美国网络安全战略有何变化?

说实话，美国网络安全战略的变化，最近确实有点让人眼花缭乱。从过去那种更偏向于“被动防御”和“事后响应”的姿态，转向如今这种主动出击，甚至准备把私营企业拉上“战车”的做法，这步子迈得相当大。彭博社披露的消息，说特朗普政府正酝酿一项新战略，核心就是借助私营企业的力量对外国对手发动网络攻击，这可不是简单的战术调整，更像是一种战略范式的根本性转变。

从“盾”到“矛”的战略重心转移

回想一下，过去的美国网络安全战略，尽管也强调“防御前置”和“持续交手”，但公开层面，更多是聚焦于加固关键基础设施、提升公私部门信息共享、以及通过制裁和起诉进行“点名羞辱”。但现在草案里提到的“启用私营企业打击入侵者”，味道就完全不同了。这相当于官方承认，单靠国家安全局（NSA）或网络司令部这些国家力量已经不够了，需要将一部分“进攻性网络行动”（OCO）的能力或授权，下放或者说外包给民间。想想看，那些顶尖的网络安全公司，手里握着的漏洞库、攻击工具和情报资源，有时候甚至比某些国家机构还要丰富和敏捷。

这种转变背后，其实是美国对网络空间博弈认知的深化。网络威胁，尤其是国家级黑客和勒索软件团伙，他们的攻击是7×24小时不间断的，攻击面遍布全球。光靠政府机构，人力、技术和响应速度都存在天花板。让熟悉前线战况的私营企业“以攻代守”，或者直接参与反击，听起来似乎能更快地形成威慑。但这里面的风险也显而易见——如何划定清晰的行动红线？如何防止商业行为演变成不受控的国家间冲突？草案说“未详细说明”，这恰恰是最让人捏一把汗的地方。

法律与伦理的“灰色地带”亟待廓清

知情人士提到可能会用行政命令来明确角色并提供法律保护，这绝对是关键中的关键。目前，美国法律如《计算机欺诈和滥用法》（CFAA）对未经授权的网络访问定罪很严。如果一家美国公司，在政府“授意”或“默许”下，去黑入一个外国服务器（即使对方是黑客），这行为本身在法律上就极其模糊，甚至可能让企业高管面临刑事指控。更不用说，如果反击行动不小心波及了中立国的系统或无辜的第三方，这个责任谁来承担？是政府兜底，还是企业自己背锅？

这不仅仅是法律问题，更是战略伦理问题。一旦开了这个口子，就等于默认了网络空间的“民兵化”或“私营武装”合法化。其他国家会如何反应？会不会纷纷效仿，也扶持自己的“网络雇佣兵”？到头来，网络空间可能不是变得更安全，而是陷入一个更混乱、更不可预测的“丛林法则”时代。微软总裁布拉德·史密斯几年前就警告过要避免“数字军备竞赛”，现在看，这个趋势好像正在加速。

当然，我们也能理解美国战略制定者的焦虑。看看近几年影响巨大的 SolarWinds 供应链攻击、 Colonial Pipeline 勒索软件事件，攻击者越来越猖獗，造成的损失实实在在。传统防御手段有点疲于奔命，寻求更主动、更具攻击性的威慑手段，似乎成了一种“不得已”的选择。但无论如何，将私营力量大规模引入国家网络攻防体系，这步棋走得怎么样，恐怕不仅取决于技术能力，更取决于后续那套精细、透明且能得到国际社会一定程度理解的规则框架，能不能真正建立起来。未来几周战略正式公布时，这些细节的缺失与否，将是观察其成败的关键。