從“太陽風”（SolarWinds）供應鏈攻擊事件到克羅尼爾（Colonial Pipeline）網絡勒索攻擊事件，都使美國拜登政府以網絡安全事件調查與處置為牽引，逐步健全相關安全機構，出臺一系列安全政策。2021 年 5 月 12 日，美國總統拜登簽署《改善國家網絡安全的行政命令》（以下簡稱“行政令”），以美國政府前所未有的極具安全舉措操作細節關注的方式確保網絡安全政策落實，標志美國拜登政府網絡安全政策的初步成熟與體系化。

　　一、上半年網絡安全政策主要內容

　　當前，美國拜登政府著眼國家網絡安全統籌能力提升，積極完善國家網絡安全崗位機構設置，并在此基礎上，以網絡安全事件處置為牽引，出臺以“行政令”為核心的網絡安全系列政策，初步打造了注重“頂層統籌”“政府主導”“公私協同”“內外兼顧”的網絡安全政策體系。

　　（一）完善國家網絡安全崗位機構設置

　　拜登上臺后，美國政府對管理網絡安全的關鍵崗位和重要機構進行相應調整與改革。一是設立負責網絡和新興技術的副國家安全顧問。現由原國家安全局網絡安全總監安妮·紐伯格（AnneNeuberger）擔任，代表總統負責統籌協調聯邦政府各機構和部門的網絡安全事務。二是依據《2021 財年國防授權法》設立國家網絡總監（National CyberDirector）崗位。現由國家安全局前副局長克里斯·英格利斯（Chris Inglis）出任，作為總統在網絡安全政策和戰略方面的首席顧問，負責所有聯邦機構的網絡安全和相關預算。三是通過“行政令”設立由國土安全部部長牽頭負責且涵蓋相關聯邦政府官員與私營企業代表的網絡安全審查委員會（CyberSafety Review Board），負責審查和評估影響聯邦信息系統或非聯邦系統的重大網絡事件、威脅活動、漏洞、應對活動和機構響應。四是任命美國數字服務部門的資深人士克萊爾·馬托拉納（ClareMartorana）為政府首席信息官（CIO），負責實現IT 系統的現代化，全面監管相關基礎設施升級工作。此外，2021 年 4 月，拜登還提名前奧巴馬時代的網絡安全政策助理秘書羅伯·西爾弗斯（RobSilvers）擔任國土安全部的戰略、政策和計劃副部長。

　　（二）加強網絡安全現代化與軟硬件供應鏈安全

　　拜登政府在“行政令”中提出了加強聯邦政府網絡安全現代化（Cybersecurity Modernization）的相關措施。其中，該行政令重點提出以零信任架構為基礎的云計算環境作為網絡安全現代化的核心，特別強調，零信任架構的關鍵作用。零信任的核心思想是，在承認網絡系統內部或外部存在無法根除的威脅的基礎上，對任何試圖接入其網絡或系統的人、事、物進行授權驗證。2021 年 2 月 25 日，美國國家安全局（NSA）發布《擁抱零信任安全模型指南》（以下簡稱《指南》），建議將零信任安全模型部署到美國國防部與其關聯組織的所有關鍵網絡與系統中，以更高效地保護其網絡和數據的安全；而“行政令”則進一步將零信任架構應用到聯邦民事網絡系統與基礎設施之中。

　　就軟硬件供應鏈安全而言，美國拜登政府十分重視以半導體芯片為基礎的硬件供應鏈以及軟件供應鏈安全問題。一是 2021 年 2 月 24 日，拜登簽署第14017 號《確保美國供應鏈安全行政令》，要求對包括半導體芯片在內的 4 類產品的供應鏈展開為期 100天的風險審查。二是 4 月，美國國家反情報與安全中心（NCSC））聯合其他機構共同推出“國家供應鏈安全完整性之月”活動，以提高美國供應鏈威脅意識并共享風險緩解信息。三是 4 月底，美國網絡安全與基礎設施安全局（CISA））和美國國家標準與技術院（NIST）聯合發布《防御軟件供應鏈攻擊》報告，首次對軟件供應鏈進行界定，并給出與軟件供應鏈攻擊相關的信息、關聯風險以及緩解措施。四是 5 月 12 日，拜登簽署“行政令”，提出重點優先解決“關鍵軟件”（即與執行信任授權等功能相關的軟件）供應鏈安全問題，并推動由 NIST 牽頭開發的軟件供應鏈安全保護準則，并基于此加強以安全性、完整性以及漏洞檢查為特征的軟件開發環境建設。

　　（三）提升聯邦政府網絡安全漏洞與事件處置能力

　　當前，美國拜登政府以網絡安全事件調查與處置為牽引，通過簽發“行政令”，從信息共享、漏洞檢測、事件調查、應急響應等維度，著力提升聯邦政府網絡安全漏洞與事件處置能力。一是掃清聯邦政府與網絡服務提供商間因相關合同問題造成的威脅信息共享障礙。鑒于政府與企業的合同條款成為限制網絡安全威脅或事件信息共享的障礙，“行政令”要求行政管理和預算局（OMB）局長牽頭，審查《聯邦采購條例》（FAR）和《聯邦采購條例國防部補充規定》中的合同（內容與語言），以消除此類信息共享障礙。二是強化對聯邦政府網絡安全漏洞的檢測能力。為最大限度地盡早發現聯邦政府網絡安全漏洞及相關事件，“行政令”要求聯邦民事行政機構（FCEB）須部署端點檢測和響應（EDR）計劃，以支持對聯邦政府基礎架構內網絡安全事件的主動檢測、主動網絡捕獲、遏制和補救措施以及事件響應。三是加強聯邦政府基于網絡日志的安全事件調查能力。由于來自聯邦信息系統的日志信息對安全事件調查和補救非常重要，“行政令”要求各機構及其 IT 服務提供商必須收集和維護此類數據，并在處理安全事件時，根據適用法律和規范性要求向國土安全部（通過 CISA 局長）和聯邦調查局提供此類數據，以協助其調查。四是規范聯邦政府網絡安全漏洞和事件的應急響應方案。鑒于當前各個機構的網絡安全漏洞和響應流程差異性所造成的不便，“行政令”要求國土安全部部長（通過 CISA 局長）牽頭，制定一套標準的操作流程（需涵蓋 NIST 所有相關標準），用于規劃和實施聯邦民事信息系統相關的網絡安全漏洞和事件響應活動。

　　（四）推進基于分層網絡威懾的“網絡外交”

　　所謂“分層網絡威懾”是 2020 年 3 月美國“網絡空間日光浴委員會”（CSC）提出的“融合多種威懾手段、突出主動塑造威懾環境”的一種新戰略理念。以此為底層邏輯，拜登政府打造了基于規則威懾、著眼國際行為塑造的“網絡外交”政策，即通過聯合盟友和合作伙伴建立和實施基于所謂“共同利益和價值觀”的網絡規則，以塑造網絡空間行為（特別是網絡空間負責任國家行為），彰顯了美國在國際上建構敵我威懾陣營的戰略實質。具體而言，拜登政府在國內立法推進、伙伴關系恢復、國際威懾實踐等層面，積極推動其倡導的“網絡外交”政策。

　　一是積極推進“網絡外交”立法進程。拜登上臺后，美國政府在《網絡外交法案 2019》（曾在 2019年初被提出并獲眾議院口頭通過，但后因參議院無后續行動而中止立法）的基礎上，重新提出《網絡外交法案 2021》，并積極推動其立法進程。該法案明確規定了美國網絡空間國際政策、國務院職責、國際網絡空間行政安排、網絡空間國際戰略、國別人權實踐年度報告等主要內容，或將為拜登政府“網絡外交”政策的實施打下基礎。

　　二是積極修復與盟友關系。為扭轉特朗普任期推行的“美國優先”政策給美國國際形象造成的“道義損失”，拜登政府于 3 月 4 日同時推出《臨時國家安全戰略方針》官方報告與美國國務卿布林肯關于美國外交“八大優先事項”的講話，從美國國家安全利益維護的角度強調積極的外交政策作為國家安全戰略手段的緊要性，為其推行以盟友關系修復、以西方共同價值觀為核心的美國道義領導力重塑（例如競選時承諾上任后召開全球“民主峰會”）、以網絡外交為抓手的維護“美國開放互聯網原則”等為要點的“網絡外交”政策提供支撐與指導。在實踐上，拜登政府主要采用“雙邊為主、多邊為輔”的方式具體實施。首先，4 月 16 日，美日達成共同投資 45 億美元（美國承諾提供 25 億美元，日本 20億美元）以用于安全網絡和下一代先進信息通信技術的研究、開發、測試和部署的意向。其次，6 月10 日，英美兩國領導人簽署旨在鞏固兩國特殊關系的合作宣言，以深化兩國在國防與安全、科學與創新、經濟與貿易、自然與氣候、健康與衛生等領域的合作。再次，拜登在就任總統的第一天簽署相關行政命令，重新加入《巴黎氣候協定》、世界衛生組織等多邊機制，表現了拜登政府對多邊手段和國際規則的倚重。

　　三是以俄羅斯、中國為主要威懾對象，推進“接觸 + 遏制”的“網絡外交”政策。就俄羅斯而言，美國拜登政府一方面在網絡議題上以俄羅斯“干預美國大選”、參與“太陽風”事件、縱容“克羅尼爾網絡勒索攻擊事件發生”為由，表示將嚴懲俄羅斯的網絡攻擊行為；另一方面，拜登在 6 月 17 日的美俄領導人峰會中，與普京圍繞網絡空間間諜活動、沖突管控及行為規范進行了磋商。就中國而言，美國拜登政府在《臨時國家安全戰略方針》中視中國為“唯一競爭對手”，并從“合作、競爭、對抗”三個維度界定對華政策。在外交實踐上，美國拜登政府主要聚焦對華“競爭”“對抗”層面，積極利用雙邊（日美峰會）、多邊（美日印澳“四方安全對話”、G7峰會）、多方（美國組織的半導體供應鏈 CEO 峰會）等外交活動，以“知識產權網絡竊取”為由，對中國實施污名化、對中國高科技發展進行打壓。

　　二、上半年網絡安全政策基本特征

　　當前拜登政府的網絡安全政策，與前任特朗普政府相比，在政策驅動力、政策延續與變革性、機構治理模式、對內與對外政策路徑等方面呈現出以下特征。

　　（一）理念與事件雙重驅動下對前任政府網絡政策的揚棄

　　一般意義而言，任何政策的出臺都是具體時空情勢下主觀邏輯認知的產物，是在處理與既往政策的關系和面對新情況新問題挑戰的過程中自身執政理念的具體體現，因此，現行政策往往兼具針對當下情勢且體現執政邏輯的變革性與對既往政策的延續性。美國拜登政府的網絡安全政策也不例外。一方面，有別于前任共和黨非建制派出身及其“美國優先”執政理念，拜登的民主黨建制派政治出身及執政理念從根本上使其網絡安全政策既突出對以民主價值觀為抓手的外交手段的倚重，也強調對“大政府”（更強調政府主導作用）與多元化（更具社會包容性）價值取向的追求。另一方面，在一系列具有重大影響意義的網絡安全事件的刺激下，拜登政府的網絡安全政策無論在出臺速度與頻率上（被認為是美國歷任政府里出臺網絡政策最早最快的），還是在具體內容上都被打上了安全事件驅動的烙印。此外，作為具有跨黨派屬性的網絡安全議題，拜登政府也延續了特朗普政府時期的一系列政策，這集中體現為對網絡軍事力量建設（贊同對網絡軍事力量的強化）與運用（認可“持續對抗”“向前防御”“前出狩獵”等低于沖突閾值情境下的力量運用原則，支持對網絡空間行動權限的下放等）政策在很大程度上的繼承。

　　（二）自上而下“專業精英”治網模式的回歸

　　一方面，與特朗普政府時期頂層網絡管理統籌缺失（特朗普一上臺便取消了白宮國家安全委員會網絡安全協調員與國務院網絡安全協調員）、更多依靠行政部門“自下而上”推動網絡安全政策的治理模式不同，拜登政府通過健全與完善以強化國家網絡安全統籌協調能力為核心的相關崗位與機構，形成了更能發揮政府主導性統籌協作功能的自上而下的網絡治理模式。另一方面，拜登政府扭轉了特朗普政府很大程度上以“對總統忠誠度”“與總統一致性”為標準的人事任命邏輯，例如，前網絡安全與基礎設施安全局局長克里斯托弗·克雷布斯（Chris Krebs）因沒有支持特朗普總統關于 2020 大選安全性存在問題的立場被直接解除職務，而采取以“專業性”“任職經驗”為標準組建了由網絡安全領域“專業精英”構成的治網團隊。

　　（三）政府主導下“公私協作”政策路徑的強化

　　2018 年成立的網絡安全與基礎設施局，在保護關鍵基礎設施安全、協調各部門、促進公私合作、提供預警等方面發揮著重要作用，是特朗普政府對“公私協作”這一政策路徑的實踐。不同于特朗普政府對網絡安全頂層統籌的輕視與弱化，拜登政府通過健全國家網絡安全崗位機構以及簽發網絡安全相關行政令，不僅強化了“公私協作”的水平，而且突出了聯邦政府在網絡安全事務方面的主導性作用。

　　（四）冷戰思維式陣營化的網絡空間國際政策塑造

　　一般意義而言，冷戰思維在本質上是以意識形態對抗為根本的陣營對壘邏輯及其衍生的價值觀。在這一意義上講，拜登政府所謂的“網絡外交”則具有較為鮮明的基于上述冷戰思維的陣營化分野，即一方面強調美國通過強化盟友體系，塑造由其主導，以所謂“民主、人權、自由”價值觀為基礎的西方網絡自由民主陣營；另一方面，利用其網絡技術、平臺以及國際話語權方面的優勢地位，將俄羅斯、中國妖魔化為網絡安全威脅源，妄圖將其塑造的所謂“網絡自由民主陣營”打造為對抗中俄的急先鋒（當前，美國政府對中國實施的戰略性技術打壓與聯盟圍堵已成為其國內兩黨的最大共識，只是在具體實施路徑上還有些分歧）。

　　三、結語

　　誠然，當前美國拜登政府網絡安全政策逐漸走向成熟，且極具操作性，體現了拜登政府對網絡安全的高度重視與務實風格，也為美國網絡安全維護提供了政策性保障與支撐。需要注意的是，從政策出臺到其基本落實，對當下拜登政府而言并不是一件理所當然與順理成章的事，除了資金投入不足的制約以外，網絡議題政治化的困擾也真實發生（拜登于 4 月提名擬出任網絡安全和基礎設施局局長的詹· 伊斯特利，兩次被參議院共和黨議員以“與邊境議題掛鉤”為由而阻撓，至今未任命）。此外，依據拜登政府擬制完成的國防部《2022 財年預算案》，網絡空間預算在保持多年穩定狀態后，首次出現較大幅度增長（相對上一財年增幅約為 6%），其中，增強網絡防御能力的項目經費投入普遍增加，且首次投入大量資源發展接入管理和零信任架構，體現美國政府以推行“網絡衛生”措施為重點的安全政策趨向，以及美軍網絡作戰任務由實施重點進攻向發展全面防御能力的轉變等發展動向，值得進一步密切跟蹤關注。