政策选择
在美国政府系统内部建立网络安全领导体制有几个基本的可选方案:一个在白宫的强有力的执行/协调官;设立一个内阁级政府机构,让其具有必要的指挥命令权力,而不是与其他部门以商议的,以及创建一些混合型机构。如果选择建立内阁级领导体制,后续的问题是哪个部门起牵头作用,最可能的是国土安全部和国防部。
选项A:总统办事机构中的国家协调员。网络安全的领导体制的首要可选方案是在白宫架构内建立网络安全国家协调员。这种选项得到了CSIS的报告,奥巴马政府的60天评估报告的青睐。CSIS计划的建议:
❖❖任命一名网络空间助理,国家安全委员会中设立一个网络安全委员会,承担起目前国土安全委员会的职责
❖❖建立网络空间国家办公室,将承担目前国家网络安全中心以及跨机构联合网络特遣队 (Joint Interagency Cyber Task Force )的职责。
办公室/官员还将负责监督和控制联邦政府内的多种网络安全职能,并提供相关决策的单方面授权。
CSIS的报告责备联邦政府当前制定的网络安全政策的弱点“缺乏战略重点,任务重复,缺乏协调和合作,以及责任划分不明确”。尽管克林顿政府采纳了63号总统指令并任命理查德•克拉克为负责安全、基础设施保护和反恐事务的国家协调员,重心还是不明确。
夏普(Walter Gary Sharp)也同意CSIS的建议,并指出,目前缺乏权威决策者采取强制措施,以响应国家安全面临的严重威胁。他提出了两种模式,一种是基于美国战略司令部的能力,它命令全球信息栅格内的军事构成部队采取行动;另一个模式基于美国国家情报总监(DNI)所扮演的角色。美国国家情报总监不能直接指示下属机构采取行动,但它有权重新分配资源,做出预算变化,并制定正式的任务,这将使负责网络安全的国家协调员是有实际影响力的。CSIS的报告也认为美国国家情报总监可以作为设立协调员的潜在模式,这点突出了国际情报总监扮演的作为一个战略家和网络建设者的角色。当参议员约瑟夫•利伯曼(Joseph Lieberman)在2009年提出法案实施战略和国际研究中心的建议措施时,他说,需要在白宫内设立一个强有力的网络安全协调员职位,负责监督民事和军事的网络安全行动。
白宫网络“沙皇”这个可选方案没有得到普遍的认可。63号总统指令中的方案有几个弱点,包括缺乏预算权和要获得不同部门的同意所面临的困难。关键的资源控制在华盛顿手中,没有预算权,国家网络协调员将很难开展工作。网络“沙皇”很重要的基本原因是总统授予他的权力。为了做到行之有效的,领导者的权力需要与他的责任相称。总统给网络“沙皇”的授权是最根本的。
通常也有人质疑“沙皇”的成效,但认为重新安放“折叠躺椅”(deck chair)是没有必要的。他们认为仅仅让白宫承担责任也不足以产生变化,而是需要更加激烈的重组。
白宫网络“沙皇”的另一个弱点是缺乏国会问责制。目前的顾问,霍华德•施密特,是不需要参议院批准的。几届政府都拒绝传唤总统的顾问到国会作证。参议员利伯曼提交的法案要求总统提名的网络协调员得到参议院的批准,这类似于美国国家情报总监的机制。这将安排一些国会监督的措施,允许国会要求网络“沙皇”提供证词。参议员罗伯特•伯德(Robert Byrd)指出,增加使用总统沙皇对宪法制度的制衡机制构成了一个潜在的威胁。参议员苏珊•柯林斯(Susan Collins)抵制白宫领导网络安全体制,因为国会难以监督预算和支出。
任命网络安全协调员的工作难度相当大。奥巴马政府花了7个多月完成了网络安全审查,并任命协调员。美国政府问责办公室看到由于缺乏来自白宫的权威指导,政策审查的建议的具体实施也很缓慢。
选项B :让一个内阁级政府部门负责。有两个主要的选项:国防部和国土安全。在审议每一个方案的细节之前,需要讨论几个问题。让内阁级部门管理这个问题更符合美国政府响应威胁的传统方式。它通过批准和预算程序保证了国会的监督。内阁级官员可能被传唤到国会作证。政府机构根据法律授予的权威运作,而且通常获得授权可以发布规章,可以管制个人和企业。
让一个内阁级政府部门负责也面临挑战。跨机构协调过程从不是简单的,各部门的负责人重视他或她对总统的直接负责。让一个政府部门对另一个部门发号施令,命令它如何防护和运作其内部电脑系统,是存在问题的。“可信互联网连接”(TIC)项目旨在减少与表现出不良苗头的互联网链接的政府电脑的数量。“可信互联网连接”项目由管理和预算办公室于2007年推出,以改善美国政府网络的可靠性和安全性。除了国防部,其他各政府部门都必须参加。截至2009年9月,涉及的23个机构没有完全履行义务。
选项B(1):让国土安全部主管。美国国土安全部的法律权限允许它保护与私营部门共享的信息,可以领导民事部门对网络攻击做出响应,可以要求其他政府机构执行法律和提供情报援助,并为销售和使用技术以抵御网络恐怖主义的公司提供责任保护。鉴于超过85%的政府信息流量通过私营部门的网络传输,负责网络安全的领导机构与私营部门建立紧密的关系是必要的。通过信息分享和分析中心,国土安全部已经与私营部门建立了关系,在国家网络安全和通信集成中心(NCCIC)已邀请了私营部门的代表。国土安全部还具备监管能力。
此外,国土安全具备网络安全方面的经验。自这个政府部门创立以来,它在关键基础设施保护和网络安全方面承担了重大的责任。目前,该部门正在领导美国计算机应急准备小组、国家网络安全和通信集成中心,并已吸取了过去学得的经验教训,并且变革了其内部结构,以弥补其缺点。由于其在网络安全方面发挥的核心作用,在各政府部门中,它具备最好的网络安全准备状态,但远非尽善尽美。
国土安全部面临的一个挑战是吸引和留住足够的人才,以满足其当前所承担的网络安全责任,更不用说以后更多的网络安全责任。2011年,该部门宣布,它计划增加50%的网络安全工作人员数,到2012年10月达到400人。当政府的工资被冻结而私营部门的需求正在持续增长的时期,这个计划将特别具有挑战性。
CSIS的报告建议,该部门保留其现有的业务职能。鉴于网络安全已经成为一个重要的国家安全问题,CSIS的报告认为,一个政府部门机构无法实施所需要的总体政策协调,因而拒绝加强国土安全部的监督作用。随着包括外国情报机构和军方的行动引发的威胁增加,该报告认为,网络安全已经远远超出了国土安全部的职能范围,也不再仅限于关键基础设施的保护。网络安全已经成为一个国际问题,显然超出了国土安全部的能力和管理能力。
选项B(2):让国防部承担主管角色。其他人建议,在整个政府中,国防部应承担网络安全的领导作用。国防部已经承担了保卫自己的系统的职责,并在积极主动地制定政策,实施组织变革,以履行网络安全责任。在这些举措中,其中之一就是设立美国网络司令部,以承担军内的网络防御和攻击问题的全面职责。国防部还通过其国防工业基础网络安全试点举措,与私营部门建立了关系,这些举措符合其保护与国防有关的关键基础设施的权限。
提议让国防部承担网络安全领导责任的的大部分人都是基于国防部拥有的经验和人力资源。国家安全局在监督和保护网络方面拥有丰富的经验和强大的能力。2010年10月,国土安全部和国防部签署了谅解备忘录,要求国家安全局支持国土安全部的网络安全工作,并且在两个机构之间建立了人员交流机制。
让国防部负责网络安全的弊端是多方面的。《地方保安队法案》对军队的国内活动施加的法律限制仅是问题最基本的方面。大部分时间里,国防部缺乏监管权和执法权。同时,也是对该部门主要职责的背离。国防部也将遭受很多的同样影响到国土安全部的机构间协调问题的挑战。此外,国防部与私营部门的关系不像国土安全部与私营部门的关系那样广泛。挑战也有可能来自公民自由团体和国会对网络空间更大程度的军事化的反对声音。
选项B(3):建立一个新的负责网络安全的内阁级政府机构。创建一个新的内阁级机构整合了所有的网络安全职能,提供了一个以解决当前模型的不足之处的机会。先例来自于《1947年国家安全法》,该法创建了国防部,以应对冷战中和二战后出现的新威胁;它还在2002年创建了国土安全部,对9/11事件做出响应。几位专家和政界人士呼吁,网络攻击和其他网络风险带来的威胁已经超出了目前架构的能力,网络安全现在已经是一个国家安全问题。创建一个新的机构,可以整合网络进攻和防御行动。通过适当的立法行动,可以给予新的机构必要的监管和执法权限,以执行其使命。一个内阁级政府机构允许国会根据一般的宪法程序实施预算监督和领导权。
在同一个政府部门中实施整合,有利于划清权责,加强预算和政策的统一性。相关行动缺乏统一性经常被援引,作为当前系统失败的原因之一。
建立新机构也不是万能的药方。正如国土安全部的经验所表明的,把来自不同政府部门的、具备不同的文化的组织机构整合成为一个有效的组织是不容易。在网络安全方面进行适当的组织变革并采取有效行动方面的拖延已经成为一个国家安全问题。“地盘之争”已经成为一个与网络安全政策息息相关的问题。创建一个新的机构也将面临其他部门面临的同样的问题,即平等机构间的协调和履约问题。
选项C:设立一位网络安全事务总监。白宫网络沙皇的一个变化将是仿效国家情报总监,设立一个权力强大的网络安全协调员。国家情报总监创建于9/11恐怖袭击之后,以统一国内的、国际的和军方的情报行动,国家情报总监担任情报界的领导。国家情报办公室为各个情报机构制定目标和工作重点,以满足行政和立法部门以及武装部队的需求。最重要的是,国家情报总监根据军方和各个政府部门机构的需求和重点任务制定和执行预算,在此基础上执行国家情报计划。
可能设立类似的职位——网络安全总监(DCYBER)——以实施网络安全计划。执行相关的立法允许对整个联邦政府进行预算监督,总监的任免需要参议院的确认,并确立政府部门明确的权力与责任,以及监理与私营部门的关系。
(责任编辑:安博涛)
