2023 年 9 月 18 日，美国“第 2 届网络空间日光浴委员会”（以下简称“CSC 2.0”）发布了《2023 年实施报告》（2023 Annual Report on Implementation），该报告总结了其前身“网络空间日光浴委员会”（该委员会的英文缩写为“CSC”，但为与 CSC 2.0 相区分，以下简称“CSC 1.0”）各项建议的落实情况。作为近年来美国最重要的网络政策研究团队，CSC 1.0的许多建议都已经或正在得到落实，这些建议既大范围重塑了美国政府在网络领域的体制机制，也在一定程度上决定了未来的全球网络格局，值得各国予以高度关注。

　　在 2018 年时，面对席卷全球的 NotPetya 勒索软件等重大网络威胁，美国政府和国会深感现有的体制机制越来越难以应对日益恶化的网络环境，亟需以新的战略思路来抵御各种重大网络攻击。秉着这一观念，美国国会通过《2019 年国防授权法案》立法组建 CSC 1.0，希望效仿冷战初期为对抗苏联而启动的“日光浴项目”（Project Solarium），由 CSC 1.0 重新制定一套全面的网络空间政策，从而大幅改善美国政府应对网络攻击的能力。按照法案要求，CSC 1.0 由 14 名委员组成，其中包括国家情报首席副总监、国土安全部副部长、国防部副部长、联邦调查局局长、4 名现任国会议员以及6 名企业界和学术界专家，其规格之高前所未有，彰显了美国改革网络空间政策的强烈决心。

　　在两年多的工作中，CSC 1.0 最重要的成果是 2020 年 3 月发布的《最终报告》。该报告从机构改革、规范制定、弹性强化、生态重塑、公私合作和军力提升这 6 个角度，提出了 82 项网络政策建议。此后 CSC 1.0 又相继发布了 6 份白皮书，其中提出了 34 项建议。这些建议基本涵盖了网络领域的方方面面，并大幅推动了美国的网络空间政策改革。其中最引人瞩目的改革成果是拜登政府于 2021 年 6 月正式设立国家网络总监，此举使美国首次拥有了规划、监督和协调全国网络事务的总负责人；此外拜登政府于 2023年 3 月发布《国家网络安全战略》，而 CSC 1.0 也正是促成该战略的重要推手。尽管 CSC 1.0 的建议尚未全部得到落实，但其建议无疑将对美国的网络空间建设产生长期而深远的影响。

　　CSC 1.0 因法定授权期满而于 2021 年 12 月解散，不过关心网络空间的美国官员显然不会就此放弃国家层面的网络政策研究。在 CSC 联合主席参议员 Angus King 和众议员 Mike Gallagher 的推动下，非营利智库“捍卫民主基金会”（FDD）于 2022 年初组建了 CSC 2.0。与 CSC 1.0 相比，CSC 2.0的性质从官方委员会变为非官方组织，资金从政府拨款变为私人捐助，规模也从包含三个特别工作组和一个理事会的大型团队缩减为约 20 人的小团队。不过包括 King、Gallagher 以及前首任国家网络总监 Chris Inglis 在内的11 名 CSC 委员留在了 CSC 2.0。按照 CSC 2.0 的说法，组织的变化不会影响 CSC 2.0 的既定议程，而国会议员和重量级前任官员的留任，则使 CSC 2.0很大程度上保留了对美国政府和国会的影响力，从而能够继续有效推动美国的网络空间政策改革。

　　目前CSC 2.0最首要的工作是督促美国政府和国会落实CSC 1.0的各项建议，为此 CSC 2.0 已连续两年发布（CSC 1.0 各项建议的）《实施报告》，以展示 116 项建议的最新落实情况。此外 CSC 2.0 的成员也经常参与各类听证会和媒体活动，以便向政府、国会和公众解释 CSC 1.0 的相关建议。除推动 CSC 1.0 建议外，由于资源有限，CSC 2.0 不再像 CSC 1.0 那样提出包罗万象的政策建议，而是把精力集中到网络安全劳动力的发展、海上运输系统的网络安全、太空系统的网络安全、经济计划的连续性以及医疗保健系统的网络安全等少数领域上。近两年来，CSC 2.0 已先后围绕网络劳动力发展、网络安全指标、海事网络安全、太空网络安全以及公私网络安全合作等主题发布相关报告，并直接向美国国会呈送了相关建议。不过 CSC 2.0的两份《实施报告》中并未提及这些建议，美国政府和国会是否会采纳其建议尚有待观察。

　　总体而言，CSC 1.0 的工作得到了美国政府和国会的高度重视。截至2023 年 9 月，在其提出的 116 项建议中，42 项（约占 36.2%）已经落实，36 项（约占 31%）正在落实，26 项（约占 22.4%）准备落实，11 项（约占9.5%）暂时搁置，仅有 1 项（约占 0.9%）被美国国会否决。其中已落实建议的占比近年来逐步扩大（2021 年为 22%，2022 年为 30.5%），反映出美国政府和国会正在缓慢而坚定地推进网络政策改革。受篇幅所限，本文将只从影响重大且落实情况良好的部分建议出发，梳理和总结美国在网络空间建设方面的重点方向。

　　在 CSC 1.0 的诸多建议中，头等大事便是修改国家网络战略。背后的主要原因，是 CSC 1.0 希望将“分层威慑”和“前沿防御”等更具攻击性的理念植入到美国的网络战略中。以 CSC 1.0 之见，仅靠加强网络防御和网络弹性并不足以抵御层出不穷的网络攻击，更重要的是利用网络、外交、经济乃至军事手段来威慑对手，使其明白对美国发动网络攻击将付出惨痛代价，进而知难而退。当然为避免网络对抗升级为武装冲突乃至战争，CSC 1.0 也呼吁美国政府根据威胁程度的轻重，分别确定不同层级或者说力度的反击措施（即所谓的“分层威慑”），以摆脱过去应对网络攻击时“不是无关痛痒的口头谴责，就是备受指摘的武力攻击”的尴尬局面。此外威慑的前提是让对手了解美国发动反击的决心和能力，因此 CSC 1.0 也建议美国政府通过公开或私下渠道，向对手明示或暗示发动或加大网络攻击的后果。

　　根据上述建议及其它多方的建议，2023 年 3 月发布的《国家网络安全战略》将“打击和摧毁威胁行为体”列为美国建设网络空间生态体系的五大支柱之一。虽然该战略出于种种考虑并未直接提及威慑，仅隐晦地表示“将更持久、更有效地打击对手”，但在基于该战略制定的《2023 年国防部网络战略》中，美国国防部则明确指出要通过网络空间行动来加强威慑。美国国防部还直言，自 2018 年以来，以美国网络司令部为主的单位已开展了大量的“前沿防御”行动，并在网络空间内与对手“持续交战”。按照美国网络司令部的说法，“前沿防御”旨在“从源头上阻断恶意网络活动”，“持续交战”则涉及到“将对手的关键基础设施作为目标”，因此《2023 年国防部网络战略》实则在赤裸裸地表明，美军将继续以“防御”或“威慑”的名义主动发起网络攻击。此外需要指出的是，虽然上述两大战略的公开版本均未提及“分层威慑”，但并不一定意味着美国没有相关政策。有种可能性是为避免被其他对手摸清底线，美国仅在必要时才会向特定对手私下传达此类信息。

　　正如第一章所述，美国政府按照 CSC 1.0 的建议调整了网络领域的组织架构，其中最引人瞩目的一点便是设立了国家网络总监（NCD）及其办公室（ONCD），这标志着美国开始将网络空间视为“必须从全国层面进行统筹”的关键国家安全领域。虽然 NCD 并不直接主管网络安全与基础设施安全局（CISA）等网络安全机构，但却承担着极其重要的规划、监督和协调职能，比如上述《国家网络安全战略》和今年 7 月发布的《国家网络劳动力与教育战略》就是由 ONCD 牵头起草的。就目前而言，NCD 的主要职责包括：1）就信息和网络安全方面的重要计划、政策、技术、合作关系和事件等信息，向美国总统、美国国会、国家安全委员会及其它有关机构提供咨询；2）统筹协调各政府部门，以落实《国家网络安全战略》等国家层面的网络政策；3）统筹协调各政府部门，以制定和落实各自的重大网络事件响应政策等。虽然 ONCD 当下还只是不超过 75 人的小机构，但正如 911事件促使美国将中央情报总监扩权为国家情报总监一样（国家情报总监办公室的规模如今已超过 1700 人），随着网络安全形势的日益严峻，未来ONCD 或将在美国的网络空间建设中发挥核心作用。

　　除文职机构外，CSC 1.0 还认为面对如今更加危险的网络态势和更加繁重的网络任务，2013 年确立的网络任务部队（CMF）规模已明显不足。鉴于此，CSC 1.0 建议美国国会在《国防授权法案》中要求国防部评估各 CMF是否能够胜任所有任务，尤其是是否需要扩大 CMF 的规模，以及 CMF 的组织架构是否符合优先战略目标。美国国会采纳了这一建议，并根据两年来的评估结果，将 CMF 从 2020 年的 133 支扩大到 2023 年的 147 支。在这些 CMF 中，负责保护关键基础设施和执行“前出追猎”（Hunt Forward）任务的网络国家任务部队（CNMF）于 2022 年 12 月升格为隶属于美国网络司令部的次级统一司令部，这意味着 CNMF 将拥有更大的权限，能够更自由、更灵活地执行国家级的网络任务。美国国会甚至有意像太空军那样组建独立的网络军种，并已要求国防部评估设立独立网军的可行性及其成本和收益，同时 CSC 2.0 也正在分析设立独立网军的利弊。未来根据国防部的评估和 CSC 2.0 等咨询团队的意见，美军或将在数年内组建以 CMF 为主体的独立网军，由其专门为网络司令部招募、训练和装备网络部队（目前网络司令部指挥的各 CMF 均由其它军种抽调而来）。值得警惕的是，不论美军网络部队的实力是否会得到提升，独立建军后其“主动出击”的意愿都很可能会显著增强，从而加剧全球网络空间内的分裂与对抗。

　　“建立国际伙伴关系以实现共同目标”同样是基于 CSC 1.0 建议的《国家网络安全战略》五大支柱之一，而该支柱下的一大战略目标，就是在网络空间推行所谓“负责任的国家行为规范”。按照 CSC 1.0 于 2020 年发布的《最终报告》，CSC 1.0 希望通过国际合力来加强对“不良行为”的威慑，分摊“国际执法”负担，以及通过抢先制定国际规范的方式来约束对手的行为。此等建议自然不是出于国际道义，正如《最终报告》所强调的那样，“让此类规范符合美国的利益和价值观至关重要”，可见 CSC 1.0 的真实目的，就是以国际规范的名义垄断对网络行为规则的解释权。在 2003 至 2017年间，美国试图利用联合国信息安全政府专家组（UN GGE）来制定此类规范，但因受到多国强烈反对而未能如愿。此后美国基本抛弃了最具广泛代表性的联合国，转而借助“自由在线联盟”（FOC）、美日印澳四方对话机制（Quad）和美英澳合作关系（AUKUS）等由其主导的国际关系来制定和推行此类规范，希望通过这种拉帮结派的方式，不断限制、打压和压缩他国的网络活动空间。

　　为进一步推动上述“国际合作”，美国国务院按照 CSC 1.0 的建议，于2021 年 10 月新设了网络空间与数字政策局（CDP）。美国国务院主管外交事务，因此 CDP 的使命也是从外交层面“促进网络空间的稳定和安全，推进数字经济，推动数字自由，以及实现数字互联互通和打造全球网络能力”。CDP 为此下设了 4 个部门，其中国际网络空间安全（ICS）部门负责推动全球网络安全建设，国际信息和通信政策（ICP）部门负责推动全球数字经济建设，数字自由（DFU）部门负责推动全球网络自由化，战略规划与沟通单位（SPC）负责美国的相关战略、媒体和立法活动。迄今为止，CDP 已与十余国展开网络合作对话，而受地缘政治因素的影响，各国的反应也不尽相同：日本和韩国等国反应积极，尤其乐于推动“开放式无线接入网”（Open RAN）等美方所谓的“安全 5G 技术”和美方主导的“跨境隐私规则”（CBPR）；瑞士和智利等国则反应冷淡，仅把合作重点放在打击网络犯罪上。毫无疑问，未来 CDP 必将继续拉拢和威逼其它国家，以求在网络空间和信息技术领域不断孤立和围剿其眼中的对手。

　　随着中国信息技术（IT）产业的崛起，美国逐渐丧失了对 IT 领域的垄断，尤其是其半导体制造业的全球份额从 1990 年的约 40%，大幅降至 2020年的约 12%，这种变化已然引起了美国上下的高度恐慌。CSC 1.0 的《最终报告》便反映了这种心态：该报告污蔑华为等中国 IT 企业“试图垄断全球供应链”，而其着墨最多的章节，正是设法重建美国 IT 供应链的“重塑网络生态体系”一章。在以 CSC 1.0 为代表的各方强力推动下，《“制定有益激励政策以推动半导体生产”（CHIPS）与科学法案》于 2022 年 8 月正式成法，试图通过巨额补贴和涉外审查等手段，来维持美国在 IT 领域的主导地位和竞争力。该法案的不少内容都源于 CSC 1.0 的建议，比如其第 10104 节要求2023 至 2027 财年间每年投入 1 亿美元以发展量子网络基础设施，第 10223至 10225 节分别要求美国国家标准与技术研究院（NIST）对软件、云安全和数字身份管理等方面作出指导，第 10253 节要求建立国家供应链数据库等等。更重要的，是该法案完全秉持了 CSC 1.0 所谓“从经济活动中排除恶意供应商”的观点，试图利用高达 542 亿美元的建厂补贴和 25%的税收抵免来逼迫全球芯片制造商在中美之间选边站队。

　　除《CHIPS 与科学法案》外，CSC 1.0 针对 IT 供应链的其它一些建议也多少得到了落实：根据为信息与通信供应链指定风险管理机构的建议，《2021 年国防授权法案》将 CISA 指定为 IT 领域的行业风险管理机构（SRMA）；根据立法鼓励信息安全的建议，拜登政府于 2021 年 5 月发布《关于改善国家网络安全的 14028 号总统行政令》，其中着重强调了增强软件供应链的安全；根据加强外国对美投资委员会（CFIUS）的建议，拜登政府于2022 年 9 月要求 CFIUS 将网络安全等因素纳入外国投资审查的范围；根据建立国家网络安全认证与标签局的建议，联邦通信委员会（FCC）于 2023年 7 月启动名为“网络信任标记”（Cyber Trust Mark）的智能设备网络安全认证计划。这些举措除了从技术层面加强 IT 供应链的网络安全外，更重要的目的在于重振美国的 IT 产业，同时以安全的名义极力打压中国产品。然而在美国制造业深度空心化的当下，研究表明仅重建芯片供应链就至少需要 1 万亿美元的前期投资，区区 542 亿美元投资根本是杯水车薪。此外中国的技术和产品早已与全球产业链深度融合，美国强行与中国“脱钩断链”并不现实，最终只会害人害己。

　　正如前文所述，CSC 1.0 的建议中也有约三分之一进展缓慢或顿足不前，导致美国迄今都无法在网络安全领域充分形成合力。拖累相关工作的原因各不相同，其中既包括单纯的立法优先顺序和资源分配问题，也包括需要大幅调整体制机制的复杂问题。下面将根据 CSC 1.0 建议遭遇的种种挫折，着重讨论美国网络空间建设面临的主要挑战。

　　在 CSC 1.0 提出的各项建议中，唯一遭受重大挫折的建议便是在美国参议院和众议院建立网络安全专责委员会。事实上 CSC 1.0 和 CSC 2.0 已连续三年提出这一建议，但每次都遭到了国会的否决。CSC 1.0 之所以坚持提出这一建议，是因为美国国会迄今仍缺乏网络安全统筹机制，事关网络安全的种种职权分散在分管军事、情报和关键基础设施等方面的众多团队（如参议院军事委员会）之重，而这些团队互不统属，彼此间又很少就网络安全问题展开合作，以至于很难大踏步推进相关立法。按照 CSC 2.0 联合主席的说法，为了通过约 40 条网络安全规定，CSC 1.0 需要获得国会各委员会、分委会、少数党和多数党的共 180 项批准，如此繁复的管理机制显然严重拖慢了美国的网络安全立法进程。

　　从 CSC 2.0 的角度来看，抛开冠冕堂皇的说辞不谈，美国国会拒绝设立网络安全专责委员会的根源其实在于官僚主义。即是说为保住现有的地位，各委员会并不愿将手头的权力分割出去。面对这一困局，CSC 2.0 悲观地认为只有当网络领域发生类似于 911 那样的重大危机时，才能迫使国会建立网络安全专责委员会。就目前而言，主要由 ONCD 在国会及其它机构之间沟通网络安全事宜，这种做法也取得了一定的效果：在三个月内，ONCD成功推动了 18 家机构开展了 65 项与网络安全有关的行动。不过 ONCD 的职能终究以协调为主，在立法上并没有什么话语权，所以并不能代替网络安全专责委员会。或许正如 CSC 2.0 所说，只有当美国面临比“太阳风”和“科洛尼尔”事件更为严重的网络安全危机时，美国国会才有可能推动相关的机制改革。

　　CSC 2.0 担忧的另一个重要问题，是政府机构之间以及政府与企业之间缺乏网络安全协作。正如首任国家网络总监 Chris Inglis 所言，网络安全领域需要的是“协作”而非“分工”，否则即使做好了某一方面的工作，也会因其它方面的短板而前功尽弃。就网络安全协作而言，美国当前的法律依据仍是 2013 年发布的 21 号总统政策令（PDD-21）《关键基础设施的安全与弹性》。尽管 PDD-21 将国土安全部（DHS）指定为 10 个行业的 SRMA，却未指明 DHS 及其它 SRMA 在网络安全协作方面的具体职责，以至于政府机构之间以及政府与企业之间的协作严重脱节。以 2021 年 5 月的科洛尼尔公司油气管道网络攻击事件为例，事发后科洛尼尔公司立即将情况告知美国联邦调查局（FBI），却未及时通知身为管道运输行业 SRMA 的 DHS（CISA隶属于 DHS）和运输部，同时 FBI 也未及时联络 CISA，导致最专业的网络安全机构 CISA 未能及时介入。再考虑到各 SRMA 普遍缺乏公私协作所需的人力和资金，CSC 2.0 认为现有机制难以改善各行各业的网络安全协作水平。

　　尽管 CSC 1.0 和 CSC 2.0 一直试图改革现有的网络安全协作机制，但进展却并不顺利：众议院版的《2023 年国防授权法案》草案提出建立联合协作环境，但该条款并未被纳入最终版法案，而是改为由国家安全局对这一问题进行研究。目前网络安全协作的主要推动者是 CISA，该机构已将“联合协作环境”（JCE）项目纳入其 2021 至 2025 年战略规划，而正在研发的分布式机构数据管理、机器学习（ML）式大规模分析、机器学习式安全编排、自动化与响应（ML-SOAR）以及单独／跨项目发布与变更管理工具等技术则将为该项目提供支持。鉴于此，CSC 1.0 建议以立法和行政命令的形式强化 CISA 的网络安全协作职能，具体包括由 CISA 编制一份《国家风险登记簿》，以便识别、分析、整理和与其它机构和企业共享网络安全信息；让 CISA 协助其它部门的行动，比如派员加入联邦应急管理局的国家咨询委员会；由国会授权 CISA 创建面向全国的网络安全协作环境，以便向其它政府机构和企业提供信息分析工具和威胁信息通报渠道等。不过由于美国政府尚未出台 PDD-21 的后继政策令（该政策令将决定网络安全协作的总基调），这些建议目前大多仍停留在纸面上。

　　正如第 1.2 节所述，CSC 2.0 当前的研究重点是关键基础设施的网络安全。考虑到“科洛尼尔”事件在美国社会引发的巨大动荡，CSC 2.0 将关键基础设施作为重点并不令人意外。自 2022 年成立以来，CSC 2.0 已就海运和太空行业的关键基础设施发布了相关报告，未来还很可能把研究范围扩展到医疗、食品和农业等行业。CSC 2.0 之所以优先考察海运和太空行业，是因为其重要性并不亚于能源行业（海运创造了美国近四分之一的国内生产总值，而电信、农业和海运等领域皆离不开太空系统的支持），但却因尚未遭受重大网络攻击而未得到足够重视。具体而言，CSC 2.0 建议将美国海岸警卫队（USCG）指定为海运行业的 SRMA，并由 CISA 建立专用平台以测试海运关键系统等；同时建议将国家航空航天局（NASA）指定为太空行业的 SRMA，并由政府和企业共同制定太空网络安全最佳做法等标准与规范。由此看来，CSC 2.0 未来在考察其它行业的关键基础设施时，很可能也会强调 SRMA 的统筹与协调作用。

　　在更宽泛的国家层面上，CSC 2.0 的首要建议是修订 2013 年发布的PDD-21，以便在此基础上发布针对关键基础设施的新总统政策令。在 CSC2.0 看来，这十年间的网络安全技术和格局都发生了明显变化，PDD-21 中的战略和政策已无法适应新的形势，因此亟需加以修订。CSC 2.0 尤其强调了以下几点：应将低轨卫星通信网络和云计算等新兴技术纳入关键基础设施的范畴；应为新的政策令指定一个具体的修订周期，比如每两年修订一次；将 CISA 指定为国家风险管理机构（NRMA）并赋予其相应的职权；根据各行业的实际情况，分别阐明各 SRMA 的具体职责；将与 SRMA 职权有关的资金纳入国家预算；为企业指定通报网络安全事件的唯一渠道，以减轻企业的通报负担；按照系统重要性来确定各基础设施的优先响应顺序，从而提高各 SRMA 的整体工作效能；为厂商制定最基本的强制性网络安全标准。以一言蔽之，CSC 2.0 希望通过 NRMA 和 SRMA 对关键基础设施进行更加统一的管理，并进一步畅通政府与企业的网络安全沟通机制。（全文完）

　　免责声明：本文转自信息安全与通信保密杂志社，原作者三十所信息中心。文章内容系原作者个人观点，本公众号编译/转载仅为分享、传达不同观点，如有任何异议，欢迎联系我们！

　　国际技术经济研究所（IITE）成立于1985年11月，是隶属于国务院发展研究中心的非营利性研究机构，主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题，跟踪和分析世界科技、经济发展态势，为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号，致力于向公众传递前沿技术资讯和科技创新洞见。