目前,为了解决网络安全问题,多个政府部门参与其事。本文分析了各个部门的优缺点,比如政府的执行部门可以让白宫发挥主导作用,它具备集中控制权,能够在总统的支持下制定和执行政策决议。它也可以让一个内阁级政府部门发挥主导权。美国国土安全部目前负责协调各政府机关,保护非军事网络和系统,但每个部门仍然对自己的系统负责。国防部负责保护自己的系统,包括机密的和非机密的,以及国家防御必需的一些关键基础设施。文本提出了一种可选方法是在联邦政府内建立一个新的混合式机构。
对计算机系统、政府和商业网络的威胁——甚至是对普通公民的个人信息的威胁——近年来已经爆炸式增长,但美国政府未能充分解决这些威胁。一位作者曾指出:今天我们国家面临的“网络威胁[是]最普遍的和最致命的威胁”。面临的危险不再是某个青少年为寻找刺激而侵入当地大学的网络,而是复杂的犯罪企图,以窃取信息或金钱。用来攻击金融系统的技术可以肆掠国家的重要基础设施。2007年,几个内阁级政府部门,包括国防部、国土安全部和商务部也遭到黑客攻击,海量的信息被不明行为体渗透。
2009年发生了幽灵网络渗透了达赖喇嘛的网络,接着又在2010年发现了“震网”病毒,这表明,民族国家发动的网络攻击已经达到一个空前水平。网络安全已经从20世纪90年代初的一个令人头疼的问题变成了21世纪初的一个与国家安全关系密切的问题。总统奥巴马执政伊始,他最新采取的行动之一就是呼吁对美国的网络安全政策进行全面评估,但几乎没有实施评估报告给出的建议。而当在白宫公布的《网络空间国际战略》几乎没有考虑目前的国内形势。尽管需要制定有效的国家网络安全策略,但对于什么样的领导模式才能达到理想最的效果,缺乏共识,导致政策执行继续拖延。
几位作者提出了有关美国网络安全政策领导模式的策略和模式。一个特别的想法是由战略与国际问题研究中心(CSIS)的报告《为保护网络空间安全向第44届总统提出的建议》(Securing Cyberspace for the 44th Presidency)提出的,即网络安全政策的制定应集中在总统办事机构的一个强大的“沙皇”控制下。作者认为权力集中在白宫是提供必要的政策指引的最好的选择方案。第二种想法认为,政策制定最好让一个内阁级政府部门来完成。这个学派的一项研究认为,应该让国土安全部担责,由于它是响应国内事故的主要牵头部门。其他人则认为,把国土安全部的职责交给总统办事机构仍将不够,还需要更广泛的结构调整,以理清处理网络安全的“三套马车”(在联邦、州和地方等层次的政府机构)。保罗•罗森茨维格(Paul Rosenzweig)提出的主张建议让国防部承担主要职责,因为美国国家安全局(NSA)有更多的人才和经验,而美国国土安全部则相对缺乏人力资本。
目前研究提供的模式没有一个达成了必要的政治共识,能够处理好让谁在网络安全事务方面承担领导角色。有人倡导让白宫发挥更强的作用,这种模式已在其他领域表现平平,如打击毒品。授予美国国防部发挥领导作用,忽视了根据《警卫团法案》(Posse Comitatus Act)军方缺乏执行国内行动的法律授权。美国国土安全部,虽然已经承担了一些责任,由于各种原因一直没能达到所需的效能水平。事实上,白宫“沙皇”模型的优势是便于进入总统的决策圈子和“天字第一号讲坛”(the bully pulpit),但缺乏监管能力。内阁政府部门模型具备监管力量,但在涉及跨部门时缺乏白宫的授权。
网络安全领导模式的选择
可以让白宫发挥主导作用,让它具备集中控制权,能够在总统的支持下制定和执行政策决议。它也可以让一个内阁级政府部门发挥主导权。美国国土安全部目前负责协调各政府机关,保护非军事网络和系统,但每个部门仍然对自己的系统负责。国防部负责保护自己的系统,包括机密的和非机密的,以及国家防御必需的一些关键基础设施。第三种可选方法是在联邦政府内建立一个新的混合式机构。
历史
美国的网络安全政策产生于克林顿政府时期的保护关键基础设施的行动。比尔•克林顿总统在1996年签发了13010号行政命令,创立了总统的关键基础设施保护委员会(the President’s Commission on Critical Infrastructure Protection),并强调了网络攻击对国家的经济和国防安全的威胁。该委员会的建议导致克林顿总统在1998年5月签发了63号总统指令(PDD-63)。
63号总统指令在政府系统内建立了几个与网络安全相关的组织机构,包括负责安全、基础设施保护和反恐事务的国家协调员,建立了关键基础设施办公室以支持协调员的工作,以及国家基础设施保护中心。这也是在促进建立部门信息共享和分析中心(ISACS)道路上迈出的第一步,其不断发展,并形成确保网络空间所必须的公-私伙伴关系的重要组成部分。有了这些中心,克林顿政府依赖于公-私伙伴关系,作为确保网络空间安全的手段。
而当乔治•W•布什政府仍然延续克林顿政府的做法时,9/11袭击事件导致小布什政府的注意力从针对关键基础设施的网络攻击转移到恐怖组织发动的物理攻击。2003年发布的《确保网络空间国家战略》被批评为只是建议的罗列,而不是一个目的、方法和手段相互切合的全面的战略文件。此外,小布什政府在2006年公布了《国家基础设施保护计划》,其中指定了17个(现为18个)需要单独的保护计划的关键基础设施部门。布什政府还在2008年公布了《国家网络安全综合计划》(Comprehensive National Cybersecurity Initiative),但批评人士指出其专注于政府互联网(.gov)太有局限性了。在布什政府期间,网络安全的责任划分是模糊的,白宫、国土安全部、国防部只有有限的领导权力和责任。国土安全部被赋予总体协调角色,但仍由个别机构各自负责。
奥巴马政府以《60天网络空间政策评估》发起了网络安全行动。该文件发表于2009年5月下旬,这是一个雄心勃勃的努力,全面审查了在有关网络安全问题上政府需要做的事情,但它没有指明如何到达这些目的。此评估报告的主要建议是,总统应任命一个独立的网络安全政策官员担任中央协调员,协调政府和国家的行动。这实质上是重复了战略与国际研究中心委员会在2008年的报告中提出的建议。有趣的是,白宫直到2009年12月才任命一个网络“沙皇”——当霍华德•施密特领衔了这个职位。2011年5月,白宫发布了《保护网络空间国际战略》,在国际层次上清晰描述了美国的意图,但该文件没有说明需要政府和国家做什么,以解决国内面临的挑战。
这个文件把我们带到了今天。尽管第110届国会讨论了几个法案,以及第111届国会讨论的法案甚至更多,但是没有综合全面的网络安全法案获得足够的投票,形成法律。第112国会召开前有超过30个不同的法案搁置未议。美国国会研究服务处指出,没有任何一个国会委员会或执行机构的首要责任是网络安全问题,这也导致了由一系列举措和良好的想法构成的大杂烩,但没有统一的焦点。这三个政府制定的推进美国网络安全政策的文件有许多相似之处,政策的整体轮廓是健全的,但仍需要执行有效行动所必要的困难的跨部门和立法决策。美国政府问责办公室(GAO)认为网络安全领导体制面临的挑战是缺乏高层领导和跨部门协调非常困难。这种情形不能任其发展下去,这样的话非常的危险。
(责任编辑:安博涛)
