独家快评 | 沈逸：美国新版国家网络安全战略反映美国构建网络霸权面临多重考验

文 | 复旦大学网络空间国际治理研究基地主任 沈逸

2023年3月2日，拜登政府发布了各方期待已久的《国家网络安全战略》。该战略文件延续了此前小布什、奥巴马、特朗普历任美国政府围绕维护国家网络安全，巩固并强化网络霸权的核心思路，尝试构建一个包含捍卫关键基础设施、破坏和摧毁威胁行为者、塑造市场力量以便提高弹性、投资下一代技术以及建立国际伙伴关系等五大支柱的庞大国家网络安全战略体系，并以关键基础设施保障为抓手和切入点，突破强化政府监管能力与网络空间行动能力两大难题，聚焦进入动荡变革期的大国战略博弈，系统性谋求在网络空间贯彻落实此前公布的美国国家安全战略精神，在新时期打造出一个足以支撑起美国全球网络霸权的战略体系，获得全球网络空间的非对称优势。

在制定这份网络安全战略中发挥核心作用的，是在发布前刚刚辞职的拜登政府国家网络事务主任（National Cyber Director）克里斯·英格利斯（Chris Inglis），作为国家安全局前副局长，以及特朗普政府时期美国国会知名的日光浴委员会成员。英格利斯在小布什、奥巴马、特朗普三位总统任内，均处于华盛顿国家网络战略决策核心圈层，拜登政府2021年对其的任用，也在当时获得了参议院压倒性的支持。相关媒体报道显示，无论是白宫、美国国会，或是与网络安全相关的企业和智库，均对英格利斯赞誉有加。从网络安全战略的行文看，其内容、目标和布局，均比较充分和全面体现了对核心业务与实体流程的关注，尤其是其中的两个主要突破点。

第一，战略文件明确提出了要强化联邦政府对大型企业的制度性监管，取代所谓“自愿”原则。从美国国家网络安全的演进看，美国早在奥巴马时期就尝试构建联邦政府主导下的监管机制，确保能够将网络安全责任，落实到大型软件企业和关键基础设施的大型运营商身上，但是，这个进程被美国商会等企业构建的游说组织，直接打断了；到了特朗普时期，体现美国自由主义传统，强调“小政府，大市场”的“自愿”原则，成为实践的主流。最终导致的结果是网络安全责任的主体，变成了小微企业乃至终端用户，政府缺乏必要的抓手，对大公司和大运营商，实施治理。由此，美国在2023年的国家网络安全战略中，强化“监管”成为其核心特色。长期从事美国国家网络安全战略，知名智库战略与国际安全研究中心的刘易斯称，这份战略在监管问题的突破是“说出了别人害怕说出的话”。

第二，战略文件明确而直接地提出了要在全球范围提升和扩展能够摧毁威胁来源的行动能力。有媒体分析指出，强化“攻击性”，或者说“进攻性”，是拜登政府这份战略的另一个显著特色。有报道非常生动的指出，这份网络安全战略显示，在网络空间的问题上，外表看上去文质彬彬的拜登团队就开始变得极富攻击性。从战略演进来说，英格利斯本人经历了从小布什到拜登历届美国国家网络安全相关战略的决策进程；就思路而言，拜登这份战略要求动用经济、外交、军事和技术领域的各种手段和方法，涵盖技术反制、经济制裁、外交孤立乃至军事毁伤（包括物理毁伤）等美国政府可以支配的完整频谱，在全球范围对任何被判定为威胁美国国家利益，比如攻击天然气管道控制系统，攻击美国软件供应链，“攻击”美国国内选举等的行为体。实施“瓦解”和“摧毁”可以看作是奥巴马政府时期网络空间国际战略中引入“威慑”原则继承和发展，是特朗普政府时期允许时任网军司令部司令中曾根实施“前沿狩猎”（Forward Hunt）与“持续交战”（Persistent Engagement）实践的提升与扩展，更是为拜登政府正在推进的“下一代互联网联盟”装上牙齿和爪子，确保能够用实力方式在网络空间强势推进以价值观和意识形态划线站队的必然结果。

当然，作为一份美国发布的国家网络安全战略文件，尽管其内容已经在美国国内获得了持续的好评，但是各方也都清楚，没有一个国家的网络安全是可以让文件自动实现的，发布文件仅仅只是第一步，真正的问题在于执行和落实。微妙之处就在于，各方在高度评价文件内容的同时，也对落实和执行文件面临的困境与挑战，表达了共同的关切。最主要的障碍，不出意外的，来自美国国内。以捍卫关键基础设施来说，此前曾经发生过非常著名美国得克萨斯州休斯敦、主要负责向美国东南部运输重油的Colonial公司运营的石油管道系统遭遇网络攻击，影响原油运输，相关部门发布紧急状态的事件。事件发生后，白宫国家安全委员会在分管网络安全的副国家安全顾问安妮·纽伯格（Anne Neuberger）的指导下对所有16个关键基础设施部门的监管状况进行了分析。结果发现，其中不到一半，准确地说是5个（核电、金融服务、大型能源、化学药品和主要国防承包商），已经被纳入某种形式的网络安全政府监管体系之中，除此之外，那些运营商，必须通过国会立法程序，才能构建相应的监管体系；就算那些已经被纳入监管体系的基础设施运维部门，也并不完整，以能源管道运输为例，在前述Colonial管道系统遭遇袭击事件的刺激下，也只是将最大的97家管道公司纳入监管体系之中。

从保障国家网络安全的角度来看，仅仅就强化监管看，美国此版战略的实施至少面临三个方面的制度性约束。

联邦层面，任何强化监管扩展政府权限的举措，都必须得到国会支持，形成新的法律体系，因此面临政治撕裂导致的严峻挑战。2023年的美国国会，不仅面临共和党与民主党的深度撕裂，在共和党内部，前任总统特朗普的支持者也已经成为某种意义上的相对独立的政治势力，不说扩展联邦政府权限这种涉及重大利益调整的事，就选举众议院议长这种理论上纯属走过场的政治礼仪性活动，都能变成一场持续接近一周的艰苦政治拉锯。拜登政府这份雄心勃勃的战略文件在多大程度上能够在有限度的时间内落地，在进入2024年总统选举的激烈撕扯之前成型，显然是一个存在巨大不确定性的问题。当然，如果从拜登政府的任期看，2023年第三或者第四季度，其工作主轴应该持续向2024年总统选举转移；考虑到2024年总统选举的微妙态势，战略文件需要的配套法律体系是否有足够的时间能够穿越国会如亚马逊雨林般绵密复杂的立法体系，似乎对拜登政府来说，是远比完成这份战略文件写作来说更加艰巨和困难的任务。

政企关系层面，高度市场化的基础设施运营商与大型软件商，多大程度愿意接受和认可强势的政府监管，是一个更大的未知数。此前刚刚在俄亥俄州出现运输化学物质火车倾覆导致环境灾难的诺福克南方公司（South Norfolk）公司，提供了一个具有参考价值的对照案例：这家企业2021年用了98万美元，实施了超过680笔的政治捐助；游说重点之一是解除法律对公司的管制，取消关于火车必须安装新型刹车系统的规定；媒体报道该公司取得盈利之后，主要用途是给高管发高薪，以及通过回购股票方式回馈投资者。这种高度市场化、聚焦“效率最大化”的运营模式，是美国相关企业的标准化经营理念。拜登政府强化监管的网络安全战略，对那些以网络安全为盈利来源的企业来说，当然是巨大的利好信息，但是，对那些需要被纳入监管并要求承担安全成本，强化网络安全防御能力的运营商和企业来说，就是必须大规模游说进行规避的风险。此前，美国商会与英格利斯办公室之间的关系，就非常微妙。公开媒体报道称，商会在一份声明中表示，它与英格里斯办公室（ONCD）共享“共同利益”，以便“推进监管协调和责任保护”。媒体解读认为，协调意味着避免在同一公司遭遇来自多个不同联邦政府部门的网络安全检查，“责任保护”则明显是在暗示和强调企业应该享有相应的豁免权。考虑到美国两党政治的鲜明特点，以及自由市场经济在美国的地位和影响，即使美国政府拿出关键基础设施保护等国家核心安全利益的理由，如何持续稳健地应对来自企业游说的对冲，仍然将消耗大量的精力和时间，并持续为这份雄心勃勃的战略文件的落地与实现，注入更多的不确定性和不稳定性。

联邦与州政府的关系处理与权限分配，为战略文件的落地，带来了堪称全新的考验。成为核心监管对象的关键基础设施，都具有非常明确的“属地”性；而作为一个联邦制国家，美国联邦政府权力的设置，天然与州权形成了相互牵制的微妙关系。联邦政府能否在网络安全议题上，超越美国政治制度内嵌的牵制与制衡机制，“一竿子插到底”的在全国范围实现对关键基础设施的有效管辖，已经很难说是一个纯粹的网络安全议题了。而这恰恰又与拜登政府迫切推进和落实网络安全战略实践，构建完善监管体系的具体目标诉求，形成了明显的张力关系。

至于更加吸引关注的行动能力建设，即破坏和摧毁威胁行为者，确实在认知和心理层面，具有更强的冲击力和传播效果。不过从实践效果看，短期内应该可以坐实美国政府的网络霸权行为体的名头：毕竟如此大张旗鼓地表示要对网络攻击行为进行强势反击，甚至予以摧毁的，美国应该属于全球领先甚至是唯一的存在。其中的主要问题在于，由于美国始终坚持一种单边主义的国家安全观，所以美国的网络安全战略，虽然在引言部分贴上了一些华丽的辞藻，大谈网络的开放性、互操作性以及所谓的共同价值观，但是，人们都清楚，美国本质上追求的就是一种所谓美国治下的和平（PAX Americana）在网络空间的投射：美国占据超强地位，协同以“五眼联盟”成员为核心的少数盟友，形成寡头，蔓延到西欧其他国家，再到世界各国，形成一个等级制的俱乐部。在这个俱乐部里，除了美国以外，任何国家的关键基础设施对美国都是不设防的存在，全球网络空间信息的自由流动遵循美国的标准，美国享有合法监听其他国家的行动自由，可以合法地对供应链进行污染，植入后门，并在美国认为需要时进行攻击，而其他任何国家都不得予以反制。

美国的这种追求并非没有任何依据的凭空想象。看德国等欧陆国家，在“北溪2”，欧洲国家最重要的关键基础设施之一，被人为破坏之后的反应就可以了解美国坚定推进霸权的底气，确实得到了来自盟友一侧的证据支撑：美国的盟友只要意识到关键基础设施遭遇到了来自美国的威胁乃至破坏，就会自动陷入沉默模式，放任美国的行为；对习惯了这种待遇的美国而言，在国家网络安全战略里写入追求“绝对安全，绝对自由”的美式网络空间安全秩序和行为规则，是非常自然的。

当然，由此带来的风险在于，美国对这种“绝对安全”和“绝对行动自由”的追求，意味着除美国之外其他国家的“绝对不安全”和“绝对不自由”。可以想见的是，美国推出的这种进攻性的网络安全战略，必然诱发其他国家合理的安全关切和焦虑，这种合理的安全观切和焦虑，必然会触发强化网络安全能力包括网络攻击能力、网络防御能力以及网络威慑能力的建设。这种场景，在冷战时期的美苏军备竞赛中，已经得到了持续的验证。最终的结果，对全球来说，当然是一种悲剧，因为大量可以用于可持续发展的资源，被迫因为美国构建的安全威胁，而投入到应对美国威胁和挑战的领域；对于美国来说，可能是一种更具讽刺意义的悲剧，因为不仅将收获一个更加不安全的外部环境，而且还会因为错配资源，在错误的安全观以及扭曲的利益观的引导下，错过校正美国实力变迁的战略窗口，从而在消耗大量资源之后，走向那个美国最不希望看到的结局，即美国整体实力的不可逆转的相对，乃至，绝对衰退。

从中国的角度看，美国通过国家网络安全战略来追求巩固和扩展网络霸权的举措，除了上述国内政治的结构性制约，以及诱发全球安全困境的负面效果等，还明显面临来自技术生态和产业发展领域的掣肘乃至否定：美国国家网络安全追求的网络空间的安全秩序和权力结构，与信息技术革命从20世纪70年代末以来的发展方向是背道而驰的；与经济全球一体化的生产力发展方向是背道而驰的；与构建基于效率最大化，能够全面提升全球福祉的冷战后全球产业—供应—价值链体系的内省需求是背道而驰的。从某种意义上说，这种错误的战略设计，即使在美国，参考20世纪70年代越南战争，以及进入21世纪之后撤离阿富汗的案例等证明的那样，也是属于“自我击败”（Self-defeating）属性较为强烈的。

当然，作为来自华盛顿的警钟和提醒，人们再次认识到，各个国家需要在认真提升和准备自身网络空间防御能力，应对美国网络安全威胁的同时，还需要从全球秩序的角度再度认真思考，如何推动网络空间安全秩序的良性变革，发挥联合国的积极作用，确保全球范围的资源，聚焦推进可持续发展的数字赋能方向，从而为人类共同的福祉和命运做出更加积极的贡献与支撑。