ACM通信
总统的政策指令没有什么指示
最近发表的第41号总统政策指示(PPD-41)在网络事件应对方面,奥巴马提出了两点引起共鸣:
- “网络技术”促进了繁荣和国力,但也增加了脆弱性;而且
- 安全策略“依赖并促进现有策略的实施”。
第一点突出了工业时代和信息时代的根本区别。在早些时候,利润和电力与产量的增加是安全、愉快地携手并进的,而今天的进步可能都被网络中断的威胁所劫持。
第二点同样令人不安的是,应对网络技术双刃剑性质的策略已经变得相当依赖路径——也就是说,相当停滞——过于忠实于多年前做出的最初选择。
这两点都令人不寒而栗,尤其是考虑到近年来全球范围内重大网络事件的增多。从经济领域,剥削从索尼来Shamoon已经证明了网络攻击会给准军事预防性网络攻击带来多大的代价,比如使用超级工厂病毒蠕虫,很明显,我们生活在一个现实世界的真实效果可以通过虚拟领域的行动来实现的时代。如果再加上网络攻击的政治/宣传用途,从斯诺登披露再到最近民主党关于桑德斯参议员的令人尴尬和不尊重的通信被黑客入侵和曝光,越来越清楚的是,几乎所有基于网络空间的活动都可以转化为黑暗的目的。
这应该会使PPD-41的最后一段——奥巴马总统在这段话中提出了他的第二点——更加令人恼火。鉴于现有政策在应对网络空间威胁方面做得如此之少,作为世界上最重要的国家元首之一,他怎么能如此自满地行事呢?这里有必要指出,奥巴马决定继续现有的网络政策——这些政策主要集中在鼓励更好的跨部门信息共享——与世界上许多(如果不是大多数的话)其他政府的国家层面政策类似。这是美国全球领导力不应被效仿的一个关键领域。
的确,这份文件几乎完全没有从更广泛的角度来看待这个问题,这是致命的。在这份长长的指示中,只有一个简短的地方提到了“酌情与国际伙伴协调”的必要性。关键是,网络安全在一个非常互联的世界中是不可或缺的;一些人的不安全导致所有人的脆弱。然而,国际网络安全努力面临的障碍是,各国普遍不愿分享有关事件的敏感信息及其应对措施。要在全球范围内采取行动应对这一跨国威胁,需要建立一种信任,这确实是一项艰巨的挑战,但在全球变暖和反恐等问题上有这样级别的合作的例子。因此,PPD-41应该直面如何建立一个全球网络化反应的问题。
奥巴马坚持“依赖并进一步实施现有政策”——这些政策在很大程度上与事件响应程序有关——也可能因其明显不愿鼓励创新方法来改善网络安全而受到批评。这应该包括注重预防而不是事件反应的想法。例如,一个领导可能会利用他/她的天字第一号讲坛来促进更广泛地使用非常强大的加密技术。在美国,这样一份勇敢的总统声明可能有助于平息来自执法部门和情报机构的批评,这两方面的思维习惯和机构利益导致他们反对给企业和个人提供手段,使自己几乎不受黑客攻击。然后还要考虑云计算,它提供了加密数据的机会,将数据分解成不同的部分,然后将这些部分放在云计算的不同部分。这比在自己的系统中存储数据要好得多。事实上,正如我喜欢说的,“静止的数据就是处于危险中的数据。”
毫无疑问,还有其他一些安全概念可以帮助减少恶意网络事件的数量。政府智囊团——美国的和其他国家的——应该积极挖掘学术机构和商业企业的数据,以获得创造性的想法,让网络安全实践有机会超越那些不法分子。黑客掌握主动权的时间太长了,而PPD-41由于专注于事件响应,继续把主动权拱手让给他们。现在是抓住他们的主动权的时候了。但要做到这一点,就需要有引入新范式的意愿——而不仅仅是“依赖和进一步实施现有政策”。
没有发现记录