背景简介:2015年5月14日,来自美国陆军、海军、空军、海岸防卫队以及私营部门的代表共同参加了在西点军校举办的联合军种学院网络安全峰会,探讨如何最好地防卫美国免受网络攻击。在峰会开幕致辞环节,现任美国网络司令部司令、美国国家安全局(NSA)局长以及中央安全局局长的Michael S. Roger上将发表了讲话,谈到网络安全的四个原则、DoD网络战略的五大战略目标、动态威胁以及公私合作等解决网络安全的思路等。
注:本文原作者Bruce Schneier是美国著名密码学家,从2004年开始在博客上撰写安全相关文章。Schneier参加了本次峰会并就“密码战争2015”主题进行小组讨论,会后他在个人博客上对罗杰斯上将的本次演讲进行简要记录。据Schneier表示,本次峰会的其他大部分内容适用查塔姆宫守则 (Chatham House Rule)。
网络安全四原则:合作、创新、技术和人才
——罗杰斯上将在联合军种学院网络安全峰会的谈话
迈克•罗杰斯上将在西点军校的联合军种学院网络安全峰会上发表了演讲。他首先解释了他认为的网络安全的四个原则。
● 合作伙伴关系。这包括政府、民间,所有人。要调整各种群体的能力、知识和洞察力以产生更好的结果。能够生成和分享自己的见解和知识,并且要及时地做到这一点。
● 创新。这不仅仅是关于技术,而是关于如何组织、价值观和培训等等。我们需要非常广泛地思考创新。
● 技术。安全是一个以技术为基础的问题,我们需要做的是将技术应用到国防领域。
● 人力资本。如果我们没有让人们正确地工作,那么所有这一切都注定要失败。我们需要在军队内部和军队以外组建的安全工作者队伍。我们需要让他们跟上当前不断变化的技术世界。
那么,美国国防部在做什么?他们投资网络,既因为它是未来战争中战斗力的重要组成部分,更因为他们负有保卫国家的使命。
随后,罗杰斯解释了美国国防部最新的网络战略中列出的五个战略目标:
● 构建和维持随时进行网络空间作战的部队和实力;
● 保卫美国国防部信息网络,确保国防部的数据安全,缓解国防部使命面临的威胁;
● 随时准备保卫美国本土和美国的切身利益免受后果显著的破坏性或毁灭性的网络攻击;
● 建立并维护可行的网络方案,并计划使用这些方案来控制冲突升级并在各个阶段塑造冲突环境;
● 建立和保持有力的国际联盟和伙伴关系已威胁共有的威胁和增强国际安全与稳定。
美国网络司令部和国家安全局在这其中扮演什么角色?与网络司令部有关是五个战略目标中的三项任务:保卫国防部网络;组建网络的员工队伍;保卫国家的重要基础设施。
罗杰斯说他不断提醒他的下属这一点:“由人设计的东西一定能够被人打败”。所有一切都必须以承认专业和合规重要性的文化精神为基础。每个带键盘的人既是潜在的资产也是威胁。需要明确定义国防部内部的流程和程序,以及他们的文化。
什么是动态威胁,什么是世界的本质?威胁是一直在增加的,它会变得更糟而不是更好,网络是一个巨大的均衡器。用四“棱镜”方式来看待威胁:罪犯,民族国家,黑客分子,想要伤害这个国家的群体,其中第四组正在增加。类似ISIL的团体将使用互联网制造伤害,同时让人难堪:公开文件、关停服务等等。我们花了很多时间思考如何阻止攻击,但是我们需要更多地考虑如何在受到攻击后立即消解它,以及在攻击正在进行时如何继续运行。索尼事件是一个“当头棒喝”:民族国家使用网络进行政治高压,这是盗窃知识产权、拒绝服务和破坏。而且,对美国来说重要的是承认攻击对其进行定性并且报复。
最后一点,“用合力的方式解决问题(Total force approach to the problem)”。安全不仅仅是穿制服的人的工作,而是所有现役军人,后备军人,企业,政府承包商——所有人。我们需要为此一起工作。“我对于无休止的讨论不感兴趣,我感兴趣的是结果。”“网络最终是团队运动。”没有单一的实体,或单一技术,或单一任何东西可以解决这一切问题。罗杰斯希望与企业界合作,并且是以对双方都有利的方式合作。
第一个问题是关于每个机构的领域和使命。罗杰斯谈到每个机构有其固有的专长来解决问题,以及如何利用网络来扩展专业知识和使命。目标是建立一个单一的集成的网络力量,而不是一个单一的机构。网络发生在更广的范围内,这一背景适用于所有的军种。我们需要的是构建他们自己独立的专业能力和背景,并以集成的方式进行应用,类似于组建特种部队的方式。
第二个问题是关于价值观、意图,以及什么正处于危险中。罗杰斯回答说,NSA的任何结构都必须与国家的价值观整合。他谈到了隐私的价值。他还谈到“国家的安全”。两者都是当务之急,我们需要的同时实现两者。问题是,这个国家被极化了,威胁在不断增长而信任正在减少。我们需要弄清楚如何提高信任。
第三个问题是关于美国国防部保护商业网络空间。罗杰斯回答说,国土安全部在这方面是牵头组织,而国防部通过民间权威提供能力。国防部与任何私营部门合作伙伴关系将通过国土安全部。
第四个问题是关于国防部将如何深入到企业,包括已成熟的和初创的企业。罗杰斯认为方法很多。通过向私营部门提供人才,通过类似中央情报局In-Q-Tel的机制向公司提供资金,以及某种创新能力。这些是三个主要载体,但更重要的是,国防部的心态必须改变。国防部历来是非常狭隘的,而在目前这种情况下,必需要有更多的合作伙伴关系。
最后一个问题是关于NSA以某种半机密的方式共享安全信息。罗杰斯说,关于这件事的操作内部有很多讨论。这种做法是非常重要的。
注: 查塔姆宫守则,即与会者可以自由使用在会议中获得的信息,但不得透露发言者及与之相关机构的身份,也不得透露任何其他与会者及其相关组织的身份。
|
