CIO如何看奥巴马的网络安全战略？

奥巴马矢言要修复美国的电脑网路安全漏洞，他的计划会成功吗？
生日快乐！美国。我们不如我们想像的那么安全。从电力网路、银行系统，到制造精密国防武器的制造商，这些单位用来执行国家关键基础建设的电脑，都面临来自不法之徒以及恶意国家的无情攻击。对于这些事件，有时我们或有耳闻；有时我们无从知晓。

去年，美国联邦航空管理局（Federal Aviation Administration, FAA）、美国国防部、以及ATM银行系统同时遭到有组织的攻击，嫌犯至今仍逍遥法外。强化国防、电力、财金服务、以及电信等关键基础建设，需投注巨额资金，或许还要多年的努力以及庞大的政治影响力。奥巴马表明他要达成此目标，IT业领袖想知道他的方法.

“我会尝试寻找一个管道以及合作伙伴关系。”Bruce Larson表示。Larson是American Water Works公司的前任安全处处长。该公司是一家市值23亿美金的公营企业，负责提供美国32州以及部分加拿大所需的用水。部分的问题在于：政府与业界并没有彼此分享足够的资讯。“政府需要了解：私人企业目前的安全处境有多糟，以及影响层面有多大；私人企业则需要知道来自外界的真实威胁有哪些。”

CIO们都知道处理安全的问题，是件既昂贵又极度不讨好的工作。鲜少有人会因为事先预防了犯罪以及入侵而获得掌声。部分CIO因政府太过投入于规范技术的标准及选择而神经紧绷。但由于电脑安全威胁与日俱增，Paul Kurtz表示，现在要求企业以及政府有所转变的声浪已相应提高。Kurtz是Good Harbor顾问公司的合伙人、前任总统柯林顿以及布希的国土安全资深顾问。而Good Harbor公司的主要业务是安全与防范恐怖主义。“只要有任何一个月，政府是在没有真正领导，以及没有任何决定性行动的状况之下度过，我们就等同失去了价值上亿美元的智慧资产。”Kurtz表示：“那些维运电力、能源、石油、航空、军事运作的重要系统─目前均处于危险的状况。”

问题出在哪里？

去年11月，发生了FBI所谓“协同式攻击”事件，它专门针对大型城市的ATM机器下手。一个“犯罪组织”使用了100个假冒的雇员名册以及礼物卡，在30分钟之内就偷走了900万美金。FBI为此发布讯息，请求民众协助辨认在亚特兰大监视器所录下的男子影像。

美国的财金系统亦不遑多让，是业余或职业骇客所觊觎的目标。让人担心的是，专挑目标的攻击也同时会威胁其他17个被认定为重要基础建设的产业，包括能源、农业、交通运输、电信、医疗、国防工业签约商，以及核武设施。随着企业透过Internet协同运作，以及核心的IT系统更需要仰赖公众网路，都导致系统安全漏洞逐渐增加。政府责任办公室(Government Accountability Office, GAO)表示：联邦以及基础建设的IT系统所受到的威胁“正不断演进及成长”。回报至US-CERT的安全事件数由2006年的5,500件，3倍成长至2008年的16,800件。(US-CERT是一间负责追踪安全事件的政府单位。)

此外，在今年4月，政府官员证实，自从2007年以来，骇客已经潜入“联合攻击战斗机”(Joint Strike Fighter)武器专案的电脑系统中。官员告诉华尔街日报，骇客透过此专案的国防外包商获得存取权；此专案是由Lockheed Martin带领。藉由透过这些私人公司的进入点，间谍已经偷走了若干TB的设计及电子系统资料。据信入侵者位于中国。

督察长办公室(Office of Inspector General, OIG)最近的一次稽核结果显示，今年2月，FAA的网站遭到入侵，导致48,000现有以及前任员工的资料外泄。OIG表示，骇客于2008年完全掌控了FAA位于阿拉斯加的电脑伺服器，同时破解了位于奥克拉荷马州的管理者密码，然后成功窃取了40,000个航空总署的使用者名称及密码。属于稽核一环的安全测试发现了763个高风险安全漏洞，部分漏洞可以让骇客透过远端直接对电脑下达可以将系统关闭，或者显示敏感资料的指令。

CIA揭露，骇客藉由入侵国外某电力系统，造成该国电力中断。这个月，北美能源可靠度公司(North American Energy Reliability Corp., NERC) –也是全美电力工业最大的交易群– 开始稽核各能源公司，目的要确保这些能源公司已将重要的电脑资产完成登录，同时电脑资产的安全性需符合联邦以及NERC的标准。在一封4月份寄给成员的信件中，NERC的首席安全官员警告：“针对一个(或多个)变电所的所有设施发动同步操弄攻击的情况是可能发生的。”

“我并非想要当一位末日灾难预言者。”John Gilligan表示。他是美国空军前任的CIO以及SRA International机构负责通讯安全的前任主管。“但我找不到任何一个人，在他/她完全了解真正情况后，又对我们自我防御的能力有足够的信心。”

Gilligan目前是位独立顾问，他最近完成了《共识稽核指南(Consensus Audit Guidelines )》─它是众多协助强化联邦安全及关键基础措施的建议书之一(请参见《系统安全：5个加强你防御攻击的方法》)。Gilligan表示，在他多年的IT生涯里，让他困扰的是：不知道共有多少不同的电脑标准、要求、规章，以及法律，在控管政府不同的部门及控管承揽关键基础建设的公司。

GAO表示，对于那些“接触”美国关键基础设施的公司，就至少有34个联邦命令、规章，以及法律，在规范这些公司的IT系统。更甚者，没有任何个人、行政机构或部门在监管这些法规。这些该监管法规的机构包括：食品及药物管理局、通货监理局、证券交易委员会、联邦能源规范委员会、财政部、国土安全部。不同片段的安全标准分布于不同的安全产业；透过一致的方法监控与衡量标准并不存在。因此，没有人能够回答：“美国的数位基础设施有多安全？”
如同其他安全专家一样，Gilligan支持由官方出面正式协调电脑网路安全以及相关的活动，但他警告，这是一个庞大、政治性的工作，而且目标是要让不近人情的安全要求被人们坦然接受。官方必须妥善协调：联邦机构、私人企业，以及学术单位。“这么做，我们将会拥有凝聚力强的策略。”Gilligan表示。目前，这部份的工作是由免费组织基于自己的兴趣而进行。

“当工作聚焦在解决日常特定事件时，建置长期策略的工作便容易被忽略。”Daniel Mintz表示；他是CSC顾问公司的CTO，以及美国交通部的前任CIO。“尝试做好每件事的结果，就是每件事情的成效都不高。”

去年，小布希政府设计了一套称作“国家电脑网路安全全面行动方案(Comprehensive National Cyber Security Initiative)”的电脑安全计画。其旨在保护与“国土安全部”相关的电脑系统。那只是电脑网路安全的一小块，而且，由于工作内容被列为机密，欲确切知道其功效有其困难。

奥巴马誓言要让整个流程透明化，并同时寻求来自私人公司的建议。但是，由政府在产业界强加新规则的构想在某些方面并不适用。 American Water任安全处处长Larson表示，只要存在足够的市场诱因，产业界往往可自行巡防。“假如你的公司是一个庞大的公营事业，公司的董事不会让你忽视环境中的压力及做好预防的工作。那是工作环境中的压力。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友