科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全美网络安全能力不足 专家指权责不明

美网络安全能力不足 专家指权责不明

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一个依赖技术手段来解决复杂问题的尴尬事实就是:技术的创新从来都不能满足需求,而且有时甚至是不必要的。在国家安全领域,网络安全就是这个说法最明显的案例,因为防止信息窃取或出卖的关键是组织结构而不是技术。

来源:eNet 2009年10月27日

关键字: 网络钓鱼 网络安全

  • 评论
  • 分享微博
  • 分享邮件

  一个依赖技术手段来解决复杂问题的尴尬事实就是:技术的创新从来都不能满足需求,而且有时甚至是不必要的。在国家安全领域,网络安全就是这个说法最明显的案例,因为防止信息窃取或出卖的关键是组织结构而不是技术。

  奥巴马政府最近设立了军事网络司令部就是很好地基于这种考量,但这只是一个稳当的开端。信息安全的战役将会在电缆通道中决出胜负,在那里谁更注意细节,谁就做得更好。

  从部门冲突到网络冲突

  6月,美国国防部长罗伯特?盖茨(Robert Gates)授权建立网络司令部,这是第一个专门用来协调武装力量和五角大楼所属的计算机网络安全和作战的军事组织。盖茨计划让基思?亚历山大中将(Keith Alexander)担任网络司令部(Cybercom)的负责人。亚历山大当前是国家安全局(National Security Agency,NSA)的负责人,这是美国国家安全组织中最主要的收集通讯情报的实体。

  让亚历山大担任“信息沙皇”的任命已经引发了关注隐私权和合法性的观察家与官员们的争论。在这个方面,来自罗德?贝克斯琼(Rod Beckstrom)的批评广为流传——他是前国家网络安全中心(National Cyber Security Center,NCSC)主任,3月份辞职。

  虽然拨款和行政障碍才是他辞职的首要原因,贝克斯琼还是抱怨国家安全局支配了大部分国家网络安全事务,特别是对国土安全部(Department of Homeland Security,DHS)的网络安全事务进行他所谓的“有效控制”,而这部分正是由国土安全部下属的国家网络安全中心负责的。

  至少从理论上说,国土安全部在保护美国免受外国威胁的职责上和国家安全局处于同等地位,而国家网络安全中心则负责所有政府部门的网络安全事务。

  贝克斯琼在来华盛顿之前曾是一名硅谷的企业家,他宣称,把国家安全局放在信息战场的首要位置,这从各个层面上来看都不是一个好的策略。这个部门受人非议的最大根源就是潜在地把所有政府的信息化活动都由一个机构来管理,这本身就威胁到了民主制度权力制衡的原则。

  更容易被人忽略的是:贝克斯琼发现,情报文化和网络战或网络安全文化有着很大的区别。这是一个很有见地的批判,这很可能是对的,即这不仅基于文化,而且基于组织的结构和职责——此外还包括技术。

  重新整合官僚机构

  从原则上说,某种程度的集权管理很明显是必要的。五角大楼的资料显示,国防部当前运转的网络超过1万个,使用了7亿多台分散的计算设备(这个数字也许出于保密考虑已经大大低估了)。如果核心技术人员机构和主要技术官员对大型企业有帮助,那么他们也一定对政府有帮助。

  同理,贝克斯琼所担心的那种集权信息安全机构纯粹是杞人忧天。除了国防部之外,国家安全局把网络空间活动分别让多个实体负责,例如国防信息系统处(Defense Information Systems Agency,DISA),这个部门本质上就是作为一个IT技术支持机构为军方的信息化师('line' divisions)服务。这些独立的军种也有自己的信息化职责。详细说来,美国空军就拥有一个活跃的、表现出更多进攻姿态的数据对抗(DW)单位。

  但是国防部网络安全方面的职责还是高度集权化的,至少从原则上如此。至少在一开始,网络司令部隶属于战略司令部(Strategic Command,Stratcom)——这个部门已经把计算机安全纳入职责范围。战略司令部通常也指导超越军队职责和地理边界以外领域的军事活动——例如核威慑和空间开发。

  具有讽刺意味的是,国家安全局也对政府的网络安全负有法定责任。国家安全局拥有2个主要的分支机构:通讯信号情报理事会(Signals Intelligence Directorate,SID,主要窃听外国的通讯)和信息保护理事会(Information Assurance Directorate,IAD,主要保护美国信息资产及传输)。2008年1月,在当时小布什总统签署的23号国土安全总统令(NSPD 54)中,指定国家安全局为监听和保护所有的联邦政府计算机网络免受网络恐怖主义侵害的领导机构。

  因此这个问题(如果这称得上是一个问题)的症结是太集中了呢,还是太分散了呢?或者某种程度上两者兼而有之呢?

  资金还是观念:哪个优先?

  政治上,领导层变动会中断实际工作,但在国家安全的具体细节政策上,连续性是相当常见的。基于地理政治学的原因,连续性是普遍需要的,但是有缺陷的执行方案硬要继续执行就比较愚蠢了——这不仅是没有头脑的问题,而是一个现实的安全问题。

  统一的网络司令部的想法成型于2008年秋,这是在小布什的最高情报顾问麦克?麦康纳(Mike McConnell)关于政府需要更大的权力来防止他所描述的潜在“网络9?11”的争论后提出的。随后,小布什政府启动了一项旨在保护政府网络免遭网络袭击的议案。这项努力估计在2009年至少要花费60亿美元,并且在随后的几年内将会上升到这个数字的7倍。

  主要的防务企业渴望获得这笔收入,但根据一些国家安全官员所言,政府的投入是否能有回报完全不可靠。

  在一篇《华尔街日报》有关防务企业的报道中援引了一位高级情报官员的话,“……我们是打算像9?11后那样挥霍资金呢,还是打算花了钱能有所收获呢?”正如近10年里美国武器采购狂欢所证明的那样,开支的井喷只会造成浪费和低效。

  由于这段时期饱受争议,2月,奥巴马总统下令对美国的网络政策作一个为期60天的重新评估。这项评估由(也许是一个讽刺)梅丽萨?哈瑟薇(Melissa Hathaway)主持——这是一名麦康纳的顶级网络安全顾问,最终结果则是对特别安全措施暂缓评价,特别是有关私营部门领域,比如国家电网。

  对亚历山大来说,他已经明确表示不愿(至少是在公开场合)扮演网络沙皇的角色来执行这样的措施。

  4月,在旧金山召开的一个安全会议上,亚历山大宣称国家安全局不希望为美国政府管理网络安全。相反,亚历山大支持与国土安全部合作,由国土安全部负责保护所有的民用政府网络,而国家安全局负责保卫军用和情报网络。亚历山大没有明确解决保护防务承包商计算机网络的问题——虽然客观地说,黑客在渗透进F-35联合战术战斗机(JSF)计划之前,首先会攻击其主页。

  常识为本,技术为用

  把任务分配给与专业技术有关的机构可能是一个错误,因为专业人士不会总是把这些职责奉为圭臬。美国空军已经领先其他军种一步,把网络战作为焦点,因为在相对独立的战术进攻中,数据对抗(DW)对敌方的防务压制非常有效(例如以色列空袭叙利亚的核反应堆)。但是,保卫国防部基层组织免受黑客攻击的原则是防御高于进攻,计划不如变化——简而言之,这是一个完全不同的任务。

  基于这个原因,原先企图仅仅集中美国空军网络应用的观念有点瑕疵。甚至从一个纯军事角度来看,网络攻击更像是会全面影响所有的军种(例如对卫星通讯的网络攻击)或是和所有军种有关的东西(例如欺骗敌我识别的响应),而不是单独攻击某个军种。这就需要一个跨范围的响应。

  与之相反,虽然有国家安全局——这个机构管理网络安全比较好——但国家安全局却有自己侧重的职责。详细地说,国家安全局的主营业务是截取和保护通讯信号;换句话说,对传输过程的关注要甚于实际的计算机和网络上庞大的信息源。但是,攻击美国的信息网络已经(直到我们知道之前)把网络上的数据仓库作为首要目标——依靠使用木马建立秘密通讯通道的方式。俗话说,有备无患,让美国安全局负责“基础安全”总有一点希望你的车被偷时可以发出警报的味道。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章