网络上的珍珠港事件

当谈到珍珠港事件时，特别是当美国国防部长谈及这个事件时，他谈到目前美国正面临着某些非常严重的风险形势。因此，这就不奇怪这个月早些时候，利昂·E·帕内塔(Leon E. Panetta)谈到关于网络珍珠港事件被发表在媒体上。他的意思非常清楚 — 美国的基础设施正在成为一次有巨大而有针对性的攻击威胁目标 — 但是我们并不能确定发声这样一次攻击的可能性有多大，发生之后会怎么样，以及什么样的防范措施应该被排在首位?这并不是一个全新的概念，目前，长期以来美国政府以及全球的安全研究专家已经着手思索这样一个主要的安全威胁。让我们看看当前我们的基础设施安全状态是怎样的，以及所涉及的各方需要解决任何潜在的问题。

帕内塔在纽约哈德逊河畔的无畏号航空母舰博物馆举行的商界领袖网络安全会议上进行了演讲，他针对互联网描述一幅非常黑暗的画面，美国网络安全正面临着一场网络珍珠港事件。他说一些外国组织目前正在发展的技术能力使它们有能力发起这样的网络攻击，包括中国，俄罗斯，伊朗和一些激进组织。他说:“一个好战的国家或极端主义组织能够使用不同的网络工具攻击从而获取一些重要设施的控制开关。”之后的讲话，他还增加了一些不同类型攻击的案例，他说：“他们有可能让客运列车脱轨，或者更危险的是，脱轨的客运列车有可能装有致命的化学品。他们可能污染主要城市的供水系统，或者是切断全国大部分地区的电力供应。”

最后，当被问及他对防范类似事件的发生有何建议时，他指出，8月共和党人阻扰了国会通过一项网络安全法案。

那么这样的情形可以被准确地描述出来吗?答案并不简单。一方面，无论是供电系统，供水系统或其他重要的系统，在其中运行的某些重要设备中运行的装置和软件都有可能发生大的安全漏洞。这些设施都是在关注安全问题很久以前设计的— 除了围墙和一把上了锁的大门，没有任何防护措施。其次，你也需要关注企业网络安全，包括所使用的各种服务器以及网络都会经常被黑客入侵，并且访问一些敏感的信息。因此，去年帕内塔建议推行CISPA(Cyber Intelligence Sharing and Protection Act，互联网情报分享与保护法案)。该法案是非常具有争议的，因为此法案有可能侵犯个人隐私和言论自由，所以该法案的未来并不明朗也就不奇怪了。与此同时，当涉及到网络战争以及泄露个人隐私方面，共和党人好像表现得更为积极主动。

但是，真正地问题是，为了推动一个议程而将所有的问题都集中到一起。当谈到一次网络珍珠港事件，或者针对美国基础设施进行攻击时，通常是充满夸张的，而且极少有真实的案例发生。例如，一方面，有些国防部长所描述的可怕情景是真实的，而另一方面，无法证明这些情景仅仅通过互联网造成的。多数的情景是在现场发生的，并且某些重要的系统起初并没有直接连接到网络上。然而，在国会针对防护制造商要求推出更严厉的法律法规之前并没有大量的法案出台。这并不是说新的监管没有必要。事实上，有趣的现象是那些受到安全漏洞威胁的公司并不承认其系统受到威胁。如果措施得当，强制要求公司披露这些漏洞也许是一个好主意。

关于针对重要系统的真实攻击层面而且言，也是不尽相同的，这要取决于什么被认为是重要的。事实上，我们确实有很多国防部承包商被黑客入侵并且重要文件被窃取的例子。但是，公司实体受到了更直接的损坏了吗?重要系统的安全性到底是怎么样的呢?这很难说清楚，因为这个话题总是被各种利益集团弄得混乱不堪。一名国家实验室的工作人员的电脑感染了病毒，媒体就就会宣称实验室被黑客入侵。某些金融网站遭受到拒绝服务攻击，而突然变成美国银行系统遭受到攻击。一家核电站发生软件故障，而变成电力供应发生问题。这并不是说我们不重视这些情况，但是在任何真实的，实际的解决方案被找到之前，问题应该被明确下来，IT专家们应该加入到这个话题中，而不仅仅是那些政客。

任何人都不希望出现珍珠港事件，事实上没人知道一个网络珍珠港事件是否会真的出现。然而，为了获得好的建议，我们需要将注意力集中到真正的问题上：例如，在重要服务器上运行了二十年的老旧代码，那些通过互联网接入容易受到入侵的服务器，那些促使隐瞒发生糟糕事情而不是负责任的进行披露的政策。当做到这些时，那么我们就知道会站在什么样的立场，并且我们能够应对任何潜在的网络威胁。

你会怎么想呢?帕内塔的这些警告仅仅是一种恐吓战术，仅仅为了试图推行一个特殊的法案(CISPA)或者这些警示纯粹是一个负责对重要系统进行保护的警告吗?