以下文章經許可轉載自The Conversation,這是一個涵蓋最新研究的線上出版物。
特朗普總統關於聯邦計算機網路和國家基礎設施關鍵要素(如電網和核心通訊網路)的新網路安全行政命令,在奧巴馬政府的工作基礎上取得了重大進展。它側重於共同的和兩黨都關心的問題,這意味著它可能會避免其他最近的行政命令所產生的不安和混亂。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。 透過購買訂閱,您將幫助確保未來關於塑造我們當今世界的發現和想法的有影響力的故事。
網路安全最終是一項風險管理工作。考慮到可能存在的威脅範圍以及它們出現的快慢,不可能隨時隨地保護所有的一切。但至少可以透過良好的網路衛生習慣(理想情況下,更多)來確保最寶貴的資源(例如特定的網路和系統,或特定資料)得到適當的保護。
該行政命令試圖做到這一點,它呼籲內閣部長和其他聯邦機構負責人遵循奧巴馬政府時期由國家標準與技術研究院建立的《改進關鍵基礎設施網路安全框架》。該框架在奧巴馬增強國家網路安全委員會的最終報告中也佔有重要地位。
行政命令的三個關鍵主題特別值得關注,因為它們表明聯邦政府在網路安全方面的做法有了重大新發展。該命令正確地強調了網路威懾,即阻止潛在攻擊者實際嘗試入侵我們系統的過程。此外,該命令正確地指出,電網和軍隊的作戰能力需要更強的安全性。
加強網路威懾
迄今為止,美國網路安全工作中最缺乏的一個關鍵要素是網路威懾。正如核威懾讓擁有核武器的國家知道,發動核攻擊意味著他們自己將迅速而確定地被摧毀一樣,網路威懾也包括向潛在的對手明確表示,攻擊要麼不太可能成功,要麼將遭到確定而嚴厲的報復。
該行政命令要求一大批高階政府官員——商務部、國防部、國土安全部、國務院和財政部的部長,以及司法部長、政府首席貿易談判代表和國家情報總監——制定威懾網路對手的方案(但沒有具體說明任何對手)。
威懾本質上必須是多維度的:它必須包括各種阻止傳入攻擊的障礙,以及攻擊者可能面臨的後果。協調外交、軍事和經濟努力對於向潛在的對手展現統一戰線至關重要。
這並不是說一種策略可以適用於所有情況。相反,除了強大的總體姿態外,美國還必須調整其具體的威懾措施,以確保它們對個別的潛在對手有效。
保護電網和軍隊的作戰能力
該行政命令還呼籲加強對電網的網路攻擊防護。這種可能性並非假設:烏克蘭的電網在2015年12月和2016年12月遭受了兩次攻擊。
它還關注軍隊的工業基礎,包括其供應鏈——這些供應鏈共同生產、交付和維護國防部必需的武器系統和零部件。對主要供應商的成功網路攻擊可能會像對戰場上的物理入侵一樣,使美國的武裝部隊癱瘓。
然而,儘管識別和修復現有漏洞很重要,但更好的方法始終是首先安全地設計計算機系統。該行政命令更多地關注前者,而不是後者,因為我們必須使用我們擁有的能力和裝置,而不僅僅是我們希望擁有的能力和裝置。
基本指導
更廣泛地說,該行政命令討論並加強了良好網路衛生的基本原則。例如,它強調了如果已知的漏洞未修復,部門和機構以及他們服務的公民將面臨重大風險。例如,如果沒有適當的保護,納稅人記錄、社會保障資料和醫療記錄可能會被盜或被欺詐性地更改。
可悲的是,這是一個至關重要的問題。政府問責辦公室最近的證詞記錄了政府機構在安裝例行安全更新方面普遍存在的問題,甚至使用其建立公司不再支援的過時軟體。
但該行政命令還展望了未來利用雲計算和物聯網的聯邦政府。該檔案不僅呼籲保護現有網路和資料,還聲明瞭系統規劃未來技術升級和進步以有效管理風險的重要性。維護和現代化都很重要,而且都必須安全地進行。
總的來說,該命令是一份可靠的檔案,其指導既有分寸又清晰。其成功的關鍵——以及最終國家在網路空間的安全性——將是政府與私營企業建立的關係。沒有雙方的協同合作,就不可能保護國家。
本文最初發表在The Conversation上。閱讀原文。