2021年1月20日,拜登宣誓就任美国第46任总统,标志着拜登政府时代的开始。随着拜登政府的上台,穿插在SolarWinds供应链攻击事件处理行动前后的,是美国网络安全战略的转变以及对俄态度的日益强硬。一、美国的核心网络安全利益仍然是关键维护以商业和技术机密为核心的经济和数据安全。(3)提高网络攻防能力作为核心竞争优势(4)扩大美国在网络空间的行动自由度,提升美国的影响力基于(1)(3)(4)美国核心网络安全利益美国,拜登政府的网络安全政策也围绕此展开,并进一步延伸。1、关注供应链安全,降低对外依赖。从SolarWinds事件到最近的PulseSecure0day漏洞利用,美国对供应链安全的紧迫感促使美国的法规和政策进一步向供应链安全倾斜。2月24日,拜登签署第14017号行政命令“美国供应链”,指示相关部委就供应链安全采取相关行动,包括要求国防部与相关机构协商并在100天内提交报告解释美国“战略和关键物资供应链”面临的风险,以及应对风险的政策建议。此次审核的供应链包括半导体芯片、电动汽车大容量电池、稀土矿产、医药等,基本涵盖IT、资源、医药等重要领域。一方面,矿产材料供应链安全不仅关系到清洁能源技术的部署和IT高科技产业的发展,也成为地缘经济竞争的重要砝码。美国之所以关注这些供应链的安全问题,是因为美国希望重组国内市场,加强与中国技术脱钩的主动性。因此,虽然具体政策和建议尚未出台,但可以预期,美国将通过市场禁令和提高关税等方式,提高包括中国在内的外国进入美国市场的门槛。另一方面,美国也试图通过调动更多的资金和资源来进一步增强自己的半导体实力,从而阻止其他国家在核心技术领域取得领先地位。例如,4月23日,两院议员提出了“无尽前沿法案”(EndlessFrontierAct),呼吁政府在5年内投资1000亿美元用于基础和先进技术研究和科学研究。2.重视民营企业在关键基础设施安全中的作用。随着经济社会发展对网络基础设施的依赖程度越来越高,美国在关键基础设施的安全保护方面主要经历了几个阶段。在管理体系方面,从早期开始,国土安全部就率先建立了传统的关键基础风险管理体系,随后在2018年先后发布了《网络安全战略》和《国家网络战略》,在战略和管理上进行了指导研究方法,即政府主导的识别关键风险,政府和私人机构/企业共同应对风险。到2018年底,将成立网络安全和基础设施安全局(CISA),以应对国家关键基础设施面临的重大风险。在风险识别和应对方面,通过了多项国家安全演练和考验。比如2020年的梅花岛演习,演习参与者需要在激烈的模拟网络攻击下努力恢复电力供应。此外,此前美国的Cyber??Strom(网络风暴)等演习也将关键基础设施作为重要测试对象。拜登政府继续相应的“应对关键基础设施系统性风险”举措,并于4月20日敲定美国电网安全百日计划的细节,鼓励美国电力公司应对日益增多的网络攻击,在未来100天内加强针对黑客的网络安全保护,这是美国应对SolarWinds事件带来的关键基础设施和机构风险的重要举措之一。这意味着民营企业将在风险应对中发挥更大作用。无论是电网基础设施还是供应链安全,都是全球政府乃至企业面临的重要安全问题。美国的监管措施具有当前的现实意义。此外,这也是美国对SolarWinds供应链攻击事件的回应,让美国得以展示拜登政府在网络空间的立场,发出重视网络安全的明确信号。二、政权交接下的安全机构和人事变动4月11日,拜登政府签署了1.9万亿美元的美国救助计划。其中,技术现代化基金将使用10亿美元进行战略投资,以加强联邦政府的网络安全态势。美国管理和预算办公室可能会获得2亿美元的赠款,以加快招聘信息安全官员的速度。CISA(网络安全和基础设施安全局)可以获得6.9亿美元,用于改善整个联邦网络的网络安全并试点“新的共享安全和云计算服务”。很大。此外,由于网络安全发展较早,美国在网络概念、网络架构和建设方面也处于领先地位。可以说,作为世界上信息网络最复杂的国家之一,美国在防护、检测、响应、恢复等方面有着完整的组织架构。详情请参考《揭秘美国网络安全体系架构》。如今随着政权更迭,美国安全机构和人员的变动也备受关注。美国主要网络空间组织架构美国前国务卿希拉里·克林顿任内设立的“网络事务协调员办公室”(S/CCI)被特朗普国务卿雷克斯·蒂勒森关闭2017年停办,2018年按《网络外交法案》重新开放网信办的成立,其实是国务院网信办的重启尝试,但后续一直没有什么动静。至2021年1月7日,美国国务院新设网络空间安全与新兴技术局(CSET),重点应对美国网络空间与新兴技术安全的外交工作。拜登政府上台前,两党盟友联合要求恢复“互联网沙皇”的提议也在《2021年国防授权法案》中得以实现。在网络安全日光浴委员会的提议下,该法案规定白宫将增加一个新的国家网络。帮助协调国家网络安全战略的安全主管职位,这也将为美国联邦网络安全提供强大的中央协调力量。随着白宫副国家安全顾问马特·波廷格辞职,曾担任国家安全局“打击俄罗斯对美国选举的威胁”工作组负责人兼首席风险官的安妮·纽伯格被任命为副国家安全顾问。.此外,前国土安全部官员RobSilvers可能会领导CISA,负责选举安全和阻止对政府网络的黑客威胁,CaitlinDurkovich将担任恢复和响应高级主管。随着权力交接的逐步完成,顶尖网络安全人才的空缺也在快速填补。拜登执政期间,预计美国将在网络安全领域有更大胆的作为,争取更大的话语权。三、拜登政府的网络安全“外交”战略以上从核心网络安全利益到组织和人事变动,都是拜登政府时期美国内部的变化。在此期间,美国的“外交”战略也发生了一些调整。主要体现在对美国盟友实施“胡萝卜”战略,强调合作。对所谓“威胁美国安全”的国家实施“大棒”战略,在网络空间实施各类制裁,引导国际舆论。1.对于白宫和莫斯科之间的冲突,SolarWinds只是“闪光灯”。据俄罗斯副外长里亚布科夫介绍,“自2011年以来,俄罗斯经历了90多次各类制裁。”美国在制裁外国政府和企业方面似乎越来越“得心应手”。回到2020年威胁最广泛的供应链攻击事件——SolarWinds事件,攻击的归因引发了无数猜测,从将其归咎于美国境外的黑客组织,到揭露攻击起源于美国,并向美国网络协调小组(UCG)指出攻击是针对一个俄罗斯国家支持的黑客组织。2021年4月15日,归咎于该事件的“第二只靴子”落下,美国正式指责俄罗斯政府,称以俄罗斯外国情报局(SVR)为首的CozyBearAPT组织是始作俑者。在公开指控的同时,美国还对多家俄罗斯科技公司实施制裁,并驱逐了10名俄罗斯外交官。美方制裁名单及公布的制裁理由如下:作为回应,4月21日,俄罗斯外交部宣布驱逐10名美国驻俄外交官,并要求其于24日24:00前离境。5月21日,莫斯科方面发声称,俄罗斯将采取进一步反制措施“回应美国对俄非法制裁”。不过从目前的情况来看,俄罗斯更多的是在回应美国的举动,预计暂时不会采取太大的反制措施。2、《2021年战略竞争法案》,对华战略的缩影除了对俄罗斯态度日趋强硬外,美国一直对我国保持“高度警惕”。4月21日,由美国参议院民主党主席鲍勃·梅嫩德斯和共和党参议员吉姆·里施共同起草的《2021年战略竞争法案》(2021年战略竞争法)获得美国参议院外交关系委员会的压倒性支持并提交提交参议院审议。作为两党都支持的法案,其目的是“对抗中国”。这是美国首个跨党派共同制定对华战略政策,动员外交、经济和战略手段对抗中国的重大法案。虽然该法案还需参众两院审议和表决,但从目前的支持情况来看,通过的可能性很大。对此,我国外交部4月22日对该法案表示强烈批评,称其“严重歪曲事实,颠倒黑白,鼓吹美国对中国展开全面战略竞争,粗暴干涉在中国内政。”然而,白宫却闭上了眼睛,视而不见。基于这份长达283页的《2021年战略竞争法案》,美国网络安全战略的方向日趋清晰,但执行情况和具体执行情况还需进一步观察。3、外交=威慑早在2020年初,拜登就在《外交》杂志上发表了一篇题为《为何美国必须再次发挥领导作用——拯救特朗普之后的美国外交政策》的文章,阐述了其外交政策的基本思路。首先,美国需要在外交上获得霸权和主导权,包括网络安全外交。其次,美国对外国威胁论的意识更强,经常强加主观判断在国家网络空间推广。最后,美国经常通过外交手段在网络空间寻求盟友和伙伴。迅速通过利益凝聚“盟友外交”,提升话语权。美国的网络安全外交基于控制、威慑、干预和合作四种模式,构成了美国的整体安全威慑能力。
