|
CIO如何看奥巴马的网络安全战略?
去年,美国联邦航空管理局(Federal Aviation Administration, FAA)、美国国防部、以及ATM银行系统同时遭到有组织的攻击,嫌犯至今仍逍遥法外。强化国防、电力、财金服务、以及电信等关键基础建设,需投注巨额资金,或许还要多年的努力以及庞大的政治影响力。奥巴马表明他要达成此目标,IT业领袖想知道他的方法. “我会尝试寻找一个管道以及合作伙伴关系。”Bruce Larson表示。Larson是American Water Works公司的前任安全处处长。该公司是一家市值23亿美金的公营企业,负责提供美国32州以及部分加拿大所需的用水。部分的问题在于:政府与业界并没有彼此分享足够的资讯。“政府需要了解:私人企业目前的安全处境有多糟,以及影响层面有多大;私人企业则需要知道来自外界的真实威胁有哪些。” CIO们都知道处理安全的问题,是件既昂贵又极度不讨好的工作。鲜少有人会因为事先预防了犯罪以及入侵而获得掌声。部分CIO因政府太过投入于规范技术的标准及选择而神经紧绷。但由于电脑安全威胁与日俱增,Paul Kurtz表示,现在要求企业以及政府有所转变的声浪已相应提高。Kurtz是Good Harbor顾问公司的合伙人、前任总统柯林顿以及布希的国土安全资深顾问。而Good Harbor公司的主要业务是安全与防范恐怖主义。“只要有任何一个月,政府是在没有真正领导,以及没有任何决定性行动的状况之下度过,我们就等同失去了价值上亿美元的智慧资产。”Kurtz表示:“那些维运电力、能源、石油、航空、军事运作的重要系统─目前均处于危险的状况。” 问题出在哪里? 去年11月,发生了FBI所谓“协同式攻击”事件,它专门针对大型城市的ATM机器下手。一个“犯罪组织”使用了100个假冒的雇员名册以及礼物卡,在30分钟之内就偷走了900万美金。FBI为此发布讯息,请求民众协助辨认在亚特兰大监视器所录下的男子影像。 美国的财金系统亦不遑多让,是业余或职业骇客所觊觎的目标。让人担心的是,专挑目标的攻击也同时会威胁其他17个被认定为重要基础建设的产业,包括能源、农业、交通运输、电信、医疗、国防工业签约商,以及核武设施。随着企业透过Internet协同运作,以及核心的IT系统更需要仰赖公众网路,都导致系统安全漏洞逐渐增加。政府责任办公室(Government Accountability Office, GAO)表示:联邦以及基础建设的IT系统所受到的威胁“正不断演进及成长”。回报至US-CERT的安全事件数由2006年的5,500件,3倍成长至2008年的16,800件。(US-CERT是一间负责追踪安全事件的政府单位。) 此外,在今年4月,政府官员证实,自从2007年以来,骇客已经潜入“联合攻击战斗机”(Joint Strike Fighter)武器专案的电脑系统中。官员告诉华尔街日报,骇客透过此专案的国防外包商获得存取权;此专案是由Lockheed Martin带领。藉由透过这些私人公司的进入点,间谍已经偷走了若干TB的设计及电子系统资料。据信入侵者位于中国。 督察长办公室(Office of Inspector General, OIG)最近的一次稽核结果显示,今年2月,FAA的网站遭到入侵,导致48,000现有以及前任员工的资料外泄。OIG表示,骇客于2008年完全掌控了FAA位于阿拉斯加的电脑伺服器,同时破解了位于奥克拉荷马州的管理者密码,然后成功窃取了40,000个航空总署的使用者名称及密码。属于稽核一环的安全测试发现了763个高风险安全漏洞,部分漏洞可以让骇客透过远端直接对电脑下达可以将系统关闭,或者显示敏感资料的指令。 CIA揭露,骇客藉由入侵国外某电力系统,造成该国电力中断。这个月,北美能源可靠度公司(North American Energy Reliability Corp., NERC) –也是全美电力工业最大的交易群– 开始稽核各能源公司,目的要确保这些能源公司已将重要的电脑资产完成登录,同时电脑资产的安全性需符合联邦以及NERC的标准。在一封4月份寄给成员的信件中,NERC的首席安全官员警告:“针对一个(或多个)变电所的所有设施发动同步操弄攻击的情况是可能发生的。” “我并非想要当一位末日灾难预言者。”John Gilligan表示。他是美国空军前任的CIO以及SRA International机构负责通讯安全的前任主管。“但我找不到任何一个人,在他/她完全了解真正情况后,又对我们自我防御的能力有足够的信心。” Gilligan目前是位独立顾问,他最近完成了《共识稽核指南(Consensus Audit Guidelines )》─它是众多协助强化联邦安全及关键基础措施的建议书之一(请参见《系统安全:5个加强你防御攻击的方法》)。Gilligan表示,在他多年的IT生涯里,让他困扰的是:不知道共有多少不同的电脑标准、要求、规章,以及法律,在控管政府不同的部门及控管承揽关键基础建设的公司。 GAO表示,对于那些“接触”美国关键基础设施的公司,就至少有34个联邦命令、规章,以及法律,在规范这些公司的IT系统。更甚者,没有任何个人、行政机构或部门在监管这些法规。这些该监管法规的机构包括:食品及药物管理局、通货监理局、证券交易委员会、联邦能源规范委员会、财政部、国土安全部。不同片段的安全标准分布于不同的安全产业;透过一致的方法监控与衡量标准并不存在。因此,没有人能够回答:“美国的数位基础设施有多安全?” “当工作聚焦在解决日常特定事件时,建置长期策略的工作便容易被忽略。”Daniel Mintz表示;他是CSC顾问公司的CTO,以及美国交通部的前任CIO。“尝试做好每件事的结果,就是每件事情的成效都不高。” 去年,小布希政府设计了一套称作“国家电脑网路安全全面行动方案(Comprehensive National Cyber Security Initiative)”的电脑安全计画。其旨在保护与“国土安全部”相关的电脑系统。那只是电脑网路安全的一小块,而且,由于工作内容被列为机密,欲确切知道其功效有其困难。 奥巴马誓言要让整个流程透明化,并同时寻求来自私人公司的建议。但是,由政府在产业界强加新规则的构想在某些方面并不适用。 American Water任安全处处长Larson表示,只要存在足够的市场诱因,产业界往往可自行巡防。“假如你的公司是一个庞大的公营事业,公司的董事不会让你忽视环境中的压力及做好预防的工作。那是工作环境中的压力。” 责编:赵恒 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 |
最新专题 |
|