- 美国网络安全战略与政策二十年
- 左晓栋等
- 7765字
- 2020-08-28 01:48:05
2.现状分析
在概述研发项目关联性以及制定项目计划的各项任务之前,本章将首先对导致本文之所以做出这些研发方法建议的当前现状做一番阐述。当前的状况称得上是我们所面临的一大紧迫挑战,其中包括未被充分认识的信息安全脆弱性、运行和技术方面的困难以及旨在保护关键基础设施的研发项目的缺乏。
基本网络威胁
基本网络威胁,是指任何人有可能在任何地点利用互联网或其他公共、专用网络,未经授权进入关键基础设施资产的运营机构的IT系统。这些关键基础设施的运营者,往往是那些试图未授权进入系统的敌对分子的首选目标,他们的目的无非是恶意修改运营者的IT系统,从而阻止基础设施提供服务或泄露相关涉密信息。我们国家面临的最大的网络恐怖主义威胁是国土攻击,网络破坏者、黑客、窃贼、“电脑迷”以及其他形形色色在各种系统上寻找信息安全脆弱性的人的小打小闹绝对无法与这种威胁同日而语。
最应引起我们警觉的情况是,敌对分子像在“9·11”事件中那样,丧心病狂地对物理设施和虚拟网络同时发起攻击,这种情况最有可能在地区、全国乃至国际范围内造成多重的、同时的、连锁性的破坏。有了“9·11”事件的先例,我们已经不难想象,恐怖主义分子一旦对空中运输控制雷达计算机和网络发起攻击,使雷达系统追踪偏航飞机的能力降低,进而使空中其他飞机面临的危险大大增加,将会是怎样一幅物景。其他有关的危险情况,还包括敌对分子对供水控制系统同时进行网络和生化武器攻击。对供水控制系统的这类攻击,可能会使社会公众在不知不觉中受到化学或生物制剂的伤害。
这类威胁的对象,绝不仅仅限于关键基础设施运营者的IT系统,凡是由于设计缺陷、疏忽大意或者对信息安全的脆弱性不了解或不重视而可以任人随意通过互联网进入的系统,都面临着这样的威胁。互联网只是一个攻击媒介而已,一次成功的攻击无论借助何种媒介,暴露出缺陷的系统都有可能被用作下一次攻击的登录点。这种连锁攻击,最终会导致恶意滥用IT系统的情况出现,从而使攻击者得以控制或直接影响对基础设施提供服务的至关重要的系统。
其他攻击媒介,还包括某一关键基础设施运营者的IT系统与其伙伴组织(其中从作为合作伙伴的同一公司的业务部门到其他关键基础设施运营者,涉及的范围很广)的IT系统之间的专用网络连接(真实连接或VPN连接)。合法进入此类附属系统的人(如附属机构雇员之类的内部人员),或者能够得到授权进入系统的外部人员,都有可能滥用访问权,从而对关键基础设施运营者的目标系统形成攻击。最近的恐怖主义活动明显表明,蓄意作恶的敌对分子将千方百计并且有能力取得内部人员资格,以获得访问权或相关信息,进而把这种内部人员资格转变为一种攻击能力。
由这种“连锁攻击”造成的基本网络威胁,是各国关键基础设施运营者高度相互依赖的必然结果。相互依赖问题将在后面进一步讨论。
紧迫挑战
由于存在这样的基本威胁,我们面临以下四种紧迫挑战,它们不仅会影响行之有效的研发项目的开发任务,同时还会对改善关键基础设施运营者网络安全状况的近期任务产生影响,从而使运营者由于其信息系统缺乏相关设计而无法应对新的网络恐怖主义威胁。
未知的脆弱性程度
基本网络威胁尤其应该引起我们的警觉,因为当今存在着另外一种紧迫挑战,即我们对将会遭受攻击的关键基础设施运营者的IT系统的脆弱性缺乏充分认识。除了银行与金融部门的某些环节存在明显例外以外,关键基础设施普遍没有积极投身到商业信息安全实践中来,没有运用现有信息安全技术和流程进行脆弱性评估。事实的确如此,直到最近,也仍然有很多关键基础设施运营者不把自己的IT系统视为高风险、高价值资产,并没有认识到他们应该受到额外的妥善保护。同样,对于评价信息安全的脆弱性,人们也普遍缺乏积极性。
因此可以说,对于我们国家的关键基础设施信息系统面对网络恐怖主义究竟有多脆弱,我们实在是知之甚少。同样,对于现有信息安全技术究竟在多大程度上应用到了关键基础设施保护之中,这些应用产生了多大效果,信息安全技术在关键基础设施IT系统中的应用还存在多大差距等问题,我们也是不甚了了。同样的情况还包括用于使用和管理信息安全技术的通用信息安全处理方法,以及旨在保护技术安全机制(如物理和人员安全)的对非技术安全手段的应用和管理。
然而,如果我们对关键基础设施系统的脆弱性缺乏具体的、准确的和全面的了解,我们就很难搞清应该如何运用信息安全技术来降低近期风险,同时也很难搞清应该如何通过信息安全技术开发来提供具有长期效果的更好的保护方式。下面列出的部分问题表明了这方面问题所涉及的范围:
我们应该如何通过更好地运用现有信息安全技术来根除脆弱性,以使我们的关键基础设施系统更有力地抵御当今的攻击?
我们应该如何通过定义“标准”手段或“通用实践措施”来使现有信息安全技术应用到关键基础设施之中?
当今的信息安全技术在现存脆弱性方面以及在面对威胁时(尤其是面对针对关键基础设施或部门的威胁时)具有哪些局限性?
我们需要在哪些方面开展技术研发工作以真正缩小差距?
我们需要开发哪些新的通用处理方法来管理这些差距带来的风险并为应用不断涌现的新信息安全技术做好准备?
由于缺乏对这类问题的答案,我们只能通过筹划两种行动来扩大我们的信息库,从而得以真正了解和控制国家关键基础设施系统所面临的风险。
首先,从中期和长期角度而言,我们期望关键基础设施运营者不断加强信息安全的脆弱性和风险评估工作,同时主动应用信息安全技术,开发出能够满足关键基础设施运营者和部门最迫切需要的通用处理方法。这些努力应与关键基础设施部门内和部门间加强信息共享、解决FOIA放宽公共-私营部门之间信息共享之类政策问题、鼓励开展预算外信息安全活动、鼓励部门内和部门间合作实施新的信息安全方案等其他方面的工作从根本上结合到一起。
其次,我们需要通过近期行动,来加强对我国关键基础设施IT安全现状的了解。虽然,需要长期付出巨大努力,才能对国家关键基础设施的脆弱性做出恰如其分的评估,但是,新近开展的研发项目,能够而且应该包含涉及关键基础设施系统的IT应用的运营研究。试验性运营研究可以从阐明上述问题开始(事实上,这方面的试验性研究已经帮助我们懂得了应该如何阐明上述问题),继而将研究成果应用到当前正在运营的具有代表性的现实世界系统之中,最终确定应该用哪些现有信息安全技术和处理方法来消除现存的脆弱性。
复杂性
当前的脆弱性评估和正在进行中的研发项目,都因关键基础设施的错综复杂而困难重重,而这些复杂性构成了更为紧迫的挑战。各个系统之间的相互依赖(这个问题将在下文中讨论)会扩大一次攻击的潜在影响范围,因为对某一关键基础设施系统的攻击能否取得成功,可能取决于其他关键基础设施系统。只有这样,攻击的影响才有可能在多个系统内繁衍蔓延。连锁影响和连锁攻击之所以令人忧虑,不仅因为各个系统相互依赖,而且因为网络的融合已经成为一种程度越来越高的发展趋势。其中,从数据/电话网的融合,到多公司共享的电子事务处理,再到关键基础设施服务提供商的网络和计算机与其他关键基础设施服务提供商的网络和计算机的共同运行,凡此种种,不一而足。在如此形成的新威胁环境中,对多重信息领域的持续性影响,极有可能使传统上被视为多余并容忍错误存在的信息源遭到各种不法行为的破坏。
除了广义的复杂性之外,我们还要面对更为具体的技术复杂性,它们产生于现行通用处理基础设施(即现有信息安全技术的运行对象)与用在关键基础设施IT系统中的各种专业系统之间的矛盾。其中,最为关键的是嵌入关键基础设施运行心脏的控制系统,即广泛用在从制造业到发电厂的各个部门的不可或缺的系统,我们的关键基础设施系统离开了它们就无法运转。这些控制系统因其对关键基础设施服务的直接控制,构成了最重要的资产。大多数控制系统和网络在技术上存在着巨大的差异,而为它们设计的现行信息安全技术也必然会千差万别。当前,适用于这些控制系统的信息安全技术十分缺乏,抑或说,无论在基本保护还是在充满网络恐怖主义威胁的新环境方面,对于哪些技术适用于这些控制系统、哪些技术不宜用于控制系统,我们实在知之甚少,这是一个应引起我们高度警觉的问题。很多技术差距和研发差距之所以存在,可能就是各种各样专业系统与比较常规的计算系统之间的复杂交互作用造成的。
即便撇开关键基础设施控制系统的安全问题不谈,也存在着复杂的信息安全挑战。它们是典型商业处理方法与关键基础设施运营者之间在信息技术上相互依赖的综合作用结果(后文将对此做详细讨论)。
研发协调、信息共享和合作
关键基础设施和网络安全是涉及范围极广的问题,任何行业都不可能独立将其解决。这种挑战绝不是传统的政府主持的研发形式、私人出资的研发形式和大学的研发形式所能应付得了的。然而,当前的信息安全研发工作却处于一种支离破碎、毫无调度的紊乱状态——众多政府拨款部门各自按照不同的计划行事,而私营研发工作则几乎从不考虑政府研发工作的布局。政府多个部门之间的信息安全研发投资、由政府实施的信息安全研发、几乎互不关联的公司出资和实施的信息安全研发造成了混乱,从而为信息共享、研究协调和设定研发的优先级带来了极大的挑战。
因此可以说,在当前情况下,对实施中的各种形式的研发工作进行全面和准确的归类是不可行的,然而这种归类却是以下几项活动的先决条件:评估与关键基础设施相关的信息需求、确定正在进行中的关键基础设施研发项目的工作重点,以及确定各行业的信息安全研究工作进行新合作和潜在协作的新前景。以下这些活动是弥补现行研发工作以下缺陷所必不可少的。
信息安全研发可能没有与关键基础设施直接相关。大多数传统信息安全研究都是仅仅基于TCP/IP网络以及标准商业操作系统和软件开展的。由于控制系统并没有完全分享这种技术基础,因此现行信息安全具体而言可能与操作系统无关,总体而言可能与关键基础设施和网络无关。
当前的研发都是出于商业用途开展的。当前的研发对象是可在商业界通用的技术和方法,以及可供军方/政府用于各种用途的相同的COTS技术。
当前的研发是以单一所有者/运营者模式开展的。当前的信息安全技术都是以单一所有者/运营者模式开发出来的。在实际工作中,相互依赖的关键基础设施系统具有很高的相互关联性,因此难免产生涉及多个运营者系统的信息问题。虽然,这样的情况在一定程度上存在于比较典型的商业处理中,但是人们往往并不将其当作技术问题来处理,而仅仅认为它们属于商业问题的范畴。然而在关键基础设施处理中,一个系统由于另一个系统的原因遭到破坏的风险却是根本不可接受的风险。尽管有限的少数涉及企业外联网和电子商务的“跨企业安全”研究把重点放在了有控制地扩大安全范围上,但是当前的信息安全研发工作都不是以开发解决这些相互依赖问题的方法为目的的。
关键基础设施部门的协调和信息共享
要想评估当前的脆弱性、制定标准、定义差距和研发需要,各关键基础设施部门就必须通力合作。这种前所未有的信息共享和合作,应该涉及共享各关键基础设施运营者的脆弱性评估信息、比较各种通用矫正手段、开发可满足部门信息安全需要的通用方法、确定方法或技术上存在的差距。这些合作,对于适宜保护我们的基础设施网免受网络攻击乃至预防会造成连锁破坏的意外事件来说,也是必不可少的。
这样的合作其实已经开始。其中,以信息共享和分析中心在若干关键基础设施部门做出的努力效果最为显著。在各个部门内共享现有信息的努力,会为从工业界到政府部门的整个关键基础设施业内更广泛的信息共享和合作打下坚实的基础,进而可以提高和共享对技术或方法脆弱性和差距的认识。
然而,主要侧重于信息共享和分析中心的合作(这是至为关键的最初步骤)远不足以形成一个探讨关键基础设施信息安全脆弱性评估及相关问题的论坛。此外,了解脆弱性与关键基础设施防范网络攻击,往往是同时并进的。当前,预防灾害的责任呈高度分散之势,各部门形成了各自为战的局面:地方政府和州政府在某些联邦部门的参与下,负责确定以何种方法应对会使某个关键基础设施运营者的服务质量降低乃至瘫痪的攻击或意外事件;而关键基础设施运营者则负责消除攻击或意外事件造成的内部影响。因此,信息安全方面的协调合作还涉及针对灾害预防的协调合作。
互依赖性
所有这些紧迫挑战,被关键基础设施运营者之间的高度互依赖性组合到了一起。互依赖问题涉及物理运行(关键基础设施服务的提供)、信息共享以及保护和响应技术等诸多方面。而在互依赖性的每个方面都存在着越来越恶化的若干因素,使研发的问题显得日渐突出,原因就在于关键基础设施业界人士对现有的安全技术和信息安全研发工作缺乏足够的重视。
我们的关键基础设施,不仅在运行上相互依赖,而且这种依赖性正愈演愈烈。每个部门内部的关键基础设施的运营,都越来越依赖于相关的信息技术,同时通过专用网络和公共互联网相互联得越来越紧密。由于存在着如此广泛的相互关联,我们的关键基础设施正面临着巨大的潜在破坏。这样的破坏会在局部、国家乃至国际层面上造成多重的、并发的和连锁性的破坏。
有了“9·11”事件的先例,我们已经不难想象,恐怖主义分子一旦对空中运输控制雷达计算机和网络发起攻击,使雷达系统追踪偏航飞机的能力降低,进而使空中其他飞机面临的危险大大增加,将会是怎样一幅场景。其他相关联的危险情况,还包括敌对分子对供水控制系统同时进行网络和生化武器攻击。对供水控制系统的这类攻击可能会使社会公众在不知不觉中受到化学或生物制剂的伤害。
运行性互依赖性和网络互依赖性
互依赖性有两种基本类型。第一种,每个基础设施公司都需要其他部门提供的基础设施服务。因此,一个部门出问题会对其他基础设施部门产生连锁影响。例如,供水公司依赖交通部门运送化学制剂,如果后者因遭受攻击而无法正常运转,就会造成前者供水短缺、服务质量下降和风险增大。
第二种互依赖性是由这样的情况造成的:很多基础设施公司的计算机系统要定期与其他公司的处理系统发生联系,结果每个关键基础设施运营者的处理系统都要依赖其他公司的处理系统(其中包括其他基础设施服务提供商以及供应链上的其他公司和合作伙伴)。
由于IT系统日趋复杂,第二种网络方面的互依赖性大幅度增加了关键基础设施IT系统所面临的风险。例如,多网络接口中,会为关键基础设施网络攻击提供多个进入点,而对某个公司系统的每次网络攻击,都会有机会对其他公司的系统发起连锁攻击。网络方面的互依赖性对技术和研究方案提出了不可忽视的要求:这些方案必须能够解决由于所有者、运营者、部门和相关技术之间相互依赖而给关键基础设施带来威胁的问题。
连锁破坏和连锁攻击
互依赖性有可能产生两种连锁性结果:间接破坏和间接攻击。连锁性间接破坏产生于运营或后勤保障上的相互依赖,这使得关键基础设施在攻击面前总体上显得十分脆弱。例如,(由电子攻击造成的)运输服务瘫痪,会使运送供水系统用于水处理的化学制剂的工作无法正常进行,从而造成化学制剂储备下降乃至无法正常供水。
连锁性的电子攻击,是从各关键基础设施运营者之间的网络连接点上着手进行的。例如,某运输服务提供商遭到一个网络攻击者入侵,后者随后可以利用该运输服务提供商与某个供水服务提供商之间的网络联系,直接进入供水服务提供商的控制系统,从而让供水工作陷于瘫痪。因此,该供水服务提供商的安全取决于该运输服务提供商的安全,然而运输服务提供商的系统安全并不在供水服务提供商的控制之下。
信息安全研发工作必须强调电子依赖性,以及用以化解连锁性电子攻击风险的手段。后勤保障的相互依赖是运营研究所必须重点考虑的问题,这方面的工作应该开发出适宜的模式,用以推动相关各方共同做出努力,化解连锁性间接破坏的风险。
关键基础设施运营者不仅依赖其他关键基础设施运营者,同时还依赖与其有业务往来的其他公司(例如,关键基础设施运营者会与其提供商共同使用某一自动供应链管理设施),这就使网络依赖性的问题变得更加复杂。这样的情况要求在企业之间建立安全机制。但是,在企业间目前的基本安全状况下,很难确定是否存在涉及关键基础设施的安全要求。也就是说,在两种网络依赖性(即基础设施内的电子联系和关键基础设施运营者/提供商之间的电子联系)间可能存在着重大差别。
关键基础设施的这两种依赖性,在所需要的保护、现有安全技术和满足这些需要的处理方法等诸方面均有很大的不同。以通常方式运用安全技术和使用典型的自动电子事务的处理方法,或许能够解决基础设施运营者/提供商的安全问题,但也有可能毫无作用。现有的信息安全技术,很可能并不足以满足关键基础设施的需要,因为残余风险在某些典型的电子事务环境中是可以接受的,但是在基础设施机构中却不可容忍。更可能的是,在基础设施内部,电子连接的信息安全需要是现有的信息安全技术所无法满足的,因为这些连接与生俱来就是双向的,而这样的相互依赖在典型电子商务环境中根本不存在。针对基础设施内部网络连接的安全处理方法,必须明显区别于基础设施提供者内部网络连接的安全处理方法。在前者的环境中,必须由双方共同承担安全责任;而在后者的环境中,由基础设施公司独自承担网络连接的安全责任就可以了。
政府政策问题
目前,有很多政府政策问题限制了各部门的协调和信息共享,而最为明显的是,它们限制了各部门为加强对现有脆弱性以及研发需要的认识而付出的努力。FOIA和反托拉斯问题制约了协调和信息共享,因此应成为当前立法和制定法规工作的重点。
最突出的政府政策问题,或许非向关键基础设施运营者拨款开展信息安全现状评估和改善工作莫属。例如,加利福尼亚州首席信息官办公室最近对该州所属公共事业运营者进行了一次调查,发现不但存在安全状态之薄弱的情况,而且他们还计划进一步增加并提高自动化信息系统的复杂性,这着实令人担忧。虽然重要的安全问题已经得到重视,但是用以解决这些问题的资金依然是一个始终没有得到解决的问题。私营关键基础设施运营者也面临着同样的问题,他们同时还缺少开展信息安全工作的委托授权(后一个问题比前一个问题更严重)。既然有大量潜在的信息安全工作需要由涉及各个行业和部门的关键基础设施运营者来开展,政策专家就应认识到,这方面的费用最终要由政府承担(如通过政府发行长期债券、课税扣除和按规定减免关键基础设施消费者的使用费用等方式)。但是,从目前来看,政府还没有采取任何行动为关键基础设施的信息安全颁发委托授权或提供资金。
有一个相关的政府政策问题产生于关键基础设施行业或部门的“合理实践措施”概念(sound practices)中。这种概念构成了关键基础设施信息安全活动的标准化基础,为关键基础设施运营者评估自己在信息安全方面付出了充分努力提供了一种通用度量尺度。没有这样的“标准”,关键基础设施运营者便会在评估脆弱性以及通过研发工作弥补和确认技术及处理方法的差距方面,面临巨大困难。但是,除资金和对现存脆弱性缺乏认识问题之外的很多政府政策问题,制约了“合理的实践措施”定义工作的开展。需要付出多大努力才能实现制定适宜标准和确保处理方法合理的目标?政府在阐明和实现这些目标的过程中应该担任何种角色?政府在推动各界接受和应用“标准”和研发成果方面应该发挥什么作用?关键基础设施运营者对安全应该有什么认识?诸如此类的问题,使有关如何制定标准或定义“合理的事件措施”的政府政策问题变得更加突出。当前,有关这些问题的政策责任涉及了联邦政府和州政府的很多部门。