美国十分重视网络安全领域军民融合问题,将其上升到国家战略高度,通过发布网络安全战略、强化网络空间顶层领导和加强法律制度建设等,积极推进顶层谋划。
近年来,美国政府和国防部十分重视网络空间军民一体化发展,相继发布了一系列文件,将网络空间军民融合上升为国家战略,进行统筹考虑。早在小布什时期,美国颁布了《网络空间安全国家战略》,明确要求由国土安全部、国防部等22个军地部门共同负责国家关键信息基础设施安全;构建由国防部、司法部、商务部等预警系统组成的国家网络安全反应系统;加强执法、国安、国防等部门之间的协调,共同应对网络攻击威胁。2011年美国国防部发布《网络空间行动战略》,在五大战略倡议中,第三大战略倡议就是要求国防部与其他政府部门、私营企业共同合作,打造“政府一盘棋”的网络空间安全战略。2012年3月奥巴马政府公布了《大数据研究和发展倡议》,确立了基于大数据的信息网络安全战略,其国家创新战略、国家安全战略、国家产业发展战略以及国家信息网络安全战略都以大数据为重要依托,要求国防部、国防高级研究计划局等6个政府部门和机构承担相应任务,共同推动美国大数据技术发展。2015年4月,美国国防部新版《网络空间战略》再次强调,“国防部历来从私人部门创新中获益良多,它将继续与私人部门展开紧密合作,借助商业化助力国防部网络安全新理念”。新版战略跨越了传统的“军民两分”界限,军事力量大量涌入民用关键基础设施,把私营机构运营的网络基础设施纳入到国防部保护的范畴,同时也提出加强与政府各部门间以及公私机构间的网络安全信息共享等措施。
“9·11”事件后,美国已建立由总统关键基础设施保护办公室统筹协调,以国土安全部为中心,以国防部、商务部、行政管理和预算局等机构为补充的网络信息安全组织体系,初步实现了军地密切合作。奥巴马上台伊始就发布了《网络空间评估政策》报告,要求加强网络空间领域的顶层领导。2010年5月美国网络司令部正式启动,负责协调美军不同军种内部的网络指挥部门。同时规定网络司令部和国家安全局由一人领导,这种“双帽”机制延续至今,既保障网络司令部的网络安全,又向其提供情报支持,还与国土安全部、司法部、联邦调查局等部门开展了密切协作。与此同时,美国对军事和民事之间的领导体制问题进行统筹协调,积极构建网络国防的统一领导体制。在总统国家安全事务助理办公室下设主管网络安全的安全事务助理办公室,办公室主任为网络事务协调官,负责在国家安全委员会体制下,协助总统协调统筹网络安全事务。同时,将网络国防划分为三大领域:国土安全部负责国内网络安全的防御与应急反应、网络犯罪和网络恐怖主义等;国防部负责国外的军事网络作战、防御国家关键基础设施的进攻性网络作战;国家安全局支援国内与国外两方面网络作战的网络空间情报作战业务。这三大块业务由总统统一领导,按照国家安全委员会领导体制对涉及网络空间的重大战略与政策问题进行决策和部署。
3. 加强法律制度建设,为融合发展提供法律保障
美国出台的一系列网络安全战略,为网络军民融合发展提供了指导原则和遵循路径。例如,2011年美国国务院发布的《网络空间国际战略》和国防部发布的《网络空间行动战略》,从宏观视角对加强军地协调、公私合作提出了总体规划和战略保障。在具体的法律法规方面,为实现军地风险信息共享,众议院一再推动《网络情报共享与保护法案》的出台;1993年美国颁布《国防授权法》,明确提出了军事和民用工业基础一体化建设的发展思路,推动了军民两用信息技术的研发;为健全完善信息技术军民通用标准,美国积极推动技术和标准研发的《网络安全研发法》的制定;在加强网络基础设施安全和网络安全人才培养方面,美国不断完善《国家网络安全与关键基础设施保护法案》和《网络安全劳动力框架》等相关法律规则。随着大数据时代的到来,为适应信息技术带来的新变革,美国对网络安全和军民融合的相关战略和政策文件做出了相应的调整。例如,奥巴马政府公布了《大数据研究和发展倡议》和《美国国防部云计算战略》等,对于大数据条件下的网络空间军民融合起到了指导作用。
美国政府高度重视私人部门在网络安全中的作用,并把强劲的公私合作关系当作美国网络空间战略的一项根本支柱。其网络安全产业实行的是公私合作、军民共建共享,这降低了公共成本、提高了运行效率,有助于美军建立和维持制网权。
由于美国私营企业掌控大部分网络基础设施,美军事行动对这些企业有很大依赖性,再加上网络空间的非对称性特点,美国军方无法依靠自身实力对网络实现绝对控制。因此,私营企业在美国网络基础设施建设中的作用举足轻重。美积极拓展与私营企业的合作,主要体现在:一方面,军民共建信息基础设施。美国依托国家信息基础设施,采用租用地方网络和自建军用网络相结合的方式,构建国防信息基础设施,军民共同打造坚固的网络空间,支撑国家和军队发展需求。从1978年到1994年美国建成了由24颗卫星构成的GPS导航信息系统。该系统在优先为军队的舰艇、飞机等武器平台提供导航定位信息服务,协助武器系统实现信息化条件下的精确打击的同时,也为美国乃至全世界提供民用信息导航服务。2001 年9月,美国开始建设军民兼容的第二代国防信息基础设施——全球信息栅格。该信息基础设施体系由军队自建和租借地方的各类通信与计算机系统组成,可为联合部队、盟国和非国防部用户同时提供系统接口。全球信息栅格80%采用的是民用技术和产品,商业公司承担了95%以上的传输业务。另一方面,多数网络安全防务和网络装备技术研发由私人企业承担。这些私人企业既包括洛克希德·马丁和雷神等传统军工企业,还包括赛克铁门和迈克菲等专业的网络公司,以及IBM、惠普、微软等信息产业巨头。IBM公司为美空军构建“云端计算机网络系统”,利用云计算技术对美空军9个指挥中心和100座军事基地网络基础设施进行整合;洛克希德·马丁公司联合其他分包商,为美国陆军提供地面网络通信和传输系统;惠普联合企业网络合作伙伴(包括AT&T、IBM、洛克希德·马丁、诺斯罗普·格鲁曼等公司)为美国海军主干网络安全和运行提供保障;国防高级研究计划局将包括“X计划”在内的多个网络领域研发合同授予雷神公司推动和负责。
网络安全军民融合的关键是信息资源的共享。网络安全发展态势常常瞬息万变,信息监测、威胁预警、态势感知都需要实时有效的共享和交换机制,而军事和民用信息资源的互通共用能够更有效地推进网络安全的全维度、全天候防御。由此,美国军方十分重视互联网企业拥有巨大的技术优势,这种优势与美国军事情报机构的需求相互结合,成为美军建立和维持制网权的主要依托。2015年奥巴马签署一份总统令,计划新建信息共享与分析组织,以实施私营企业和国家部门间的分类式信息共享。之后,美国成立了网络威胁情报整合中心,实现国家情报总监、国土安全部、国防部和司法部之间的信息分享。当前,美国军方授权一些重要的信息产业公司可以接触军方机密信息,这些公司也被纳入军事情报系统。美国国家安全局和军方通过法律手段、秘密监控和行政措施,使得美国的一些互联网和电信企业成为情报合作的伙伴。国家安全局通过在这些企业的服务器中增设过滤器、在软件中预留后门,以及拥有破解加密信息的密钥来掌控网络空间流动的信息。例如,微软、谷歌、麦克菲等大型互联网技术公司根据承包合同要求,在公开其新发现的系统漏洞之前事先通知美国国家安全局,从而使后者可以利用这种优先知情权实施网络入侵。美国军方还通过加强与科研机构的合作来促进自身网络行动能力的提高。2013年美国国家安全局和北卡罗来纳州立大学合作建设分析科学实验室(LAS) 。该实验室主要通过汇集来自政府、学界和企业界的先进理念来对大数据进行分析。安全局的研究主任将担任领导来组织实验室的项目。美国国防部希望通过合作来解决外国信号情报和信息安全方面的挑战,从而使美国在情报处理领域更有优势。
3. 军民共建“网络靶场”,利用军演提升整体网络安全能力
“国家网络靶场”由国防高级研究计划局应国会要求组建,为美国防部模拟真实的网络攻防作战提供虚拟环境。该项目主要由私营企业负责建造和提供技术保障,军方投资并应用。第一阶段的概念初步设计由BAE系统、通用动力、诺斯罗普·格鲁曼、科学应用国际等7家公司承建,第二阶段建立并交付靶场原型机,分别由霍普金斯大学应用物理实验室和洛克希德·马丁公司仿真训练与支持分部负责。国家网络靶场是一种测试军民涉密与非涉密网络项目的国家资源,具有三个军民共用的特点:在行业领域,国家网络靶场涵盖政府、国防、金融、电信、工业等领域,以满足其网络空间基础设施安全体系建设与科研试验需求;在任务领域,国家网络靶场通过顶层设计与体系建设,完成了军队和民用网络空间安全体系规划、测试评估、人才教育培养等任务;在应用领域,国家网络靶场可为军民各类用户提供一系列网络化联合应用,包括支撑国家基础设施安全防护体系建设、自主可控软硬件安全性测试等。另外,美国十分重视网络演习中军民联合协作、多种力量运用等。例如,“网络风暴”演习是美国国土安全部每两年组织一次的跨部门演习,每次演习,国防部、国家安全局等都作为核心部门参加,思科、微软等数十家企业也积极参与。此外,国防部与国土安全部、联邦调查局以及一些私营公司还组织开展了“网络卫士”、“网络拂晓”等演习。通过这些军演,美国国防部检验了网络军民配合的实战效果,提高了军地在信息共享、态势感知程度和决策过程等方面的磨合。
与传统陆海空天作战领域不同,网路作战力量主体在民间,网络技术人才也主要来自民间。因此,美国通过地方招募、军地培养等方式,加强网络空间的力量建设及网络作战资源的军事集成。
美国为了鼓励和吸引民间安全人才参与国家网络安全建设,专门拨出经费进行招募,将世界顶级电脑专家和“黑客”充实到军队,提升网络攻防能力。2002年,美国招募顶级电脑专家和黑客组建了世界上第一支“黑客部队”——“网络战联合功能司令部”。美军网络司令部组建后,各军种也成立相应的机构并招募了大量民间人员,如美国空军网络司令部第24航空队由3339名军人、2975名文职人员、1364名承包商雇员等组成。美国海军网络司令部中20%为非军人。2012年时任美国国家安全局局长和美军网络司令部司令基斯·亚历山大参加了世界黑客大会DEFCON并做了主题演讲,号召民间黑客和安全公司与政府合作,之后美国国家安全局开始借助RSA、BlackHat和DEFCON等国际性安全会议大肆招募安全人才。美国防部还推出网络快速追踪计划,以签订商业合同的方式,让网络攻防技能出色的小企业和个人参与短期项目,从而将民间网络力量,特别是学生电脑奇才纳入网络人才队伍。2015年4月,美国防部表示,正在寻找新的途径,吸引技术人才到军队和国防部工作。这些途径包括在加利福尼亚硅谷等地进行招聘,以加强国民警卫队和预备役网络力量等。另外,美国军事安全机构与网络安全公司等私人部门存在着公开、频繁和畅通的人员流动,这种“旋转门”机制把公共部门的网络安全需求与私人部门的人力资源优势巧妙结合起来,成为美军网络人才重要来源。
2. 实施精英人才培养战略,军地共同培养网络人才
美国在制定相应网络安全战略的同时,也制定并实施了全面的网络安全人才尤其是精英人才的培养战略,从2004年开始,美国国土安全部就与美国国安局(NSA)的“信息保障司”(IAD)合作实施了“国家学术精英中心”计划 。2011年9月,美国土安全部和人力资源办公室牵头提出《网络安全人才队伍框架(草案)》,明确了网络安全专业领域的定义、任务及人员应具备的“知识、技能、能力”,对开展网络安全专业学历教育、职业培训和专业化人才队伍建设起到了重要的指导作用。2014 年美国启动“国防部长公司研究员计划”, 将15到20名国防部负责网络战的军官安排到科技公司工作一年,然后回到国防部工作,以提升军队网络能力。2015年4月,美国国防部将该计划培训时间的延长一年,变为两年制,一年在地方网络公司培训,一年在军队实习,通过军民合作,共同培养全面的网络战人才。美国还积极加强军民院校交流合作。美国国防部与国内近2000 所高等院校签订有军事科研合同,地方院校不仅承担了美军 60% 的基础研究项目和部分信息技术开发项目,还为美军培养储备了大批网络安全和信息技术人才。另外,从 2012 年起,美国防部采取奖学金资助的方式,将全美 145 所高校纳入到“网络战士”培养体系。