◎ 《信息周刊》Erik Bataller 著/ 星竹 編譯

多年以來(lái)，聯(lián)邦政府與私營(yíng)部門合作，頒布了一項(xiàng)又一項(xiàng)新政策，來(lái)保護(hù)關(guān)鍵IT基礎(chǔ)結(jié)構(gòu)。這些努力已經(jīng)取得了進(jìn)步，但是威脅隨之而來(lái)——來(lái)自外界的計(jì)算機(jī)破壞，迅速蔓延的“蠕蟲”，以及潛藏的惡意軟件——已經(jīng)超過(guò)了網(wǎng)絡(luò)優(yōu)勢(shì)，使得計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)比以往更加脆弱。

美國(guó)的企業(yè)和政府能夠聯(lián)合起來(lái)做些什么，來(lái)逆轉(zhuǎn)這一危險(xiǎn)趨勢(shì)？這里必須有三方面的考慮。第一，公共和私營(yíng)部門需要共享更多的信息——更多方需要參與進(jìn)來(lái)，搭建更多的平臺(tái)。第二，要加強(qiáng)對(duì)惡意攻擊關(guān)鍵IT基礎(chǔ)結(jié)構(gòu)行為以及損害硬件設(shè)施行為的防范。第三，政企合作需要提升到新的層次——當(dāng)威脅出現(xiàn)時(shí)要實(shí)時(shí)跟蹤鎖定并作出回應(yīng)，更為重要的是，“安全防護(hù)行動(dòng)應(yīng)該從被動(dòng)回應(yīng)轉(zhuǎn)向主動(dòng)出擊，先發(fā)制人?！钡虑诰W(wǎng)絡(luò)威脅情報(bào)組的負(fù)責(zé)人Rich Baich這樣說(shuō)到。

換言之，在聯(lián)邦政府和私營(yíng)企業(yè)之間建立的日漸增多的網(wǎng)絡(luò)安全“多邊組織”不是單行道。聯(lián)邦調(diào)查局調(diào)查員可能為了執(zhí)行一條政令，在諸如2009國(guó)土安全國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃等新方案上下功夫；而公司則堅(jiān)持從通過(guò)合作誕生的更具有適應(yīng)性的安全防護(hù)中獲益。

許多活動(dòng)圍繞在關(guān)鍵工業(yè)系統(tǒng)共享的信息展開。例如，信息共享與分析中心國(guó)家委員會(huì)為金融服務(wù)、醫(yī)藥、公共交通以及大量其他公司提供支持，以應(yīng)對(duì)網(wǎng)絡(luò)威脅。信息共享是很重要的，但是并不能止于此?？尚庞?jì)算與微軟副總裁Scott Charney說(shuō)，信息是“一項(xiàng)工具，而非目的”。

包括美國(guó)銀行、花旗集團(tuán)、摩根斯坦利等成員在內(nèi)的財(cái)政服務(wù)合作組織在IT保護(hù)及其他在銀行、保險(xiǎn)公司、金融研究院等中運(yùn)行的基礎(chǔ)結(jié)構(gòu)方面展開合作。該合作組織與美國(guó)國(guó)土安全部、財(cái)政部等相關(guān)部門合作，日前同國(guó)家標(biāo)準(zhǔn)與技術(shù)研究機(jī)構(gòu)委員會(huì)、商務(wù)部以及國(guó)土安全部簽署了一份合作理解備忘錄。金融公司與政府機(jī)構(gòu)聯(lián)合起來(lái)共同努力，為網(wǎng)絡(luò)安全的技術(shù)和測(cè)試平臺(tái)的發(fā)展鋪平道路。

法令的核心

國(guó)土安全部的國(guó)家網(wǎng)絡(luò)安全部門（NCSD），包含了美國(guó)應(yīng)急響應(yīng)中心與國(guó)家電信協(xié)調(diào)中心，是這些合作努力的指導(dǎo)核心。來(lái)自私營(yíng)部門的IT員工的日常辦公地點(diǎn)設(shè)在2009年成立的國(guó)家網(wǎng)絡(luò)安全與交流一體化中心。信息周刊獲悉，美國(guó)國(guó)家網(wǎng)絡(luò)安全中心已經(jīng)與Facebook以及Twitter就網(wǎng)站可能遭遇的攻擊建立了互助交流合作。中心與包括電信、能源等在內(nèi)的18個(gè)關(guān)鍵產(chǎn)業(yè)締結(jié)了紐帶，維護(hù)通信的暢通，為需要援助的地方提供方法。國(guó)家網(wǎng)絡(luò)安全部門內(nèi)的一個(gè)小組關(guān)注針對(duì)關(guān)鍵基礎(chǔ)結(jié)構(gòu)的攻擊，它在2010年Stuxnet worm的政府調(diào)查中占主導(dǎo)地位；依照Symantec的說(shuō)法，這場(chǎng)風(fēng)暴影響了伊朗、印度尼西亞、印度及其他地區(qū)數(shù)以千計(jì)的特種電腦。

在過(guò)去的一年中，一些信息產(chǎn)業(yè)最大的玩家同聯(lián)邦政府一同工作來(lái)調(diào)查網(wǎng)絡(luò)安全事件。例如，微軟雇傭了計(jì)算機(jī)緊急情況反應(yīng)小組（CERT）來(lái)記錄Waledec僵尸網(wǎng)絡(luò)，它對(duì)成千上萬(wàn)基于Windows系統(tǒng)的全球計(jì)算機(jī)造成了影響，幾乎同時(shí)，Google 被報(bào)道轉(zhuǎn)向國(guó)家安全局來(lái)分析始發(fā)于中國(guó)的系統(tǒng)安全漏洞。Lynn副秘書長(zhǎng)談到，如今在五角大樓，國(guó)防部官員會(huì)與技術(shù)和安防公司的同仁定期會(huì)晤，鎖定系統(tǒng)弱點(diǎn)，走在威脅的前面。

面臨的挑戰(zhàn)

當(dāng)公共部門與私營(yíng)部門的合作關(guān)系所帶來(lái)的裨益日漸清晰時(shí)，挑戰(zhàn)也是不可忽視的。合作方之間缺乏信任，法律法規(guī)對(duì)信息全方位披露的阻礙，安全產(chǎn)品供應(yīng)商的既得利益，推行不力的恐懼以及客戶的排斥與對(duì)抗，政府部門內(nèi)部的權(quán)限之爭(zhēng)……

為了掃除這些障礙，需要出臺(tái)新的規(guī)定。2010年發(fā)生的維基解密泄露政府文件、納斯達(dá)克服務(wù)器被不明攻擊者襲擊等事件本應(yīng)該且能夠被阻止?！伴_放資源”——那就是說(shuō)，向一切開放——數(shù)據(jù)統(tǒng)一與分析，以及補(bǔ)救措施等，都是必需的。

比起現(xiàn)在呈現(xiàn)的一個(gè)由參與者組成的封閉的圓環(huán)，機(jī)會(huì)更垂青于更加寬泛的觀點(diǎn)與理念的整合。

我們知道這是可能的，因?yàn)槲覀円呀?jīng)用通用漏洞披露（CVE）的形式來(lái)對(duì)付軟件和硬件的弱點(diǎn)，邁特公司為CVE識(shí)別的編碼權(quán)威，收集的數(shù)據(jù)在產(chǎn)業(yè)內(nèi)得到了應(yīng)用。

“協(xié)同工作是我們時(shí)代面臨的最大的技術(shù)挑戰(zhàn)之一?！眹?guó)防部William Lynn如此說(shuō)。

為了改善網(wǎng)絡(luò)安全我們還可以做些什么？

接下來(lái)的幾個(gè)步驟拋磚引玉，簡(jiǎn)述公共部門與私營(yíng)部門的合作。

→在經(jīng)濟(jì)組織與部門之間建立實(shí)時(shí)事件跟蹤制度。我們不妨應(yīng)用現(xiàn)有的技術(shù)與知識(shí)，來(lái)鎖定一項(xiàng)威脅行動(dòng)或跨系統(tǒng)的行為。

→啟動(dòng)實(shí)時(shí)智能活動(dòng)分析，確認(rèn)威脅源自哪里，它們的目標(biāo)是什么，以及它們的活動(dòng)及行為表現(xiàn)。

→確認(rèn)并分享非常態(tài)及惡意交易的來(lái)源。

→建立一個(gè)供應(yīng)商、企業(yè)及研究者的組織，培育強(qiáng)大的風(fēng)險(xiǎn)防御及響應(yīng)能力。

試想，當(dāng)這些措施落地，研究人員和工程師將能做什么？?jī)?nèi)部安全團(tuán)隊(duì)能夠快速地封艙，而安全產(chǎn)品供應(yīng)商能夠立即在產(chǎn)品中考慮到必要的變化，并且推出補(bǔ)丁與更新。

但是如何開始呢？在安全產(chǎn)業(yè)之外，有兩種現(xiàn)存的模式能夠使這種方法奏效：一個(gè)是股票交易，它是資金融通的票據(jù)交換所，也是市場(chǎng)與經(jīng)濟(jì)信息的晴雨表；另外一個(gè)是氣象服務(wù)，氣象數(shù)據(jù)在第三方中得到廣泛分享和重用，為客戶創(chuàng)造價(jià)值。如果我們能夠分析十億計(jì)的交易數(shù)據(jù)，繪出金融交易圖表；如果我們能夠提前數(shù)日預(yù)測(cè)天氣，那么我們有理由能夠在處理網(wǎng)絡(luò)威脅方面做得更好。

我們需要凝聚起創(chuàng)造力和企業(yè)家才能，提出可執(zhí)行的解決方案。Stuxnet例舉了我們面臨的風(fēng)險(xiǎn)?！叭湎x”瞄準(zhǔn)了工業(yè)控制系統(tǒng)，這個(gè)系統(tǒng)覆蓋了整個(gè)關(guān)鍵基礎(chǔ)結(jié)構(gòu)范圍。從核電站建筑到煉油廠，蠕蟲被以極大的細(xì)心建立起來(lái)，悄悄嵌入系統(tǒng)，傳播、繁殖，并被“背景連線通訊”（秘密通訊）更新。

預(yù)警

網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者理解政府與商業(yè)組織更密切的關(guān)系能夠?qū)蝾A(yù)警與更快速響應(yīng)。在這篇文章的寫作過(guò)程中，筆者與國(guó)土安全部部長(zhǎng)助理Gregory Schaffer進(jìn)行了交談，就網(wǎng)絡(luò)安全與通信同InfraGrand 女董事長(zhǎng)Kathleen Kiernan進(jìn)行了交流；同政務(wù)與關(guān)鍵基礎(chǔ)設(shè)施保護(hù)部門副主席Bob Dix，以及微軟公司的Charney進(jìn)行了商討。他們都同意這樣兩個(gè)觀點(diǎn)：公共部門與私營(yíng)部門應(yīng)當(dāng)進(jìn)行更加富有成效的對(duì)話、交流；公共部門與私人部門應(yīng)當(dāng)開展更加積極的合作。

達(dá)成這個(gè)目標(biāo)的一個(gè)新方法是通過(guò)一個(gè)巧妙的交換，讓網(wǎng)絡(luò)安全作為一種開發(fā)新技能和分享最佳實(shí)踐的暫行辦法，在政府與企業(yè)之間交互移動(dòng)。幾個(gè)月前，國(guó)土安全部頒布了一個(gè)“借調(diào)公務(wù)員”計(jì)劃，誠(chéng)聘一個(gè)網(wǎng)絡(luò)安全與交流整合計(jì)劃的高級(jí)顧問(wèn)。美國(guó)國(guó)土安全部正在著手從私營(yíng)部門外聘一位行政管理人員來(lái)填補(bǔ)職位。職位描述如下：擔(dān)任私營(yíng)企業(yè)運(yùn)作模式、管理方法與最佳實(shí)踐在國(guó)土安全部?jī)?nèi)得以發(fā)展、應(yīng)用的顧問(wèn)。

在麻省理工學(xué)院（MIT）的一次演講中，國(guó)土安全部秘書長(zhǎng)Janet Napolitano邀請(qǐng)學(xué)生與高等院校成為一個(gè)“更深、更廣的合作”的一部分，Napolitano指向日本的地震、海嘯等災(zāi)害，以及核工業(yè)威脅——她強(qiáng)調(diào)了公眾對(duì)于有彈性的、適應(yīng)性強(qiáng)的基礎(chǔ)結(jié)構(gòu)與網(wǎng)絡(luò)的需要?！霸诿绹?guó)國(guó)土安全部，我們?cè)儐?wèn)將怎么能確保工業(yè)控制體系的安全，以保障我們的水處理與能源機(jī)構(gòu)安全運(yùn)行，怎么運(yùn)用好虛擬空間的自然分布的力量，而不是把它看成更難駕馭的一項(xiàng)防護(hù)責(zé)任和義務(wù)?！彼f(shuō)。

“信息共享不是最終目標(biāo)?！盋harney說(shuō)。

在國(guó)防部，一個(gè)新的“IT交換計(jì)劃”致力于讓軍事系統(tǒng)內(nèi)的安全專家向企業(yè)最佳實(shí)踐學(xué)習(xí)。“我們希望IT高級(jí)經(jīng)理能將更多的企業(yè)實(shí)踐融會(huì)貫通。”Lynn在美國(guó)RSA實(shí)驗(yàn)室說(shuō)，“我們希望資深業(yè)界專家經(jīng)歷到我們?cè)趪?guó)防部面對(duì)的獨(dú)特挑戰(zhàn)，拿到一手的資料?！?/p>

因?yàn)橛行┤瞬幌矚g這個(gè)提議，政府法規(guī)可能應(yīng)運(yùn)而生，成為迅速提高產(chǎn)業(yè)安全水平的唯一舉措。太多的公司在網(wǎng)絡(luò)安全方面領(lǐng)會(huì)了最佳實(shí)踐的涵義，卻不能貫徹落實(shí)到底。我們所能看到的一個(gè)有著持續(xù)的、進(jìn)取性改變的領(lǐng)域（如果不計(jì)較其瑕疵），存在于被要求滿足支付卡行業(yè)數(shù)字安全標(biāo)準(zhǔn)的組織中。如果美國(guó)想切實(shí)保護(hù)國(guó)家的IT基礎(chǔ)結(jié)構(gòu)，他將不得不對(duì)IT的治理予以授權(quán)。

網(wǎng)絡(luò)安全法律條文

法律制定者多年以來(lái)一直有意將網(wǎng)絡(luò)安全寫入法律條文。保護(hù)網(wǎng)絡(luò)空間作為一項(xiàng)全面的法案被列入2010國(guó)有資產(chǎn)法，正在交與國(guó)會(huì)討論。法案將賦予總統(tǒng)權(quán)能，采取措施保護(hù)電信通訊網(wǎng)絡(luò)，輸電網(wǎng)絡(luò)，金融系統(tǒng)等國(guó)家緊急事件中的關(guān)鍵控制系統(tǒng)，這樣領(lǐng)導(dǎo)者權(quán)威是臨時(shí)性的，以30天增長(zhǎng)為限，但是也是寬泛的。評(píng)論家指責(zé)說(shuō)：“法律內(nèi)容包含了一項(xiàng)‘互聯(lián)網(wǎng)殺戮開關(guān)’?！狈ò傅耐苿?dòng)者駁斥這一批評(píng)，隨之圍繞政府對(duì)公用系統(tǒng)網(wǎng)絡(luò)的影響敏感度展開了一場(chǎng)公開辯論。其他待定的法規(guī)帶著商業(yè)含義，分別是國(guó)際網(wǎng)絡(luò)空間及網(wǎng)絡(luò)安全合作法以及加強(qiáng)網(wǎng)絡(luò)安全法案。

信息產(chǎn)業(yè)與許多企業(yè)更希望看到基于激勵(lì)、鼓勵(lì)帶來(lái)的變化，而不愿意被動(dòng)地服從法律規(guī)定，這是意料之中的事。一個(gè)產(chǎn)業(yè)群同盟——商業(yè)軟件聯(lián)盟，文件與技術(shù)中心，互聯(lián)網(wǎng)安全聯(lián)盟，技術(shù)美國(guó)，以及美國(guó)商會(huì)——近期發(fā)布公告爭(zhēng)論道，公司愿意自愿地在網(wǎng)絡(luò)安全方面采用最佳實(shí)踐，而不是被動(dòng)執(zhí)行政府的法令。

“新政策初衷可能考慮替換現(xiàn)有模式。新的系統(tǒng)將更加依賴于政府的行政命令對(duì)私營(yíng)部門的指導(dǎo)。”白皮書寫到。

方向的扭轉(zhuǎn)不僅將逐漸減緩現(xiàn)有的進(jìn)程，而且將阻礙人們繼續(xù)努力以取得持續(xù)的進(jìn)展。報(bào)告從信息共享、突發(fā)事件管理等7個(gè)領(lǐng)域闡述了提議，以推動(dòng)公私部門網(wǎng)絡(luò)安全合作的進(jìn)程。

促使更多的IT基礎(chǔ)架構(gòu)安全運(yùn)行的一大趨勢(shì)是政府對(duì)云計(jì)算的推動(dòng)。首席信息官Vivek Kundra 正在呼吁聯(lián)邦政府機(jī)構(gòu)更加充分地利用軟件提供云服務(wù)等，但在此之前，這些服務(wù)必須滿足聯(lián)邦政府對(duì)于安全的要求。它為政府改善購(gòu)買力提供了絕佳的機(jī)會(huì)，鼓勵(lì)云服務(wù)提供商建立更多的防攻擊、更富有彈性的數(shù)據(jù)中心與進(jìn)程。商業(yè)機(jī)構(gòu)與客戶進(jìn)入同樣的云基礎(chǔ)結(jié)構(gòu)，就能夠從這些改進(jìn)中持續(xù)獲益，

企業(yè)與政府IT與安全計(jì)劃必須抓住機(jī)遇，因?yàn)楫?dāng)今面臨的威脅更加廣泛和嚴(yán)峻，信息共享已經(jīng)成為重要的第一步，接下來(lái)發(fā)生的事情將會(huì)決定是要付諸努力還是擱置提議，來(lái)發(fā)展一個(gè)更加強(qiáng)健的計(jì)算機(jī)基礎(chǔ)結(jié)構(gòu)。