSC建议,设立“网信统计局”是“重塑网信的生态系统”及“第4个支柱”的组成部分,表明:数据资产和信息资源应属于国家所有(或由国家统一管理)。任何政府部门、行业企业(尤其是关键信息基础设施)都有义务和责任,按需、真实且及时地呈报数据和信息以及安全事件,并接受国家(政府)监督、监管和整改。另一方面,可以认为,“网信统计局”收集和汇总、处理和分析有关网信安全、网信事件和网信生态系统的基本统计数据,虽然是非军事化的网信安全信息中心,但依然与“维护和运用国家军事力量”相关联,并不独立和孤立,且军事化网信安全信息(情报)中心与之相类同。此前我们发表的《数字现代化转型的一个重要标志》一文中,涉述“国防情报中心”(Defense Intelligence Enterprise),“是国防部唯一的情报协调中心(focalpoint),在支持国防部的作战需求和制定战略重点方面发挥着至关重要的作用。”根据CSC建议的职能,“网信统计局”是一个行政实体,而不是一个指导性、协调性的官僚机构。事实上,在网信安全和网信空间领域,美国政府的相关部门多具有行政实体能力。如国家安全局(NSA);国家网信总监办公室(ONCD),其中包括法定新的、独立的网信安全行政机构。依据《网信安全和基础设施安全法》,“网信安全和基础设施安全局”(简称CISA)于2018年11月16日成立,是在美国国土安全部监督下独立运行的美国联邦政府行政机构;替代并提升了前“国家保护和计划局”(NPPD)的使命和功能,主要任务是协助其他政府部门和民营组织解决网信安全问题。【图3 举国家之力的框架(来源:CSC,2020-3)】在举国家之力的框架中,政府部门的行政实体机构不仅具有引导力和凝聚力,而且在深入的实践中掌握第一手资料和信息,有助于战略决策的执行性、政策制定的针对性和组织机构改革的适应性。2018年9月,在美国国防部发布的《网信战略》中,明确“推进防御”(Defend Forward)是:“从源头上破坏或制止恶意网信活动,包括采取各类非常规性冲突程度的行动。”在具有影响力的CSC建议中(图1),“推进防御”被作为是网信战略方针(即层次化的网信威慑力),并发(Concurrent)、持续(Continuous)和协同(Collaborative),突出地表现为:因此,常规性(杀伤性)的军事冲突是战略威慑的组成,但是在目前的权衡利弊中,所赋予的是“克制”属性,并不排除发生的可能性。无论如何,统筹安全与发展的网信战略方针是构建威慑力。综上,网信安全和网信空间是当前斗争的主战场及竞争的焦点。如果把基础能力、综合实力、战略威慑力构成相互关联、相互依存的三个层次(或举国之力的框架),寻求达到与彼方对等的“旗鼓相当”(nearing-peer),努力避免“顾此失彼”,必须坚持上下求索、与时俱进、与数俱进,继往开来。(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。来源:昆仑策网【原创】,作者授权发布)
【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。
电子邮箱:gy121302@163.com
更多文章请看《昆仑策网》,网址:
http://www.kunlunce.cn
http://www.kunlunce.com
特别申明:
1、本文只代表作者个人观点,不代表本站观点,仅供大家学习参考;
2、本站属于非营利性网站,如涉及版权和名誉问题,请及时与本站联系,我们将及时做相应处理;
3、欢迎各位网友光临阅览,文明上网,依法守规,IP可查。
