拜登政府的网络安全战略：胡萝卜与大棒

2021年1月20日，拜登宣誓就任美国第46任总统，开启了拜登政府的时代序幕。

随着拜登政府上台，穿插在SolarWinds供应链攻击事件处理行动前后，是美国网络安全策略的更迭，以及针对俄愈发强硬的态度。

一、美国核心网络安全利益仍是关键

参考《中美网络空间战略比较》一文，美国的核心网络安全利益可以分为4个方面：

(1) 以应对关键基础设施的系统性风险为主的美国本土安全

(2) 维护商业技术机密为核心的经济和数据安全。

(3) 提升网络攻防能力为核心的竞争优势

(4) 通过拓展网络空间行动自由提升美国的影响力

基于(1)(3)(4)美国核心网络安全利益要点，可以发现拜登政府的网络安全策略也是围绕于此，并且又有了进一步的延展。

1. 聚焦供应链安全，减少外国依赖

从SolarWinds事件到近期的Pulse Secure 0day漏洞利用，美国对于供应链安全的迫切性驱使美国在法规政策上向供应链安全进一步倾斜。

2月24日，拜登签署14017号「美国供应链」行政命令，指示相关部会就供应链安全采取相关行动，其中包括要求国防部与相关机构进行咨商，并于100天内提出报告，说明美国在「战略及关键物资供应链」所面临之风险，以及就如何因应风险提出政策建议。

此次审查的供应链包括了半导体芯片、电动汽车大容量电池、稀土矿产和药品，基本覆盖了IT、资源、医药等重要领域。一方面，矿产、材料等的供应链安全不仅关系着清洁能源技术的部署、IT高新产业的发展，同时也成为地缘经济竞争的重要砝码。美国聚焦于这些供应链的安全问题，是美国希望重构其国内市场，增强美国对中国技术脱钩的主动性。因此，虽然具体的政策及建议尚未出来，但可以预计美国将通过市场禁令、提高关税等手段提高中国在内的外国国家进入美国市场的门槛。

另一方面，美国也试图通过启动更多的资金和资源，进一步加强美国的半导体实力，从而在核心科技领域上阻止其他国家获得领先地位。如4月23日，两院议员提出了一项「无尽前沿法案」(Endless Frontier Act)，呼吁政府在5年内投入1000亿美元用于基础和先进技术研究和科学。

2. 强调私营企业在关键基础设施安全中的作用

随着经济社会发展愈发高度依赖于网络基础设施，美国在关键基础设施安全防护方面主要经历几个阶段。在管理体系上，从初期由国土安全部牵头设置传统关键基础风险管理体系，再到2018年先后发布《网络安全战略》、《国家网络战略》，从战略和管理研究方法上做出了指导，即政府主导识别关键风险，政府和私营机构/企业共同协作应对风险。再到2018年底，设立网络安全与基础设施安全局(CISA)，下辖解决国家关键基础设施重大风险。在风险识别和应对上，则通过多次国家安全演习及测试，如2020年的普拉姆岛演习中，演习参与者需要在猛烈的模拟网络攻势下努力恢复电力供应。还有美国历届的Cyber Strom(网络风暴)等演习活动也是将关键基础设施作为重要测试对象。

拜登政府延续了相应“应对关键基础设施的系统性风险”的举措，并且在4月20日，敲定了美国电网百日安全计划的最终细节，鼓励美国电力公司在网络攻击日益加剧的情况下，在未来100天内加强针对黑客的网络安全保护，这是美国就应对SolarWinds事件带来关键基础设施及机构风险的重要举措之一。这意味着，私营公司将在风险应对上发挥更大的作用。

不管是电网基础设施还是供应链安全，都是目前全球各政府甚至各个企业面临的重要安全问题。美国的法规举措有着当下现实意义。此外，这也是作为美国对SolarWinds供应链攻击事件的回应，使得美国在网络空间中展示拜登政府的表态以及传递出其对于网络安全重视的明显讯号。

二、政权过渡下的安全机构&人事变动

4月11日，拜登政府签署1.9万亿美元的美国救援计划。其中，技术现代化基金(Technology Modernization Fund)将使用10亿美元进行战略投资，加强联邦政府的网络安全态势。美国行政管理和预算局则可以收到拨款2亿美元用于信息安全官的快速招聘。CISA(网络安全与基础设施安全局)则可以收到6.9亿美元，以提高整个联邦网络的网络安全，并试行 "新的共享安全和云计算服务"

仅仅从网络安全预算上来看，美国的投入是巨额的。此外，由于网络安全发展较早，美国在网络概念和网络架构及建设上同样领先。可以说，作为拥有最复杂的信息网络的国家之一，美国在防护、检测、响应、恢复上都有着完整的组织架构，具体可以查看《揭秘美国网络安全体系架构》。如今，随着政权更迭，美国在安全机构和人事上的变动也引发关注。

美国主要网络空间组织架构

美国前国务卿希拉里任职期间设立的“网络事务协调员办公室”(S/CCI)于2017年被特朗普政府的国务卿RexTillerson关闭，后又于2018年依据《网络外交法案》重新设立网络空间和数字经济办公室，实际上是以此试图重启国务院网络空间办公室，但后续未有太大动静。直到2021年1月7日，美国国务院成立新的网络空间安全和新兴技术局(CSET)，其重点在于应对美国网络空间和新兴技术安全的外交工作。

而在拜登政府上台前就被两党盟友联合要求恢复“网络沙皇”的提议，也在《2021年国防授权法案》中得到了实现，在网络安全日光浴委员会的提议下，该法案规定白宫新增国家网络安全主管职位，以帮助协调国家网络安全战略，这也将为美国联邦网络安全提供一个强有力的中央协调力量。

伴随白宫国家安全副顾问马特·波廷格的辞职，曾担任美国国家安全局“打击俄罗斯对美国选举构成威胁的特别工作组”负责人和首席风险官的AnneNeuberger受到任命，担任国家安全副顾问。

此外，国土安全部前官员RobSilvers可能执掌CISA，负责选举安全和阻止黑客对政府网络的威胁，CaitlinDurkovich将担任恢复和响应部门的高级主管。

随着权力过渡的逐渐完成，顶级网络安全人才的空缺也被快速填补上。拜登政府期间，预计美国在网络安全空间将拥有更多大胆的动作以及试图索取更大的话语权。

三、拜登政府的网络安全“外交”策略

以上从核心网络安全利益到组织及人事的变动，都是拜登政府执政下，美国内部的变化。而这一期间，美国的“外交”策略也有一定调整。主要体现在，对美国盟友实行“胡萝卜”策略，强调合作。对所谓“威胁美国安全”的国家实行“大棒”策略，在网络空间上施以多种制裁手段与国际舆论引导。

1. 白宫与莫斯科的冲突，SolarWinds只是“引火线”

根据俄罗斯外交部副部长里亚布科夫表示，“自2011年以来，俄罗斯已经经历90多次各类制裁”。美国对于外国政府及企业的制裁似乎愈发“得心应手”。

回到2020年威胁最为广泛的供应链攻击——SolarWinds事件，该攻击归因曾引发无数猜测，从归因于美国境外黑客组织，到曝出攻击源于美国境内，再到美国网络统一协调小组(UCG)将此次攻击直指俄罗斯政府支持的黑客组织。2021年4月15日，事件归因的“第二只靴子”落下，美国正式指控俄罗斯政府，称由俄罗斯对外情报局(SVR)领导的Cozy Bear APT组织为始作俑者。伴随公开指控，是美国对多家俄罗斯技术公司的制裁行动，以及对10名俄罗斯外交人员的驱逐。

美国制裁名单及公布的制裁理由如下：

作为回应，4月21日，俄罗斯外交部宣布驱逐10名美国驻俄外交人员，并要求他们在5月21日24时前离境。来自莫斯科的声音表示，俄罗斯还将采取进一步反制措施，“回应美国对俄非法制裁”。不过从目前的局势来看，俄罗斯更多是回应美国的行动，预计暂时不会采取太大的反制动作。

2. 《2021年战略竞争法案》，对华战略缩影

除了对俄罗斯的态度愈发强硬，美国对于我国也一直保持“高度警惕”。4月21日，美国参议院民主党主席Bob Menendez和共和党参议员Jim Risch共同起草的《2021年战略竞争法案》(Strategic Competition Act of 2021)在美参议院外交关系委员会以获压倒性支持，提交参议院审议。作为两党都合力支持的法案，《2021年战略竞争法案》目的则是“对抗中国”。

这是美国第一份跨党派共同制订对华战略方针的重大法案，动员外交、经济和战略工具抗衡中国，被认为是美国两党在对华政策上一致走向加强对抗的里程碑式法案。

虽然该法案还需要在参众两院审议和表决，但从目前的支持情况来看，极有可能被通过。对此，我国外交部在4月22日对该法案表示强烈批评，指其「严重歪曲事实、颠倒黑白，大肆鼓吹美国开展全面对华战略竞争，粗暴干涉中国内政」。

然而，白宫闭上了眼睛，视而不见。基于这份长达283页的《2021年战略竞争法案》，美国网络安全战略方向愈发明朗，不过落实情况和具体实施还需要进一步观察。

3. 外交=威慑

早在2020 年初，拜登在《外交》杂志发表了题为《为何美国必须再次发挥领导作用——拯救特朗普之后的美国外交政策》的文章，阐述了其外交政策的基本思路。

• 首先，美国在外交方面，包括在网络安全外交上，需要获得霸权与主导优势。
• 其次，美国对于外国国家的威胁论有着更强烈的认知，并往往施加主观判断在国家网络空间大肆宣扬。
• 最后，美国在外交上往往寻求网络空间盟友和伙伴。通过利益迅速凝结“盟友外交”，增强其话语权。

美国的网络安全外交是基于控制、威慑、干涉和合作四种模式，形成美国的整体安全威慑能力。