摘　要

　　拜登政府上任以來將網絡安全議題列為優(yōu)先事項，從評估威脅、界定利益和塑造對手出發(fā)統(tǒng)籌網絡安全工作，將布局關鍵基礎設施保護、供應鏈安全以及新技術發(fā)展作為治網重點，并加強部門協(xié)調、公私合作以及國際協(xié)同打造網絡空間“全政府”“全國家”“全系統(tǒng)”模式，拜登政府的網絡空間戰(zhàn)略初具雛形。與特朗普政府類似，拜登政府網絡安全舉措深受“深層國家”部門影響，從“大國競爭”角度塑造網絡空間，頻繁使用“點名和羞辱” 以及制裁舉措，凸顯安全化與地緣政治特性。

　　當前，美國總統(tǒng)拜登上任已半年有余，在網絡議題上積極開展系列舉措，調人事，補“漏洞”，組聯(lián)盟，實現(xiàn)從上任之初由網絡安全事件牽引的“應急式”被動反應轉變?yōu)橹攸c突出、多措并舉的主動作為，具有拜登特色的網絡安全戰(zhàn)略正在成形。

　　01

　　威脅認知、利益界定與對手塑造

　　在國際政治領域，評估威脅、界定利益并塑造對手，進而形成共同的安全環(huán)境的感知， 是集合資源、結成聯(lián)盟、加強協(xié)作的必要舉措。拜登上任半年內，“太陽風”（Solarwinds）、微軟 Exchange 服務器、科洛尼爾管道（Colonial Pipeline）以及軟件商卡西亞等網絡攻擊事件接踵而至，繼斯諾登事件后網絡安全議題在美國內引發(fā)新一輪高關注度，即使是分歧明顯的國會兩黨也在該議題上高度一致，密集推進多部涉網法案。美國內各方在網絡安全議題上空前的“同仇敵愾”必然影響拜登的政策舉措，可以說拜登從上任第一天起就面臨要求“重振國家網絡工作”的輿論壓力，當然也為其評估威脅、確定利益和塑造對手，強化政策合法性提供了空間。

　　一是評估網絡空間威脅為“即刻且危險”。一改特朗普時期對于網絡安全的“避而不談”，拜登頻繁強調美國所面臨的網絡空間威脅， 從競選期間所營造的網絡攻擊動搖民主體制， 到當選后強調網絡安全對于國家安全的威脅， 并發(fā)表“網絡攻擊將引發(fā)大國戰(zhàn)爭”“網絡安全是國家安全核心挑戰(zhàn)”等論調，塑造網絡空間威脅為“即刻且危險”，并輔以政策上的確認。2021 年 3 月公布的《臨時國家安全戰(zhàn)略指南》（Interim National Security Strategic Guidance）明確表示“堅持網絡安全第一要務，提升網絡安全在政府的重要性”。2021 年 5 月公布的《改善國家網絡安全行政令》聲稱“網絡安全為聯(lián)邦事務優(yōu)先項”“保護網絡安全是國家和經濟安全的首要任務和必要條件”。拜登在半年內即完成了網絡議題相關責任人任命，主要選擇經驗豐富的官員和精英管網治網，并采納“網絡空間日光浴委員會”建議創(chuàng)設國家網絡總監(jiān)一職，任命前國安局副局長克里斯·英格利斯（Chris Inglis）擔任。外界評價拜登上任半年內在網絡議題上舉措之多、速度之快遠勝過前總統(tǒng)的四年，網絡安全確已成為拜登政府議事議程的重點。

　　二是界定網絡空間核心利益為“應對挑戰(zhàn)” 和“恢復優(yōu)勢”。正如 2021 年 3 月拜登政府公布的《臨時國家安全戰(zhàn)略指南》中明確表示美國國家安全戰(zhàn)略目標的實現(xiàn)“取決于一個核心戰(zhàn)略主張：美國必須恢復持久優(yōu)勢以便能夠基于強大實力迎接當前的挑戰(zhàn)”，應對挑戰(zhàn)和重建優(yōu)勢地位也成為拜登政府在網絡空間所界定的核心利益， 一方面全力維護美國的網絡安全，公開強調針對美關鍵基礎設施的網絡攻擊、擾亂美選舉安全的信息行動以及供應鏈攻擊等將損害美國核心利益，意圖為網絡空間行為“劃紅線”；另一方面重建并維持美國的技術優(yōu)勢，特別是在以 5G、量子計算、人工智能等為代表的“技術革命”中保持領先地位，確保技術治理反映所謂民主國家的利益，為開展網絡空間大國競爭“劃重點”。

　　三是從“大國競爭”的高度塑造網絡空間主要對手。作為老牌的政客，拜登深諳地緣政治之道， 對如何塑造對手熟稔于心，網絡空間的競爭， 無論是《臨時國家安全戰(zhàn)略指南》還是各類公開演講，拜登政府均將大國戰(zhàn)略競爭作為國內外政策制定的主要背景和出發(fā)點，渲染美國所面臨的網絡安全威脅，以此調整前任政府的戰(zhàn)略部署，包括從阿富汗撤軍，以集中主要力量與中國、俄羅斯展開競爭。服務于現(xiàn)實國際關系中將中國塑造為“最大地緣政治考驗”和“最有力的競爭對手”的界定，拜登政府將中國塑造為網絡空間首要對手，2021 年《美國情報界年度威脅評估》報告將中國列在威脅清單的首位即是這類認知的典型體現(xiàn)，特別是中國在新興技術領域不斷取得的突出成果構成了對美國全球地位的嚴重威脅。因此，如何在網絡虛擬空間塑造對手，集國家之力在新技術治理、國際網絡規(guī)則等方面應對對手成為拜登政府執(zhí)政的重要考慮。2021 年 7 月，拜登在參觀國家情報總監(jiān)辦公室時強調“嚴重的網絡攻擊事件可能引發(fā)大國間戰(zhàn)爭”，明確將網絡安全與大國競爭掛鉤。美國《國家利益》雜志也跟風指出， 當代冷戰(zhàn)正在太空、網絡和電子領域展開。

　　0２

　　網絡安全政策重點

　　一系列網絡安全事件以及競選承諾牽引著拜登執(zhí)政初期的治網重點，主要集中于保護關鍵基礎設施、確保供應鏈安全以及布局新技術發(fā)展。

　　2.1 　保護關鍵基礎設施是重中之重

　　由于新冠疫情的影響，針對關鍵基礎設施的供應鏈攻擊、勒索軟件攻擊在拜登上臺之初輪番上演，從“太陽風”到科洛尼爾管道，再到肉類生產商 JBS，相繼遭到嚴重網絡攻擊，讓美國政府和民眾意識到針對關鍵基礎設施的網絡攻擊可以帶來直接和嚴重的后果，如何應對關鍵基礎設施安全問題成為拜登政府的“頭等大事”。拜登在上任的頭 100 天內即開展了對“太陽風”網絡攻擊事件的調查、啟動“電網網絡安全 100 天試點計劃”并籌劃推廣至其他能源部門，開啟了政府部門與關鍵基礎設施運營者的合作新路徑。2021 年 5 月發(fā)布的《改善國家網絡安全行政令》，對聯(lián)邦關鍵信息系統(tǒng)保護、威脅信息共享、加強軟件供應鏈安全等問題進行了整體部署 ，提出了改進聯(lián)邦政府事件響應和應對機制、完善網絡安全事件日志、加強云安全管理、強化“零信任架構”等具體舉措，成為拜登政府保護關鍵基礎設施的“總綱”。各聯(lián)邦部門相繼出臺資金、技術等支持來完成行政令提出的要求，如白宮在“美國就業(yè)計劃”“基礎設施計劃”中均撥付相關資金完善關鍵基礎設施網絡安全，美國國家標準與技術研究院（NIST） 發(fā)布了《關鍵軟件定義規(guī)范》回應行政令提出的界定“關鍵軟件”的要求。7 月，拜登政府發(fā)布《改善關鍵基礎設施控制系統(tǒng)網絡安全備忘錄》，提出建立“工業(yè)控制系統(tǒng)網絡安全倡議”， 制定“關鍵基礎設施的網絡安全績效目標”等要求，進一步促進關鍵基礎設施保護的細則落地?？梢哉f，保護關鍵基礎設施的網絡安全成為拜登政府施政網絡空間的首要議題，這也促成拜登在當選后與普京的首次會晤中即提交禁止網絡攻擊的 16 個關鍵基礎設施領域的清單， 明示美國在網絡空間的核心利益。

　　2.2　 重建“以美國為中心”的全球供應鏈體系

　　拜登將改善供應鏈安全看作尋求兩黨合作共識的一項重要議題，持續(xù)從頂層設計層面加碼、強化供應鏈安全。2021 年 2 月簽署《確保供應鏈安全行政令》，提出供應鏈風險審查、產業(yè)供應鏈評估等建議，具體要求對半導體芯片、電動汽車大容量電池、稀土礦產和藥品四類產品的供應鏈產品展開為期 100 天的審查，并要求在一年內完成對美國國防、公共衛(wèi)生、通信科技、交通、能源和食品等六大部門的生產供應鏈進行風險評估，以及與同盟國或地區(qū)展開合作等措施。同年 5 月，宣布將“保護信息通信技術服務供應鏈安全的國家緊急狀態(tài)”延續(xù)一年，維持總統(tǒng)對于特定國家、機構和個人進行經濟制裁的權力。同年 8 月，拜登在會見企業(yè)時宣布一項新的公私合作計劃，要求 NIST 與業(yè)界和其他利益相關方合作，開發(fā)一個新的框架， 以“提高技術供應鏈的安全性和完整性”。除國內舉措外，拜登政府還積極改善美嚴重依賴外國供應商的現(xiàn)狀，在同年 6 月簽署《關于保護美國人的敏感數(shù)據(jù)不受外國敵對勢力侵害的行政令》，要求采取基于標準和證據(jù)的措施來控制外國信息和通信技術。此外，拜登政府還進一步擴大美國外國投資委員會的權力和編制， 與歐盟成立貿易和科技委員會，并強化與日本、澳大利亞、印度四國“安全對話”的投資審查聯(lián)動，推動美國外國投資審查多邊化。

　　2.3　 布局新技術發(fā)展實現(xiàn)美國“代際領先”

　　拜登政府將美國在技術發(fā)展及其治理領域方面的世界領先地位視為重回繁榮的支撐。對此，拜登上臺后即將科學技術政策辦公室（OSTP） 提升為內閣部門，在國家安全委員會中設置負責國家網絡和新興技術的國家安全副顧問，兩項設置在美國歷史上均屬首次。其次，拜登政府大幅增加對于科學技術的預算投入。拜登多次表示當前美國政府在科學技術上的投入（占國內生產總值的 0.7%）遠遠低于 20 世紀 60 年代（占比 2%），為此，拜登上臺后即推出了 2.3萬億美元的基礎設施計劃，其中 1000 億美元用于建設遍布全國的高速寬帶網絡，1800 億美元用于“未來的研發(fā)和產業(yè)”。在這場技術布局中， 人工智能、量子計算等下一代網絡技術成為投資重點。在人工智能方面，美國人工智能國家安全委員會于2021 年3 月1 日發(fā)布報告，提出了“引進技術人才”“加強技術保護”“推進技術創(chuàng)新” 等相關措施，并要求美國必須領先對手“至少兩代”。拜登政府在 2021 年 6 月發(fā)起一項倡議， 要求向人工智能研究人員提供更多的政府數(shù)據(jù)， 以鞏固美國在該關鍵新技術的前沿地位。在量子計算方面，拜登政府延續(xù)特朗普 2018 年底簽署的《國家量子倡議法案》，在開辟“量子互聯(lián)網”上繼續(xù)增加聯(lián)邦投資。

　　0３

　　網絡安全政策的核心支柱

　　拜登極力帶領國家恢復某種“常態(tài)”感， 在網絡空間亦是，力圖修復美國歷屆總統(tǒng)在網絡空間業(yè)已形成的支柱，即加強部門間協(xié)調的 “全政府”模式，強化公私合作的“全國家”模式，加強國際合作的“全系統(tǒng)”模式。

　　3.1　 打造網絡空間“全政府”模式

　　“全政府”模式原是一種節(jié)約成本的公共政策理念，即鼓勵不同部門整合資源，實現(xiàn)最大化利用。由于網絡空間議題復雜，相互融合度高等特征，涉網職能部門存在職能交叉和效率低下的特點，為協(xié)調各部門形成合力，拜登政府全力推進“全政府”模式，集中體現(xiàn)在網絡安全防護和對外協(xié)調行動方面。

　　在網絡安全防護方面，2018 年成立的網絡安全與關鍵基礎設施安全局（CISA）在聯(lián)合各部門加強網絡態(tài)勢感知、威脅情報共享等方面的總體協(xié)調作用進一步強化，成為拜登政府打造網絡安全“全政府”防護的支點。CISA 目前已成為國土安全部行使網絡安全職能的主要機構，在《改善國家網絡安全行政令》中也主導了絕大部分的保障任務，包括在新設立的網絡安全審查委員會中擔任總協(xié)調的角色，聯(lián)合國防部、司法部、國家安全局、聯(lián)邦調查局以及私營部門評估重大網絡事件，審查各機構的安全響應計劃。美國政府也給予 CISA 預算和機制上的保障，在 2021 年 3 月通過的 1.9 萬億美元的冠狀病毒救援計劃中，6.5 億美元用于 CISA。

　　在對外協(xié)調行動方面，拜登政府極力打造形成“全政府”的對華遏制局面，相關涉網部門遏華動作頻頻，如美貿易代表辦公室將中國列入“優(yōu)先觀察名單”，指責中國知識產權保護環(huán)境；美外國投資委員會暫停中國投資者對韓國芯片廠商美格納半導體的收購，阻止荷蘭對華出口光刻機；美商務部產業(yè)安全局持續(xù)更新《出口管制條例》，加強對華新興技術領域出口和許可證的管制；美聯(lián)邦通信委員會耗資 19 億美元為美國電信運營商剔除華為和中興提供設備補償款；CISA、FBI、NSA 等多部門聯(lián)合指責所謂中國網絡威脅活動。可以說在打壓對手國家議題上，形成獨特的美式網絡空間“舉國體制”。

　　3.2　 打造網絡空間“全國家”模式

　　一直以來，美政府均遵循“大部分關鍵基礎設施均由私營部門擁有和運營，聯(lián)邦政府無法單獨應對網絡安全挑戰(zhàn)”的邏輯，尋求聯(lián)合私營部門的技術和資金支持來共同應對網絡威脅，打造網絡空間“全國家”模式。拜登利用民主黨與私營企業(yè)天然親近的優(yōu)勢，一上臺就密集向私營企業(yè)特別是科技巨頭拋出橄欖枝， 其中既有說服合作的軟性舉措，同時并未放棄強制合作的法律要求。

　　拜登政府高官在多個場合強調私營企業(yè)在網絡安全工作中的重要性。2021 年 5 月，白宮網絡安全顧問安妮·紐伯格在 RSA 大會上表示政府和私營企業(yè)間的伙伴關系對保護網絡空間的國家安全至關重要，并在 6 月初一封致企業(yè)高管和商界領袖的公開信中，敦促各組織采取行動防范勒索軟件。8 月初，CISA 局長珍·伊斯特利在美國計算機安全會議黑帽大會上強調， 美國將加強公私網絡安全合作，包括強化關鍵基礎設施保護，加強威脅情報共享，重塑美國公私聯(lián)盟。8 月底，拜登召集蘋果、谷歌、微軟等 20 余家科技企業(yè)、能源部門、教育機構以及保險行業(yè)負責人開會，在這場被外界稱作“公私聯(lián)合行動倡議”的高級別會議上，拜登意在聯(lián)合私營部門共同推動網絡安全領域基礎設施建設、應對勒索軟件攻擊、強化網絡安全標準、培養(yǎng)網絡安全人才等議題，并成功得到幾大科技巨頭的回應和支持。

　　口頭號召外，拜登政府時期也積極采取經濟激勵舉措，如在《改善國家網絡安全行政令》中提出利用“采購權”來改善聯(lián)邦政府與私營部門合同條款中關于信息共享的問題。但隨著美國遭遇越來越多的網絡攻擊后，美國政府開始改變放任企業(yè)完全自愿的原則，逐步采取一些法律強制舉措，如在 2021 財年國防授權法案中，授予 CISA 針對互聯(lián)網服務提供商的傳訊權， 可以強制要求互聯(lián)網服務提供商交出某些用戶信息，以識別潛在的攻擊和目標組織 。在“電網百日試點計劃”《改善關鍵基礎設施控制系統(tǒng)網絡安全備忘錄》以及參眾兩院正在制定的“數(shù)據(jù)泄露報告法案”中均提出了企業(yè)向政府報告網絡安全事件的強制性要求。

　　在機制建設方面，CISA 參照“網絡空間日光浴委員會”建議仿照眾議院和參議院的國土安全委員會，在 2021 年 8 月初宣布成立“聯(lián)合網絡防御協(xié)作” 機制（Joint Cyber Defense Collaborative，JCDC），致力于加強政府與私營部門之間的防御行動和信息共享。該機制目前包括聯(lián)邦調查局、國防部、司法部、國家安全局等政府部門，以及亞馬遜云服務（AWS）、AT&T、谷歌云（Google Cloud）、微軟、威瑞森和火眼等私營企業(yè)。

　　3.3 　打造網絡空間“全系統(tǒng)”模式

　　“全系統(tǒng)”模式原指在扁平化、國際化的國際環(huán)境中，與“志同道合”者設定共同的國際議程來解決問題，被美國運用到網絡空間即體現(xiàn)為與“志同道合”者共建網絡規(guī)則，協(xié)調網絡行動。

　　在特朗普推行“美國優(yōu)先”政策損害盟友利益后， 拜登上臺后即將網絡議題作為拉攏盟友的抓手， 分層次、分批次推動網絡空間同盟復蘇，構建“小核心大外圍”的網絡同盟圈。

　　一方面，拜登仍將主要精力放在修復與核心盟友的合作上，以小多邊形式在聯(lián)合溯源、共同制定國際網絡規(guī)則上加強協(xié)同，包括將與日本在網絡空間的防務合作納入《新時代美日全球伙伴關系聯(lián)合聲明》，加強與韓國的網絡威脅信息共享，聯(lián)合澳大利亞網絡安全中心（ACSC） 和英國國家網絡安全中心（NCSC）發(fā)布網絡漏洞預警等。另一方面，拜登政府陸續(xù)“返群” 多邊國際網絡論壇，強化“群主”地位，包括推動七國集團（G7）發(fā)表公報，在打擊勒索軟件、供應鏈安全、互聯(lián)網開放等方面體現(xiàn)美國政府意志，重新引領二十國集團（G20）、亞太經合組織（APEC）等多邊機制中的網絡議題，推動北約發(fā)布“布魯塞爾宣言”，更新網絡防御政策， 動員北約各成員國承認美國所提倡的網絡行動規(guī)則。值得注意的是，拜登政府加快部署“四國集團”機制中的網絡安全議題，包括與日本、澳大利亞、印度聯(lián)合建立“關鍵與新興科技工作組”，協(xié)同在敏感科技等領域的供應鏈上提高透明度和合作等。

　　0４

　　網絡安全政策的基本特點

　　類似于其他政策領域，拜登政府網絡安全政策既受國內利益集團影響，也有基于成本收益的考慮，延續(xù)并強化已發(fā)揮較好效益的政策， 同時加快應用和部署網絡安全防護新理念，呈現(xiàn)出以下特點。

　　4.1 　網絡安全舉措凸顯“深層國家”部門影響

　　“深層國家”部門在美主要指的是國家安全權勢集團，由國家安全局、中央情報局、聯(lián)邦調查局等情報機構組成，具有明顯的技術官僚和職業(yè)化色彩，在特定議題上不太受總統(tǒng)左右 。特朗普時期，總統(tǒng)與情報機構之間齟齬不斷，在網絡安全議題方面尤為突出，因而形成“自下而上”的官僚體系，在一定程度上保障了網絡安全政策的連續(xù)性和專業(yè)性。拜登上臺后雖然緩和了與情報部門之間的關系，但是后者在塑造網絡空間主要對手，形塑拜登政府網絡空間戰(zhàn)略上仍然扮演突出作用，拜登政府任命的網絡主責官員也多來自情報、安全部門，如負責網絡安全事務的總統(tǒng)國家安全事務副助理安妮·紐伯格為國安局前網絡安全主管， CISA 局長珍·伊斯特利為美國前國家安全局反恐中心副主任，國家網絡總監(jiān)克里斯·英格利斯為前國家安全局副局長，網絡事務高級主管邁克爾·蘇梅爾為前國安局高級顧問。安全背景出身的官員對于網絡議題關鍵崗位的壟斷使得拜登對于網絡威脅的認知多傾向于追求“絕對安全”的零和思維觀。可以說，拜登將網絡議題與大國競爭相掛鉤正是“深層國家”部門推動的結果。

　　4.2 　頻繁使用“點名和羞辱”以及制裁舉措

　　為向外界清晰傳達美國將采取實際舉措應對惡意網絡行動的決心，美國近年來增加了對于網絡攻擊者的“ 點名和羞辱”（Naming and Shaming）以及司法和財政制裁舉措，其實質是向國際社會表明美國有能力確定誰應該對此負責，并將采取行動予以回應 。自 2014 年起訴五名中國軍人以來，美國已經發(fā)布了數(shù)十項關于網絡攻擊的指控，拜登政府上臺后更是積極聯(lián)合盟友進行集體歸因，以提高所謂指控的可信度。2021 年 4 月，拜登政府以干預 2020 年美國大選、發(fā)動“太陽風”網絡攻擊事件等為由， 宣布對俄羅斯實施制裁，并因此驅逐 10 名俄羅斯外交官。2021 年 7 月，美國聯(lián)合英國、日本、澳大利亞、新西蘭、加拿大及北約、歐盟指責所謂中國的網絡黑客活動，隨著拜登更大程度上依賴于盟友的聯(lián)合行動，集體歸因將逐漸常態(tài)化，這種背離事實依據(jù)的指控，加劇了網絡空間的“污名化”。

　　4.3　重視創(chuàng)新網絡安全實踐的標準牽引和技術防護

　　一方面是重視發(fā)揮標準和技術防護在提高各組織網絡安全風險管理實踐上的作用。拜登上臺后在網絡空間頒布的綱領性文件，如《改善國家網絡安全行政命令》《改善關鍵基礎設施控制系統(tǒng)網絡安全備忘錄》《關于保護美國人的敏感數(shù)據(jù)不受外國敵對勢力侵害的行政令》均將標準建設放在非常重要的位置，美國國家標準與技術研究院（NIST）的作用得到凸顯，不僅承擔制定關鍵基礎設施保護標準的重要職能，同時要求制定與中國在 ICT 技術方面競爭的標準。為此，美國政府開始籌劃提高 NIST 授權，如眾議院科學、空間和技術委員會提出兩黨立法《NIST 未來法案》（NIST for the Future Act），要求為 NIST 重新授權，更新 NIST 在制定網絡安全標準和最佳實踐方面的權力和責任， 包括在供應鏈管理、軟件開發(fā)、云計算和隱私保護等方面的職責。另一方面是大力推行“零信任”架構。《改善國家網絡安全行政命令》要求各聯(lián)邦機構制定零信任架構推動實現(xiàn)網絡安全現(xiàn)代化，對此，美國管理和預算辦公室（OMB）、網絡安全和基礎設施安全局（CISA）相繼發(fā)布《聯(lián)邦零信任戰(zhàn)略》和“零信任成熟度模型”， 幫助各機構更快轉向零信任狀態(tài)，體現(xiàn)美技術防護的新思維。

　　0５

　　結　語

　　無論是在英國國際戰(zhàn)略研究所的《網絡能力和國家權力凈評估》，還是國際電信聯(lián)盟公布的《全球網絡安全指數(shù)》，美國均名列第一， 這也說明拜登政府推行其網絡新政具有堅實的實力基礎，且相對于特朗普政府推行的“極限施壓”和“一刀切”的全面封鎖政策，拜登政府網絡空間舉措更顯章法且更精于設計，如對華推行“小院高墻”的精準打擊模式，從理論上更有利于美國網絡空間利益的實現(xiàn)和維護。但也應該看到，拜登治網仍然面臨國內兩黨對立、盟友不信任、私營部門存疑等因素的制約， 在網絡空間圍堵遏制對手國家追求絕對安全的路徑實難奏效，拜登政府的網絡空間戰(zhàn)略和政策將如何發(fā)展仍有待進一步觀察。