以下文章经许可转载自The Conversation,这是一个涵盖最新研究的在线出版物。
特朗普总统关于联邦计算机网络和国家基础设施关键要素(如电网和核心通信网络)的新网络安全行政命令,在奥巴马政府的工作基础上取得了重大进展。它侧重于共同的和两党都关心的问题,这意味着它可能会避免其他最近的行政命令所产生的不安和混乱。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。 通过购买订阅,您将帮助确保未来关于塑造我们当今世界的发现和想法的有影响力的故事。
网络安全最终是一项风险管理工作。考虑到可能存在的威胁范围以及它们出现的快慢,不可能随时随地保护所有的一切。但至少可以通过良好的网络卫生习惯(理想情况下,更多)来确保最宝贵的资源(例如特定的网络和系统,或特定数据)得到适当的保护。
该行政命令试图做到这一点,它呼吁内阁部长和其他联邦机构负责人遵循奥巴马政府时期由国家标准与技术研究院创建的《改进关键基础设施网络安全框架》。该框架在奥巴马增强国家网络安全委员会的最终报告中也占有重要地位。
行政命令的三个关键主题特别值得关注,因为它们表明联邦政府在网络安全方面的做法有了重大新发展。该命令正确地强调了网络威慑,即阻止潜在攻击者实际尝试入侵我们系统的过程。此外,该命令正确地指出,电网和军队的作战能力需要更强的安全性。
加强网络威慑
迄今为止,美国网络安全工作中最缺乏的一个关键要素是网络威慑。正如核威慑让拥有核武器的国家知道,发动核攻击意味着他们自己将迅速而确定地被摧毁一样,网络威慑也包括向潜在的对手明确表示,攻击要么不太可能成功,要么将遭到确定而严厉的报复。
该行政命令要求一大批高级政府官员——商务部、国防部、国土安全部、国务院和财政部的部长,以及司法部长、政府首席贸易谈判代表和国家情报总监——制定威慑网络对手的方案(但没有具体说明任何对手)。
威慑本质上必须是多维度的:它必须包括各种阻止传入攻击的障碍,以及攻击者可能面临的后果。协调外交、军事和经济努力对于向潜在的对手展现统一战线至关重要。
这并不是说一种策略可以适用于所有情况。相反,除了强大的总体姿态外,美国还必须调整其具体的威慑措施,以确保它们对个别的潜在对手有效。
保护电网和军队的作战能力
该行政命令还呼吁加强对电网的网络攻击防护。这种可能性并非假设:乌克兰的电网在2015年12月和2016年12月遭受了两次攻击。
它还关注军队的工业基础,包括其供应链——这些供应链共同生产、交付和维护国防部必需的武器系统和零部件。对主要供应商的成功网络攻击可能会像对战场上的物理入侵一样,使美国的武装部队瘫痪。
然而,尽管识别和修复现有漏洞很重要,但更好的方法始终是首先安全地设计计算机系统。该行政命令更多地关注前者,而不是后者,因为我们必须使用我们拥有的能力和设备,而不仅仅是我们希望拥有的能力和设备。
基本指导
更广泛地说,该行政命令讨论并加强了良好网络卫生的基本原则。例如,它强调了如果已知的漏洞未修复,部门和机构以及他们服务的公民将面临重大风险。例如,如果没有适当的保护,纳税人记录、社会保障数据和医疗记录可能会被盗或被欺诈性地更改。
可悲的是,这是一个至关重要的问题。政府问责办公室最近的证词记录了政府机构在安装例行安全更新方面普遍存在的问题,甚至使用其创建公司不再支持的过时软件。
但该行政命令还展望了未来利用云计算和物联网的联邦政府。该文件不仅呼吁保护现有网络和数据,还声明了系统规划未来技术升级和进步以有效管理风险的重要性。维护和现代化都很重要,而且都必须安全地进行。
总的来说,该命令是一份可靠的文件,其指导既有分寸又清晰。其成功的关键——以及最终国家在网络空间的安全性——将是政府与私营企业建立的关系。没有双方的协同合作,就不可能保护国家。
本文最初发表在The Conversation上。阅读原文。