美國十分重視網絡安全領域軍民融合問題,將其上升到國家戰略高度,通過發布網絡安全戰略、強化網絡空間頂層領導和加強法律制度建設等,積極推進頂層謀劃。
1. 發布網絡安全戰略,上升為國家意志
近年來,美國政府和國防部十分重視網絡空間軍民一體化發展,相繼發布了一系列文件,將網絡空間軍民融合上升為國家戰略,進行統籌考慮。早在小布希時期,美國頒布了《網絡空間安全國家戰略》,明確要求由國土安全部、國防部等22個軍地部門共同負責國家關鍵信息基礎設施安全;構建由國防部、司法部、商務部等預警系統組成的國家網絡安全反應系統;加強執法、國安、國防等部門之間的協調,共同應對網絡攻擊威脅。2011年美國國防部發布《網絡空間行動戰略》,在五大戰略倡議中,第三大戰略倡議就是要求國防部與其他政府部門、私營企業共同合作,打造「政府一盤棋」的網絡空間安全戰略。2012年3月歐巴馬政府公布了《大數據研究和發展倡議》,確立了基於大數據的信息網絡安全戰略,其國家創新戰略、國家安全戰略、國家產業發展戰略以及國家信息網絡安全戰略都以大數據為重要依託,要求國防部、國防高級研究計劃局等6個政府部門和機構承擔相應任務,共同推動美國大數據技術發展。2015年4月,美國國防部新版《網絡空間戰略》再次強調,「國防部歷來從私人部門創新中獲益良多,它將繼續與私人部門展開緊密合作,藉助商業化助力國防部網絡安全新理念」。新版戰略跨越了傳統的「軍民兩分」界限,軍事力量大量湧入民用關鍵基礎設施,把私營機構運營的網絡基礎設施納入到國防部保護的範疇,同時也提出加強與政府各部門間以及公私機構間的網絡安全信息共享等措施。
2. 強化網絡空間頂層領導,構建軍地網絡國防統一體制
「9·11」事件後,美國已建立由總統關鍵基礎設施保護辦公室統籌協調,以國土安全部為中心,以國防部、商務部、行政管理和預算局等機構為補充的網絡信息安全組織體系,初步實現了軍地密切合作。歐巴馬上臺伊始就發布了《網絡空間評估政策》報告,要求加強網絡空間領域的頂層領導。2010年5月美國網絡司令部正式啟動,負責協調美軍不同軍種內部的網絡指揮部門。同時規定網絡司令部和國家安全局由一人領導,這種「雙帽」機制延續至今,既保障網絡司令部的網絡安全,又向其提供情報支持,還與國土安全部、司法部、聯邦調查局等部門開展了密切協作。與此同時,美國對軍事和民事之間的領導體制問題進行統籌協調,積極構建網絡國防的統一領導體制。在總統國家安全事務助理辦公室下設主管網絡安全的安全事務助理辦公室,辦公室主任為網絡事務協調官,負責在國家安全委員會體制下,協助總統協調統籌網絡安全事務。同時,將網絡國防劃分為三大領域:國土安全部負責國內網絡安全的防禦與應急反應、網絡犯罪和網絡恐怖主義等;國防部負責國外的軍事網絡作戰、防禦國家關鍵基礎設施的進攻性網絡作戰;國家安全局支援國內與國外兩方面網絡作戰的網絡空間情報作戰業務。這三大塊業務由總統統一領導,按照國家安全委員會領導體制對涉及網絡空間的重大戰略與政策問題進行決策和部署。
3. 加強法律制度建設,為融合發展提供法律保障
美國出臺的一系列網絡安全戰略,為網絡軍民融合發展提供了指導原則和遵循路徑。例如,2011年美國國務院發布的《網絡空間國際戰略》和國防部發布的《網絡空間行動戰略》,從宏觀視角對加強軍地協調、公私合作提出了總體規劃和戰略保障。在具體的法律法規方面,為實現軍地風險信息共享,眾議院一再推動《網絡情報共享與保護法案》的出臺;1993年美國頒布《國防授權法》,明確提出了軍事和民用工業基礎一體化建設的發展思路,推動了軍民兩用信息技術的研發;為健全完善信息技術軍民通用標準,美國積極推動技術和標準研發的《網絡安全研發法》的制定;在加強網絡基礎設施安全和網絡安全人才培養方面,美國不斷完善《國家網絡安全與關鍵基礎設施保護法案》和《網絡安全勞動力框架》等相關法律規則。隨著大數據時代的到來,為適應信息技術帶來的新變革,美國對網絡安全和軍民融合的相關戰略和政策文件做出了相應的調整。例如,歐巴馬政府公布了《大數據研究和發展倡議》和《美國國防部雲計算戰略》等,對於大數據條件下的網絡空間軍民融合起到了指導作用。
美國政府高度重視私人部門在網絡安全中的作用,並把強勁的公私合作關係當作美國網絡空間戰略的一項根本支柱。其網絡安全產業實行的是公私合作、軍民共建共享,這降低了公共成本、提高了運行效率,有助於美軍建立和維持制網權。
1. 積極拓展與私營企業的合作,大力加強網絡基礎設施建設
由於美國私營企業掌控大部分網絡基礎設施,美軍事行動對這些企業有很大依賴性,再加上網絡空間的非對稱性特點,美國軍方無法依靠自身實力對網絡實現絕對控制。因此,私營企業在美國網絡基礎設施建設中的作用舉足輕重。美積極拓展與私營企業的合作,主要體現在:一方面,軍民共建信息基礎設施。美國依託國家信息基礎設施,採用租用地方網絡和自建軍用網絡相結合的方式,構建國防信息基礎設施,軍民共同打造堅固的網絡空間,支撐國家和軍隊發展需求。從1978年到1994年美國建成了由24顆衛星構成的GPS導航信息系統。該系統在優先為軍隊的艦艇、飛機等武器平臺提供導航定位信息服務,協助武器系統實現信息化條件下的精確打擊的同時,也為美國乃至全世界提供民用信息導航服務。2001 年9月,美國開始建設軍民兼容的第二代國防信息基礎設施——全球信息柵格。該信息基礎設施體系由軍隊自建和租借地方的各類通信與計算機系統組成,可為聯合部隊、盟國和非國防部用戶同時提供系統接口。全球信息柵格80%採用的是民用技術和產品,商業公司承擔了95%以上的傳輸業務。另一方面,多數網絡安全防務和網絡裝備技術研發由私人企業承擔。這些私人企業既包括洛克希德·馬丁和雷神等傳統軍工企業,還包括賽克鐵門和邁克菲等專業的網絡公司,以及IBM、惠普、微軟等信息產業巨頭。IBM公司為美空軍構建「雲端計算機網絡系統」,利用雲計算技術對美空軍9個指揮中心和100座軍事基地網絡基礎設施進行整合;洛克希德·馬丁公司聯合其他分包商,為美國陸軍提供地面網絡通信和傳輸系統;惠普聯合企業網絡合作夥伴(包括AT&T、IBM、洛克希德·馬丁、諾斯羅普·格魯曼等公司)為美國海軍主幹網絡安全和運行提供保障;國防高級研究計劃局將包括「X計劃」在內的多個網絡領域研發合同授予雷神公司推動和負責。
2. 構建網絡信息共享機制,實現軍民信息和資源共享
網絡安全軍民融合的關鍵是信息資源的共享。網絡安全發展態勢常常瞬息萬變,信息監測、威脅預警、態勢感知都需要實時有效的共享和交換機制,而軍事和民用信息資源的互通共用能夠更有效地推進網絡安全的全維度、全天候防禦。由此,美國軍方十分重視網際網路企業擁有巨大的技術優勢,這種優勢與美國軍事情報機構的需求相互結合,成為美軍建立和維持制網權的主要依託。2015年歐巴馬籤署一份總統令,計劃新建信息共享與分析組織,以實施私營企業和國家部門間的分類式信息共享。之後,美國成立了網絡威脅情報整合中心,實現國家情報總監、國土安全部、國防部和司法部之間的信息分享。當前,美國軍方授權一些重要的信息產業公司可以接觸軍方機密信息,這些公司也被納入軍事情報系統。美國國家安全局和軍方通過法律手段、秘密監控和行政措施,使得美國的一些網際網路和電信企業成為情報合作的夥伴。國家安全局通過在這些企業的伺服器中增設過濾器、在軟體中預留後門,以及擁有破解加密信息的密鑰來掌控網絡空間流動的信息。例如,微軟、谷歌、麥克菲等大型網際網路技術公司根據承包合同要求,在公開其新發現的系統漏洞之前事先通知美國國家安全局,從而使後者可以利用這種優先知情權實施網絡入侵。美國軍方還通過加強與科研機構的合作來促進自身網絡行動能力的提高。2013年美國國家安全局和北卡羅來納州立大學合作建設分析科學實驗室(LAS) 。該實驗室主要通過匯集來自政府、學界和企業界的先進理念來對大數據進行分析。安全局的研究主任將擔任領導來組織實驗室的項目。美國國防部希望通過合作來解決外國信號情報和信息安全方面的挑戰,從而使美國在情報處理領域更有優勢。
3. 軍民共建「網絡靶場」,利用軍演提升整體網絡安全能力
「國家網絡靶場」由國防高級研究計劃局應國會要求組建,為美國防部模擬真實的網絡攻防作戰提供虛擬環境。該項目主要由私營企業負責建造和提供技術保障,軍方投資並應用。第一階段的概念初步設計由BAE系統、通用動力、諾斯羅普·格魯曼、科學應用國際等7家公司承建,第二階段建立並交付靶場原型機,分別由霍普金斯大學應用物理實驗室和洛克希德·馬丁公司仿真訓練與支持分部負責。國家網絡靶場是一種測試軍民涉密與非涉密網絡項目的國家資源,具有三個軍民共用的特點:在行業領域,國家網絡靶場涵蓋政府、國防、金融、電信、工業等領域,以滿足其網絡空間基礎設施安全體系建設與科研試驗需求;在任務領域,國家網絡靶場通過頂層設計與體系建設,完成了軍隊和民用網絡空間安全體系規劃、測試評估、人才教育培養等任務;在應用領域,國家網絡靶場可為軍民各類用戶提供一系列網絡化聯合應用,包括支撐國家基礎設施安全防護體系建設、自主可控軟硬體安全性測試等。另外,美國十分重視網絡演習中軍民聯合協作、多種力量運用等。例如,「網絡風暴」演習是美國國土安全部每兩年組織一次的跨部門演習,每次演習,國防部、國家安全局等都作為核心部門參加,思科、微軟等數十家企業也積極參與。此外,國防部與國土安全部、聯邦調查局以及一些私營公司還組織開展了「網絡衛士」、「網絡拂曉」等演習。通過這些軍演,美國國防部檢驗了網絡軍民配合的實戰效果,提高了軍地在信息共享、態勢感知程度和決策過程等方面的磨合。
與傳統陸海空天作戰領域不同,網路作戰力量主體在民間,網絡技術人才也主要來自民間。因此,美國通過地方招募、軍地培養等方式,加強網絡空間的力量建設及網絡作戰資源的軍事集成。
1. 公開招募地方網絡專業人才,入列美國網軍隊伍
美國為了鼓勵和吸引民間安全人才參與國家網絡安全建設,專門撥出經費進行招募,將世界頂級電腦專家和「黑客」充實到軍隊,提升網絡攻防能力。2002年,美國招募頂級電腦專家和黑客組建了世界上第一支「黑客部隊」——「網絡戰聯合功能司令部」。美軍網絡司令部組建後,各軍種也成立相應的機構並招募了大量民間人員,如美國空軍網絡司令部第24航空隊由3339名軍人、2975名文職人員、1364名承包商僱員等組成。美國海軍網絡司令部中20%為非軍人。2012年時任美國國家安全局局長和美軍網絡司令部司令基斯·亞歷山大參加了世界黑客大會DEFCON並做了主題演講,號召民間黑客和安全公司與政府合作,之後美國國家安全局開始藉助RSA、BlackHat和DEFCON等國際性安全會議大肆招募安全人才。美國防部還推出網絡快速追蹤計劃,以籤訂商業合同的方式,讓網絡攻防技能出色的小企業和個人參與短期項目,從而將民間網絡力量,特別是學生電腦奇才納入網絡人才隊伍。2015年4月,美國防部表示,正在尋找新的途徑,吸引技術人才到軍隊和國防部工作。這些途徑包括在加利福尼亞矽谷等地進行招聘,以加強國民警衛隊和預備役網絡力量等。另外,美國軍事安全機構與網絡安全公司等私人部門存在著公開、頻繁和暢通的人員流動,這種「旋轉門」機制把公共部門的網絡安全需求與私人部門的人力資源優勢巧妙結合起來,成為美軍網絡人才重要來源。
2. 實施精英人才培養戰略,軍地共同培養網絡人才
美國在制定相應網絡安全戰略的同時,也制定並實施了全面的網絡安全人才尤其是精英人才的培養戰略,從2004年開始,美國國土安全部就與美國國安局(NSA)的「信息保障司」(IAD)合作實施了「國家學術精英中心」計劃 。2011年9月,美國土安全部和人力資源辦公室牽頭提出《網絡安全人才隊伍框架(草案)》,明確了網絡安全專業領域的定義、任務及人員應具備的「知識、技能、能力」,對開展網絡安全專業學歷教育、職業培訓和專業化人才隊伍建設起到了重要的指導作用。2014 年美國啟動「國防部長公司研究員計劃」, 將15到20名國防部負責網絡戰的軍官安排到科技公司工作一年,然後回到國防部工作,以提升軍隊網絡能力。2015年4月,美國國防部將該計劃培訓時間的延長一年,變為兩年制,一年在地方網絡公司培訓,一年在軍隊實習,通過軍民合作,共同培養全面的網絡戰人才。美國還積極加強軍民院校交流合作。美國國防部與國內近2000 所高等院校籤訂有軍事科研合同,地方院校不僅承擔了美軍 60% 的基礎研究項目和部分信息技術開發項目,還為美軍培養儲備了大批網絡安全和信息技術人才。另外,從 2012 年起,美國防部採取獎學金資助的方式,將全美 145 所高校納入到「網絡戰士」培養體系。
可以看出,美國網絡安全領域軍民融合是可供我們參考的典型案例,其統一的戰略部署、完整的體制機制、成熟的公私合作以及人才培養模式值得我們學習和借鑑,這有助於我國加速推進網絡安全和信息化軍民融合深度發展。(本文刊登於《中國信息安全》2016年第8期)