從“太陽風”（SolarWinds）供應鏈攻擊事件到克羅尼爾（Colonial Pipeline）網(wǎng)絡勒索攻擊事件，都使美國拜登政府以網(wǎng)絡安全事件調(diào)查與處置為牽引，逐步健全相關安全機構，出臺一系列安全政策。2021 年 5 月 12 日，美國總統(tǒng)拜登簽署《改善國家網(wǎng)絡安全的行政命令》（以下簡稱“行政令”），以美國政府前所未有的極具安全舉措操作細節(jié)關注的方式確保網(wǎng)絡安全政策落實，標志美國拜登政府網(wǎng)絡安全政策的初步成熟與體系化。

　　一、上半年網(wǎng)絡安全政策主要內(nèi)容

　　當前，美國拜登政府著眼國家網(wǎng)絡安全統(tǒng)籌能力提升，積極完善國家網(wǎng)絡安全崗位機構設置，并在此基礎上，以網(wǎng)絡安全事件處置為牽引，出臺以“行政令”為核心的網(wǎng)絡安全系列政策，初步打造了注重“頂層統(tǒng)籌”“政府主導”“公私協(xié)同”“內(nèi)外兼顧”的網(wǎng)絡安全政策體系。

　　（一）完善國家網(wǎng)絡安全崗位機構設置

　　拜登上臺后，美國政府對管理網(wǎng)絡安全的關鍵崗位和重要機構進行相應調(diào)整與改革。一是設立負責網(wǎng)絡和新興技術的副國家安全顧問?，F(xiàn)由原國家安全局網(wǎng)絡安全總監(jiān)安妮·紐伯格（AnneNeuberger）擔任，代表總統(tǒng)負責統(tǒng)籌協(xié)調(diào)聯(lián)邦政府各機構和部門的網(wǎng)絡安全事務。二是依據(jù)《2021 財年國防授權法》設立國家網(wǎng)絡總監(jiān)（National CyberDirector）崗位?，F(xiàn)由國家安全局前副局長克里斯·英格利斯（Chris Inglis）出任，作為總統(tǒng)在網(wǎng)絡安全政策和戰(zhàn)略方面的首席顧問，負責所有聯(lián)邦機構的網(wǎng)絡安全和相關預算。三是通過“行政令”設立由國土安全部部長牽頭負責且涵蓋相關聯(lián)邦政府官員與私營企業(yè)代表的網(wǎng)絡安全審查委員會（CyberSafety Review Board），負責審查和評估影響聯(lián)邦信息系統(tǒng)或非聯(lián)邦系統(tǒng)的重大網(wǎng)絡事件、威脅活動、漏洞、應對活動和機構響應。四是任命美國數(shù)字服務部門的資深人士克萊爾·馬托拉納（ClareMartorana）為政府首席信息官（CIO），負責實現(xiàn)IT 系統(tǒng)的現(xiàn)代化，全面監(jiān)管相關基礎設施升級工作。此外，2021 年 4 月，拜登還提名前奧巴馬時代的網(wǎng)絡安全政策助理秘書羅伯·西爾弗斯（RobSilvers）擔任國土安全部的戰(zhàn)略、政策和計劃副部長。

　?。ǘ┘訌娋W(wǎng)絡安全現(xiàn)代化與軟硬件供應鏈安全

　　拜登政府在“行政令”中提出了加強聯(lián)邦政府網(wǎng)絡安全現(xiàn)代化（Cybersecurity Modernization）的相關措施。其中，該行政令重點提出以零信任架構為基礎的云計算環(huán)境作為網(wǎng)絡安全現(xiàn)代化的核心，特別強調(diào)，零信任架構的關鍵作用。零信任的核心思想是，在承認網(wǎng)絡系統(tǒng)內(nèi)部或外部存在無法根除的威脅的基礎上，對任何試圖接入其網(wǎng)絡或系統(tǒng)的人、事、物進行授權驗證。2021 年 2 月 25 日，美國國家安全局（NSA）發(fā)布《擁抱零信任安全模型指南》（以下簡稱《指南》），建議將零信任安全模型部署到美國國防部與其關聯(lián)組織的所有關鍵網(wǎng)絡與系統(tǒng)中，以更高效地保護其網(wǎng)絡和數(shù)據(jù)的安全；而“行政令”則進一步將零信任架構應用到聯(lián)邦民事網(wǎng)絡系統(tǒng)與基礎設施之中。

　　就軟硬件供應鏈安全而言，美國拜登政府十分重視以半導體芯片為基礎的硬件供應鏈以及軟件供應鏈安全問題。一是 2021 年 2 月 24 日，拜登簽署第14017 號《確保美國供應鏈安全行政令》，要求對包括半導體芯片在內(nèi)的 4 類產(chǎn)品的供應鏈展開為期 100天的風險審查。二是 4 月，美國國家反情報與安全中心（NCSC））聯(lián)合其他機構共同推出“國家供應鏈安全完整性之月”活動，以提高美國供應鏈威脅意識并共享風險緩解信息。三是 4 月底，美國網(wǎng)絡安全與基礎設施安全局（CISA））和美國國家標準與技術院（NIST）聯(lián)合發(fā)布《防御軟件供應鏈攻擊》報告，首次對軟件供應鏈進行界定，并給出與軟件供應鏈攻擊相關的信息、關聯(lián)風險以及緩解措施。四是 5 月 12 日，拜登簽署“行政令”，提出重點優(yōu)先解決“關鍵軟件”（即與執(zhí)行信任授權等功能相關的軟件）供應鏈安全問題，并推動由 NIST 牽頭開發(fā)的軟件供應鏈安全保護準則，并基于此加強以安全性、完整性以及漏洞檢查為特征的軟件開發(fā)環(huán)境建設。

　?。ㄈ┨嵘?lián)邦政府網(wǎng)絡安全漏洞與事件處置能力

　　當前，美國拜登政府以網(wǎng)絡安全事件調(diào)查與處置為牽引，通過簽發(fā)“行政令”，從信息共享、漏洞檢測、事件調(diào)查、應急響應等維度，著力提升聯(lián)邦政府網(wǎng)絡安全漏洞與事件處置能力。一是掃清聯(lián)邦政府與網(wǎng)絡服務提供商間因相關合同問題造成的威脅信息共享障礙。鑒于政府與企業(yè)的合同條款成為限制網(wǎng)絡安全威脅或事件信息共享的障礙，“行政令”要求行政管理和預算局（OMB）局長牽頭，審查《聯(lián)邦采購條例》（FAR）和《聯(lián)邦采購條例國防部補充規(guī)定》中的合同（內(nèi)容與語言），以消除此類信息共享障礙。二是強化對聯(lián)邦政府網(wǎng)絡安全漏洞的檢測能力。為最大限度地盡早發(fā)現(xiàn)聯(lián)邦政府網(wǎng)絡安全漏洞及相關事件，“行政令”要求聯(lián)邦民事行政機構（FCEB）須部署端點檢測和響應（EDR）計劃，以支持對聯(lián)邦政府基礎架構內(nèi)網(wǎng)絡安全事件的主動檢測、主動網(wǎng)絡捕獲、遏制和補救措施以及事件響應。三是加強聯(lián)邦政府基于網(wǎng)絡日志的安全事件調(diào)查能力。由于來自聯(lián)邦信息系統(tǒng)的日志信息對安全事件調(diào)查和補救非常重要，“行政令”要求各機構及其 IT 服務提供商必須收集和維護此類數(shù)據(jù)，并在處理安全事件時，根據(jù)適用法律和規(guī)范性要求向國土安全部（通過 CISA 局長）和聯(lián)邦調(diào)查局提供此類數(shù)據(jù)，以協(xié)助其調(diào)查。四是規(guī)范聯(lián)邦政府網(wǎng)絡安全漏洞和事件的應急響應方案。鑒于當前各個機構的網(wǎng)絡安全漏洞和響應流程差異性所造成的不便，“行政令”要求國土安全部部長（通過 CISA 局長）牽頭，制定一套標準的操作流程（需涵蓋 NIST 所有相關標準），用于規(guī)劃和實施聯(lián)邦民事信息系統(tǒng)相關的網(wǎng)絡安全漏洞和事件響應活動。

　?。ㄋ模┩七M基于分層網(wǎng)絡威懾的“網(wǎng)絡外交”

　　所謂“分層網(wǎng)絡威懾”是 2020 年 3 月美國“網(wǎng)絡空間日光浴委員會”（CSC）提出的“融合多種威懾手段、突出主動塑造威懾環(huán)境”的一種新戰(zhàn)略理念。以此為底層邏輯，拜登政府打造了基于規(guī)則威懾、著眼國際行為塑造的“網(wǎng)絡外交”政策，即通過聯(lián)合盟友和合作伙伴建立和實施基于所謂“共同利益和價值觀”的網(wǎng)絡規(guī)則，以塑造網(wǎng)絡空間行為（特別是網(wǎng)絡空間負責任國家行為），彰顯了美國在國際上建構敵我威懾陣營的戰(zhàn)略實質(zhì)。具體而言，拜登政府在國內(nèi)立法推進、伙伴關系恢復、國際威懾實踐等層面，積極推動其倡導的“網(wǎng)絡外交”政策。

　　一是積極推進“網(wǎng)絡外交”立法進程。拜登上臺后，美國政府在《網(wǎng)絡外交法案 2019》（曾在 2019年初被提出并獲眾議院口頭通過，但后因參議院無后續(xù)行動而中止立法）的基礎上，重新提出《網(wǎng)絡外交法案 2021》，并積極推動其立法進程。該法案明確規(guī)定了美國網(wǎng)絡空間國際政策、國務院職責、國際網(wǎng)絡空間行政安排、網(wǎng)絡空間國際戰(zhàn)略、國別人權實踐年度報告等主要內(nèi)容，或將為拜登政府“網(wǎng)絡外交”政策的實施打下基礎。

　　二是積極修復與盟友關系。為扭轉特朗普任期推行的“美國優(yōu)先”政策給美國國際形象造成的“道義損失”，拜登政府于 3 月 4 日同時推出《臨時國家安全戰(zhàn)略方針》官方報告與美國國務卿布林肯關于美國外交“八大優(yōu)先事項”的講話，從美國國家安全利益維護的角度強調(diào)積極的外交政策作為國家安全戰(zhàn)略手段的緊要性，為其推行以盟友關系修復、以西方共同價值觀為核心的美國道義領導力重塑（例如競選時承諾上任后召開全球“民主峰會”）、以網(wǎng)絡外交為抓手的維護“美國開放互聯(lián)網(wǎng)原則”等為要點的“網(wǎng)絡外交”政策提供支撐與指導。在實踐上，拜登政府主要采用“雙邊為主、多邊為輔”的方式具體實施。首先，4 月 16 日，美日達成共同投資 45 億美元（美國承諾提供 25 億美元，日本 20億美元）以用于安全網(wǎng)絡和下一代先進信息通信技術的研究、開發(fā)、測試和部署的意向。其次，6 月10 日，英美兩國領導人簽署旨在鞏固兩國特殊關系的合作宣言，以深化兩國在國防與安全、科學與創(chuàng)新、經(jīng)濟與貿(mào)易、自然與氣候、健康與衛(wèi)生等領域的合作。再次，拜登在就任總統(tǒng)的第一天簽署相關行政命令，重新加入《巴黎氣候協(xié)定》、世界衛(wèi)生組織等多邊機制，表現(xiàn)了拜登政府對多邊手段和國際規(guī)則的倚重。

　　三是以俄羅斯、中國為主要威懾對象，推進“接觸 + 遏制”的“網(wǎng)絡外交”政策。就俄羅斯而言，美國拜登政府一方面在網(wǎng)絡議題上以俄羅斯“干預美國大選”、參與“太陽風”事件、縱容“克羅尼爾網(wǎng)絡勒索攻擊事件發(fā)生”為由，表示將嚴懲俄羅斯的網(wǎng)絡攻擊行為；另一方面，拜登在 6 月 17 日的美俄領導人峰會中，與普京圍繞網(wǎng)絡空間間諜活動、沖突管控及行為規(guī)范進行了磋商。就中國而言，美國拜登政府在《臨時國家安全戰(zhàn)略方針》中視中國為“唯一競爭對手”，并從“合作、競爭、對抗”三個維度界定對華政策。在外交實踐上，美國拜登政府主要聚焦對華“競爭”“對抗”層面，積極利用雙邊（日美峰會）、多邊（美日印澳“四方安全對話”、G7峰會）、多方（美國組織的半導體供應鏈 CEO 峰會）等外交活動，以“知識產(chǎn)權網(wǎng)絡竊取”為由，對中國實施污名化、對中國高科技發(fā)展進行打壓。

　　二、上半年網(wǎng)絡安全政策基本特征

　　當前拜登政府的網(wǎng)絡安全政策，與前任特朗普政府相比，在政策驅動力、政策延續(xù)與變革性、機構治理模式、對內(nèi)與對外政策路徑等方面呈現(xiàn)出以下特征。

　?。ㄒ唬├砟钆c事件雙重驅動下對前任政府網(wǎng)絡政策的揚棄

　　一般意義而言，任何政策的出臺都是具體時空情勢下主觀邏輯認知的產(chǎn)物，是在處理與既往政策的關系和面對新情況新問題挑戰(zhàn)的過程中自身執(zhí)政理念的具體體現(xiàn)，因此，現(xiàn)行政策往往兼具針對當下情勢且體現(xiàn)執(zhí)政邏輯的變革性與對既往政策的延續(xù)性。美國拜登政府的網(wǎng)絡安全政策也不例外。一方面，有別于前任共和黨非建制派出身及其“美國優(yōu)先”執(zhí)政理念，拜登的民主黨建制派政治出身及執(zhí)政理念從根本上使其網(wǎng)絡安全政策既突出對以民主價值觀為抓手的外交手段的倚重，也強調(diào)對“大政府”（更強調(diào)政府主導作用）與多元化（更具社會包容性）價值取向的追求。另一方面，在一系列具有重大影響意義的網(wǎng)絡安全事件的刺激下，拜登政府的網(wǎng)絡安全政策無論在出臺速度與頻率上（被認為是美國歷任政府里出臺網(wǎng)絡政策最早最快的），還是在具體內(nèi)容上都被打上了安全事件驅動的烙印。此外，作為具有跨黨派屬性的網(wǎng)絡安全議題，拜登政府也延續(xù)了特朗普政府時期的一系列政策，這集中體現(xiàn)為對網(wǎng)絡軍事力量建設（贊同對網(wǎng)絡軍事力量的強化）與運用（認可“持續(xù)對抗”“向前防御”“前出狩獵”等低于沖突閾值情境下的力量運用原則，支持對網(wǎng)絡空間行動權限的下放等）政策在很大程度上的繼承。

　?。ǘ┳陨隙隆皩I(yè)精英”治網(wǎng)模式的回歸

　　一方面，與特朗普政府時期頂層網(wǎng)絡管理統(tǒng)籌缺失（特朗普一上臺便取消了白宮國家安全委員會網(wǎng)絡安全協(xié)調(diào)員與國務院網(wǎng)絡安全協(xié)調(diào)員）、更多依靠行政部門“自下而上”推動網(wǎng)絡安全政策的治理模式不同，拜登政府通過健全與完善以強化國家網(wǎng)絡安全統(tǒng)籌協(xié)調(diào)能力為核心的相關崗位與機構，形成了更能發(fā)揮政府主導性統(tǒng)籌協(xié)作功能的自上而下的網(wǎng)絡治理模式。另一方面，拜登政府扭轉了特朗普政府很大程度上以“對總統(tǒng)忠誠度”“與總統(tǒng)一致性”為標準的人事任命邏輯，例如，前網(wǎng)絡安全與基礎設施安全局局長克里斯托弗·克雷布斯（Chris Krebs）因沒有支持特朗普總統(tǒng)關于 2020 大選安全性存在問題的立場被直接解除職務，而采取以“專業(yè)性”“任職經(jīng)驗”為標準組建了由網(wǎng)絡安全領域“專業(yè)精英”構成的治網(wǎng)團隊。

　?。ㄈ┱鲗隆肮絽f(xié)作”政策路徑的強化

　　2018 年成立的網(wǎng)絡安全與基礎設施局，在保護關鍵基礎設施安全、協(xié)調(diào)各部門、促進公私合作、提供預警等方面發(fā)揮著重要作用，是特朗普政府對“公私協(xié)作”這一政策路徑的實踐。不同于特朗普政府對網(wǎng)絡安全頂層統(tǒng)籌的輕視與弱化，拜登政府通過健全國家網(wǎng)絡安全崗位機構以及簽發(fā)網(wǎng)絡安全相關行政令，不僅強化了“公私協(xié)作”的水平，而且突出了聯(lián)邦政府在網(wǎng)絡安全事務方面的主導性作用。

　?。ㄋ模├鋺?zhàn)思維式陣營化的網(wǎng)絡空間國際政策塑造

　　一般意義而言，冷戰(zhàn)思維在本質(zhì)上是以意識形態(tài)對抗為根本的陣營對壘邏輯及其衍生的價值觀。在這一意義上講，拜登政府所謂的“網(wǎng)絡外交”則具有較為鮮明的基于上述冷戰(zhàn)思維的陣營化分野，即一方面強調(diào)美國通過強化盟友體系，塑造由其主導，以所謂“民主、人權、自由”價值觀為基礎的西方網(wǎng)絡自由民主陣營；另一方面，利用其網(wǎng)絡技術、平臺以及國際話語權方面的優(yōu)勢地位，將俄羅斯、中國妖魔化為網(wǎng)絡安全威脅源，妄圖將其塑造的所謂“網(wǎng)絡自由民主陣營”打造為對抗中俄的急先鋒（當前，美國政府對中國實施的戰(zhàn)略性技術打壓與聯(lián)盟圍堵已成為其國內(nèi)兩黨的最大共識，只是在具體實施路徑上還有些分歧）。

　　三、結語

　　誠然，當前美國拜登政府網(wǎng)絡安全政策逐漸走向成熟，且極具操作性，體現(xiàn)了拜登政府對網(wǎng)絡安全的高度重視與務實風格，也為美國網(wǎng)絡安全維護提供了政策性保障與支撐。需要注意的是，從政策出臺到其基本落實，對當下拜登政府而言并不是一件理所當然與順理成章的事，除了資金投入不足的制約以外，網(wǎng)絡議題政治化的困擾也真實發(fā)生（拜登于 4 月提名擬出任網(wǎng)絡安全和基礎設施局局長的詹· 伊斯特利，兩次被參議院共和黨議員以“與邊境議題掛鉤”為由而阻撓，至今未任命）。此外，依據(jù)拜登政府擬制完成的國防部《2022 財年預算案》，網(wǎng)絡空間預算在保持多年穩(wěn)定狀態(tài)后，首次出現(xiàn)較大幅度增長（相對上一財年增幅約為 6%），其中，增強網(wǎng)絡防御能力的項目經(jīng)費投入普遍增加，且首次投入大量資源發(fā)展接入管理和零信任架構，體現(xiàn)美國政府以推行“網(wǎng)絡衛(wèi)生”措施為重點的安全政策趨向，以及美軍網(wǎng)絡作戰(zhàn)任務由實施重點進攻向發(fā)展全面防御能力的轉變等發(fā)展動向，值得進一步密切跟蹤關注。