拜登政府国家网络安全战略的范式转变及影响.pdf

02Vol.19 No.4Aug.2023第19卷 第4期2023年8月竞争情报Competitive Intelligence摘 要：长期以来，美国对互联网主要采用以市场为导向的自治模式，拜登政府的国家网络安全战略实现了2个根本转变：一是重新分清保护网络空间的责任；二是通过激励机制促进对网络安全的未来投资。这种范式转变表明，安全而非效率正在成为美国网络治理的首要原则，拜登政府将全社会都纳入网络安全责任范畴，而非单纯政府责任，这种新型网络安全治理模式也会为其他国家提供参考，促进美国进一步在全球范围内推广其数字议程。关键词：社会契约理论；激励机制；公私合作；网络安全治理拜登政府国家网络安全战略的范式转变及影响王 丹 女，中国浦东干部学院副教授，研究方向为数字经贸规则、网络安全等。电子邮箱：。王丹中国浦东干部学院，上海 201204WANG DanChina Executive Leadership Academy Pudong,Shanghai 201204,ChinaParadigm Shifts and Implications of the Biden AdministrationsNational Cybersecurity StrategyAbstract:The U.S.has long used a primarily market-oriented autonomous model for Internet governance.The Biden Administrations National Cybersecurity Strategy achieved two fundamental shifts:one is to rebalance responsibility for protecting cyberspace,and the other is to promote future investment in cybersecurity through incentive mechanisms.This paradigm shift suggests that security,rather than efficiency,is becoming the overriding principle of U.S.cyber governance.The Biden administration views cybersecurity as a public-private partnership issue rather than a purely governmental responsibility.This new model of cybersecurity governance will also provide an option for other countries to help the U.S.to further promote its digital agenda globally.Keywords：social contract theory;incentives;public-private cooperation;cybersecurity governance 03特写王丹.拜登政府国家网络安全战略的范式转变及影响0 引言 美国作为互联网的发源地和信息技术革命的引领者，对国家网络安全的策略和采取的做法经历了几个不同的阶段。20世纪90年代的克林顿政府时期，基于互联网“无边界的全球公域”的定位，同时受到新自由主义理念以及促进电子商务发展导向的影响，政府对互联网主要采取非管制性的、以市场为导向的方法，这种方法在1997年7月克林顿政府颁布的全球电子商务框架中表现得最为明显1。2001年，“911”恐怖袭击事件发生后，小布什政府颁布了美国历史上第一份网络空间安全国家战略，成为以反恐为核心的国家安全战略的一部分，但整体上依然坚持市场自治的互联网治理模式。20092014年，奥巴马政府没有制定网络战略，但试图通过国会强制执行网络安全标准，因受美国商会与行业团体游说的影响而失败。特朗普政府在2018年制定了国家网络战略，在网络安全领域以市场主体的自愿措施为中心，强调进攻性网络任务。近年来，在新兴技术和日益复杂、相互依存的社会系统推动下，数字技术的飞速发展大大促进了经济的繁荣和社会生活的便利化，同时也在逐步模糊了数字世界和物理世界的界限，网络攻击使得人们赖以生存的数字生态和现实基础设施面临的系统性风险大幅增加。2020年以来，包括SolarWinds1、Colonial Pipeline2等重大网络入侵和勒索软件攻击事件发生以后，美国逐步认识到“无政府的网络空间”难以为继2，加之欧盟、中国等经济体对数字主权、网络主权的主张不断加强，美国开始通过颁布网络安全相关的战略、行政令与立法相结合的方式加强对网络空间的监管。2021年5月12日，拜登签署了网络安全行政命令3，要求IT服务提供商将可能发生的网络攻击通知政府，还创建了一个由公共和私营部门人员组成的网络安全审查委员会，以分析网络攻击并为未来可采取的保护措施提出建议。2023年3月2日，拜登政府发布了国家网络安全战略4，突破了以往以市场主体自愿和自律为核心、侧重于公私合作和信息共享的网络安全治理模式，将“监管”首次纳入国家安全战略的重要位置，并对维护网络安全的责任进行重新分配。这些举措标志着美国网络安全战略的范式方法正在发生重大转向，并将对全球网络空间治理规则产生深远影响。1 拜登政府发布的国家网络安全战略的目标及重要转变 在系统性网络风险日益复杂和影响深远的情况下，拜登政府发布的国家网络安全战略旨在通过加大对网络基础设施的投资，强化与私营部门的伙伴关系，同时加强对关键部门的监管，要求没有履行安全职责的软件公司承担责任，建立“一个更有防御力和复原力的数字生态系统”。1.1国家网络安全战略的目标 国家网络安全战略指出，其最终目标是“建立一个内在防御力更强、更具复原力、与我们的价值观相一致的数字生态系统”。其中，“防御力”的意思是通过对网络安全系统的责任划分，将安全融入网 1 2020年312月，黑客通过木马化的SolarWinds Orion软件入侵包括美国政府、北约、英国政府、欧洲议会、微软等200多 家政府单位、组织或公司，造成大规模网络攻击和数据泄露。由于此次网络攻击和数据泄露事件持续时间久、目标知名 度高、敏感性强，多家媒体将其列为美国遭受过的最严重的网络安全事件。2 2021年5月7日，美国主要成品油管道运营商科洛尼尔管道运输公司（Colonial Pipeline）遭受“黑暗面”勒索软件攻击，造 成旗下承载美国东海岸近45供油量的输油干线被迫关闭一周，导致美国多个州和地区燃油供应面临危机。根据美国联邦 紧急管理署的数据，在2011年，包括石油管道等美国重要基础设施中有约85都由私营企业控制。这一危机事件暴露出美 国关键能源基础设施主要由私营部门所有并运营而导致的脆弱性。竞争情报第19卷 第4期04络及其产品服务的设计和运营过程之中，全流程强化网络安全，使得“攻击系统的运营成本比防御系统的运营成本要高”，从而将控制权从攻击者身上转移到防御者身上。“复原力”的意思是，当防御失败时，网络系统恢复是无缝和迅速的，不会产生灾难性后果，网络事件不应该对现实世界产生系统性影响。“价值观”的意思是，数字生态系统反映了其设计者和使用者的价值观，必须在构建数字生态的过程中直接定义并坚持美国的价值观。可以看出，与之前几届政府对网络空间治理的态度不同，拜登政府的国家网络安全战略产生于美国多起严重的网络攻击和勒索软件事件之后，其目的主要在于提高网络防御能力，增强网络受到攻击后的恢复能力，避免产生系统性灾难后果。1.2国家网络安全战略实现的两个根本性转变 长久以来，在以市场为导向、行业自治的网络治理模式下，网络安全的责任主要是由终端用户、小企业和地方政府来承担的，但是由于这些群体的专业能力较弱，信息和资源都十分有限，面对网络安全威胁时往往难以有效应对。为了提升网络的安全防御能力，必须对网络空间的角色、责任、资源等进行系统性重构，改变影响目前网络安全和利益分配的动态因素。为此，国家网络安全战略要求进行两个根本性的转变。一是重新分清保卫网络空间的责任，将网络安全的责任从个人、小企业和地方政府转移到网络空间中“最有能力和最有地位”的数字生态系统管理者身上，联邦政府要保护自身的网络系统和关键基础设施，并通过履行核心职能，如外交、情报、经济处罚、执行法律、实施打击行动等，应对网络威胁；网络运营商（包括关键基础设施的所有者和运营者、硬件制造商、软件开发商、服务提供者以及其他关键参与者）等应承担网络安全主要责任。二是重新调整长期投资的激励机制，通过政策引导和激励措施，使那些网络防御者有激励、资源和能力来选择长期解决方案，而非临时修复措施，以推动对网络安全的长期投资。拜登政府颁布的国家网络安全战略从根本上是系统性重构网络空间的安全责任分配，它激励了对网络复原力的投资，而这样的改变和网络安全范式构建正是西方“社会契约理论”在网络空间的重新诠释和应用。2 以“网络安全社会契约”为核心构建新型网络安全治理模式 这些政策背景表明，拜登政府将网络安全视为公私合作议题而非单纯政府责任，这种新型网络安全治理模式也会给其他国家起到示范引领作用，促进美国进一步在全球范围内推进其数字议程。拜登政府的举措势必影响到全球网络安全治理模式。因此，亟须通过追溯社会契约理论的渊源，重新思考以“网络安全社会契约”为核心的新型网络安全治理模式。2.1 社会契约理论概述 社会契约的理念由来已久。柏拉图、霍布斯、洛克、卢梭、罗尔斯等人都提出过各种社会契约理论。简言之，社会契约是指被统治者和统治者之间的实际或假想的协议，并规定了每一方的权利和义务5。根据社会契约理论，一开始，人们生活在自然状态下，没有政府，也没有法律来规范他们。出于对安全和秩序的渴望，或是对财产的保障等需求，理性的个人自愿放弃自然自由，组成一个社会，以享受政治秩序的好处6。为了离开这种自然状态，人们达成了2项协议。在第一项协议中，他们寻求对其生命和财产的保护，由此形成了社会，人们同意相互尊重，和平共处；在第二项协议中，人们同意服从一个当局，将他们的全部或部分自由和权利交给这个当局，由此形成了政府，它负责保护个人的生命、财产，以及一定程度上的自由。因此，通过摆脱自然状态，个人集体形成了一个社会，他们同意在共同的法律下共同生活，并为社会契约建立执行机制7。05特写王丹.拜登政府国家网络安全战略的范式转变及影响 不同学者提出的社会契约理论有所差别，但整体上看，社会契约理论描述了人类从自然状态过渡到社会和政治状态所达成的条件，是人们在当前政治条件下的一种社会契约，其目的主要在于解释为什么理性的个人会同意放弃他们的一些自由作为享受政治秩序的交换条件。社会契约理论是解释西方国家、社会和个人之间关系的重要基础，美国的独立宣言就援引了洛克的社会契约概念。洛克认为，人们只是将维护秩序和执行自然法的权力交给当局，同时保持了生命权和自身自由。政府的权力来自“经受统治者之同意取得应有之权力”，其合法性在于维护安全和保护人们的自然权利，此时法律才是有效和有约束力的；如果没有实现这一目的，法律就是无效的8。2.2“网络安全社会契约”的提出 值得思考的是，当人类从自然状态过渡到社会状态，再进入“数字状态”时，彼此的互动、联系和依存关系不断加深，数据的流动超越了传统的主权边界，网络的系统性风险也超越了一国政府所能掌控的范围，国际层面尚未就网络空间治理达成共识，此时传统的社会契约框架是否依然适用？数据泄露、隐私风险、虚假信息、算法歧视、财产安全、数字世界对物理世界的安全威胁等，证实了政治的非物质化、非集中化和非领土化9，挑战了传统社会关于公共秩序和安全责任分配的理解。数字革命迫使人类重新考虑规范被统治者和统治者之间的协议和行为准则：政府不可能也不应该成为社会