華文網

美網路安全不足專家責官僚機構權責不明

一個依賴技術手段來解決複雜問題的尷尬事實就是:技術的創新從來都不能滿足需求,而且有時甚至是不必要的。在國家安全領域,網路安全就是這個說法最明顯的案例,

因為防止資訊竊取或出賣的關鍵是組織結構而不是技術。

奧巴馬政府最近設立了軍事網路司令部就是很好地基於這種考量,但這只是一個穩當的開端。資訊安全的戰役將會在電纜通道中決出勝負,在那裡誰更注意細節,誰就做得更好。

從部門衝突到網路衝突

6月,美國國防部長羅伯特?蓋茨(Robert Gates)授權建立網路司令部,這是第一個專門用來協調武裝力量和五角大樓所屬的電腦網路安全和作戰的軍事組織。蓋茨計畫讓基斯?亞歷山大中將(Keith Alexander)擔任網路司令部(Cybercom)的負責人。亞歷山大當前是國家安全局(National Security Agency,

NSA)的負責人,這是美國國家安全性群組織中最主要的收集通訊情報的實體。

讓亞歷山大擔任“資訊沙皇”的任命已經引發了關注隱私權和合法性的觀察家與官員們的爭論。在這個方面,來自羅德?貝克斯瓊(Rod Beckstrom)的批評廣為流傳——他是前國家網路安全中心(National Cyber Security Center,NCSC)主任,3月份辭職。

雖然撥款和行政障礙才是他辭職的首要原因,貝克斯瓊還是抱怨國家安全局支配了大部分國家網路安全事務,

特別是對國土安全部(Department of Homeland Security,DHS)的網路安全事務進行他所謂的“有效控制”,而這部分正是由國土安全部下屬的國家網路安全中心負責的。

至少從理論上說,國土安全部在保護美國免受外國威脅的職責上和國家安全局處於同等地位,而國家網路安全中心則負責所有政府部門的網路安全事務。

貝克斯瓊在來華盛頓之前曾是一名矽谷的企業家,他宣稱,把國家安全局放在資訊戰場的首要位置,

這從各個層面上來看都不是一個好的策略。這個部門受人非議的最大根源就是潛在地把所有政府的資訊化活動都由一個機構來管理,這本身就威脅到了民主制度權力制衡的原則。

更容易被人忽略的是:貝克斯瓊發現,情報文化和網路戰或網路安全文化有著很大的區別。這是一個很有見地的批判,這很可能是對的,即這不僅基於文化,而且基於組織的結構和職責——此外還包括技術。

重新整合官僚機構

從原則上說,某種程度的集權管理很明顯是必要的。五角大樓的資料顯示,國防部當前運轉的網路超過1萬個,使用了7億多台分散的計算設備(這個數位也許出於保密考慮已經大大低估了)。如果核心技術人員機構和主要技術官員對大型企業有幫助,那麼他們也一定對政府有幫助。

同理,貝克斯瓊所擔心的那種集權資訊安全機構純粹是杞人憂天。除了國防部之外,國家安全局把網路空間活動分別讓多個實體負責,例如國防資訊系統處(Defense Information Systems Agency,DISA),這個部門本質上就是作為一個IT技術支援機構為軍方的資訊化師('line' divisions)服務。這些獨立的軍種也有自己的資訊化職責。詳細說來,美國空軍就擁有一個活躍的、表現出更多進攻姿態的資料對抗(DW)單位。

但是國防部網路安全方面的職責還是高度集權化的,至少從原則上如此。至少在一開始,網路司令部隸屬於戰略司令部(Strategic Command,Stratcom)——這個部門已經把電腦安全納入職責範圍。戰略司令部通常也指導超越軍隊職責和地理邊界以外領域的軍事活動——例如核威懾和空間開發。

具有諷刺意味的是,國家安全局也對政府的網路安全負有法定責任。國家安全局擁有2個主要的分支機搆:通訊信號情報理事會(Signals Intelligence Directorate,SID,主要竊聽外國的通訊)和資訊保護理事會(Information Assurance Directorate,IAD,主要保護美國資訊資產及傳輸)。2008年1月,在當時小布希總統簽署的23號國土安全總統令(NSPD 54)中,指定國家安全局為監聽和保護所有的聯邦政府電腦網路免受網路恐怖主義侵害的領導機構。

因此這個問題(如果這稱得上是一個問題)的癥結是太集中了呢,還是太分散了呢?或者某種程度上兩者兼而有之呢?

資金還是觀念:哪個優先?

政治上,領導層變動會中斷實際工作,但在國家安全的具體細節政策上,連續性是相當常見的。基於地理政治學的原因,連續性是普遍需要的,但是有缺陷的執行方案硬要繼續執行就比較愚蠢了——這不僅是沒有頭腦的問題,而是一個現實的安全問題。

統一的網路司令部的想法成型於2008年秋,這是在小布希的最高情報顧問麥克?麥康納(Mike McConnell)關於政府需要更大的權力來防止他所描述的潛在“網路9?11”的爭論後提出的。隨後,小布希政府啟動了一項旨在保護政府網路免遭網路襲擊的議案。這項努力估計在2009年至少要花費60億美元,並且在隨後的幾年內將會上升到這個數字的7倍。

主要的防務企業渴望獲得這筆收入,但根據一些國家安全官員所言,政府的投入是否能有回報完全不可靠。

在一篇《華爾街日報》有關防務企業的報導中援引了一位元高級情報官員的話,“……我們是打算像9?11後那樣揮霍資金呢,還是打算花了錢能有所收穫呢?”正如近10年裡美國武器採購狂歡所證明的那樣,開支的井噴只會造成浪費和低效。

由於這段時期飽受爭議,2月,奧巴馬總統下令對美國的網路政策作一個為期60天的重新評估。這項評估由(也許是一個諷刺)梅麗薩?哈瑟薇(Melissa Hathaway)主持——這是一名麥康納的頂級網路安全顧問,最終結果則是對特別安全措施暫緩評價,特別是有關私營部門領域,比如國家電網。

對亞歷山大來說,他已經明確表示不願(至少是在公開場合)扮演網路沙皇的角色來執行這樣的措施。

4月,在三藩市召開的一個安全會議上,亞歷山大宣稱國家安全局不希望為美國政府管理網路安全。相反,亞歷山大支援與國土安全部合作,由國土安全部負責保護所有的民用政府網路,而國家安全局負責保衛軍用和情報網絡。亞歷山大沒有明確解決保護防務承包商電腦網路的問題——雖然客觀地說,駭客在滲透進F-35聯合戰術戰鬥機(JSF)計畫之前,首先會攻擊其主頁。

常識為本,技術為用

把任務分配給與專業技術有關的機構可能是一個錯誤,因為專業人士不會總是把這些職責奉為圭臬。美國空軍已經領先其他軍種一步,把網路戰作為焦點,因為在相對獨立的戰術進攻中,資料對抗(DW)對敵方的防務壓制非常有效(例如以色列空襲敘利亞的核反應爐)。但是,保衛國防部基層組織免受駭客攻擊的原則是防禦高於進攻,計畫不如變化——簡而言之,這是一個完全不同的任務。

基於這個原因,原先企圖僅僅集中美國空軍網路應用的觀念有點瑕疵。甚至從一個純軍事角度來看,網路攻擊更像是會全面影響所有的軍種(例如對衛星通訊的網路攻擊)或是和所有軍種有關的東西(例如欺騙敵我識別的回應),而不是單獨攻擊某個軍種。這就需要一個跨範圍的響應。

與之相反,雖然有國家安全局——這個機構管理網路安全比較好——但國家安全局卻有自己側重的職責。詳細地說,國家安全局的主營業務是截取和保護通訊信號;換句話說,對傳輸過程的關注要甚於實際的電腦和網路上龐大的資訊源。但是,攻擊美國的資訊網路已經(直到我們知道之前)把網路上的資料倉庫作為首要目標——依靠使用木馬建立秘密通訊通道的方式。俗話說,有備無患,讓美國安全局負責“基礎安全”總有一點希望你的車被偷時可以發出警報的味道。

除了國防部之外,國家安全局把網路空間活動分別讓多個實體負責,例如國防資訊系統處(Defense Information Systems Agency,DISA),這個部門本質上就是作為一個IT技術支援機構為軍方的資訊化師('line' divisions)服務。這些獨立的軍種也有自己的資訊化職責。詳細說來,美國空軍就擁有一個活躍的、表現出更多進攻姿態的資料對抗(DW)單位。

但是國防部網路安全方面的職責還是高度集權化的,至少從原則上如此。至少在一開始,網路司令部隸屬於戰略司令部(Strategic Command,Stratcom)——這個部門已經把電腦安全納入職責範圍。戰略司令部通常也指導超越軍隊職責和地理邊界以外領域的軍事活動——例如核威懾和空間開發。

具有諷刺意味的是,國家安全局也對政府的網路安全負有法定責任。國家安全局擁有2個主要的分支機搆:通訊信號情報理事會(Signals Intelligence Directorate,SID,主要竊聽外國的通訊)和資訊保護理事會(Information Assurance Directorate,IAD,主要保護美國資訊資產及傳輸)。2008年1月,在當時小布希總統簽署的23號國土安全總統令(NSPD 54)中,指定國家安全局為監聽和保護所有的聯邦政府電腦網路免受網路恐怖主義侵害的領導機構。

因此這個問題(如果這稱得上是一個問題)的癥結是太集中了呢,還是太分散了呢?或者某種程度上兩者兼而有之呢?

資金還是觀念:哪個優先?

政治上,領導層變動會中斷實際工作,但在國家安全的具體細節政策上,連續性是相當常見的。基於地理政治學的原因,連續性是普遍需要的,但是有缺陷的執行方案硬要繼續執行就比較愚蠢了——這不僅是沒有頭腦的問題,而是一個現實的安全問題。

統一的網路司令部的想法成型於2008年秋,這是在小布希的最高情報顧問麥克?麥康納(Mike McConnell)關於政府需要更大的權力來防止他所描述的潛在“網路9?11”的爭論後提出的。隨後,小布希政府啟動了一項旨在保護政府網路免遭網路襲擊的議案。這項努力估計在2009年至少要花費60億美元,並且在隨後的幾年內將會上升到這個數字的7倍。

主要的防務企業渴望獲得這筆收入,但根據一些國家安全官員所言,政府的投入是否能有回報完全不可靠。

在一篇《華爾街日報》有關防務企業的報導中援引了一位元高級情報官員的話,“……我們是打算像9?11後那樣揮霍資金呢,還是打算花了錢能有所收穫呢?”正如近10年裡美國武器採購狂歡所證明的那樣,開支的井噴只會造成浪費和低效。

由於這段時期飽受爭議,2月,奧巴馬總統下令對美國的網路政策作一個為期60天的重新評估。這項評估由(也許是一個諷刺)梅麗薩?哈瑟薇(Melissa Hathaway)主持——這是一名麥康納的頂級網路安全顧問,最終結果則是對特別安全措施暫緩評價,特別是有關私營部門領域,比如國家電網。

對亞歷山大來說,他已經明確表示不願(至少是在公開場合)扮演網路沙皇的角色來執行這樣的措施。

4月,在三藩市召開的一個安全會議上,亞歷山大宣稱國家安全局不希望為美國政府管理網路安全。相反,亞歷山大支援與國土安全部合作,由國土安全部負責保護所有的民用政府網路,而國家安全局負責保衛軍用和情報網絡。亞歷山大沒有明確解決保護防務承包商電腦網路的問題——雖然客觀地說,駭客在滲透進F-35聯合戰術戰鬥機(JSF)計畫之前,首先會攻擊其主頁。

常識為本,技術為用

把任務分配給與專業技術有關的機構可能是一個錯誤,因為專業人士不會總是把這些職責奉為圭臬。美國空軍已經領先其他軍種一步,把網路戰作為焦點,因為在相對獨立的戰術進攻中,資料對抗(DW)對敵方的防務壓制非常有效(例如以色列空襲敘利亞的核反應爐)。但是,保衛國防部基層組織免受駭客攻擊的原則是防禦高於進攻,計畫不如變化——簡而言之,這是一個完全不同的任務。

基於這個原因,原先企圖僅僅集中美國空軍網路應用的觀念有點瑕疵。甚至從一個純軍事角度來看,網路攻擊更像是會全面影響所有的軍種(例如對衛星通訊的網路攻擊)或是和所有軍種有關的東西(例如欺騙敵我識別的回應),而不是單獨攻擊某個軍種。這就需要一個跨範圍的響應。

與之相反,雖然有國家安全局——這個機構管理網路安全比較好——但國家安全局卻有自己側重的職責。詳細地說,國家安全局的主營業務是截取和保護通訊信號;換句話說,對傳輸過程的關注要甚於實際的電腦和網路上龐大的資訊源。但是,攻擊美國的資訊網路已經(直到我們知道之前)把網路上的資料倉庫作為首要目標——依靠使用木馬建立秘密通訊通道的方式。俗話說,有備無患,讓美國安全局負責“基礎安全”總有一點希望你的車被偷時可以發出警報的味道。