美國智庫為特朗普提供未來五年網絡安全建議--局域網監控軟件,網絡監控軟件
[時間:2017-01-09]  [文章來源:上海百絡]  [責任編輯:admin]

         美國共和黨總統候選人特朗普在美國總統選舉中戰勝民主黨總統候選人希拉里,將成為美國第四十五任總統。美國國內規模最大的國際問題研究機構之一的美國戰略與國際研究中心的網絡政策專責小組近期發布了其最終報告《從意識到行動——第四十五任美國總統安全議程》。網絡監控如今已經不再是政策制定工作中的“全新領域”。自CSIS于2008年發布第一份報告成為奧巴馬政府早期網絡安全政策發展的藍圖以來,CSIS一直在為新一屆美國總統領導班子提供網絡安全相關建議。從2014年年末開始,在美國民主黨參議員謝爾頓·懷特豪斯與眾議院國土安全委員會主席邁克爾·麥克考爾的指導下,來自CSIS網絡政策專責小組的兩黨優秀網絡專家們共同制定出這樣一份面向下一屆美國政府領導班子的政策、組織與資源可行性建議方案。

        CSIS為下一屆特朗普政府領導班子提出的網絡安全舉措性建議仍然延續一貫的基本訴求:建立一套安全而穩定的數字化環境,用以支持經濟的持續發展,同時保護個人自由與國家安全實現這些目標的相關要求亦基本保持不變:以白宮為核心選定中央領導方向,建立并實施全面的協調性方法,并真正將網絡安全保障機制貫徹到各個不同機構當中CSIS表示盡管在過去十年里美國對于網絡安全的關注程度迅速提升,但美國目前仍然身處危險之中,這意味著下一屆特朗普政府仍有大量工作要做。之所以存在風險,是因為美國在本質上仍然缺少抵御能力、不少國家拒絕合作對網絡犯罪分子進行起訴,亦有多國不愿承受由限制網絡間諜活動或者軍事性網絡行為所帶來的利益損失。

        美國民主黨參議員懷特豪斯表示,“重要的是,新一屆政府需要了解網絡威脅的影響范圍與嚴重程度,同時做好準備應對并解決這一快速演進的挑戰。本報告提供了大量建議,將有助于政府機構與私營部門共同努力,從而提升我們整個國家的安全性水平。眾議員麥克考爾則指出,“理想的網絡安全水平對于我們的國家與經濟安全至關重要。我們的建議能夠幫助新一屆政府整頓并建立未來五年內的網絡安全議程。東海岸聯席主席凱倫·埃文斯表示,“將了解安全現狀的專家們聚焦起來能夠幫助我們建立起針對聯邦政府所面臨之各類問題的務實且可行建議。”西海岸聯席主席薩米爾·巴羅特拉指出,引入硅谷立場能夠以更為透明的方式在重大新方向層面體現私營部門的作用、勞動力技能以及漏洞削減效果。

        CSIS網絡政策專責小組的建議將幫助美國聯邦政府實現信息網絡安全強化、關注私營部門數據安全領導能力、建立攻擊者追責機制并鼓勵國內各相關組織機構提升網絡安全水平。其中的主要建議包括:

    1. 加快用于保障關鍵性基礎設施與服務的相關舉措,改善“網絡安全習慣”。建立獎勵機制,并以積極心態對其進行持續調整。作為相關舉措中的組成部分,美國政府需要改進身份認證能力以及政府機構所使用之托管服務及其它服務項目的安全性。

    2. 敦促企業立足董事會及高管層面將網絡安全與數據保護作為優先事務。

    3. 發現各類需要由聯邦政府解決的資源問題,例如研究或者勞動力發展需求,并根據實際情況將部分問題交由私營部門解決。

    4. 加強政府網絡安全水平,精簡白宮行政機構,建立起專門的高層辦公室以致力于推進聯邦政府網絡安全建設,同時明確國防部及其它機構在這方面事務中的作用。在網絡安全保障工作中,強大的國土安全部將發揮核心作用,因此新一屆政府必須通過提供更多資源、明確網絡安全任務或者建立新的網絡安全機構的方式為國土安全部提供助力。

    5. 調整國際戰略,強調與友好國家建立伙伴關系以對抗共同的敵人; 同時提高自身防御能力,利用一系列非軍事行動性應對對策阻止攻擊者之惡意行為。

    6. 顯著提長高層人士對網絡犯罪活動的關注,同時建立國際合作機制以打擊僵尸網絡及高復雜度金融犯罪活動,并對不予合作的國家采取懲罰性措施。

       《2015全球智庫報告》中,CSIS是一家具有保守色彩的重要戰略和政策研究機構,素有“強硬路線者之家”和“冷戰思想庫”之稱,在智庫排名中位列全美第三。成立50多年來,CSIS以發揮政策影響力為宗旨,以戰略問題為研究重點,致力于為世界各國領袖提供戰略觀察、為各國及全球問題的提供政策方案。近年,CSIS加強了對亞太、中國和臺灣研究,在對外政策方面的主張較前溫和,是對美國共和黨政府具有重大影響力的思想庫之一。E安全(微信公眾號E安全)也秉承“全球網絡安全新傳媒”的專業素質,率先為各位國內讀者譯制了CSIS發布的這份《從意識到行動——第四十五任美國總統安全議程》報告執行摘要的中文版本:

        本份報告列出了新一屆政府接下來可資采用以建立更佳網絡安全態勢的政策、資源與組織機制。美國國家性網絡安全保障方案的基本目標仍然保持不變:建立一套安全且穩定的數字化環境,用以支持經濟持續增長,同時保護個人自由與國家安全。實現這些目標的相關要求亦基本保持不變:以白宮為核心選定中央領導方向,建立并實施全面的協調性方法,并真正將網絡安全保障機制貫徹到各個不同機構當中。其中相當一部分目標自2008年第一份建議性報告發布起來已經得到相當程度的實現,新一屆美國政府應當以此為基礎進一步建立并完善以下相關工作:

    • 調整國際戰略,強調與友好國家建立伙伴關系以對抗共同的敵人; 同時提高自身防御能力,利用一系列非軍事行動性應對對策阻止攻擊者之惡意行為。

    • 顯著提升高層人士對網絡犯罪活動的關注,同時建立國際合作機制以打擊僵尸網絡及高復雜度金融犯罪活動,并對不予合作的國家采取懲罰性措施。

    • 加快用于保障關鍵性基礎設施與服務的相關舉措,改善“網絡安全習慣”。建立獎勵機制,并以積極心態對其進行持續調整。作為相關舉措中的組成部分,美國政府需要改進身份認證能力以及政府機構所使用之托管服務及其它服務項目的安全性。

    • 發現各類需要由聯邦政府解決的資源問題,例如研究或者勞動力發展需求,并根據實際情況將部分問題交由私營部門解決。我們并不需要網絡版本的“曼哈頓計劃”。

    • 加強政府網絡安全水平,精簡白宮行政機構,建立起專門的審計總署辦公室以致力于推進聯邦政府網絡安全建設,同時明確國防部及其它機構在這方面事務中的作用。在網絡安全保障工作中,強大的國土安全部將發揮核心作用,因此新一屆政府必須通過提供更多資源、明確網絡安全任務或者建立新的網絡安全機構的方式為國土安全部提供助力。

        下一屆政府領導班子應當遵循兩項基本指導原則:建立對國外攻擊者的后果追責機制,同時建立面向國內安全人員的激勵性制度。建立網絡犯罪、間諜活動及網絡惡意攻擊的后果追責機制能夠有效降低安全風險(特別是配合友好國家間的合作伙伴關系)。由于安全風險無法被徹底消除,因此要提升網絡安全水平,我們還需要提升關鍵性基礎設施的安全性標準,同時通過游說、稅收政策、監管以及投資幫助一般性網絡參與者實施改善性舉措。這些任務需要配合一定程度的額外資源,但目前資源并非阻礙網絡安全水平提升的主要矛盾。在這方面,主要矛盾一直體現為混亂現狀——包括政府職能與管理意愿的缺失。

    向下屆政府當局的建議

    華盛頓特區與硅谷兩支團隊共整理出十四份工作文件與二百二十項具體建議。以下為各項建議的相關概念:

    I. 政策

        網絡安全環境已經發生轉變。目前世界上已經出現多個足以打擊美國影響力及信心的挑戰者。俄羅斯將網絡作為權力實現工具的常態化作法令人震驚且擔憂。一系列重大網絡安全事件——包括朝鮮與伊朗分別針對索尼與金沙賭場的入侵活動,以及中國黑客對于美國人事管理辦公室(簡稱OPM)的入侵——反映出各國利用網絡工具對我國實施打擊的意愿。國際安全形勢的不斷惡化,意味著新一屆政府班子將面臨更為猖獗的網絡犯罪與間諜活動、個人信息與企業數據遭遇威脅、政治性網絡惡意活動的發生機率提升且關鍵性基礎設施面臨遭受攻擊甚至破壞的風險。面對如此嚴重的潛在風險,美國需要立足國內與國際制定一系列響應性舉措。

        多年以來,全球性網絡安全保障戰略一直面臨著嚴重局限性。我們只能從獨裁國家處獲得極為有限的網絡規范相關協議。對方的利益在于保護自身主權并減少信息技術所帶來的政治及軍事性威脅。這嚴重約束了網絡規范協議在降低風險方面的適用范圍。相比之下,新一任美國總統將有機會通過制定協議以建立更為強大的國際化網絡安全管理制度,并將更多友好的民主國家吸引至這一同盟當中。任何復議部分內容都必須考慮建立起更為正式的實施方法——可能包括建立新型機構或者相關制度 ——從而營造安全且穩定的網絡空間。

    與中國的網絡安全往來經驗表明,對方的行為很可能改變風險環境,并最終影響美國的對應行動。事實上,此前兩屆美國政府一直面對著很難找到有效威懾性政策的困擾,而其試圖使用軍事力量介入的行為并未取得良好收效。最為有效的威懾行動不應涉及軍事、制裁或者威脅行為、起訴、報復乃至任何動用武力的作法。美國能夠通過非軍事性方式將反應傳達給對方獲得收益。需要注意的是,即使采取這類改進性核威懾政策作為回應,包括明確宣示政策及廣泛的應對性方案,仍有部分敵對勢力不會因此停止網絡惡意行為。這意味著我們需要在網絡防御領域做出更多改進性工作,但這同時亦會導致美國與俄羅斯乃至中國之間爆發更嚴重的問題。

       網絡犯罪活動已經成為一種廣泛問題。其跨國特性意味著只有國際間合作才能對其加以有效反應。但仍有部分國家明確拒絕合作。新一屆美國政府需要制定懲罰措施,因為現有合作機制的過時性已經被事實所證明。布達佩斯網絡犯罪公約并不能真正控制那些反對簽署這一未被其納入談判,并希望繼續利用網絡犯罪作為政治工具及新型權力保障手段的國家。我們需要提供新型談判工具以打破布達佩斯公約面臨的僵局,其需要保留公約的優勢,但同時更多吸引巴西、印度等國家的參與。雖然反對意見認為任何變更都會削弱該公約的公信力,但這仍然要好于如今公約本身得不到應有遵守的現狀。

         網絡安全的一大審視角度在于,我們正在建立一套安全的數字化經濟結構。數據流已經成為這一經濟結構中的“貨幣”,而下一屆美國政府需要與其它國家合作以確保數據流的自由性與安全性。這要求我們就國際網絡安全、隱私與數字化貿易進行規則性(也許包括機構性)探討。此方面努力應包括與友好國家達成關于隱私與公民自由保障標準的基準性共識。另外,努力完善國家間法律援助條款亦是這一改善流程中的重要組成部分。所有組織機構都有義務加強網絡安全水平,這不僅要求其確保自身安全并保護客戶業務與數據,同時亦是為了鞏固整個互聯數字化社會。網絡安全的進步要求各組織機構利用能夠切實降低風險的簡單舉措與最佳實踐以提升基線網絡安全水平。其中的關鍵包括更好地協調治理工作以實現網絡安全、強化網絡“安全習慣”、采用更快的技術“刷新”周期、普及身份認證機制(重要數據不可僅靠單一密碼保護)以及披露安全違規信息的激勵性措施。

         總統行政令面向關鍵性基礎設施的保護工作提出一套自愿性部門針對性方案,其基于NIST網絡安全框架,要求各監管機構為其所在部門負責。盡管這套方案并不完美,但相關網絡安全政策的出臺意味著這是我們在當時能夠提出的最佳解決辦法。下一任總統應當推廣并在必要時強制實施這套方案。其中的一項可改進部分在于提供采用與有效性量化標準。NIST正在與私營部門協作,應當由其負責制定此類量化指標。保護國家網絡資產亦包括保護個人敏感信息。鑒于網絡空間內存在大量漏洞與威脅,因此收集并持有個人數據的有關各方對于網絡安全負有更大責任。另外,隨著全球數據保護焦點的增加,美國亦需要通過明確舉措對其進行保護。下一屆政府班子應當將數據保護納入其宏觀網絡安全保障方案當中,并遵循“數據歸于用戶”這一基本原則。其中一項改進空間在于,總統應要求美國聯邦貿易委員會(簡稱FTC)建立專門的數據保護部門。另一項改進則在于針對國家性數據泄露問題進行立法。這樣一項針對性標準將通過易于理解的明確制度專注于幫助組織機構實現數據保護工作,同時為其它重要改革舉措提供法律性支持。

          2012 年之后的大部分網絡安全辯論專注于信息共享這一議題。2015年通過的網絡安全法案最終結束了這場辯論,但我們仍然需要在兩大區域對其加以完善。首先是打破僵局,共享與網絡威脅及攻擊活動相關的機密信息——這些信息中的大部分內容并不會對來源發布方及其所采用方法構成安全風險。其次在于為共享網絡攻擊細節信息的受害者提供可靠保護。這部分內容在2015年的立法條款中已經有所體現,但具體保護舉措仍需要擴大。考慮到遭遇黑客攻擊可能導致收入削減、股價下跌以及聲譽受損等后果,攻擊受害者往往不愿共享此類信息。因此,應當通過立法方式對事件后報告進行匿名及責任保護。在這方面,我們可以模擬國家運輸安全委員會在調查空難或者聯邦航空局在航空安全報告系統中的實際作法,即全面禁止出于執法目的而使用所提交信息。此項新舉措可以由DHS 或者網絡威脅信息集成中心負責制定。

        物聯網技術的快速發展意味著其將不可避免地帶來各類硬件與軟件故障,而遭遇黑客攻擊的可能性亦將隨之提高。物聯網產品還將帶來相關產品責任。如果缺少聯邦政府的干預,那么相關技術標準將呈現出分散式發展趨勢,并帶來嚴重的潛在破壞性后果。我們建議新一屆政府(1)責令NIST配合消費者與商業團體,共同制定物聯網安全保障相關標準與原則; (2)采取“部門針對性”保障方法; (3)使用聯邦政府采購標準以推動政府職能的改善與保障。政府可以考慮參照美國國家公路交通安全管理器碰撞測試制定類似的物聯網安全評級方案。加密技術的廣泛利用能夠提升網絡整體安全性水平,但具體加密方案類型與實施方式同樣會對國家安全態勢造成嚴重影響。美國制定的任何加密政策與法律框架必須考慮到全球環境以及美國國際網絡安全戰略的實際需求。美國制定之政策應支持使用強加密方案,但同時在指定條件下協助執法機構以合法方式訪問數據內容。最后,加密策略還需要對相關風險進行決策。以無限制方式使用加密技術會提升網絡犯罪與恐怖主義風險,但國家也許能夠通過對加密手段加以限制以將此類風險控制在可接受范圍內。我們的現有小組成員中無人認為現有風險需要配合新型限制方案加以應對。

    II. 組織

        奧巴馬政府要求美國國土安全部承擔網絡安全相關責任。盡管在過去四年中網絡安全處理能力有所提高,但仍有部分專家認為國土安全部的責任承擔能力有所不足,特別是其安全保障能力與美國國家安全局相比依然比較孱弱。但在另一方面,私營部門則更傾向于由民間機構承擔網絡安全責任。如果堅持由美國國土安全部扮演這一職能角色,則其必須重新調整自身網絡保障使命。目前的最佳解決方案在于將網絡安全保障任務從國家保護與計劃部中轉移出去,并將其移交至專門的國土安全部下轄代理機構(類似于海岸警衛隊或者特勤局)。這一新機構應當避免涉及情報或者法律層面事務,而將職能重點放在緩解網絡安全問題層面(幫助組織機構應對網絡攻擊并處理事后恢復任務)。過去十年來,美國國土安全部一直主導此類事務; 如果事實證明其無法順利完成使命轉變或者承擔此類責任,則應當將網絡保障工作從國土安全部責任事項中剔除。在就任之初,新一屆政府班子應當發布一份明確的機構職能與責任聲明,從而盡可能解決責任劃分不明的問題。這份聲明中應當定義美國國防部如何在網絡安全事件中支持國土安全部,國土安全部應如何支持聯邦調查局的相關調查,而美國國防部又應在何時從國土安全部處接手相關工作并對攻擊活動加以應對。美國國防部需要通過政策與原則以定義其在危機或者緊急情況下應如何采取行動,特別是在涉及國外網絡活動的情況之下。國防部在網絡安全領域不應繼續承擔監管或者其它平時性職能。最后,新一屆政府應當在白宮中設立其它一些職位——包括CTO及CISO等等,從而消除相關管轄權及資源分配匱乏的問題。同樣的,科學技術政策局(簡稱OSTP)亦不必參與網絡安全事務。美國聯邦政府的網絡安全仍然存在嚴重問題,而理想的解決方案則包括選用托管服務、為美國審計部署提供必要授權以建立獨立的國會審查流程,其中具體包括實施滲透測試等聯邦政府網絡安全保障性舉措。

    III. 資源

    美國通過各企業及組織機構投入數十億美元以利用各類不同技術保護自身網絡體系。然而,這種作法會代表著一種被動性碎片化解決方案,意味著攻擊者能夠從中找到逃避監管的空間。我們應當建立主動性方案,利用額外投資、“bug賞金計劃”以及零日漏洞征集舉措發現潛在風險,并為發現相關漏洞的研究人員提供獎勵。這些項目將帶來可觀的回報,因此美國政府應當支持此類作法,同時強調保障互聯網基礎設施安全并廣泛使用開源軟件。其中的一大重要步子在于聲明這些方案的合法性,從而為研究人員提供安全的避風港,進而支持安全行為規范指導下的安全研究產業。

        大多數聯邦政府部門并不涉及網絡安全事務。對于網絡安全的關注要求可能導致其缺少充足精力處理核心事務。而這一問題由于網絡安全人員的匱乏而進一步升級。要實現更理想的網絡安全態勢,美國政府需要重新考慮信息技術的獲取與管理方式。新一屆政府應當將業務向托管服務模式全面轉移,包括與私營部門簽訂電子郵件、數據存儲與網絡安全保障協議。這方面舉措應當全面得以推行,并立足行政管理與預算局與總務管理局層面通過網絡安全相關IT采購及規劃工作得到體現。云服務能夠提供顯著的安全效益、實施成本更低且具備遠高于一般性企業自我管理的有效性水平。這類外包模式更有利于威脅信息共享,同時亦允許各組織機構將資源集中起來處理最為重要的關鍵性或者罕見網絡風險因素。

         考慮到招聘市場的實際情況,招聘訓練有素的局域網監控軟件人才正變得愈發困難。為了解決這一問題,新一屆政府應當采取積極的教育培訓及網絡安全人才擴展計劃,具體包括建立認證性培訓與教育制度、明確網絡安全職能角色分類以及從業者必須具備的專業技能、同時建立強大的專業資質認證機制。目前的網絡安全政策仍然存在嚴重的被動性與碎片化傾向。我們需要制定新型策略以解決這些問題,但以往國家性戰略的實際表現令人失望。其中包含大量過度具體的陳詞濫調與網絡安全實踐內容,但卻未能真正上升至戰略水平,這導致相關內容往往會迅速過時。在二十年的網絡安全從業經歷中,我們意識到單純強化網絡本身并不足以實現安全保障。企業與國家機構必須充分理解相關問題與其中規則,包括如何指導網絡空間中的各類行為。我們面臨的難題并非不可逾越,但其仍然需要持續的、高層次的關注與不懈努力,方可取得理想進展。網絡空間已經成為最為核心的全球性基礎設施,而其重要性在未來還將不斷提升。但其目前的安全性仍然遠稱不上理想,并給我們帶來種種本可避免的風險。另外,我們的對手仍然占據優勢。不過只要抱有意愿,我們完全可以改變這一切——盡管無法迅速或輕松地改變,但考慮到美國及其盟友的長期安全需求,一切努力與付出都是非常必要的。



    [關閉本頁]
  關鍵詞:  局域網監控軟件,網絡監控
首頁 |  局域網監控軟件 |  局域網管理軟件 |  流量監控軟件 |  百絡網警用戶論壇
Copyright © 2013-2016 NETBAI.COM 上海百絡信息技術有限公司 版權所有 E-MAIL:[email protected]
監控軟件-征信網認證 監控軟件-網警網絡110 滬ICP備14015905號-1
監控軟件-公安部檢測報告 監控軟件-360認證 監控軟件-瑞星認證 監控軟件-金山云安全中心網站安全檢測 監控軟件-江民安全認證 監控軟件-卡巴斯基檢測通過 監控軟件-小紅傘安全認證 九关虎豹二肖中特