专家说,美国为确保互联网安全而制定的雄心勃勃的新战略设定了一些关键目标,但这些目标可能很难付诸实施,因为其中一些目标存在冲突,并带来了似乎无法克服的技术问题。
的网络空间国际战略白宫最近发布了七个基本目标,以使互联网更安全、更可靠。国务卿希拉里·克林顿(Hillary Clinton)称赞该文件是制定、部署和协调政策的框架,以解决一系列网络安全问题。
“这不是一系列的处方,”她说,“这是一个重要的区别。因为在我们努力实现开放、互操作、安全和可靠的网络空间时,没有放之四海而皆准的直接途径。”她认为这是该政策的优势,但这让其他人感到困惑。
的需求:立法者表示,美国需要网络应急响应
例如,这项政策要求支持言论自由和通过互联网进行商业活动的自由,同时也要求拒绝让恐怖分子和犯罪分子获得这些好处。关键是要分清谁是谁,同时保持另一个目标:互联网隐私。
在初步阅读了该战略后,451集团的安全分析师乔希·科尔曼(Josh Corman)表示:“除非你能区分出公民、被压迫的人和其他人群中有恐怖分子,否则你怎么能做到这一点?”“你需要监控使用情况,而监控意味着侵犯隐私。”
他看到了正式的政策同样重要,但希望听到具体步骤。他说:“我喜欢它为讨论和辩论设定原则和优先顺序,但还有一些缺失。”“我发现自己想要更多关于我们将如何做这件事的信息。”
这份文件试图解决的问题引起了许多人的共鸣,因为互联网——以及潜伏在那里的邪恶——触及了如此多的人。
在本周的麻省理工学院CIO研讨会上,网络安全和隐私保护小组的参与者表示,他们还不了解政府提案的具体细节,但他们确实表示,政府应该更多地参与保护网络基础设施的工作。
雷神公司(Raytheon) IT安全服务主管迈克尔·k·戴利(Michael K. Daly)说,“我的祖母绝对没有理由在她的电脑上打一场网络战争。”“她在国外遭到袭击,却没有电话号码可打,这太荒谬了。如果有人向我们边境发射导弹,我们是不会容忍的,所以我希望我们看到互联网服务提供商进行更多的筛选……我理解这样做的风险,当然,我是一个相当自由的人,并不真的鼓励政府介入我的日常生活。但在这种情况下,我认为我们需要比我们现在看到的更多一点的保护。”
NaviSite首席安全官艾利森(Allen Allison)也参加了研讨会。他说,在保护网络资产方面的国际合作很重要,因为许多私营公司根本没有从政府那里获得足够的信息,了解来自海外的威胁的性质。
他说:“我认为我们现在缺少的是对美国以外的系统的可见性。”“所以我希望看到的是,当我们在应对国际威胁时,更多一点的开放和服。”
安全咨询公司泰亚全球(Taia Global)首席执行官、《网络战争内幕》(Inside Cyber Warfare)一书的作者杰弗里•卡尔(Jeffrey Carr)也有类似的保留意见。他在电话采访中表示,在互联网上几乎不可能确定是谁发动了攻击,并操纵了网络犯罪。
在网络战的情况下,可能升级为实体战争,这意味着没有人能确定谁是敌人。“没有办法确定归因,”卡尔说。他说,如果攻击被追踪到某个特定国家的服务器,并不一定意味着该国家的政府是幕后黑手,而且技术也无法帮助揭示更多真相。
卡尔说,他对该战略阐明的许多目标表示赞赏,但也发现了不足之处。“我认为这一切听起来都很美好,”他说,“但它是由政策制定者撰写的,而不是这个领域的工作人员。”
他说,这项战略要求保护关键的基础设施,但他指出,美国本身没有达到这个目标。美国的法律要求采取这样的措施,但没有实效。“没有权力要求遵守,即使你说你必须遵守,如果有人不遵守,你也无能为力。”没有罚款,”他说。
更多关于美国网络安全能力的信息:美国司法部报告批评联邦调查局打击国家网络入侵的能力
该政策的一些目标听起来很好,但却与各国的实际行为背道而驰。例如,该战略表示,互联网的使用应该不受限制,但在实践中,当事态严重时,政府会按照自己的最佳利益行事。例如,埃及领导人,几乎关闭了互联网接入在最近推翻政府的示威活动中,卡尔说。
他说:“一些国家——甚至包括美国——将坚称他们有能力控制自己的网络。”“如果是全国性的问题,总统想要控制互联网。”
因此,呼吁免费访问而坚持控制可能听起来不正确。卡尔说:“只有这么多的空间来谈论这个问题,而不让人觉得你是个伪君子。”
美国的计划呼吁加强追踪网络罪犯的国际合作,但也有一些国家坚决反对,尤其是俄罗斯和前苏联加盟共和国。“他们100%拒绝签署任何与跨境网络犯罪有关的协议,”他说。在施加压力之前,这些国家仍将是网络罪犯的避风港。
451集团的科尔曼表示,在审视战略及其提议时,它们可以分为几个类别——聪明但不可能,聪明但困难,聪明但可行。
有些人很难归类。Corman说,以中国为例,由于其规模和实力,众所周知它侵犯知识产权,对于任何有意义的保护这些权利的协议都是至关重要的。他说:“如果主要玩家不合作,那怎么办?”
专门从事脆弱性评估的NSS实验室(NSS Labs)总裁里克·莫伊(Rick Moy)表示,网络安全策略可能有助于将目前应对网络系统中暴露出的问题的特别过程正式化。
莫伊说,国际计算机应急响应小组之间可能会有更好的协调,以解决出现的严重基础设施问题。如今,许多防止攻击这些脆弱网络的工作都是“由想做好事的小团体完成的”,有时看起来像是“某种地下组织”。
有个足球雷竞技appNetwork World记者Brad Reed和Ellen Messmer对本文有贡献。