扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
美国参议院最近通过了两项新法案。第一项法案是创建一个新的内阁级职位国家网络安全事物顾问。第二项法案是授予此人控制网络的权力。这看起来是个好主意么?你来告诉我。
--------------------------------------------------------------------------------------------
我已经看过这两项法案,从表面上的内容来看,它似乎没有什么意义。因此,我很困惑。为什么参议院要使用含义模糊的用语来撰写这样权限强大的法案呢?举例来说,关于要设立的国家网络安全事物顾问这一职位权限,法案是这么说的:
“国家网络安全事物顾问应当向总统提供及时和适当的建议、信息和意见,并且协助总统管理和网络安全相关的美国联邦法律,对法律的执行情况进行监督。”
因此,这个人的职责是负责网络安全。这意味着什么?我知道,经过了这么多年后,网络安全已经是一个非常时髦的词汇了。不过尽管它已经是时髦的词汇了,但并没有法案对什么是网络安全进行真正的说明。网络空间也是同样的情况,尽管这个词也已经非常流行了。
这看起来似乎是非常奇怪的;对于立法者来说对于重要条款的定义确定应该是根深蒂固的习惯。所以,我花费了几个小时寻找,但是也没能够找到关于网络或者网络安全的官方定义。我希望,自己只是没有找对地方,有人可以告诉我正确的位置。在此之前,我将提供找到的关于这个词的一些非官方定义。
网络空间
作家威廉·吉布森被认为在其小说《融化的铬合金》中首次创造出来网络空间这个词,并在后来的小说《神经漫游者》中普及。他是这样描写的:
“网络空间:是一个基于儿童时代就获得的数学概念,包含了数十亿商业用户,遍及全球所有的国家,进行协商一致的虚拟化活动的区域......在整个系统中具有代表性的就是来自银行系统所有计算机的数据。它具有无法想象的复杂程度。包含了程度不同的反空间思想,聚集了大量的数据,就象城市之光一样,无法确定。”
看起来对么?好吧,也许不是。我想在这里如果不提供维基百科关于网络空间的定义就是失职了:
“网络空间指的是基于电磁学通过电子技术,利用电磁能量的调整,以实现广泛的沟通和系统控制能力的全球网域。”
我在2003年发布由美国国土安全部(DHS)撰写的《国家网络空间的战略安全》报告中发现了一个比较正式的定义:
“我们国家的关键基础设施包括了农业、食品、水、公共卫生、紧急服务、政府、国防工业基地、信息和电信、能源、交通、银行及金融、化学品和有害物质以及邮政和运输等领域的公共和私营机构。网络空间则是我们国家控制系统的神经。网络是由数以十万计相互连接的计算机、服务器、路由器、交换机及光纤电缆组成,是保证我国重要基础设施工作的关键因素。”
我没有发现立法者使用维基的定义,尽管我猜他们是这么想的;因此,在这里,我们将采用美国国土安全部目前的版本。
网络安全
不象网络空间,我翻遍了所有的字典也没有找到网络安全的定义。看起来,绝大部分组织将网络安全分成了两个词。我找到的最接近的定义来自在线计算术语电子词典,为此我不得不采用文学方面的技巧并对网络的含义进行扩展解释:
“网络就是应用控制论,对于活的生物体和机器的控制和联络系统进行基本研究,特别侧重于利用数学分析信息交流的部分。”
在线计算术语电子词典对于安全的定义是:
“防止未经授权的访问以及对信息和包括中央处理器、存储设备和程序在内的系统资源的更改。”
美国计算机安全紧急响应小组(US-CERT)的投票给我对网络安全下的定义作出了最好的诠释:
“看起来,现在所有的一切都是基于计算机和互联网了,通信(电子邮件、手机)、娱乐(数字有线电视、MP3音频压缩文件播放器)、运输(汽车引擎控制系统、飞机导航系统)、购物(网上商店、信用卡)、药品(设备、医疗记录),这样的例子不胜枚举。我们的日常生活在多大程度上依赖于计算机?你有多少个人信息不是保存在自己的计算机或者别人的系统中?
而网络安全所要做的,就是对这类的信息进行保护,防止各类的恶意手段窃取或者破坏它们。”
在发现维基百科没有网络安全相关网页的时间,我曾经很惊讶;关于网络安全的默认页面仅仅对计算机安全进行了解释,没有足够的扩展,不适用于我们的领域。美国计算机安全紧急响应小组的解释相比之下,更好一些,毕竟美国计算机安全紧急响应小组的本职工作就是为抵御网络攻击提供支持和响应。
我不知道与这些定义相比,该法案的作者对网络和网络安全有着什么样的了解。看起来就这一点达成一致意见是件好事情。现在,至少我们对它们指的是什么有了一个想法,所以就一起来对法案进行详细的分析,看看它到底想说明什么。
2009年网络安全法案
参议员约翰·洛克菲勒和参议员奥林匹亚·斯诺是2009年网络安全法案的提交和支持者,并且两位参议员也支持设立内阁级职位国家网络安全事物顾问。在2009年网络安全法案中是这样开篇的:
“为了确保美国和全球的贸易伙伴可以通过安全的网络通信进行持续的自由流通商业活动,并且可以为用于上述目的的互联网和内部网络提供持续支持和改进,必须为网络提供有效的安全保护。因此,应当选择一位信息技术专家,对网络进行安全管理。”
关于授权报告和专家
该法案对目前网络安全面临的严峻局面进行了说明,并提供了多份评估报告。下面的例子就是来自2009年度网络安全威胁评估报告:
“对一家主要金融服务供应商的一次成功的网络攻击可能会对国家经济状况造成严重的影响,而对基础设施的计算机系统进行的网络攻击,举例来说,对控制电网或炼油厂的计算机系统进行攻击,可能导致服务停止数小时甚至数星期。”并且‘民族国家和犯罪分子的目标是我国政府和私营部门的信息网络,这样的攻击降低了商业企业获得获得竞争优势的能力。”
该法案的作者着重引用了2008年12月8日发布的题目为《第四十四任总统当选人关于网络安全的报告书》中的三个主要结论:
· 网络安全是美国面临的一个重大国家安全问题。
· 在决策和进行行动的时间必须尊重美国有关隐私和公民自由的价值观。
· 只有全面的国家安全战略,才能改善整个国家和国际环境下的网络安全情况。
好的,我们现在了解了法案的目的。下一步,就将重点放在该法案将如何改善网络安全状况上。
许可和审批
授权许可和认证网络安全专业人员应该关注这方面的规定:
“在这项法案颁布一年后,商务部长应制定或者协调综合相关项目,推出国家网络安全许可认证体系,对网络安全专业人员进行定期定量的认证。”
使用安全域名系统
由于联邦政府的许多部门已经开始着手使用域名系统安全协议了,我想不明白为什么该法案还要在强制使用安全域名系统方面做出没有什么实际效果的声明。在该法案中,是这样说的:
“在本法案发布三年之内的时间,负责通信和信息的助理商务部长应当制定一项战略,保证域名地址系统更新到安全的状态。”
三年的时间才能确定要做些什么?这可不是什么好事情;域名系统欺骗攻击正在迅速成为网络攻击的首选武器。
网络安全研究
美国国家科学基金会将负责审批各种类型的网络安全研究课题,以下几方面和计算机和信息科学相关的项目将被优先考虑:
· 如何设计和编辑在第一次部署时就可以实现安全可靠效果的密集型复杂软件系统。
· 在对软件进行测试和验证的时间,怎样才能作到地域无关性,不管它是来自本地还是第三方,并且避免出现已知的重大安全漏洞。
· 如何对第三方为软件提供的功能进行测试和验证,并且确保仅仅只有该项功能。
· 如何保证存储在分布式系统中以及通过网络进行传输的个人身份、信息和合法交易数据的安全。
· 怎样建立将互联网的安全性作为真正核心要素的新协议。
· 如何确定在互联网上传播信息的来源。
· 怎样改善安全状况保证隐私信息的安全。
· 如何处理日益严重的内部威胁。
我感觉法案的这个部分是一个好迹象,但也还是远远不够的。
美国国家标准技术研究院的任务
该法案授权美国国家标准技术研究院(NIST)制定标准并进行一致性测试,
以保证整个基础设施以安全的方式运作:
“在本法案颁布一年后,美国国家标准技术研究院应当建立可衡量审计的网络安全标准,联邦政府的所有部门、政府承包商、包含了重要基础设施信息系统和网络的专营公司都必须遵循该标准。”
安全专家似乎很高兴的看到,在很多必要部分已经到位的情况下,美国国家标准技术研究院完全有能力做到该法案要求的这一点。
互联网管理
该法案引起的最大争议就是可以随时禁用互联网。在法案的第43页第17行,新的权力被授予行政部门。不过最有意义的并不是什么新的或者不寻常的部分,而是下面的两条:
· 基于网络安全的要求,总统可以宣布紧急状态,对互联网流量进行限制或者阻止,并且关闭任何可能给联邦政府或美国关键基础设施造成损害的信息系统或网络。
· 为了保证国家安全,总统可以下令切断任何联邦政府或美国关键基础设施的信息系统或网络的连接。
网络世界的约翰·冯塔纳写了一篇文章,题目为《网络安全法案就是新闻检查制度,我们必须对此表示抗议》。在文中,他指出,法案的制定者是长期与时代脱节的人,动辄以“国家安全利益”来威胁公民的自由:
“政府可以考虑国家安全,这真是让人感到惊讶的事情。你看,一份关于黑水(一家私人军事安全顾问公司,即通常所说的雇佣军)上市的报告在美国有线电视新闻网发布的话,政府就会以报告破坏安理会的权威而予以禁止。你能预计到的下一件事情,就是为了保证国家安全,美国有线电视新闻网会被切断连接。”
结 论
我想大家都会同意,为了提高网络上公共和私人信息的安全,还有很多方面的工作需要去做。现在看来,这些法案试图要做的,就是此类事情。我也明白,这些法案仅仅是第一步,还有大量的后续工作要做。这就是为什么要非常关注谁代表我们的观点,因为如果不这样的话,我们都可能会失去自己拥有的一些独特的东西。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。