安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“奥巴马时代”10大网络安全成就解读

在过去的七年半时间里,奥巴马政府在网络安全领域下达了哪些行政命令,做出了哪些重大举措和改革?一起来看一看奥巴马时期的网络安全成就…

 Obama-SS-1.jpg

今年2月9日,美国总统Barack Obama推出《网络安全国家行动计划》 CNAP并将其称为“奥巴马政府”历经 7年的思想结晶。计划从加强网络基础设施建设、加强专业人才队伍建设、加强与企业的合作、加强民众网络安全意识宣传以及寻求长期解决方案5个方面入手,全面提高美国在数字空间的安全。

在奥巴马执政的七年半的时间里,已经相继推出了大量的政策和计划来构建网络安全空间,旨在增强政府对网络安全的防御实力以及保护公民个人信息的能力等。

Tom Kellermann,网络安全战略&国际问题研究委员会成员,为奥巴马政府提供网络安全服务,该委员会创立的初衷是为第44任总统构建和维护一个全面的网络安全策略。

Kellermann说

事情变得更糟了吗?是的。如果作为个人或公司,在网络安全方面需要奥巴马政府 帮助,你会觉得舒服吗 通过调查昨晚发生了什么, FBI能否阻止正在或将要发生在你身上的事吗?不   

如果警方来调查物理犯罪,不仅会调查到罪犯,还可以防止这一罪行再次发生,但是,Kellermann指出,这种情况在网络空间内 是不会发生的

在接下来的文章中,我们将总结奥巴马任职期间对网络安全领域作出的突出贡献。你是如何看待奥巴马总统的这些网络安全成就的呢?

1. 为期60天的政府网络安全状况的全面评估工作,准备就绪

02-name.jpg

2009 年 2 月,奥巴马总统指示美国国家安全委员会 (NSC) 和国土安全委员会 ,针对美国的网络安全现状展开为期60天的审查工作,“自 而下”地检查联邦政府部门保护机密信息和数据的措施 ,提出有效手段来确保这些系统能够为国家的网络安全和繁荣提供保障。

四个月后,白宫发表一份报告题为《网络空间政策评估 确保 拥有可靠的和有韧性 的信息与通信基础设施

2009年5 月 29 日,奥巴马在演讲中宣布计划制定一项新的、全面的国家网络安全战略,并在两党战略委员会的建议下,宣布任命 了一位政府网络安全协调员,他将直接向总统报告,将网络安全问题提升为 美国政府管理工作的重中之重。

此外,战略中还呼吁着力推广大型网络安全教育 活动为个人和企业建立 更迅速的网络安全事件响应能力 提升网络安全性能指标。

奥巴马指出网络诈骗者,心怀不满的 内部员工,千里之外的黑客 犯罪组织, 工业间谍外国情报机构越来越多,网络问题成为影响国家经济和安全的致命因素。2008年 网络罪犯偷窃 世界各地的企业知识产权价值就高1万亿美元 奥巴马表示:

“简而言之,21 世纪美国的经济繁荣将取决于网络安全。

2. 白宫任命Howard Schmidt网络安全协调员  

 03-name.jpg

2009年12月,奥巴马总统任命Howard Schmidt为首位网络安全协调员 他在公共和私营部门的安全管理领域 都有着丰富的经验,是网络安全界杰出的领袖

Schmidt曾在乔治·布什(George W. Bush)时期担任关键基础设施保护 委员会副主席和网络空间安全的特别顾问,而在此之前,他还 曾在eBay 和微软任安全主管。

作为维护国家网络安全的关键成员,Schmidt主要职责包括:为各组织 加强计算机安全防护,开发新技术, 开展网络安全意识教育活动

2011 年,Schmidt牵头制定了旨在改善网络空间身份认证的国家战略通过公私合作的方式 有效解决了在线欺诈和身份信息窃取等问题。两年半后,Schmidt 宣布将在 2012 年 5 月底退休把更多的时间用来陪伴家人和进行网络安全教学。

Schmidt退休后,来自国家安全部门管理办公室和情报处Michael Daniel继任了 Schmidt的职位

3. 2010扩大网络政策审查年

Image-4.jpg

基于网络政策审查中提出的建议,美国政府提出了网络安全教育计划,旨在增强公众的安全意识。2010 年 3 月,政府公布了国家 网络安全教育计划(NICE) , 这个计划经过不断的完善和推出,形成了一个完整的体系,涉及到公众、在校学生,网络空间专业人员三大群体的教育

根据白宫的阐释,NICE计划主要包含4个方面:美国国土安全部 国家网络安全联盟和其他联邦机构领导的全国公共意识 活动,正式的网络安全教育联邦劳动力的发展 以及国家劳动力培训。

在此期间,加强网络安全成为了政府绩效管理议程的核心组成部分。联邦首席绩效官的目标就是提升政府业务,其中包括:实现实时监测 以及将网络安全集成进 系统设计

2010 年 4 月 21 日,NSS 和 OMB 发布联邦信息安全管理法案 (FISMA) ,该法案 焦点从部门和机构 静态化发展和纸质合规报告,转化为针对联邦机构网络 连续实时监测。基于这种实时监测,建立基于风险的性能指标体系,这些指标被纳入高级 员绩效计划,旨在帮助机构更快地识别漏洞,积极地部署防御,阻止攻击行为

4. 防范内部威胁计划

Slide-5.jpg

2011 年 10 月,为应对21世纪早期发生的一系列大规模的数据泄露事件,例如,布拉德利•曼宁(Bradley Manning) 主导的外交电报 泄露事件奥巴马总统签署了第 13587行政命令《加强信息共享和保护计算机网络中的机密信息的结构性改革》

13587号行政命令建立了几个新的跨机构协调机构,以提高机密网络的安全性,其中包括高级信息共享和安全保障指导委员会、内部威胁特别工作组、以及保护美国国家安全局和国防部系统的执行机构。

条例指出,负责操作或访问机分类计算机网络的联邦机构 负责人有责任适当地共享和保护计算机网络上 机密信息

作为职责的一部分,他们需要:

指定一名高级官员负责监督分类信息共享和维护工作;

根据内部威胁工作组制定的标准和指示,实现内部威胁检测和防御计划。

遵循行政命令和其他政策标准等进行自我评价,并将结果报告给高级信息共享和安全保障指导委员会。

提供符合规定的信息和访问服务,保证执行代理能够在计算机网络中独立评估和维护分类信息。 

5. 提高关键基础设施的网络安全

 Slide-6.jpg 

关键基础设施系统间的相互依赖,尤其是信息和通信技术间的依赖加深了网络威胁多种新型漏洞不断涌现,其中包括 物理和网络威胁等

为应对这一现状,2013 年 2 月 12 日,奥巴马总统签署13636 行政命令 《增强关键基础设施网络安全》明确指出该政策作用为提升国家关键基础设施并维护环境安全与恢复能力。

行政命令主要聚焦三个关键领域:(1) 信息共享2)隐私 3) 采用网络安全措施

关键基础设施是指对美国至关重要的物理的抑或虚拟的系统和资产,一旦遭到损坏将 会对国家政治、经济、公共卫生 和安全或是这些事项的任意组合 带来严重影响。

条例鼓励标准和技术研究院(NIST)与私营部门合作,识别 现有自愿共识性标准和业界最佳 实践,并将其融入网络安全框架 中去  

奥巴马政府承认一些私营部门网络领导人已经在实施强大的网络安全控制政策 程序和创新技术,并要求这些公司 协助政府塑造跨关键基础设施的最佳实践 总统还要求国土安全部建立一个自愿项目,以推动框架实施

6. 政府推动信息共享以强化响应速度

 07-name.jpg 

快速的信息共享是有效网络安全的重要组成部分,它能帮助美国企业共同应对威胁,而不是孤军奋战。为推进这一进程,2015 年 2 月 12 日,奥巴马总统签署一项行政命令,鼓励和促进私营部门 政府之间 分享网络威胁情报

条例制定了一个框架,旨在扩大信息共享帮助公司协作共赢 此外,还可以通过与联邦政府合作,力求 快速识别和防范网络威胁。

条例鼓励成立信息分享和分析组织(ISAOs),以作为政府和私营企业共享信息的联系点协调私营部门和政府之间的网络安全信息共享、合作和发展。

7. 制裁网络攻击者

  Slide-8.jpg

2015 年 4 月 1 日,奥巴马总统发表两年之内的第三个网络安全行政命令,以制裁 威慑那些以美国关键基础设施为目标的网络攻击者。  

奥巴马引用国际紧急经济权力法International Emergency Economic Powers Act),允许 联邦政府对列入黑名单的重大恶意网络活动背后的 国外个人或机构实施制裁

条例是美国对困扰国家企业、组织和个人的网络攻击者的有利反攻武器。它授权财政部部长、司法部长和国务卿,提起制裁、打击网络犯罪、网络间谍和其他破坏性网络攻击背后的实体。

总统称

“这是我第一次授权对在网络空间实施攻击行为,造成国家安全、外交政策、经济健康或金融稳定等受到重大威胁的个人或实体实施制裁。我们主要 聚焦来自海外的网络威胁。在许多情况下,外交和法律执法工具仍将 我们最有效的反击武器。但 是,明智地运用有针对性的制裁,将赋予我们一个新的、 有力 方式来应对最最糟糕的情况。

此项条例实施后,美国政府将有权冻结任何破坏美国关键基础设施攻击者资产,或从美国企业窃取商业机密、个人信息获取的利润。 这项条例无疑是深受欢迎的,但是问题是,联邦调查局如何能够正确识别攻击者。

此外,条例还授权对任何协助及教唆与恶意网络活动相关的人实施制裁,恶意网络活动相关群体包括通过“财政、物质或技术支持或商品和服务支持的人群 “。银行或金融服务机构、技术提供商或任何其他供应商,只要 被发现向攻击者提供支持的都可能会受到牵连。

8. 设置最后期限,推动美联邦网站设置HTTPS加密

 09-name.jpg

随着使用互联网加密成为一种新常态,2015 年 6 月 9 日,美国白宫制定了一项新政策,要求2016年底,所有联邦机构面向公众的网站必须 使用加密的 HTTPS (安全 超文本传输协议)

当时,只有31%的联邦机构使用HTTPS协议,包括白宫网站whitehouse.gov) cia.gov,nsa.gov 和 omb.gov等,而dhs.gov 和 fbi.gov 等机构网站却未启用 HTTPS。而目前,已经有 52%的联邦网站支持 HTTPS 加密, dhs.gov 和 fbi.gov 等安全机构已经使用 HTTPS。

未加密的HTTP链接可能存在漏洞,造成联邦网站和服务器上的潜在用户 的敏感信息泄露。这些数据包括浏览器标识、网站内容、搜索 和其他用户提交的信息为了解决这些问题,许多商业组织已经采用了 https协议来保护其网站和服务器中的用户安全。

2015 年 3 月奥巴马首次以草案的形式发布仅使用 HTTPS的建议 ,并将2016 年 12 月 31 日,作为网站使用 HTTPS加密通信的最后期限。为协助转换HTTPS 用户可以通过https://https.cio.gov 网站获取来自世界各地的技术专家 提供 技术援助和最佳方案。

联邦首席信息官Tony Scott在博客中写道HTTPS只保证两个系统之间的连接的完整性,而不是系统本身。它不是被设计来保护web服务器 免受攻击或破坏 的,也不能防止web服务在正常运行的情况下公开用户信息 。然而 HTTPS-only标准将消除不一致,能够判断出哪些内容或浏览活动在本质上是敏感的,为政府创建了一个更强的隐私标准。

9. 中美达成共识,不通过网络间谍行为获取经济利益

 image-10-flag.png 

2015 年 9 月17日,中国国家主席习近平和美国总统奥巴马就网络安全问题达成共识,无论中美都不会通过国家网络间谍活动谋取经济利益。

长期以来,中国都在针对美国的网络间谍组织的问题上“躺枪”,但是,中国始终强烈否认此类间谍活动源自中国。在一次新闻发布会上,奥巴马称已与中国达成初步“共识”,他表示,接下来的问题就是言行一致,付诸实际的过程了。

美国同样坚持否认通过网络间谍活动为美国企业谋取经济利益,此次习近平主席和奥巴马总统就制裁入侵本国企业和组织,窃取资产和知识产权的国外攻击者方面达成共识,共同惩治网络犯罪。

FireEye Mandiant公司的创始人总裁Kevin Mandia认为,奥巴马总统和习近平主席间达成的这一历史性协议将预示着网络安全进入了一个新篇章。

Mandia表示,中美达成的“无网络间谍”协议可能会有三种结局:最坏的一种是,中国仅口头承诺,但是继续盗取美国的 IP;中国缩减此类黑客行为;中国限制此类活动。他认为,这将推动中美两个大国在全球经济的背景下合力打击全球网络犯罪行为。 

10.  总统呼吁网络安全支出增加2017年190亿美元

  Slide-11.jpg

2016年2月9日,奥巴马总统将总额高4.1万亿美元2017财年政府预算提交国会 呼吁 网络安全支出增加 2017年190亿美元,2016财年增长35%

奥巴马指出,必须付诸更多的努力来提高网络安全能力,让公民拥有自己需要的工具来保护自己,公司有能力捍卫自身网络和信息安全,政府也有实力保护美国公民委托的个人信息。

这也是美国总统指示政府实施《网络安全国家行动计划(CNAP)的原因所在。《网络安全国家行动计划》是美国政府七年来的经验总结,吸纳了来自网络安全趋势、威胁、入侵等方面的教训。 通过短期和长期战略提高网络安全意识,加强保护,确保公共安全,支持经济和国家安全。 CNAP的一些要点包括:

● 建立“国家网络安全促进委员会”(Commission on Enhancing National Cybersecurity)——由顶尖的企业与技术专家组成,部分人员由国会任命,共同谱写出一份为期十年、涵盖公私两方面的网络安全技术、政策发展蓝图 ,以推广各类最佳实践。这项计划将包含:强化网络安全意识,保护隐私、公共安全,维护经济、国家安全并保证美国拥有更强大的数字安全控制能力,促进联邦、州和本地政府以及企业间的合作。

● 专门分配31亿美元的信息技术现代化基金,用于升级已过时或难维护的政府IT和网络安全管理基础设施。同时设立联邦首席信息安全官(the Federal Chief Information Security Officer),监督政府部门实施这些工作。其具体职责包括开发、管理并协调整个联邦政府体系内的网络安全政策,以及操作的执行。

● 加强在线账户的保护,除密码外,辅以指纹、短信发送一次性密码等更多安全措施。通过“国家网络安全联盟”(the National Cyber Security Alliance)发起新的国家网络安全宣传行动(National Cybersecurity Awareness Campaign),专注多重认证,以提升、培育信息消费者的网络安全意识。

“国家网络安全联盟”为非营利性组织,其成员包括美国国土安全部(DHS)以及赛门铁克、思科、微软、SAIC与EMC等私营企业。其呼吁并鼓励使用多重验证机制,同时实施一套尚未最终定名的“有效身份认证”方案。合作者包括Google、Facebook、DropBox、Microsoft等顶尖技术公司,以及MasterCard、Visa、PayPal和Venmo等交易服务公司。

● 2017财年预算中,网络安全总体支出达190亿美元,较2016财年增长35%。

美国的网络霸主地位是无可否认的,尽管已经与中国达成了“网络安全共识”,但是可以预测的是,美国绝不会轻易放弃网络空间的“霸权”统治,通过总结奥巴马总统任职期间的网络安全成就,不仅对美国未来执政人提供参考和学习的依据,同时对我们国家也有很强的借鉴作用,通过“师夷长技”不断提升自身网络安全整体实力,共建安全、融合、共享的网络安全空间。  

 *原文链接:darkreading、米雪儿编译

未经允许不得转载:安全路透社 » “奥巴马时代”10大网络安全成就解读

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册