返回上一页 文章阅读 登录

汪天骄:美日网络安全合作机制论析

更新时间:2020-12-04 17:11:50
作者: 汪天骄  

  

   2019年,美日两国确认网络攻击适用于《美日安保条约》,标志着美日同盟从物理空间全面向网络空间延伸。这是以美国为核心的传统同盟体系向网络空间扩展的典型案例。其主要有三个特点,一是在合作模式上,美国发挥引领作用,日本对美国提出的网络安全相关理念和行动战略都具有较高的认同度,并快速学习转化为自身的网络安全战略。特别是自2010年以来,美日双方都陆续推出了国家网络安全战略和网络空间国际合作战略,并建立网络部队,加强政策话语体系的融通和网络攻防能力建设的协调。二是在合作机制化程度上,美、日两国以新版《美日防卫合作指针》和《美日安保条约》作为法律依托,通过首脑对话、安保磋商、网络对话等磋商机制,实现了从政治、经济到军事、安全的全方位“无缝合作”。三是在合作效果上,两国政府不仅明确表达了深化合作的意愿,而且这种以传统军事同盟向网络空间扩展的合作方式将对地区乃至世界其他国家产生示范效应,由此可能加剧网络空间的“巴尔干化”,并形成多个政治乃至军事集团,从而对全球网络空间战略稳定产生较为复杂的影响。

   值得注意的是,美日网络安全合作深刻反映出美日同盟背后的张力。尽管两国政府在网络空间这一新兴领域的明确合作意愿以及大量合作实践为美日同盟进一步深化注入了新的动力,但双方应对网络安全挑战的战略目标及政策偏好仍然存在结构性差异。美国主要试图整合包括日本在内的全球盟友资源,以有效遏制甚至挫败所谓“修正主义国家”试图颠覆全球网络空间秩序与美国霸权的行为。而日本则更注重从两国网络安全合作中得到安全承诺与集体防卫自由,借助网络空间行为的模糊性与不确定性为本国军事行动松绑。这种差异将使双方在维护网络安全的责任划分、合作的紧密程度等方面展开博弈,也使双方在更具进攻性的网络行动方面协调一致,从而对全球网络空间的战略稳定造成冲击。本文拟梳理美日网络安全合作的发展历程与核心内容,进而分析两国开展网络安全合作的方式及其特点,并研判其对全球网络空间战略稳定可能造成的影响。

  

一、美日网络安全合作历程与现状

   美日两国在网络安全政策方面的契合度较高,具体表现为日本对美国提出的网络安全相关概念及其主张的快速学习、认同并转化为自身的网络安全战略。这为双方持续深化的网络安全合作奠定了坚实基础。除此之外,双方还通过建立多层次的对话和协调机制,持续推进在民用网络安全、军用网络安全和国际规则领域的合作。

   (一)美日网络安全合作历程

   早在21世纪初,日本就充分认识到信息技术对摆脱经济停滞、提升国际竞争力的重要作用。而这一认知与美国克林顿政府时期提出的“信息高速公路”计划以及“知识经济”所取得的巨大成功密切相关。2000年日本内阁设立IT战略本部,由时任首相森喜郎担任本部长。同时,美日两国在2000年前后都出台了一系列针对信息安全和网络通信基础设施防护的国内法律文件。然而,随着网络相关技术的不断发展,网络空间逐步成为国家间政治、经济乃至军事竞争的焦点。尤其是在2010年前后,一系列重大网络安全事件的集中爆发已经完全超出了传统信息安全的范畴。起初,西方国家纷纷指责俄罗斯对爱沙尼亚和格鲁吉亚发动网络攻击,谋求地缘优势。随后,美国监听全球的“棱镜”项目不仅很快被曝光,而且还伙同以色列对伊朗的铀浓缩设施发动“震网”病毒攻击。几乎在同一时期,网络平台还成为中东地区国家政局普遍动荡的重要推手。在这一重要背景下,美国奥巴马政府将网络空间安全威胁视为最严重的国家经济和安全挑战之一,并迅速设立了网络司令部。美国一方面强调对关键基础设施的保护,强化网络攻防能力建设;另一方面在网络空间积极推行所谓“互联网自由”战略,旨在建立“开放、互通、安全、可靠”的全球网络空间,并积极与盟友和伙伴组建“意愿联盟”,构筑网络空间的“集体防御”机制。

   正是在网络安全国际形势和美国网络安全战略的影响下,日本才逐步形成了目前的网络安全战略。在2011年度的《防卫白皮书》中,日本首次将网络攻击列为其面临的首要安全威胁,并建立了网络空间防卫队。2013年,日本发布了第一份《网络安全战略》以及《网络安全国际合作方针》,跳出了聚焦于信息安全技术的传统框架,强调应对网络安全带来的综合性挑战。2014年,日本出台《网络安全基本法》并正式组建与陆、海、空、天并列的网络防卫队。2015年,日本发布第二版《网络安全战略》,增加了“确保自由、公平和安全的网络空间”的愿景、目标,与美国的网络安全战略主张高度契合。2018年,日本又推出了新版《网络安全战略》,在继承此前相关愿景、目标和基本原则的基础上,进一步阐明了具体行动计划、体制机制建设和国际合作战略。

   (二)美日网络安全合作机制

   在日本积极向美国借鉴并逐步确立新时期网络安全战略的同时,美日两国网络安全合作的机制化进程也日益深化。尤其是在安倍晋三第二次执政后,美日两国通过领导人峰会将网络议题磋商提升至政府首脑级别,使双边网络安全合作机制的发展进入快车道。由外交部长、国防部长参加的“美日安保磋商委员会”(“2+2”)会议,明确将网络安全议题纳入其中,并对后续的美日网络安全合作起到整体的政策设计、评估和协调作用。在这一部长级磋商机制之下,还包括三个司局级工作组专门负责特定领域的网络安全合作。其中,美日网络安全对话已举行过七次,旨在通过定期交换网络威胁情报,协调政府间网络安全政策,保护关键基础设施。此外,两国防务部门之间还成立了“网络防御政策工作组”(Cyber DefensePolicy Working Group, CDPWG),聚焦于网络防御政策磋商、网络军事能力建设以及双边演习和推演等。另外,美日网络经济政策会谈主要围绕双方数字经济合作展开,同时部分涉及如何就保障商业网络安全问题加强合作。总体上,美日网络安全合作既包括宏观层面的战略对话,也包括微观层面的具体合作措施。

   在宏观层面主要以美日领导人峰会以及美日安全磋商委员会会议为代表,为双方的网络安全合作定下基调;而在落实相关技术性问题时,双方又借助网络安全对话、网络防御政策工作组以及网络经济政策会谈等常态化磋商机制加以推进。从具体合作内容和战略目标看,日本学者曾把施行《美日防卫合作指针》、共同保护海底光缆和共享网络情报作为三大合作领域。而事实上随着双边合作的不断推进,相关合作机制既包括保障商业网络安全、防护关键基础设施、协调政府间网络安全政策等偏向民用领域的安全合作,又涵盖网络部队建设、网络空间联合行动以及防御政策磋商等偏向军事领域的合作。两者相辅相成,构成了全方位的网络安全合作体系。此外,由于网络空间缺乏公认的国际规范和行动原则,探讨国际法如何适用于网络空间也是美日两国网络安全合作的重要内容。在此基础上,美日同盟向网络空间延伸将对美国全球同盟体系产生示范效应,并谋求为全球网络空间建章立制。

  

二、美日在民用网络安全领域的合作机制

   在民用网络安全领域,自开启网络安全对话以来,美日两国即强调合作的首要任务在于促进各自的网络安全保障能力建设。网络安全保障能力主要是应对网络安全风险的能力,即在真正的网络攻击发生之前评估网络安全风险,并通过网络安全技术的应用等提升信息系统的稳健性和恢复力,从而防范安全风险的发生,增强网络攻击出现时的应对能力并使损失最小化。

   (一)以安全威胁信息共享推动民用网络安全合作

   2017年以来,美日两国分别为提升各自的网络安全保障能力进行了积极努力。例如,美国国土安全部在2018年发布网络安全战略,其核心内容在于为联邦政府按照一定流程评估和应对网络安全风险提供指导。在同一年发布的日本网络安全战略中,日本政府则将网络安全责任体系和风险管理确定为保障网络安全的关键路径。在此基础上,网络安全保障能力建设成为两国间对话机制关注的重点。2019年美日安保磋商发布的联合声明强调,尽管双方将在网络威慑和响应能力等方面加强合作,但提升各自对信息系统和关键基础设施的保护仍是两国政府的优先目标。

   具体而言,共享有关网络安全威胁和风险的信息是美日两国提升各自网络安全保障能力的重要内容。对于网络安全风险的防控来说,掌握充分的网络安全威胁信息是评估风险、发布预警并做出相关决策的基础。信息共享可助力更及时和充分地获知并预判网络安全风险。自首次网络安全对话以来,美日两国都强调交流和共享与网络风险相关的信息的重要性。为此,2017年5月,日本内阁网络安全中心宣布将加入美国国土安全部的“自动指标共享”(AutomatedIndicator Sharing)项目。该项目旨在促进网络安全威胁指标在公共部门和私营部门之间的流动,以强化并逐步整合各部门提前防范网络攻击的能力。这一合作意味着美日双方将在跨国、跨部门的范围内共享有关网络安全威胁的信息,从而迈出了网络安全信息实时共享的关键一步。

   (二)以最佳实践优化政府及产业网络安全保障体系

   网络安全保障能力建设方面的最佳实践是双方民用领域合作的重点,网络安全保障的核心在于信息系统的运行者及相关部门为预判和应对网络安全风险而提出一系列应对方案并予以落实。受各国战略文化、决策方式不同等因素影响,管控网络安全风险的具体路径和方式存在一定差异。例如,在私营部门对网络安全的管控方面,只有55%的日本公司进行网络安全风险评估,而美国约为80%;只有27%的日本公司设有首席信息安全官,而美国公司为78%。与美国不同,在日本,将网络安全整合到公司治理中是一个相对较新的概念,只有约1/5的日本企业会将网络安全视为提升自身竞争力的重要因素。绝大部分日本企业高管不仅缺乏关于网络安全的专业知识和经验,而且将网络安全相关投入视为巨大的成本而非投资,不愿将相对有限的预算投入到风控、运营和技术部门。

   美日两国在网络安全合作中认识到这一点,并指出加强网络安全风险管控的必要性。这不仅有助于增强双方在共同制定网络安全保障方案时的默契,也将帮助美日两国完善各自网络安全保障方案。尤其是在2017年勒索病毒(WannaCry)席卷全球的背景下,美日两国开始进一步反思其国内网络安全治理架构,并为私营部门提出改善网络安全和应对紧急事态的最佳实践方案。其中,日本经济产业省和信息处理推进机构(Information-TechnologyPromotion Agency, IPA)共同为企业修订的“网络安全管理指南”,明确将美国国家标准技术研究所(NationalInstitute of Standards and Technology, NIST)制定的网络安全框架作为参照标准,要求企业建立以首席信息官制度为代表的应对网络安全风险管理架构,增强企业从网络攻击中快速恢复的弹性,优化对关键资产的网络保护,定期进行网络风险评估,并加强供应链安全审核。在此基础上,美、日两国在合作中尤其注重构建全政府(whole-of-government)的网络安全战略。两国的国家网络安全战略都强调,面对复杂的网络安全挑战,需要以跨部门、跨领域的综合手段予以应对。有效的网络风险防控体系应以覆盖所有政府部门乃至私营部门为目标。两国一致认为,应合作维护各自的全政府网络安全保障体系。

以信息共享和实践交流为引导,各自建立全政府的网络安全保障体系是美日应对民用领域网络安全挑战的积极尝试。长期以来,日本在网络安全风险保障方面的一个主要短板在于资源投入较为有限。同时,与较早开始关注网络安全建设的美国不同,日本政府是在受到一系列国内外事件影响后,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:wangpeng
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/123780.html
收藏