重磅|美国网络威慑战略

点击：  作者：网传白宫起草    来源：网事研究  发布时间:2016-03-09 09:38:24

 

         译者按：2015年12月，新闻网站fedscoop发布新闻 Obama finally issues cyber deterrence strategy（奥巴马最终发布网络威慑战略），文章指出美国向国会提交了网络威慑战略文件。网事小组后知后觉地发现了这一消息，暂未在美国政府官网发现这份网传的文件。但在我们的研究中地发现，不管这篇文章是否为官方公开提交或发布，该文件堪称一篇上乘、全面的奥巴马政府网络安全政策综述。因此，我们立刻组织人手对它进行了翻译，供相关领导、研究和技术人员 参考。

Fedscoop新闻链接

http://fedscoop.com/obama-cybersecurity-deterrence-strategy

一  简介

在过去的30年中，美国越来越依赖于网络空间，网络空间可以促进商品和服务在全球范围内的流通，促进自由开放的政治对话，并支持大范围的关键服务（如对电力、水资源和其他公共事业的控制）。虽然互联网带来了前所未有的社会和经济机遇，但也对国家安全、经济安全、敏感企业和个人信息的安全带来了艰巨挑战。在一个全球互联的世界，网络安全是美国及其盟国在21世纪所面临的严重的国家安全问题之一。

社会、通信和全球互联网科技的进步，都伴随着网络相关风险的扩散。狡猾的、有能力的行动者通过网络进行诈骗、盗窃、破坏、操纵，以及在某些情况下对计算机系统、网络或者数据进行毁坏。罪犯、恐怖分子和国家对手能够利用美国对于脆弱性技术的普遍依赖，来篡改、窃取或损坏信息；转移或窃取钱财；通过窃取知识产权获得竞争优势；扰乱服务；甚至有潜力瘫痪重要基础设施。

网络空间中的绝大部分风险不会对个人或公众安全，政府、经济、社会[1]的运行构成严重威胁。但与此同时，网络攻击和某些恶意网络活动[2]——特别是由国家或有技术能力的非国家行为体实施、针对美国重要基础设施和重点产业的——能够对美国国家安全和经济利益构成重大威胁。也正是由于这些威胁的存在，美国政府试图通过其在网络空间中威慑对手的政策来加以解决[3]。美国政府正在寻求多方面的政策努力、利用一切国家力量工具来应对那些对国家构成重大威胁的恶意网络活动，并通过威慑拒止国家和非国家行为体试图通过网络手段来损害美国。我们将执行这一政策，并同时保证不削弱网络空间开放和互联的特征——这令互联网成为全球经济和社会进步的重要推动力量。在执行这一政策的过程中，当局[4]将继续改善现有能力，并开发新的能力以提高针对美国及其利益的恶意网络活动的成本、降低其收益。

二、美国要威慑什么

美国政府的政策是，利用全部国家力量手段来威慑对美国国家或经济安全及其切身利益构成重大威胁的网络攻击或其他恶意网络活动。具体来说，这包括造成生命损失的网络威胁——通过破坏关键基础设施及其提供的基本服务；扰乱或者削弱支撑核心功能系统的可信度——包括军事指挥控制、金融市场有序运行；或对构成诸如个人隐私、表达自由等核心价值观造成国家级威胁的网络活动。以下清单是我们威慑活动聚焦的优先领域。然而，这份清单名单既不详尽的，也不是静态的。我们将视新的威胁和地缘政治发展不断调整优先级。特别是，当局最关心的可能导致大规模破坏、毁坏、生命损失和对美国及其利益而言造成严重的经济后果的威胁，这些事件包括但不限于：

旨在造成人员伤亡的网络攻击或其他恶意网络活动。

旨在对美国社会或政府的正常运转造成严重破坏的网络攻击或其他恶意网络活动，包括攻击关键基础设施，毁坏用于向公众或政府提供关键服务[5]的系统。

威胁到美军的指挥和控制、美军机动性（行动）自由，以及美军所依赖保卫美国利益及承诺的基础设施的网络攻击或其它恶意网络活动。

通过基于网络的经济间谍或破坏活动以损害国家经济安全的恶意网络活动。这种活动破坏了全球贸易的公平性和透明性，因为美国的竞争对手窃取了开发中的技术，赢得了不公平的合同，或窃取了用于操纵市场和直接惠及其公司的信息。

恶意行为者利用多种策略攻击、 利用和破坏网络、系统和数据。对手正在试图侵入那些被很好保护的、隔离的或长期使用的网络——比如，许多美国部门利用网络来组织和执行关键的国家安全和经济运转职能——他们其可能使用将技术与人工间谍情报技术相结合的方法来实现。虽然这样的行动能力总体上对资源、持续性、以及专门技术知识的掌握提出了高要求，但这些方法的使用却不仅限于国家行为体。这些主要方法包括：

通过远程网络操控访问目标计算机、网络和信息。这些活动依赖于网络和个人电脑技术漏洞、不当配置，以及完全的人为错误。许多远程操控还可能取决于不知情的受害者接收了一条被植入恶意软件以损害其系统的消息或文件。

供应链操控寻求利用向目标受害者所提供的产品和服务的访问。这些操控可以发生在生产周期的任何一个环节：设计；制造；分配；维修；或升级，并且可以针对从微部件到整体系统的一切事物。

接近访问式操控可能会尝试拦截目标系统周围的未受保护的无线通信及其它发射信息，包括被侵害的硬件或主机上的隐藏发射信息。

内部人员在明知或不知情的情况下提供有关目标网络的信息，从其他人那获取信息，损坏系统或数据，以及影响目标组织的决定。懂得内幕的人士窃取便携式媒体和文档，以及安装装置或有助于信息收集和窃取的软件。

三  网络威慑战略

威慑试图劝服对手——通过对其决策施加影响——使其不采取威胁（本国）重要国家利益的行动。（威慑）通过令人信服地展示己方施加代价和惩罚的能力和意愿来对对手施加影响，从而令对手相信：克制比对抗（政策）的结果要好得多。但是，信息时代不同于冷战­时代，网络威慑不能依靠使用大规模杀伤性武器来达到威慑效果。冷战时期，一小部分国家拥有核武器，在两极国际体系中，这些国家要么与美国结盟，要么与苏联结盟。今天，虽然美国在军事上已经占统治地位，但却过于依赖网络，并要面对强劲的国家和非国家对手——它们有能力、技术而且意图对我们进行大型网络攻击。此外，许多网络工具具有双重或多重用途，可以支持一系列恶意的网络活动。最后，网络工具和网络行动比常规军事力量开发投入的资源更少，在相对较低的风险下就提供更广泛的操作空间，同时又很容易做“合理的”抵赖——这些特点创造了（制造相关工具的）需求，降低了制造门槛。

网络空间也有一些独一无二的特征——包括其全球性和互连性的天然特征、私有性占主体、 匿名性，以及破坏者较低的实施门槛­——这给在类型和范围上都有别于传统威慑的网络威慑带来了挑战。更麻烦的是，网络空间的潜在对手之间可能具有不对等的能力，每一方都不可能知道对方能力水平究竟如何。尽管通过长期性分析，美国在追溯特定网络攻击源的能力已经得到显著提升，可以让（一些）恶意行为者为自己的行为负责，但是，实时高可信度追溯攻击源[6]依然很困难。最后，恶意的网络工具可以用来实现多重目的— — 从骚扰到破坏 — — 甚至可能不会造成使用大规模杀伤性武器造成的破坏性影响。为了应对网络威胁的这些特性，美国政府正在采取多学科的方法来开发网络威慑的战略和战术。

四  美国网络威慑政策的组成部分

考虑到网络空间的特性，美国在反恐和反扩散领域内的实践高度关联。在这两个领域中，当局已经了解到，应对能力和信息不对称的一个重要的手段是采取广义上的威慑力量，即使用“全政府”（whole-of-government）方法，调用所有国内力量以应对特定威胁。与之相同，美国的网络威慑政策依赖于所有的国家力量工具——外交、信息、军事、经济、情报以及执法——同时还有公私合作来增强美国公民、工业与政府的信息安全。这些工具的使用旨在在对手思维中创造恶意网络活动的不确定性，增加对手行动面临的代价和后果。

拒止型威慑旨在令对手相信美国能够挫败恶意网络活动，从而降低其实施恶意行动的动力。为了使这种威慑效果变得可靠，我们必须部署强大的防御力量、建立能够从攻击及其它破坏活动中迅速恢复的弹性系统。

美国也正在寻求成本强加型威慑。这些措施不仅被设计用于威胁那些选择对美国进行网络攻击或其它恶意网络活动的对手，而且采取行动使对手的这些活动招致代价和惩罚。这些措施要利用美国政府通过各种必要手段——适当且与国际法一致的手段——来回应网络攻击的能力及意愿。这些措施包括但不限于：寻求执法措施、惩罚恶意网络行为者、实行进攻性和防御性网络行动、通过海、陆、空、太空投放来展示力量，以及在穷尽所有可行选择后诉诸军事力量。

（ 一 ）拒止型威慑

寻求防御性、弹性和可重建性的措施来为关键网络提供更强的能力，以阻止或最小化网络攻击及其它恶意网络的影响，实现受攻击后迅速重建。

与私营部门建立牢固的伙伴关系以推行网络安全最佳实践；协助构建公众对网络安全措施的信心；增进国家努力信心，提高网络弹性。

尽管实现实时性、精确性仍然困难，但是美国正在继续提升我们追溯恶意网络活动的能力，并且要让恶意网络行为者对其行为负责。然而，美国对国家和非国家支持的网络威胁的威慑能力至少一方面依赖于提高技术和其它壁垒的防御措施，另一方面要让对手确信美国能够并将会恰当回应网络威胁。尤其要清楚的事实是，即使面对复杂的网络威胁，美国也能够保持强有力的防御、保证弹性的网络和系统，并拥有实施力量投射、保卫美国利益的强大回击能力。

防御性，弹性和可重建性

美国政府认识到一些网络和基础设施——以及它们所支持的任务——相对于其它，它们更重要并且应当得到相应保护。就这一点而言，当局的网络威慑政策试图展示政府和私营部门网络防御的强度，以使对手对其恶意行动能否成功或达到预期效果产生怀疑。这种旨在改变对手利益风险计算的努力会潜在限制对手对其行为的理解，并且能够与追踪溯源相互独立、同时实施。

为了加强网络集体防御，美国政府联合私营部门来确认哪些关键系统必须被保护，并推行网络安全最佳实践。当局也正在提高政府部门间、政府与私营部门间的网络威胁信息共享。此外，美国政府大力投资以提高其自身的信息安全以及确保重要计算机系统和网络的恢复力，包括发展迅速的重建能力、在不良状态下的操控能力、以及瘫痪情况下必要的功能运行能力。

认定和保护核心关键基础设施

只用一种方法来保护关键基础设施中的每个系统和抵御每次网络入侵是不现实的。软件问题和漏洞的普遍性意味着美国政府不能确保每个系统将都一直免受入侵或损害。与其尝试始终保护每一个系统，美国政府不如将认定和保卫关键基础设施作为优先选择。政府政策和资源将会被优先用于确保特殊系统从不断提高和进化的网络安全和网络防御中受益。

为了解决这个问题，2013年国土安全部(DHS)被安排执行E.O. 13636行政命令中的第9部分，该部分申明：

在此命令颁布的150天之内，部长应当使用基于风险的方法认定关键基础设施，在关键基础设施领域内发生的网络安全事件很可能会在公众健康、公共安全、经济安全与国家安全等方面产生灾难性影响（区域的或全国性的）。

为了完成认定，国土安全部咨询了来自16个关键基础设施部门的拥有者和运营者代表，同时还向特定部门、部门协调委员会、政府协调委员会、独立管理机构和相关领域专家进行了咨询。通过共同努力和研究，最终认定几个关键部门的一小部分运营实体具有高风险，它们很可能会因网络安全事件产生的二级或三级影响造成公众健康、公共安全、经济安全与国家安全等方面的灾难性影响（区域或全国性）。国土安全部会继续和利益攸关方合作，每年对这个名单进行检查和更新。

根据以上结果，国土安全部和其它美国政府部门已经开发了相应的基础设施和程序，用于向特定关键基础设施的拥有者和运营者通报针对性的网络安全威胁信息。这些信息被用于监测和阻止来自对手的入侵企图。国土安全部也正在与更大范围的关键基础设施的拥有者和运营者合作，以了解针对其网络和系统的网络攻击可能带来的潜在的级联性影响。这些努力正在提高私营部门监测和阻止网络入侵的能力，以及从网络事件中恢复的能力。这种公私合作也正在塑造政府应对大型网络事件的规划、减缓和响应的努力。

共享威胁信息

共享网络威胁和恶意网络活动指标的态势感知信息——包括责任者信息——为网络防御者提供了深度理解已知漏洞的机会——在它们被充分利用之前。相应地，美国政府正在扩大政府内部、政府与私营部门之间的信息共享机制。通过对现有计划的扩大，上述工作已经取得了很大进展，包括“国防工业基础网络安全和信息保障计划”（Defense Industrial BaseCybersecurity and Information Assurance Program）；国土安全部“增强网络安全服务计划”（Enhanced CybersecurityServices program）；“关键基础设施信息保护计划”（Protected Critical Infrastructure Information program）；以及与私营部门的合作的其他项目。

作为第一步，当局正在有限的权限内努力降低信息共享方面已知和现实的障碍。例如，在2014年4月司法部和联邦贸易委员会联合发布指南，指出反垄断法不会禁止企业间进行恰当的网络安全信息共享。但是提升美国网络安全的长期努力则要求：立法机关要允许企业在全国范围内以协同的方式和政府分享网络安全信息。当局将持续与国会在立法方面展开合作，阐明可以被共享的网络安全威胁和事件信息种类，特别是从私营部门到政府的共享，以及通过共同开发或支持相关机制来促进分享。具体来说，当局会继续寻求立法鼓励私营部门与国土安全部的国家网络安全和通信集成中心(NCCIC)共享网络威胁信息。NCCIC将负责近实时地与相关联邦机构、私营部门和运营信息共享与分析组织(ISAOs)共享有关信息。为了激励私营部门的信息共享，当局目前的立法提案为参与NCCIC或ISAOs共享信息的企业提供了有针对性的责任保护。

当局在网络安全信息共享方面的一切努力也将同时寻求保障个人隐私和公民自由，保护好公民和情报机构各自的角色与使命。在当局目前的立法提案当中，与联邦政府共享信息的私人部门将必须遵守特定的隐私限制规定，比如要移除不必要的个人信息和采取措施保护需要共享的个人信息，以便满足责任保护要求。这项提案进一步要求国土安全部和总检察长，通过咨询隐私和公民自由监督委员会及其它组织，来为联邦政府制定收据、保留、使用、披露（信息的）[7]指南。

通过网络安全框架促进最佳实践

在2013年2月，奥巴马总统签署了提升关键基础设施网络安全的行政命令（E.O.13636），该命令要求国家标准和技术研究院(NIST)来领导开发一个网络安全最佳实践的模板。2014年2月，NIST发布了模板的第一个版本，即网络安全框架(Cybersecurity Framework)，它参考了全球公认的标准和实践来帮助有关组织理解、沟通和管理网络风险。

不同的经济部门的企业已经开始采用和执行这个框架。[8]这种采用意味着许多组织正在通过执行标准措施来提升其整体网络安全基线，以保护最敏感的信息、深度理解网络中的已知漏洞、以及对基本网络防护进行必须的软硬件投入。当局将会继续促进框架的采用，并将其作为提升美国网络防御的关键手段，通过推广降低对手“从针对美国计算机和网络的恶意网络活动中获益”的认知：

内部威胁防御

随着一些机密情报的非法披露，包括维基解密和美国情报计划泄露事件——都是计算机网络内部发生的危害——美国开始增加对相关政策和行动的关注——加强美国国家安全重要机密情报的安全防护、减少内部威胁。2011年10月，奥巴马总统颁布E.O13587总统令，要求进行结构性改革来确保机密信息的可靠分享和安全防护，建立高级信息共享和安全防护指导委员会（简称“指导委员会”）、安全防护执行局和国家内部威胁专案组（NITTF）。

指导委员会，由管理和预算办公室高级代表和国家安全委员会成员联合任职，确保执行关于计算机网络机密信息分享和安全防护政策和标准达到跨部门、跨机构的高水准。

安全防护执行局，在国防部长和国家安全局局长的联合领导下，正在形成有效的科技安全防御政策和标准，以负担国家安全系统和系统内机密资料的安全防护。

安全防护执行局和国家内部威胁专案组(NITTF)，在司法部长和国家情报总监的联合领导下，集合了安全、反间谍活动、信息安全方面的专家以形成政府维度的内部威胁机制来威慑、侦测、减轻包括机密情报损害在内的内部威胁。

强化政府网络防御

通过广泛推行网络安全能力和服务，检测、预防恶意网络行为，联邦政府在持续提升其信息和系统的安全性，更加安全地有效管理内部网络和系统的安全功能和服务。虽然做出了持续努力，仍有许多美国政府系统和网络非常脆弱。为应对这些挑战，当局正在组建部门和相关机构通过网络安全跨部门优先目标[9]提升其网络防御水平。这样，美国政府就为各部门和机构设定了明确的网络安全目标，并对应这些目标要求各机构负责。同时，当局正在提高政府在网络安全方面的跨政府投资的追溯，以加强投入资源与实际结果间的联系。[10]

除了保护联邦网络，国防部（DOD）持续强化军方和军工企业的网络防护，保护数百万的网络设施和数千个军事飞地的机密和非机密军事信息。美国网络司令部和网络服务单元、国家安全局、国防信息系统局，共同监控国防部网络的运行，定时向网络经营者提供威胁和漏洞信息。通过建立联合信息环境（JIE），国防部致力于总体架构和网络防御现代化。该环境能够实现利用利益共享基础设施、企业服务和单独的安全结构来提供安全的互联网传输和情报沟通。

除了相应的防御措施，美国政府也必须保证网络、系统和数据具有弹性。为达成这一任务，当局已经执行了旨在提升联邦政府发现、响应事件，以及攻击成功后迅速恢复的能力的有关政策旨在。2013年，当局发布了总统“关于关键基础设施和弹性的总统政策指令”（PPD­21），聚焦于推进国家统一努力来增强和维护安全、可用、有弹性的关键基础设施。与之同时颁布的E.O.13636，进一步在此方面作出了努力。该命令要求推行政府的“网络安全框架”，实现联邦各部门间以及政府与私营部门间的网络威胁信息共享。通过提升网络安全信息共享和风险管理，可以加强态势感知、追踪溯源与预警能力，这又能帮助政府网络防御者为攻击做准备，提升政府系统的弹性。最后，联邦政府部门和机构会将网络安全放在未来持续性计划中更加突出的位置。

（二） 成本强加型威慑

发展向恶意网络行为者施加经济代价的手段

追求适当的执法行动，以此来（1）调查和起诉从私营部门或者政府盗窃信息或者损害、破坏、毁坏美国计算机和网络的网络犯罪；（2）阻止对手接触实施恶意网络行为的基础设施。

必要时，发展适当的军事手段以防御国家免遭网络攻击。

与当局2011年《网络空间国际战略》和国际法权利一致，美国政府保留使用一切必要手段的权利——包括外交上、情报、军事、经济——来保卫国家利益免受恶意网络行为的损害。攻击发生在网络空间并不意味着合法、恰当的回应也要同样以网络手段作出。一项直接的回应通常不是最合适和最适度的回应。因此，美国必须拥有广谱的回应能力，为总统和高级领导提供多种选择——根据不同对手、恶意行为的不同影响和攻击源确定的精度来确定相适应的手段。

对恶意网络行为者施加经济代价的措施

使用经济手段可以向恶意网络行为者施加经济代价、威慑特定网络威胁，特别是对那些通过非法获取贸易秘密、知识产权和技术秘密来破坏美国经济安全的对手。在获得批准后的恰当时机，当局将采取行动让恶意网络行为者付出经济代价，包括当一些行为违背国际贸易规则或者世贸组织规则时。

一定情况下，经济制裁也是应对网络攻击的有效工具。在应对2014年11月朝鲜意图损害美国商业和抑制言论自由的破坏性、强制性网络攻击，当局宣布对朝鲜攻击者新的制裁。进一步的，2015年4月，总统颁布了新的行政命令授权对个人和组织实施制裁——如果其网络活动对美国的国家安全、外交政策、经济健康、金融稳定性已经构成严重威胁。在制定这样新的政策中，当局正在创设一种施加经济代价的手段，不仅针对实施网络攻击行为的个体，还针对支持、授权或者命令上述攻击的责任人。美国政府多年来已经将上述工具用于应对其它政策挑战，并且将继续适当地运用它们，以威慑和应对网络威胁。

采取执法行动

执法也是应对网络威胁的一种有效威慑力量，无论是通过拒止（例如拿下一个可能被用于攻击的犯罪僵尸网络）还是通过施加代价（例如逮捕网络攻击犯罪者）。虽然在网络环境下开展调查并起诉具有挑战性，但美国政府用这种方式能有效地破坏和降低敌手的网络能力。执法机关通过运用传统调查技术、法庭工具、秘密操作、机密人力资源、合法授权的电子监控等方式例行地调查非法计算机和网络入侵及攻击，所有上述手段均有助于认定构成网络威胁的个人和组织。

调查、起诉以及破坏恶意网络活动

由于每一次入侵事件背后都有特定个人或者组织，因此美国执法机构对于网络事件响应机制至关重要。它们经常开展以美国受害者为目标的恶意网络活动的调查，当有证据支持时，司法部将依据联邦诉讼规则起诉相关责任人。成功的调查和起诉将对恶意网络行为者以及背后支持或包庇的国家者施加直接的代价。这有助于威慑个人和组织，令其不再实施上述行为。

例如，2014年5月，司法部针对五名中国人民解放军成员从事电脑黑客行为、严重身份盗窃、经济间谍活动和贸易秘密窃取行为发起了控告。上述攻击直接涉及核能、五金、太阳能产品工业的六家美国受害企业。通过持续实施此类执法行动，证明恶意网络活动的真实存在——这些行为是否与外国政府有关联——美国政府可以减少网络威胁。

执法同时也可以阻止对手访问可用于对美国发起恶意网络活动的基础设施。例如，如果对手开发使用僵尸网络，并且可能威胁或已经破坏了一项重要的公共服务，执法机构不仅可以调查和起诉入侵者，而且可以自行破坏该僵尸网络。通过执法机关和执法能力，美国政府将能持续调查和破坏恶意网络行动，并且起诉进行针对美国的网络犯罪的个人。成功的执法活动能够威慑那些打算用网络手段造成公民人身伤害或者破坏社会、政府和重要公共服务正常运行的个人或组织。

构建打击网络犯罪的国际能力

打击网络犯罪不仅是一项国内事务。许多对手利用国外基础设施开展他们的入侵或破坏活动。协助其他国家建立起调查、起诉和破坏此类犯罪活动的能力符合美国利益。美国正在通过美国主导的相关培训项目和开发网络相关的法律框架帮助其他国家提升打击犯罪能力，并通过电子取证技术调查犯罪。此外，美国政府正在鼓励其他国家加入《布达佩斯网络犯罪公约》，并使用该公约的架构作为能力建设的基础。该框架包括三个核心理念：（1）确保执法机关有权力和工具来调查网络犯罪和处理电子证据;（2）颁布实质性的网络犯罪法律;（3）使用针对高科技犯罪的7*24小时网络机制，保证高效及时的国际合作。美国政府正在重新推动《布达佩斯公约》增加成员人数，增加7*24小时网络成员数量方便执法点之间的联络。已经有53个国家签署了《布达佩斯公约》，其中44个国家已批准将其加入国内立法。总的来说，当局在努力建立必要的合作关系以追捕无处不在的网络犯罪者，并把他们绳之以法，从而对那些对我们国家安全和经济利益构成重大威胁的个人和组织构成一种威慑力量。

构建网络空间国家防御能力

美国政府的第一要务是使用网络防御、执法措施、经济手段以及外交措施来防御、威慑、降级网络事件。然而，当防御和威慑的努力不够的时候，美国政府必须有能力和实力在网络空间保卫国家。如果由总统作出指示，美国政府将准备使用包括军事在内的一切必要手段，对以美国为目标的网络攻击作出回应。

为了满足这种行动需要，2010年10月国防部建立了网络司令部，以巩固美军的网络战能力，抵御网络威胁。美国网络司令部正在和作战司令部一起组建一支精干的网络部队力量。网络任务部队需要胜任全方位的网络行动，并且计划和准备成为保卫国家的基础。2013年9月，美国网络司令部启动了网络国家任务部队的总部，作为三支特殊力量之一，[11]它可以对针对美国的网络攻击迅速作出反应。在采取相应步骤的同时，国防部则会为总统制定可靠的（政策/手段）[12]选择，威慑对手的网络空间攻击行动，保护国家免受网络攻击。

再进一步，如果收到指令，国防部可以在网络空间采取行动，包括进攻性网络作战。“第20号总统政策令”（PPD-21）提供了一个政策框架来管理这类网络行动的实施。即使美国政府不限定只通过网络空间来回应网络攻击，采取这种不对称的回应方式依然有其特有优势。网络作战可以被狭义地限定针对特定系统，或者只针对那些以美国为攻击目标的系统进行精确打击。此外，限制恶意系统的方法也可以足够精确以便使连带影响最小化。开发这些能力并不意味着美国正在实行网络空间军事化，这只不过和让一支海军来武装海洋一样。然而，那些算计试探美国决心的对手应该明白，在网络防御和执法措施不够充分的情况下，美国可能会使用网络作战来保卫我们的国家和利益。

（三 ）支撑威慑的行动

引入“全政府”（whole-of-government）和“全国”（whole-of-nation）的手段来应对网络事件的响应和国家层面的事件。

推广一个精细和分等级的公开宣示政策和战略传播，强调美国政府已承诺利用其能力抵御网络攻击，但在回应和后果的底线上要保持模糊，以此来劝阻略低于底线的先发制人或恶意的网络活动。

进一步开发情报能力，提高我们追溯和抵御恶意网络活动的能力，提高了解对手的计划和意图的能力，提高识别对对手而言具有价值的美国目标的能力，以及提高反击对手活动的能力。

支持国际协作（international engagement）[13]，构建国家网络空间行为规范，提高集体网络防御水平，促进打击网络犯罪的合作，加强同盟，并就以重要基础设施为目标的网络攻击的适当应对方式建立共识。

进行研究和开发，以减少并最终消除对手相对网络防御者的非对称优势，开发新的功能来审查和检测对手活动，在网络空间中追溯对手，并以可行方式反击对手的活动。

增强“全政府”和“全国”的应对能力

由于网络事件的速度和规模呈指数增长，美国政府认识到，网络风险可以被显著减少，但却不能消除。进一步讲，政府没有一个部门有必要的能力或权限单独处理此类威胁。每个联邦部门或机构拥有特别专长来应对问题。国务院利用其与外国政府的关系来协调政策响应。司法部和联邦调查局（FBI）拥有大量调查、起诉和执法的能力和权限。国土安全部对美国关键基础设施有深入了解，在事件响应和缓和上有重要的专业知识，并且与必要的私营部门有很深的联系，以此保护关键基础设施并对网络攻击作出回应。美国特勤局具有对于有可能获得国家支持的大规模网络欺诈进行调查的专业知识。移民和海关执法部门、国土安全调查部门调查涉及窃取网络知识产权、出口控制数据和许多其他利用网络实施的网络犯罪，包括儿童剥削，以及黑市交易在内的网络走私。包括商业部、财政部、美国贸易代表办公室在内的经济机构，可以利用其对经济和市场规律的了解以及其各自的权限，来颁布实施经济制裁、执行贸易法律法规，并采取其它行动抵御恶意行为者。特定行业机构对于可能被恶意网络活动所威胁的经济部门具有独特的内部见解。这些能力与情报部门和国防部的专业知识相互配合，体现了一种“全政府”的手段来识别，减缓和抵御网络事件和国家级事件。

此外，当局建立一些机制，确保各部门和机构能够联合它们的能力和资源转化为有效的、协调一致的应对恶意网络行为的响应行动。例如，2014年，白宫开始启用网络响应组(Cyber Response Group, CRG)——以高效和长期存在的反恐安全小组为模型建立——来承担特定事件响应协调工作。网络响应组侧重于共享威胁信息、恶意软件签名、国家和非国家行为体的计划，以及跨政府部门的协调响应。恶意行为者越来越愿意通过入侵公共和私营网络来实施毁灭性网络攻击，因此，当局将跨部门的协作平台，例如成立网络响应组，作为政府响应能力的关键。在组建网络响应组和类似的机制的过程中，当局试图分享发展中威胁和攻击的知识，并从最高层协调整合政府响应中的所有力量。

推行“全政府”机制过程中，当局正在为联邦部门和机构努力构建明确的职责边界，建立通信所必需的近实时态势感知通道，并强化政府与私营部门的互动以期让企业知道当面临网络威胁时应该与哪个部门联系。所有这些努力都旨在提高政府理解特定网络事件本质的能力，并在“是否相应”、“如何响应”全国关注的网络事件上作出迅速的决定。

公开宣示政策和战略传播

不管威慑手段为何，向对手发出清晰和频繁的信号——即他们的行动将是不可接受的——这样会增加美国成功威慑一些恶意网络活动的可能性。这种信号可以是直接的或间接的，私人或公开的。然而，美国必须保持一致可信的信息和信使，并发展必要的态势感知共享来判断对手是否接收到信号并正确地理解了信号。为此，全政府的协商进程，与私营部门不间断的合作，以及国际协作都会增加美国信号威慑努力取得成功的可能性。

持续性传播美国的政策也是建立一个全球环境的必要组成部分，在这种环境中，美国的行为及其背后的含义要能够被其盟友和对手所了解。当局的公开声明已经试图解释并强调在网络问题国际合作的重要性。美国过去已经发布了有关美国打算以必要和适当方式应对网络威胁的明确声明。然而，美国政府申明中有关回应底线和网络威胁后果等问题会保持模糊，从而劝阻略低于底线的先发制人或恶意网络活动。当局会考虑是否要以更公开的方式讨论关于美国是否以及如何能够回应恶意网络活动，尽管这种公开讨论需要仔细权衡情报和军事问题上的透明度。

在公开宣示政策之外，美国也将会使用战略传播作为一种威慑工具。在某些情况下，当局可以突出调查、刑事指控、成功的起诉，或者其它执法活动来强化美国的威慑姿态。通过宣传这些案例，美国可以确保恶意网络活动者明白其行为将会招致巨大的代价。美国政府还可以通过外交或其它渠道对国外对手传递警告信息，即美国能够追溯并且将会对恶意网络活动作出必要回应以保护自身利益。在一些更极端的情形下，美国可能会强化这一战略传播，并采取包括制裁或军事姿态在内的更加强硬的手段以展示我们的决心。

情报能力

情报收集、分析和运作对于美国政府的威慑网络威胁努力是必不可少的。美国情报界的每个成员都在确定最有威胁网络对手、对手威胁目标（包括关键基础设施）、对手决策考量以及反击这种敌对活动的机会等问题上发挥了关键作用。为了加强这些努力，当局已成立了网络威胁情报集成中心（CTIIC），以收集整理针对国家的恶意的外国网络威胁与影响到美国国家利益的网络事件。CTIIC将支持美国政府负责网络安全和网络防御的中心以及促进和支持政府打击外国网络威胁。在履行这一使命中，CTIIC将对其他政府机构在发现、调查和抵御网络攻击和其它恶意网络行为上起到关键性的支撑作用。美国政府将继续利用其情报能力实现美国国家安全和经济安全最优化保护，同时支持外交政策，保护隐私和公民自由，并建立和维护公众信任。

国际协作

全球对于联网计算机系统的依赖促使所有国家基于共同利益一起威慑网络威胁。网络威慑有效的国际合作有赖于美国同盟友和国际伙伴分享它对威胁环境的看法，率先制定和颁布在网络空间国家行为规范，并且支持国际伙伴保护自己的网络。美国政府还与合作伙伴一道，通过扩大双边、多边防务和安全关系，增进网络防御、信息共享、危机应对和抵御合作，共同提高威慑能力。通过采取这些措施，美国计划建立一个志同道合的同盟，共同威慑网络攻击，在维持一个开放互联的全球网络的同时，提高全球经济安全。

网络空间国家行为规范

在现实空间当中，国际法框架下何种程度的网络攻击可被认为军事攻击尚未达成国际共识。即便如此，美国已经成功地建立起网络空间国家活动应当适用于国际法的国际共识。

认可并遵守网络空间的国家行为规范将进一步建立国家间相互信任，即国家间不通过严重的网络攻击相互威胁。这类规范将符合各国国家安全利益的网络空间行为标准社会化，为通过集体行动打击恶意行为者提供必要的国际支持。通过共同制定和执行这类规范，美国和其国际合作伙伴可以孤立潜在对手。美国政府已经确定了一些网络空间和平时期的国家行为规范，并会为这些规范寻求国际支持:

一国不应进行或者明知的情况下，支持那些故意破坏关键基础设施，或以其他方式破坏为公众提供服务的关键基础设施运行的网络活动。

一国不应该进行或者明知的情况下，支持蓄意妨害国家计算机安全事件响应小组（CSIRT）对网络事件采取行动的活动。一个国家也不应该利用CSIRT进行在线恶意活动。

一国应以与其本国法律和国际义务相一致的方式配合其他国家在调查网络犯罪、收集电子证据和减少来自其领土的恶意网络空间活动的援助请求。

一国不应进行或者明知的情况下，为了增强本国公司和商业竞争优势而蓄意支持包括商业秘密和其他机密的商业信息在内的知识产权网络窃密行动。

促进国际社会信任和透明度，支持合作伙伴

美国政府积极扩大与同盟和国际伙伴的的网络合作——国务院负责领导外交合作，司法部和联邦调查局领导执法合作，国土安全部和联邦调查局领导信息共享和应急响应，国防部领导军事合作。围绕网络议题，美国政府与许多志同道合的国家进行“全政府”对话，包括巴西、德国、印度、日本、韩国以及我们在中东、北欧和波罗的海的合作伙伴。我们也会继续以恰当方式与俄罗斯、中国和其他国家进行合作，探索合适的网络安全合作机制和基于政策分歧的持续对话机制。通过创建新的合作平台和建立透明的措施，可以在网络事件响应中减少误判风险，在对话中加强网络威慑政策的作用。在此过程中，美国政府正在构建国际社会框架，增进网络空间国际合作意愿，打消攻击意图。

减少网络空间相关方面的不确定性是这一框架的关键要素。恶意网络活动者具有网络攻击的非对称优势鼓励了国家间竞争而不是合作。为了应对这种风险、创造威慑成功的必要条件，美国政府正在寻求建立双边和多边信任和透明措施，减少因对网络事件缺乏理解而造成的风险增加和意外后果。美国正在国际层面引导这些问题，当局在2013年6月与俄罗斯达成了第一个双边网络信任建立措施，并在欧洲的安全与合作组织内引导建立了一系列多边信任建立措施。

信任不仅仅来自于这些战略协定，也来自保护计算机网络的分析师之间的日常互动与合作。这种互动增进了国家间理解，提供了国际合作伙伴对网络空间看法的有价值洞见，划分了网络运行的责任，响应了网络事件。诸如计算机安全事件响应小组间的合作、信息共享的日常工作能建立起关系和信任，这是实现战略互信和透明的操作基础。国土安全部和联邦调查局与其国际合作伙伴定期分享关注事件的信息，并在适当的时候共同调查和减缓事件。多个部门和机构正在扩大努力，支持国土安全部与超过200个外国计算机安全事件响应小组分享网络防御信息的能力，并正在与其中的许多组织构建长期合作关系。

研究与开发

美国的对手将会持续开发规避网络防御的新方法。为了跟上其步伐，美国政府必须演进和开发创新方案，增进网络空间面向未来威胁的弹性。通过一个综合计划和投资策略来发展必需的工具、技术和国家劳动力，持续提高美国计算机、网络和关键基础设施的恢复力，提供新的技术选择以威慑恶意网络活动，当局正在寻求塑造网络安全的未来。

当局正优先研究、开发和技术转移以重塑安全环境，消除入侵者网络空间既有优势同时令其网络空间自身更安全。政府首先关注通过科研投入实现网络空间中的硬件、软件与操作、交易、活动和商业实践的缺省安全。这类努力案例之一是美国政府与私营部门在执行《网络空间可信身份国家战略》上的合作，其目的是用更安全、方便和保密性更强的方式取代密码来获取互联网服务，并在此过程中，杜绝对手访问计算机和网络所利用的一个关键漏洞。

结语

三十年前，很少有人了解网络空间的信息自由流动对创新和全球繁荣的重要性。通过网络空间恶意活动威胁公众安全和福祉、威胁美国国家和经济安全同样并不明显。这些威胁现在已经被广泛认可，同样被广泛认可的是它将会成为美国面临威胁中的一个持久组成部分。政府通信和计算机网络的采用、无线技术应用的普及、关键基础设施和互联网相互联系的紧密，共同创造了网络攻击的驱动力。而且国家无疑将继续把网络攻击和其他恶意网络活动作为追求国家安全和外交政策目标的一种不对称的、合理拒绝的政策选项。

美国政府致力于发现、防范网络攻击和其他恶意网络活动，并威慑选择实施此类行为的主体。在此过程中，我们将利用国家力量中所有必要的和适当的手段来保护我们的利益，并维护一个开放、协作、安全、可信的网络空间。可靠的美国网络威慑力量将需要政府所有部门的持续努力，共同寻求提高网络防御、加强国家网络恢复力、创造对恶意网络行为者施加成本的手段。本文件为美国政府各部门机构提供了一个初步的路线图，明确了各自在美国网络威慑活动中的角色，确定了工作原则，制定了未来的规划。

[1]美国政府关注所有恶意网络活动，政府通过许多行动、方案和努力对其进行确定，并保护美国的公共和私营网络安全、保护人民和商业，并将行为者绳之以法。

[2]基于本文件的目的，网络攻击指代一类行为尝试，即拒绝访问、扰乱、瘫痪、分解、销毁计算机、信息或通信系统、网络、由计算机控制的物理或虚拟系统或以其他方式致使其无法工作。虽然网络攻击可以造成一系列不同程度的直接的和间接的影响，但美国的威慑力量特别聚焦于那些可能导致人员伤亡、破坏美国关键基础设施、造成重大财产损失，或对国家安全、外交政策、经济健康以及金融稳定构成的重大威胁的攻击活动。恶意网络活动则指代一类活动，其寻求危害或损害计算机、信息或通信系统、网络、由计算机控制的物理或虚拟系统，以及通过这些计算机、网络、系统所传输的信息等的机密性、完整性和可用性。

[3]尽管美国政府的网络威慑力量的焦点主要集中在对美国利益构成重大的威胁的活动，但本报告所列框架,包括“全政府”的手段，既通过非­军事手段，也同样有助于通过非军事化手段来威慑程度更轻的威胁。

[4]译者注：原文中英文为administration，指的是美国联邦政府中的行政机构，也就是白宫，是相对于立法机关、司法机关而言的。中文也可以译作“政府”，但为了同government一词相区别，且考虑到此文件本身就是白宫推出，为了表述通顺，文章中全部翻译为“当局”。

[5]对关键基础设施安全性和灵活性的总统政策令21（PPD-­21）确定了16个对于美国至关重要的关键基础设施部门：化工、商业设施、通讯、关键制造业、大坝、国防工业基础、应急服务、能源、金融服务、食品和农业、政府设施、医疗卫生、信息技术、核反应堆、材料和废物、运输系统、水和污水处理系统。

[6]基于本文件的目的，“追溯”被定义为：确认网络攻击或其它恶意网络活动的实施者、指挥者的身份或位置的能力。

[7]译者注：括号内为译者根据文意添加。

[8]举例来说，英特尔、苹果、美国银行、联邦银行、太平洋煤气电力公司、美国国际集团、QVC、沃尔格林和凯萨医疗集团在2015年2月13日举行的白宫网络安全和消费者保护峰会上承诺使用该框架。

[9]跨部门优先目标框架于2010年由GPRA现代化法案确定，用于加速推进需要多部门和机构协同合作的总统优先领域项目。每个目标有一位提名高级领导在总统执行办公室和主要部门与机构内。其他有关信息请参http://www.performance.gov/cap­goals­list/。

[10]译者注：也就是说，实现投入产出可审计。

[11]另外两支部队是：网络作战任务部队，负责支持指挥官的作战需要；网络防御部队，负责防御国防部信息网络的安全。

[12]译者注：括号内为译者根据文意添加。

[13]译者注：从美国对华战略而言，Engagement一般译作“接触”，另有“钉住”“承诺”“约定”“交战”等译法，此处为便于理解根据前后文意，译为“协作”。