螞蟻金服收購何以失敗？再看特朗普「全面超越」的網路安全觀

【編者按】

北京時間1月3日，螞蟻金服以12億美元收購速匯金（MoneyGram）的交易被美國監管機構以國家安全為由否決。

與此前屢遭碰壁的中國企業赴美併購不同的是，作為知名的移動在線金融服務機構，螞蟻金服併購案涉及美國約240萬個銀行和移動賬戶，以及大量的個人消費數據。按照美方說法，對網路安全數據安全的擔憂，正是此次收購失敗的重要原因之一。

一樁中美雙方企業樂見、再普通不過的在線金融機構交易，為何艱難碰壁？是時候再審視特朗普政府《國家安全戰略報告》中流露的網路安全理念了。

2017年12月18日，美國總統特朗普發布了任期內首份《國家安全戰略報告》（以下簡稱「報告」）。在網路安全方面，新「報告」同往期「報告」相比在「質」和「量」上都有了明顯提升，可謂對往期「報告」的全面超越。

新「報告」中網路（cyber）一詞的表述出現了近50次，幾乎每隔四五頁就要出現至少一次。與2010、2015年兩版「報告」中均20餘次提及「網路」相比，數量上增加了一倍。從表述上看，新「報告」強調「美國對網路時代機遇和挑戰的應對將決定國家未來的繁榮與安全」，提出美國需要擁有一套「防治結合、具有彈性」的應對體系，讓網路「反應美國的價值觀，促進經濟增長，捍衛自由，保障美國國家安全」。同往期「報告」中「我們的經濟、安全和健康通過一個網路基礎設施聯繫在一起」以及美國要「確保聯邦網路的安全」、「完善更高標準的法律框架」、「讓惡意網路行為體付出代價」等措詞相比較，新「報告」顯然進一步強調了網路安全在美國國家安全中的重要性，並提出了更為明確的目標，凸顯了特朗普政府更加務實、重視網路安全的特點。

總體來說，在當前個人及國家對網路依賴程度持續增強的背景下，特朗普政府的新《國家安全戰略報告》是對往期「報告」的全面超越，但其攻勢意味的增強，以及對國際合作的消極態度，也將對全球網路空間安全形勢產生負面影響。

深化中有延續，政策更加務實、系統

總體上看，「報告」中的網路安全政策是對之前兩份報告內容的深化和延續，同時也更加務實、系統。特朗普政府從保障網路安全與提升美國網路實力兩個角度，提出了八項政策，分別是：「識別和優先處理風險」、「構建更加完善的網路體系」、「威懾和瓦解惡意的網路行為體」、「提高信息共享和讀出」、「進行分層防禦」五項網路安全保障政策，以及「改善甄別，追責和響應」、「增強網路工具和專業程度」、「提高綜合性和靈活度」三項網路能力提升政策。

2010年和2015年的「報告」主要從「加大對人才和技術的投入」和「加強夥伴關係」兩個方面提出了關於保障網路安全的政策。針對這些內容，新「報告」中提出四項具體政策，即「構建更加完善的網路體系」、「增強網路工具和專業程度」、「提高信息共享和讀出」、「提高綜合性和靈活度」。

技術先進、數量眾多的私人網路安全公司一直是美國網路優勢的重要來源

具體來說，在技術和人才方面，美國將「使用最新的商業能力、共享服務和最佳規範來實現聯邦政府信息技術的現代化，提供不間斷的、安全的通信和服務」、「改進網路工具以應對不同層次的爭端，保護數據和信息的完整性，並聘用、培訓、維持一支能夠開展這一系列工作的隊伍」。在合作方面，美國將「與關鍵基礎設施合作夥伴一同評估信息需求、減少信息共享障礙，擴大與私營部門的合作」。在完善國內機構方面，美國將「改進和整合美國政府部門與流程並與國會合作，共同應對挑戰，滿足維護網路安全、增強網路實力的要求」。

而且，這三部分內容不再像在往期「報告」中被簡單得排列、堆疊在一起，而是各自成為獨立政策，目標導向性更強。同時，各項政策間的聯繫性有所提高，一項政策的實現需要其他政策的配合。因此，特朗普政府新「報告」雖然延續了部分往期「報告」中所提到的政策，但是這些政策在各自具有明確目標的同時相互關聯，系統性與務實性有所提升。

新政策針對性更強，攻勢意味更突出

在延續了部分政策之外，為了進一步加強美國網路實力、保障網路安全，特朗普新「報告」還提出了四項新政策，分別為改善對網路攻擊的「甄別，追責和響應」、 「識別和優先處理風險」、「威懾和瓦解惡意的網路行為體」和「進行分層防禦」。這些政策均為特朗普政府根據網路安全問題特點及當前美國網路安全情況而提出的，具有很強的針對性和專業性，攻勢意味也更加突顯。

「甄別，追責和響應」與「識別和優先處理風險」兩條政策的關注對網路安全問題的發現和評估。這兩條政策要求美國相關部門需要能夠及時評估、甄別美國關鍵領域（國家安全、能源、銀行和金融、健康和安全、通信和運輸）的風險等級，並按照評級及時進行有效的應對。網路安全問題具有難以被提前發現且容易造成巨大影響的特點。不論是於2010年對伊朗核設施造成重大影響的「震網」病毒（Stuxnet），還是今年在全球造成影響的「勒索病毒」，網路安全問題幾乎都是突然出現，並讓相關領域遭受重大損失。因此，如何進行相關早期預警及危害評估就變得尤為重要。特朗普政府新「報告」將識別與危害評估作為今後保障網路安全的重點顯然便是針對網路安全問題的這一特點而提出的。

「威懾和瓦解惡意的網路行為體」要求美國既要能夠找到網路攻擊的發動方，並讓其付出高昂代價，同時還要具有讓企圖對美國進行網路攻擊的行為體「知難而退」主動放棄攻擊的能力。這一條政策實際上是要求今後美國既要具備足夠的網路攻擊、反制能力，同時還要具備足夠的防禦能力。一直以來，學界總有觀點認為美國的網路攻擊能力足夠強大但防禦能力不足（見下表）。特朗普新「報告」提出的這條要求加強攻防能力政策，可以被視為是對過去美國網路攻防能力不對等情況的改善。

「進行分層防禦」要求美國要能和私人機構相互合作，層層防禦，阻止惡意網路攻擊行為達成目的。由於國家並不是網路空間的唯一行為體，網路安全不可能僅僅由國家政府保障。因此，如何更好地同民間及私人部門合作，共同保障網路安全便十分重要。在這一方面，特朗普政府新「報告」提出未來將加強同私人和民間部門的合作。雖然如前文所述，往期「報告」中也曾提到了同私人、民間部門合作的內容，但是新「報告」將這些網路安全合作納入了「分層防禦」體系，說明今後美國政府同民間部門的合作的體系性和計劃性將有所提升。如果民間領域的資源及力量能夠得到合理髮揮，那麼今後美國的網路實力及網路安全狀況都將得到進一步改善。

國際合作受冷落，網路空間國際形勢不容樂觀

「報告」中另外一個值得關注的焦點，是對國際合作的態度明顯趨冷。

20世紀90年代初期以來，多個國家和國家組織尋求通過國際合作確保網路空間安全，並且形成了一些成果，如聯合國大會第一委員會每年頒布題為《國際安全背景下電信與信息技術的發展》的文件，歐洲出台《打擊網路犯罪公約》，上海合作組織發布「關於國際信息安全的聲明」和「保障國際信息安全政府間合作協定」等。但與此形成鮮明對比的是，美國雖然參與了部分相關行動，如2006年批准了《網路空間犯罪公約》，但在網路空間國際合作問題上始終持模稜兩可的態度，依然希望憑藉自身在互聯網領域所擁有的核心技術與資源，繼續保持其在網路空間的絕對優勢。

在全球網路安全形態不斷惡化，大規模網路攻擊事件、惡性網路犯罪時有發生的情況下，國際社會求同存異、增強合作的必要性日益凸顯，美國的態度發生了轉變。2008年以來，多位學者通過研究指出，美國應當轉變立場，國際合作有利於網路空間安全的維護，也有利於美國的利益。奧巴馬執政後，國際合作幾乎成為美各類網路空間戰略文件中不可或缺的「關鍵詞」。2011年，白宮專門發布了《網路空間國際戰略》文件，時任美國防部副部長林恩甚至呼籲，建立一個「在確保網路空間安全方面具有共同利益的國家間聯盟」。 在2010和2015年的兩期「報告」中，奧巴馬政府多次提出要和其他國家加強網路安全合作，幫助他國改善網路安全情況，「和所有關鍵的參與者，包括各級政府機構、本國或國際行為體一道」共同應對網路安全問題，「在一系列事務上強化國際夥伴關係」，在問題出現時「做出有組織的聯合反應」。

特朗普「美國第一」的單邊主義理念也反映在其網路安全政策上

但從剛剛出台的新「報告」看，與其反多邊主義、反自由主義的理念一脈相承，特朗普政府在網路空間也更多地要求其他國家履行責任，「網路合作」一詞也僅僅出現在「第二支柱 促進美國繁榮」部分的「保證美國能源領域的支配地位」章節，指出美國將「同盟國和夥伴一道，共同保護全球能源基礎設施免受網路和物理威脅」。網路空間作為全球化發展進程中的產物，將位於世界各個角落的主權國家、國際組織、私有企業及個人等各種行為體更為緊密的聯繫在一起。因此，網路空間問題絕不可能由單個國家來解決，國際合作是確保網路空間安全穩定的唯一途徑。特朗普政策在網路空間國際合作上態度的明顯倒退，顯然將嚴重阻礙國際社會合作應對網路空間威脅的各種努力，網路空間安全形勢不容樂觀。

（作者系盤古智庫研究員）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！