网络安全合作为什么重要

◎ 《信息周刊》Erik Bataller 著/ 星竹 编译

多年以来，联邦政府与私营部门合作，颁布了一项又一项新政策，来保护关键IT基础结构。这些努力已经取得了进步，但是威胁随之而来——来自外界的计算机破坏，迅速蔓延的“蠕虫”，以及潜藏的恶意软件——已经超过了网络优势，使得计算机系统和网络比以往更加脆弱。

美国的企业和政府能够联合起来做些什么，来逆转这一危险趋势？这里必须有三方面的考虑。第一，公共和私营部门需要共享更多的信息——更多方需要参与进来，搭建更多的平台。第二，要加强对恶意攻击关键IT基础结构行为以及损害硬件设施行为的防范。第三，政企合作需要提升到新的层次——当威胁出现时要实时跟踪锁定并作出回应，更为重要的是，“安全防护行动应该从被动回应转向主动出击，先发制人。”德勤网络威胁情报组的负责人Rich Baich这样说到。

换言之，在联邦政府和私营企业之间建立的日渐增多的网络安全“多边组织”不是单行道。联邦调查局调查员可能为了执行一条政令，在诸如2009国土安全国家基础设施保护计划等新方案上下功夫；而公司则坚持从通过合作诞生的更具有适应性的安全防护中获益。

许多活动围绕在关键工业系统共享的信息展开。例如，信息共享与分析中心国家委员会为金融服务、医药、公共交通以及大量其他公司提供支持，以应对网络威胁。信息共享是很重要的，但是并不能止于此。可信计算与微软副总裁Scott Charney说，信息是“一项工具，而非目的”。

包括美国银行、花旗集团、摩根斯坦利等成员在内的财政服务合作组织在IT保护及其他在银行、保险公司、金融研究院等中运行的基础结构方面展开合作。该合作组织与美国国土安全部、财政部等相关部门合作，日前同国家标准与技术研究机构委员会、商务部以及国土安全部签署了一份合作理解备忘录。金融公司与政府机构联合起来共同努力，为网络安全的技术和测试平台的发展铺平道路。

法令的核心

国土安全部的国家网络安全部门（NCSD），包含了美国应急响应中心与国家电信协调中心，是这些合作努力的指导核心。来自私营部门的IT员工的日常办公地点设在2009年成立的国家网络安全与交流一体化中心。信息周刊获悉，美国国家网络安全中心已经与Facebook以及Twitter就网站可能遭遇的攻击建立了互助交流合作。中心与包括电信、能源等在内的18个关键产业缔结了纽带，维护通信的畅通，为需要援助的地方提供方法。国家网络安全部门内的一个小组关注针对关键基础结构的攻击，它在2010年Stuxnet worm的政府调查中占主导地位；依照Symantec的说法，这场风暴影响了伊朗、印度尼西亚、印度及其他地区数以千计的特种电脑。

在过去的一年中，一些信息产业最大的玩家同联邦政府一同工作来调查网络安全事件。例如，微软雇佣了计算机紧急情况反应小组（CERT）来记录Waledec僵尸网络，它对成千上万基于Windows系统的全球计算机造成了影响，几乎同时，Google 被报道转向国家安全局来分析始发于中国的系统安全漏洞。Lynn副秘书长谈到，如今在五角大楼，国防部官员会与技术和安防公司的同仁定期会晤，锁定系统弱点，走在威胁的前面。

面临的挑战

当公共部门与私营部门的合作关系所带来的裨益日渐清晰时，挑战也是不可忽视的。合作方之间缺乏信任，法律法规对信息全方位披露的阻碍，安全产品供应商的既得利益，推行不力的恐惧以及客户的排斥与对抗，政府部门内部的权限之争……

为了扫除这些障碍，需要出台新的规定。2010年发生的维基解密泄露政府文件、纳斯达克服务器被不明攻击者袭击等事件本应该且能够被阻止。“开放资源”——那就是说，向一切开放——数据统一与分析，以及补救措施等，都是必需的。

比起现在呈现的一个由参与者组成的封闭的圆环，机会更垂青于更加宽泛的观点与理念的整合。

我们知道这是可能的，因为我们已经用通用漏洞披露（CVE）的形式来对付软件和硬件的弱点，迈特公司为CVE识别的编码权威，收集的数据在产业内得到了应用。

“协同工作是我们时代面临的最大的技术挑战之一。”国防部William Lynn如此说。

为了改善网络安全我们还可以做些什么？

接下来的几个步骤抛砖引玉，简述公共部门与私营部门的合作。

→在经济组织与部门之间建立实时事件跟踪制度。我们不妨应用现有的技术与知识，来锁定一项威胁行动或跨系统的行为。

→启动实时智能活动分析，确认威胁源自哪里，它们的目标是什么，以及它们的活动及行为表现。

→确认并分享非常态及恶意交易的来源。

→建立一个供应商、企业及研究者的组织，培育强大的风险防御及响应能力。

试想，当这些措施落地，研究人员和工程师将能做什么？内部安全团队能够快速地封舱，而安全产品供应商能够立即在产品中考虑到必要的变化，并且推出补丁与更新。

但是如何开始呢？在安全产业之外，有两种现存的模式能够使这种方法奏效：一个是股票交易，它是资金融通的票据交换所，也是市场与经济信息的晴雨表；另外一个是气象服务，气象数据在第三方中得到广泛分享和重用，为客户创造价值。如果我们能够分析十亿计的交易数据，绘出金融交易图表；如果我们能够提前数日预测天气，那么我们有理由能够在处理网络威胁方面做得更好。

我们需要凝聚起创造力和企业家才能，提出可执行的解决方案。Stuxnet例举了我们面临的风险。“蠕虫”瞄准了工业控制系统，这个系统覆盖了整个关键基础结构范围。从核电站建筑到炼油厂，蠕虫被以极大的细心建立起来，悄悄嵌入系统，传播、繁殖，并被“背景连线通讯”（秘密通讯）更新。

预警

网络安全领导者理解政府与商业组织更密切的关系能够导向预警与更快速响应。在这篇文章的写作过程中，笔者与国土安全部部长助理Gregory Schaffer进行了交谈，就网络安全与通信同InfraGrand 女董事长Kathleen Kiernan进行了交流；同政务与关键基础设施保护部门副主席Bob Dix，以及微软公司的Charney进行了商讨。他们都同意这样两个观点：公共部门与私营部门应当进行更加富有成效的对话、交流；公共部门与私人部门应当开展更加积极的合作。

达成这个目标的一个新方法是通过一个巧妙的交换，让网络安全作为一种开发新技能和分享最佳实践的暂行办法，在政府与企业之间交互移动。几个月前，国土安全部颁布了一个“借调公务员”计划，诚聘一个网络安全与交流整合计划的高级顾问。美国国土安全部正在着手从私营部门外聘一位行政管理人员来填补职位。职位描述如下：担任私营企业运作模式、管理方法与最佳实践在国土安全部内得以发展、应用的顾问。

在麻省理工学院（MIT）的一次演讲中，国土安全部秘书长Janet Napolitano邀请学生与高等院校成为一个“更深、更广的合作”的一部分，Napolitano指向日本的地震、海啸等灾害，以及核工业威胁——她强调了公众对于有弹性的、适应性强的基础结构与网络的需要。“在美国国土安全部，我们询问将怎么能确保工业控制体系的安全，以保障我们的水处理与能源机构安全运行，怎么运用好虚拟空间的自然分布的力量，而不是把它看成更难驾驭的一项防护责任和义务。”她说。

“信息共享不是最终目标。”Charney说。

在国防部，一个新的“IT交换计划”致力于让军事系统内的安全专家向企业最佳实践学习。“我们希望IT高级经理能将更多的企业实践融会贯通。”Lynn在美国RSA实验室说，“我们希望资深业界专家经历到我们在国防部面对的独特挑战，拿到一手的资料。”

因为有些人不喜欢这个提议，政府法规可能应运而生，成为迅速提高产业安全水平的唯一举措。太多的公司在网络安全方面领会了最佳实践的涵义，却不能贯彻落实到底。我们所能看到的一个有着持续的、进取性改变的领域（如果不计较其瑕疵），存在于被要求满足支付卡行业数字安全标准的组织中。如果美国想切实保护国家的IT基础结构，他将不得不对IT的治理予以授权。

网络安全法律条文

法律制定者多年以来一直有意将网络安全写入法律条文。保护网络空间作为一项全面的法案被列入2010国有资产法，正在交与国会讨论。法案将赋予总统权能，采取措施保护电信通讯网络，输电网络，金融系统等国家紧急事件中的关键控制系统，这样领导者权威是临时性的，以30天增长为限，但是也是宽泛的。评论家指责说：“法律内容包含了一项‘互联网杀戮开关’。”法案的推动者驳斥这一批评，随之围绕政府对公用系统网络的影响敏感度展开了一场公开辩论。其他待定的法规带着商业含义，分别是国际网络空间及网络安全合作法以及加强网络安全法案。

信息产业与许多企业更希望看到基于激励、鼓励带来的变化，而不愿意被动地服从法律规定，这是意料之中的事。一个产业群同盟——商业软件联盟，文件与技术中心，互联网安全联盟，技术美国，以及美国商会——近期发布公告争论道，公司愿意自愿地在网络安全方面采用最佳实践，而不是被动执行政府的法令。

“新政策初衷可能考虑替换现有模式。新的系统将更加依赖于政府的行政命令对私营部门的指导。”白皮书写到。

方向的扭转不仅将逐渐减缓现有的进程，而且将阻碍人们继续努力以取得持续的进展。报告从信息共享、突发事件管理等7个领域阐述了提议，以推动公私部门网络安全合作的进程。

促使更多的IT基础架构安全运行的一大趋势是政府对云计算的推动。首席信息官Vivek Kundra 正在呼吁联邦政府机构更加充分地利用软件提供云服务等，但在此之前，这些服务必须满足联邦政府对于安全的要求。它为政府改善购买力提供了绝佳的机会，鼓励云服务提供商建立更多的防攻击、更富有弹性的数据中心与进程。商业机构与客户进入同样的云基础结构，就能够从这些改进中持续获益，

企业与政府IT与安全计划必须抓住机遇，因为当今面临的威胁更加广泛和严峻，信息共享已经成为重要的第一步，接下来发生的事情将会决定是要付诸努力还是搁置提议，来发展一个更加强健的计算机基础结构。