網絡安全合作為什么重要

◎ 《信息周刊》Erik Bataller 著/ 星竹 編譯

多年以來，聯(lián)邦政府與私營部門合作，頒布了一項又一項新政策，來保護關鍵IT基礎結構。這些努力已經取得了進步，但是威脅隨之而來——來自外界的計算機破壞，迅速蔓延的“蠕蟲”，以及潛藏的惡意軟件——已經超過了網絡優(yōu)勢，使得計算機系統(tǒng)和網絡比以往更加脆弱。

美國的企業(yè)和政府能夠聯(lián)合起來做些什么，來逆轉這一危險趨勢？這里必須有三方面的考慮。第一，公共和私營部門需要共享更多的信息——更多方需要參與進來，搭建更多的平臺。第二，要加強對惡意攻擊關鍵IT基礎結構行為以及損害硬件設施行為的防范。第三，政企合作需要提升到新的層次——當威脅出現時要實時跟蹤鎖定并作出回應，更為重要的是，“安全防護行動應該從被動回應轉向主動出擊，先發(fā)制人。”德勤網絡威脅情報組的負責人Rich Baich這樣說到。

換言之，在聯(lián)邦政府和私營企業(yè)之間建立的日漸增多的網絡安全“多邊組織”不是單行道。聯(lián)邦調查局調查員可能為了執(zhí)行一條政令，在諸如2009國土安全國家基礎設施保護計劃等新方案上下功夫；而公司則堅持從通過合作誕生的更具有適應性的安全防護中獲益。

許多活動圍繞在關鍵工業(yè)系統(tǒng)共享的信息展開。例如，信息共享與分析中心國家委員會為金融服務、醫(yī)藥、公共交通以及大量其他公司提供支持，以應對網絡威脅。信息共享是很重要的，但是并不能止于此?？尚庞嬎闩c微軟副總裁Scott Charney說，信息是“一項工具，而非目的”。

包括美國銀行、花旗集團、摩根斯坦利等成員在內的財政服務合作組織在IT保護及其他在銀行、保險公司、金融研究院等中運行的基礎結構方面展開合作。該合作組織與美國國土安全部、財政部等相關部門合作，日前同國家標準與技術研究機構委員會、商務部以及國土安全部簽署了一份合作理解備忘錄。金融公司與政府機構聯(lián)合起來共同努力，為網絡安全的技術和測試平臺的發(fā)展鋪平道路。

法令的核心

國土安全部的國家網絡安全部門（NCSD），包含了美國應急響應中心與國家電信協(xié)調中心，是這些合作努力的指導核心。來自私營部門的IT員工的日常辦公地點設在2009年成立的國家網絡安全與交流一體化中心。信息周刊獲悉，美國國家網絡安全中心已經與Facebook以及Twitter就網站可能遭遇的攻擊建立了互助交流合作。中心與包括電信、能源等在內的18個關鍵產業(yè)締結了紐帶，維護通信的暢通，為需要援助的地方提供方法。國家網絡安全部門內的一個小組關注針對關鍵基礎結構的攻擊，它在2010年Stuxnet worm的政府調查中占主導地位；依照Symantec的說法，這場風暴影響了伊朗、印度尼西亞、印度及其他地區(qū)數以千計的特種電腦。

在過去的一年中，一些信息產業(yè)最大的玩家同聯(lián)邦政府一同工作來調查網絡安全事件。例如，微軟雇傭了計算機緊急情況反應小組（CERT）來記錄Waledec僵尸網絡，它對成千上萬基于Windows系統(tǒng)的全球計算機造成了影響，幾乎同時，Google 被報道轉向國家安全局來分析始發(fā)于中國的系統(tǒng)安全漏洞。Lynn副秘書長談到，如今在五角大樓，國防部官員會與技術和安防公司的同仁定期會晤，鎖定系統(tǒng)弱點，走在威脅的前面。

面臨的挑戰(zhàn)

當公共部門與私營部門的合作關系所帶來的裨益日漸清晰時，挑戰(zhàn)也是不可忽視的。合作方之間缺乏信任，法律法規(guī)對信息全方位披露的阻礙，安全產品供應商的既得利益，推行不力的恐懼以及客戶的排斥與對抗，政府部門內部的權限之爭……

為了掃除這些障礙，需要出臺新的規(guī)定。2010年發(fā)生的維基解密泄露政府文件、納斯達克服務器被不明攻擊者襲擊等事件本應該且能夠被阻止?！伴_放資源”——那就是說，向一切開放——數據統(tǒng)一與分析，以及補救措施等，都是必需的。

比起現在呈現的一個由參與者組成的封閉的圓環(huán)，機會更垂青于更加寬泛的觀點與理念的整合。

我們知道這是可能的，因為我們已經用通用漏洞披露（CVE）的形式來對付軟件和硬件的弱點，邁特公司為CVE識別的編碼權威，收集的數據在產業(yè)內得到了應用。

“協(xié)同工作是我們時代面臨的最大的技術挑戰(zhàn)之一?！眹啦縒illiam Lynn如此說。

為了改善網絡安全我們還可以做些什么？

接下來的幾個步驟拋磚引玉，簡述公共部門與私營部門的合作。

→在經濟組織與部門之間建立實時事件跟蹤制度。我們不妨應用現有的技術與知識，來鎖定一項威脅行動或跨系統(tǒng)的行為。

→啟動實時智能活動分析，確認威脅源自哪里，它們的目標是什么，以及它們的活動及行為表現。

→確認并分享非常態(tài)及惡意交易的來源。

→建立一個供應商、企業(yè)及研究者的組織，培育強大的風險防御及響應能力。

試想，當這些措施落地，研究人員和工程師將能做什么？內部安全團隊能夠快速地封艙，而安全產品供應商能夠立即在產品中考慮到必要的變化，并且推出補丁與更新。

但是如何開始呢？在安全產業(yè)之外，有兩種現存的模式能夠使這種方法奏效：一個是股票交易，它是資金融通的票據交換所，也是市場與經濟信息的晴雨表；另外一個是氣象服務，氣象數據在第三方中得到廣泛分享和重用，為客戶創(chuàng)造價值。如果我們能夠分析十億計的交易數據，繪出金融交易圖表；如果我們能夠提前數日預測天氣，那么我們有理由能夠在處理網絡威脅方面做得更好。

我們需要凝聚起創(chuàng)造力和企業(yè)家才能，提出可執(zhí)行的解決方案。Stuxnet例舉了我們面臨的風險?！叭湎x”瞄準了工業(yè)控制系統(tǒng)，這個系統(tǒng)覆蓋了整個關鍵基礎結構范圍。從核電站建筑到煉油廠，蠕蟲被以極大的細心建立起來，悄悄嵌入系統(tǒng)，傳播、繁殖，并被“背景連線通訊”（秘密通訊）更新。

預警

網絡安全領導者理解政府與商業(yè)組織更密切的關系能夠導向預警與更快速響應。在這篇文章的寫作過程中，筆者與國土安全部部長助理Gregory Schaffer進行了交談，就網絡安全與通信同InfraGrand 女董事長Kathleen Kiernan進行了交流；同政務與關鍵基礎設施保護部門副主席Bob Dix，以及微軟公司的Charney進行了商討。他們都同意這樣兩個觀點：公共部門與私營部門應當進行更加富有成效的對話、交流；公共部門與私人部門應當開展更加積極的合作。

達成這個目標的一個新方法是通過一個巧妙的交換，讓網絡安全作為一種開發(fā)新技能和分享最佳實踐的暫行辦法，在政府與企業(yè)之間交互移動。幾個月前，國土安全部頒布了一個“借調公務員”計劃，誠聘一個網絡安全與交流整合計劃的高級顧問。美國國土安全部正在著手從私營部門外聘一位行政管理人員來填補職位。職位描述如下：擔任私營企業(yè)運作模式、管理方法與最佳實踐在國土安全部內得以發(fā)展、應用的顧問。

在麻省理工學院（MIT）的一次演講中，國土安全部秘書長Janet Napolitano邀請學生與高等院校成為一個“更深、更廣的合作”的一部分，Napolitano指向日本的地震、海嘯等災害，以及核工業(yè)威脅——她強調了公眾對于有彈性的、適應性強的基礎結構與網絡的需要?！霸诿绹鴩涟踩?，我們詢問將怎么能確保工業(yè)控制體系的安全，以保障我們的水處理與能源機構安全運行，怎么運用好虛擬空間的自然分布的力量，而不是把它看成更難駕馭的一項防護責任和義務?！彼f。

“信息共享不是最終目標?！盋harney說。

在國防部，一個新的“IT交換計劃”致力于讓軍事系統(tǒng)內的安全專家向企業(yè)最佳實踐學習?！拔覀兿Ｍ鸌T高級經理能將更多的企業(yè)實踐融會貫通。”Lynn在美國RSA實驗室說，“我們希望資深業(yè)界專家經歷到我們在國防部面對的獨特挑戰(zhàn)，拿到一手的資料?！?/p>

因為有些人不喜歡這個提議，政府法規(guī)可能應運而生，成為迅速提高產業(yè)安全水平的唯一舉措。太多的公司在網絡安全方面領會了最佳實踐的涵義，卻不能貫徹落實到底。我們所能看到的一個有著持續(xù)的、進取性改變的領域（如果不計較其瑕疵），存在于被要求滿足支付卡行業(yè)數字安全標準的組織中。如果美國想切實保護國家的IT基礎結構，他將不得不對IT的治理予以授權。

網絡安全法律條文

法律制定者多年以來一直有意將網絡安全寫入法律條文。保護網絡空間作為一項全面的法案被列入2010國有資產法，正在交與國會討論。法案將賦予總統(tǒng)權能，采取措施保護電信通訊網絡，輸電網絡，金融系統(tǒng)等國家緊急事件中的關鍵控制系統(tǒng)，這樣領導者權威是臨時性的，以30天增長為限，但是也是寬泛的。評論家指責說：“法律內容包含了一項‘互聯(lián)網殺戮開關’?！狈ò傅耐苿诱唏g斥這一批評，隨之圍繞政府對公用系統(tǒng)網絡的影響敏感度展開了一場公開辯論。其他待定的法規(guī)帶著商業(yè)含義，分別是國際網絡空間及網絡安全合作法以及加強網絡安全法案。

信息產業(yè)與許多企業(yè)更希望看到基于激勵、鼓勵帶來的變化，而不愿意被動地服從法律規(guī)定，這是意料之中的事。一個產業(yè)群同盟——商業(yè)軟件聯(lián)盟，文件與技術中心，互聯(lián)網安全聯(lián)盟，技術美國，以及美國商會——近期發(fā)布公告爭論道，公司愿意自愿地在網絡安全方面采用最佳實踐，而不是被動執(zhí)行政府的法令。

“新政策初衷可能考慮替換現有模式。新的系統(tǒng)將更加依賴于政府的行政命令對私營部門的指導?！卑灼鴮懙健?/p>

方向的扭轉不僅將逐漸減緩現有的進程，而且將阻礙人們繼續(xù)努力以取得持續(xù)的進展。報告從信息共享、突發(fā)事件管理等7個領域闡述了提議，以推動公私部門網絡安全合作的進程。

促使更多的IT基礎架構安全運行的一大趨勢是政府對云計算的推動。首席信息官Vivek Kundra 正在呼吁聯(lián)邦政府機構更加充分地利用軟件提供云服務等，但在此之前，這些服務必須滿足聯(lián)邦政府對于安全的要求。它為政府改善購買力提供了絕佳的機會，鼓勵云服務提供商建立更多的防攻擊、更富有彈性的數據中心與進程。商業(yè)機構與客戶進入同樣的云基礎結構，就能夠從這些改進中持續(xù)獲益，

企業(yè)與政府IT與安全計劃必須抓住機遇，因為當今面臨的威脅更加廣泛和嚴峻，信息共享已經成為重要的第一步，接下來發(fā)生的事情將會決定是要付諸努力還是擱置提議，來發(fā)展一個更加強健的計算機基礎結構。