白城意外险交流群

原创 | 中国信息安全测评中心位华:特朗普政府网络安全人才政策战略动向

中国信息安全 2020-11-08 07:40:04
点击上方“中国信息安全” 可订阅

■ 中国信息安全测评中心 位华 王星

引言

2017年5月,美国总统特朗普签署了13800号行政令《加强联邦政府网络与关键基础设施网络安全》,这是特朗普政府在网络空间安全政策方面的首个行政令。其内容从逻辑上分为四条工作线,分别是联邦政府网络安全、关键基础设施网络安全、威慑及国际合作和网络安全人力发展。第四条工作线所关注的人力发展问题,不仅是美国国家网络安全战略中从不缺席的重要内容,而且,在13800号令的起草过程中也经历了耐人寻味的曲折反复。这一过程以及最终呈现的行政令内容显示,美国不仅将继续巩固人力发展工作在国家网络安全战略中的基础地位,特朗普政府还将采取更加进取的人才政策,寻求进一步加强美国在网络空间的领先优势。

13800号行政令人才内容变化及原因

特朗普在2016年11月胜选后曾多次就网络安全问题表态,承诺上任后立刻下达命令,并将在执政第90天拿出网络安全改进方略。网络安全行政令本应于2017年1月31日签署,但在总统与国家安全局局长兼网络司令部司令迈克·罗杰斯、高级顾问贾瑞德·库什纳、白宫首席战略师史蒂夫·班农等安全高官会面后突然被临时叫停。在延期后的三个多月时间,行政令几经修改,美国媒体和前政府高官不断披露起草中的文件,在政界和网络安全领域掀起一轮又一轮的关注和评论热潮。其间,“网络安全人力发展”这部分内容在整个行政令起草过程中经历了从有到无,又从无到有,且大幅加强的变化过程。行政令正式签署之前曾先后泄漏出四或五个版本的草案,其政策主张和行文风格存在明显差异的有三个版本。本文结合首发版、修订版和正式版各版本的特点,逐一对行政令中的网络安全人力发展内容进行分析,了解美国决策者对网络安全人力发展认知和定位的变化,研判其人才政策的战略动向。

1. 首发版:军队牵头,国防部执掌人才大计

1月27日,《华盛顿邮报》首次披露一份特朗普政府的网络安全行政令草案,这是公众在特朗普原计划的签署日期之前,通过媒体首次了解行政令内容。文件题为《增强美国网络安全与能力》,要求政府相关部门和机构提交11份网络安全评估报告。行政令第7节“美国网络能力评估”中的(d)小节题为“人力发展评估”,具体内容包括:“为确保美国长期占据网络优势,国防部长和国土安全部长应该对教育部从小学至高等教育的计算机科学、数学与网络安全教育相关信息进行收集和评估,以全面掌握美国未来网络安全人员队伍教育和培训工作情况。国防部长应该就美国教育体系的发展提出他认为合适的建议,以保持美国教育体系未来的优势竞争地位。”

这份草案流出之后引起争议,原因是文件给国防部赋予太大的职责和权力,军队扮演了过多的角色。文件中关于网络安全人力发展的内容令人感到困惑:下至小学、上至高校的网络安全教育情况由国防部牵头负责评估,以强硬作风著称的国防部长詹姆斯·马蒂斯可以就美国网络安全教育体系的发展“提出他认为合适的建议”。CNN曾以醒目文字报道称,行政令有“大变革”,将由“美国军队审查孩子们学习的网络安全课程”。

联系到特朗普在竞选期间以及执政初期对网络安全问题的强硬表态,不难看出,这种态度和首发版行政令中明显的军事倾向是一致的。彼时特朗普就曾屡次发表攻势十足的言论,号称要动用网络武器,“摧毁美国的敌人”。

2. 修订版:去军事化,人才议题意外缺席

2月9日,保罗·罗森茨威格在国家安全主题博客Lawfare网站上披露新的行政令草案(本文称之为修订版),称这份文件来自于三个不同的信源。草案名称此时已修改为《加强联邦政府网络与关键基础设施网络安全》,共要求提交10份评估报告。之前曾在首发版中占据一席之地的“人力发展评估”内容,在修订版中意外地被全部删除。

修订版文件内容更加全面、理性、温和,与特朗普执政之初发布的“移民禁令”等行政令风格迥异。操刀修订这份文件的是总统国土安全与反恐顾问托马斯·博塞特。与上一版的区别在于,这个版本不仅修正了关键部门缺失等明显的缺陷(首发版完全未涉及联邦调查局、中央情报局以及国务院);而且进行了“去军事化”的纠偏。文件一方面,删除了首发版中大量直白且富有攻击性的表述,如“维持美国坚决塑造其他国家和非国家行为体网络空间的能力;利用全频谱能力捍卫美国在网络空间的利益;发现、破坏、击败恶意网络行为体”等;另一方面,也收窄了首发版中拟赋予国防部的权力,明确评估关键基础设施网络安全漏洞的工作仍由国土安全部牵头,国防部改为协调机构之一。

至于原先由国防部牵头的人力发展内容为何整体缺失,一种猜想是修订版对首发版纠偏过程中的矫枉过正,但是,更有可能的是美国网络安全决策者此时就人力发展政策的定位、实施主体以及覆盖范围等关键内容仍在讨论中,尚未达成一致意见。

3. 正式版:强势回归,人才战略地位增强

5月11日正式发布的行政令,名称仍为《加强联邦政府网络与关键基础设施网络安全》,与修订版一致,共要求提交14份评估报告。行政令在第3节“国家网络安全”中(d)小节再次增加“人力发展”的内容,并要求相关部门和机构提交3份报告,包括:(1)商务部长与国土安全部长会同国防部长、劳工部部长、教育部部长、人事管理办公室主任、国务卿以及其他由商务部长与国土安全部长确定的机构负责人,共同评估美国未来网络安全人员教育培训工作的范围及成效,包括从小学到高等教育的网络安全相关课程、培训和学徒制项目,并在120天内提交一份公私领域如何维持和促进国家网络安全人力发展的评估结论和建议报告;(2)国家情报总监会同由其明确的其他机构负责人,评估潜在的、可能影响美国长期网络安全竞争力的外国网络安全人力发展实践,并在60天内提交评估结论和建议报告;(3)国防部长协同商务部长、国土安全部长及国家情报总监,评估美国保持或提升其国家安全相关网络能力优势所开展工作的范围及成效,并在150天内提交评估结论和建议报告。

正式版的内容与修订版大体保持一致,最大的变化就是不仅恢复而且强化了“网络安全人力发展”部分内容。同首发版相比,正式版中人力发展评估的工作从一项增加到三项,涉及的部门从三家增加到至少七家;从行政令整体任务部署来看,人才问题的归位补充完整了四条工作线的布局。行政令明确指出,网络安全专业人才队伍的持续增长是实现美国在网络空间各项目标的基础。就是说,行政令前三条工作线所要求的目标能否达成,是由第四条工作线,即人力发展的情况所决定的。

另一个值得关注的新情况是,特朗普政府将网络安全人力发展工作明确划分为三个层面,分别由不同政府部门牵头,对相应领域网络安全人力发展状况进行摸底和汇报。

(1)公私领域人力发展

在人力发展工作的第一个层面,当局认为,要长期维持美国的网络安全竞争力,确保美国教育体系、各类培训项目、学徒机制都要保持世界顶级领先水平。要实现这一目标,行政令中首个任务就是由商务部和国土安全部牵头,就政府部门为主的公共领域和关键基础设施为主的私营领域网络安全人力发展工作进行评估。这是在自2010年开展的美国国家网络安全教育计划(NICE)基础上做出的,NICE计划的主要实施单位正是商务部下属国家标准与技术研究院以及国土安全部。

美国网络安全决策者认为,从国家安全的角度来看,政府和私营领域是不能彼此分隔的,大量牵涉国家安全的网络安全事件发生在私营领域。应对国家网络安全挑战时,人才队伍建设工作不只是联邦政府的任务,而是国家任务。解决方案就是利用政府的资源和行政力量,推动政府、军队、私营领域网络安全人才建设均能受益的工作。为持续保证人才供给,美国高度重视整个教育体系中从幼儿园到高等教育全体学生的网络安全教育,在低龄阶段将网络教育视为和识字教育同等重要的基础教育内容,在高等教育阶段通过卓越学术中心(CAE)项目及各类奖学金计划培养和选拔专业的优秀人才。

(2)国际竞争力

在第二个层面中,行政令要求国家情报总监办公室牵头,对其他国家的网络安全人力发展举措进行评估,这是美国首次公开在国家网络安全政策文件中,对可能对美国造成竞争威胁的国家所开展的人才工作表示关切。作为在网络空间“建队伍”最早也最有实力的国家,美国此时选择环顾四周,去了解其他国家在网络安全人力发展方面的思路和实践。如果发现有,美国需要做出两方面的判断,一是国外的先进实践是否会减少美国在网络空间的竞争优势;二是如果学习国外的先进实践,是否能提升美国的优势。

从为数不多的高层公开言论来看,美国情报总监牵头的这项工作怀着“借鉴”目的,希望了解别国是否有比美国更有效的人力发展体系或方法;而不是为了监控国外的威胁,因为一些待评估的国家属于美国的盟国。无论如何委婉地表述,美国将其他国家网络安全人才发展规划和实践纳入自己的情报收集范围都是不争的事实。中国作为美国长期的假想敌,自然也是美国的重点监控对象。事实上,在美国国防部6月6日发布的2017年度《中国军事与安全发展态势报告》已经披露了部分内容。该报告评估了解放军战略支援部队架构、作战能力、人员水平以及培训情况等,认为“解放军正在发展网络力量方面迈出第一步”。

(3)国防部人力发展

行政令中网络安全人力发展第三个层面的工作要求对国家安全相关网络能力提升情况进行评估,这部分内容相对前两个层面更加具体和聚焦,指的是国防部的网络安全人力发展工作。国防部作为美国NICE计划的实施单位之一,本身已经掌控全美网络安全人才培养和选拔的关键环节。NICE计划针对高校人才培养的卓越学术中心(CAE)项目中,所有网络防御方向的高校都由国土安全部管理,而网络攻击方向的高校则直接与国防部对接。此次行政令把国防部自身内部的人才建设工作单独划分出来,目的是希望从军队角度,确保国防部能够在网络空间拥有和其他战场一样的领先优势。

美国国防部人才保障情况直接关系国家安全行动的成败。据美官方说法,国防部也面临严重的人才流失问题,很多高水平的网络安全专业人才因为体制在留人方面的困难,或为了追求私营领域的发展机会,离开军队。此外,由于联邦政府内网络安全岗位人员大多数都在国防部任职,该部门的网络安全群体可以看作是整个国家网络安全人员队伍的缩影。决策者认为,关注国防部网络安全人员招募、培训、评价、留用等方面的状况及面临的挑战,有助于掌握国家网络安全人力发展的态势,进而建立有针对性的政策机制。

特朗普政府网络安全人力发展政策走向

同奥巴马政府执政之初实施的网络安全政策评估类似,13800号行政令将成为特朗普政府未来网络空间安全政策的起点。其中,网络安全人力发展的三份评估报告完成后,根据报告结论和对策建议,美国可能会继续出台新的政令和法律。就当前行政令所定下的基调和起草的过程看,特朗普政府今后的网络安全人才政策将呈现以下趋势。

一是将继续沿袭前两届政府对网络安全人才的战略认知。美国作为网络安全技术的领跑者,以及制度化实施网络安全人才队伍建设的先行者,对网络空间人的作用和价值始终保持深刻而连贯的认识,连续几届政府都做出了一致的战略部署。小布什时期的CNCI计划明确提出,要制定国家级的网络安全教育战略,催生了NICE计划;特朗普的13800号行政令也顺应了奥巴马的系列主张以及其卸任前留下的建议,后者的国家网络安全促进委员会曾建议新任总统实施专门的人才计划,并在2020年前培养各类型网络安全人才15万人。

二是在美国整体走弱的背景下,将采取更加进取的人才政策。美国整体发展的基本面呈下行趋势,一家独大的领先优势正在逐渐缩小,加上网络空间复杂多变的不确定性,美国的心态也在发生微妙的变化。与竞争国家之间差距缩小带来了危机感和紧迫感,促使长期保持领导者姿态的美国也开始关注和学习其他国家在网络安全人力发展方面的理念和做法。美国要保持自己的国际竞争力,维护其在网络空间的既得利益,必将进一步强化网络安全人力发展的各项工作举措,投入更多资源扩大人才队伍建设工作的范围和成效。

三是将改进核心关键领域人才体制机制,发展网络安全威慑能力。近几届美国政府的国家网络安全战略发展轨迹是从防御、控制,到针对潜在对手进行积极防御,再到制定规则塑造网络空间,总体上说,主动性和攻击性越来越强。这是美国在涉及国家安全问题时的固有特点,也是军事、情报强力部门在网络安全政策制定中的主要诉求。13800号行政令的出台,首发版内容着实体现了国防部的真实意图和目标,中途虽经过了“去军事化”的纠偏,但仍在最终的网络安全人力发展内容中为军事和情报部门未来的努力方向埋下伏笔。尽管特朗普政府总体上继承奥巴马政府的网络安全政策,但也对其“缺乏威慑”表示不满。未来,特朗普政府在决定是否动用网络武力时可能会慎重决策。美国一定会确保自己掌握最先进的网络作战能力。要实现这一目标,美国将在行政令评估结果基础上改进国家网络安全关键部门和岗位的人才体制机制,为建设有效的网络安全威慑能力创造条件并提供保障。(本文刊登于《中国信息安全》杂志2017年第8期)


更多信息安全专家文章

请关注公众号!

Copyright © 白城意外险交流群@2017