注册
登录
| 关键词: 网络安全 国家 政府 基础设施 美国 安全 安全性 一个 网络 机构 |
Melissa Hathaway在接手这项为期60天的网络安全评估之前,这位美国国家网络安全高级官员已经很清楚全世界的数字基础设施需要改进。随着核查的结束,她坦承局势的严重性如梦魇般追随,扰乱着她的睡眠。 作为国家网络安全委员会和国土安全委员会代理高级主管,Melissa Hathawa在RSA2009会议上作了主题演讲,她说:“每天晚上,网络安全问题都会潜入我的梦中,令我焦虑不安,我经常在梦中处理着问题,在凌晨二点半或四点半醒来,有时候甚至会在脑海中闪现出一个好的想法。” 作为一名前布什政府官员,Hathaway受奥巴马总统之邀,领导一项为期60天的政府网络安全评估任务,并协助建立一个数十亿美元的机密工程,该工程旨在更好地确保国家网络系统和重要基础设施的安全性,抵御来自于网络的威胁。 Hathaway承认每个参加RSA会议的人都已经了解:一个国家的,甚至可以说是全世界的数字基础设施,都充满了安全漏洞;在面对有人受金钱利益驱使窃取他人资料,或国家安全受到威胁时,这些安全漏洞使我们变得不堪一击。 她说,“尽管我们作出最大努力,我们主要建立在互联网上的全球数字基础设施并不安全,而对于我们今天及未来的使用亦缺乏足够的弹性” , “这种不安全性带来了21世纪最严重的经济和国家的安全挑战之一” 。 Hathaway举出一些例子:相对于安全性,当今数字基础设施的设计更多是基于互用性及有效性的考虑,因此,越来越多的国家和非政府人员能够对信息进行危及,窃取,更改或是破坏。Hathaway指出: “无数的网络入侵已使犯罪分子窃取了数亿美元,使他国录用到知识产权和敏感的军事情报。”她说,网络不法分子甚至有能力威胁或损害国家某些重要的基础设施,最近的一个例子是2008年11月发生在世界范围内的49个城市130台自动取款机在一个半小时之内被非法清空。这类风险让消费者对信息系统失去信心,从而削弱整个国家的经济和国家安全利益。 Hathaway没有深入谈到她给奥巴马所提的建议,但她的确谈道了其中的一些要点 以下摘自她的演讲文稿: ——我们政府最根本的责任在于对网络空间中的战略性弱点进行核查,以确保美国及全世界能够充分发挥信息技术革命的潜力。 ——这一责任超越管辖范围内的单个部门和机构,因为尽管每个机构有其独特的贡献,任何一个机构都不可能从足够广泛全面的角度来接受挑战。 ——它需要白宫最高层对国家、地方及部落各个部门和机构,甚至于是地方学校教室及图书馆的正确领导。 ——关于全国范围内网络安全性的对话现在必须提上日程。美国人民应该认识到必须采取行动。政府应该对当前所面临的挑战进行解释,并对美国应该如何解决这类问题进行讨论。 ——网络无国界。美国如果在网络安全化方面孤军奋战,是不可能取得成功的,美国应该与世界其它国家合作,让数字化基础设施成为一个安全的、有保障的地方,以推动所有国家的繁荣和创新。 ——联邦政府不能完全代表或废除其捍卫国家网络安全的责任。但是私企设计,建造,拥有并经营着大部分政府和私企使用的数字基础设施。为了确保安全,可靠的基础设施,公共的和私有的利益因为共同的责任而交织在了一起。要预防,发现,应对网络犯罪,并从网络安全事件中恢复过来,信息是最关键的因素。这些都要求各方共同的合作。与会的以及未到场的政府及行业领导人需要划定自己的作用的责任,并采取措施来制订全面的解决方案。只有通过这种伙伴关系,美国才有能力提高网络安全并从数字革命中获利。 ——未来架构的建设需要将注意力集中在游戏规则的改变上,要研究出一种新的能提高数字基础设施安全性,可靠性和弹性的游戏规则。我们必须牢记政府与企业的合作可以如何优化我们的研究结果和发展资金。而且合作可以改善市场的安全性,硬件和软件的适应性,新的安全创新以及管理服务的安全性。 ——白宫必须依靠整个民族的力量,建议和想法带头推进这一合作。 她的结论是在改进网络安全的工作中,每个人都可以发挥作用,尤其是IT安全从业人员。 政府在维护网络安全中扮演的角色主要是对私企怎样管理其网络进行控制,而这也成为这次大会与会者热议的话题。出于对美国参议立法范畴的考虑,这一问题最近一直困扰着信息安全社区。参议院给予政府更多的权利以便在私企中强制贯彻安全策略。 在上文中我们提到,大多数IT安全专业人士都对给予政府更多控制权的说法表示怀疑。 Gartner分析师Rich Mogull称政府更深入的控制或许在某些情况下是有意义的,但却不具有广泛的意义。他认为,对主要基础设施和政府承包商的控制是合理的,而如果要延伸到企业内部,则注定会失败。一方面政府已经表明没有确保自身网络安全的能力,或许对新政府重新确定优先顺序会对这一问题有所改善,但是这会要突破一系列体制的桎梏。 虽然国家安全局在网络情报方面发挥了重要的作用,但是在管理国家网络安全防御这一事件上,它是否是一个合适的实体呢?如果我们想利用其广泛的专业知识,那就需要创建一个单独的机构来复杂防御任务,并向情报机构以外的网络安全负责人报告网络安全情况。 国家安全局中将Keith Alexander称,政府高级官员并不一定会反对。他还一再坚持网络安全是一项庞大的工程,是需要政府出力来解决的。显然,国家安全局会扮演一个重要的角色。作为技术人员,将会领导国家安全系统,互联网社区,防御部门完成这样的工作,但是仍然需要和其他机构合作。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
