安全专家众议奥巴马的网络安全遗产：意图好，效果差

虽然奥巴马总统投入了时间、精力和政治资金来改善网络安全，结果却不尽人意。

奥巴马总统才离任几周，但他在网络安全方面的遗产已在评定进行时——褒贬不一的评价。

一些专家评价道：奥巴马说了很多，做了很多，投入了大量的精力来推动网络安全，但最终，并没有达成让政府或私营产业更加安全的目标。

最近一系列的数据泄露事件，就是赤裸裸的明证。美国情报机构将罪责归结到俄罗斯头上，然而民主党总统候选人希拉里·克林顿以及美国总统大选本身的信誉，已然遭到伤害。

正如反间谍咨询机构 Murray ASSOciates 总监凯文·穆雷所言：“政府想制定多少政策都可以，但如果不能解决问题，要来何用?”

或者，像 Red Branch Consulting 创始人，小布什任期内国土安全部官员，Lawfare博主保罗·罗森茨威格所说：“他们有工具，仅仅是在芯片宕机的时候选择了不使用工具而已。我也不知道为什么。”

这问题可大了，毕竟，政府的首要宪法义务，就是“提供共同防御”不是?过去十年，网络安全已上升与军事或司法安全同等重要的级别。网络攻击的潜在伤害，已从无关紧要水平，提升至可致严重后果的程度。

在物理层次，高级政府官员数次警告了民族国家、恐怖分子或犯罪团伙进行“网络珍珠港”攻击的风险。国家关键基础设施漏洞的报道也不断见诸报端。

在经济层次，前国家安全局(NSA)局长兼美国网络司令部司令亚历山大将军，在2012年就说过：经济间谍，尤其是中国的经济间谍行为，已经导致了人类历史上最大数额的财富转移。

当然，这些并非奥巴马的无视造成的，相反，他在任期之初就将网络安全提上了优先日程，几乎每次国情咨文必提网络安全重要性。在他监管下的项目、命令、政策和立法清单简直又长又闪亮。包括：

• 2009年2月，奥巴马下令审查政府网络安全状态。5月，宣布“网络空间策略评估”，期望形成白宫主导的“协同网络安全计划”，旨在“遏阻、预防、检测和防御”网络攻击。
• 2009年6月，自2006年暂行的美国网络司令部成为永久编制。目标是拥有雇员6000人，但直到去年，据称依然缺编1/3，不过，专家普遍达成共识，美国拥有“世界上最强大的网络武器库。”
• 为响应奥巴马在2013年发出的总统令，国家标准与技术局(NIST)在2014年2月发布了《网络安全框架》——一份私营和公共产业都应遵守的标准，至今已历经多次修订。最新的更新草案，旨在提升关键基础设施安全性，于今年1月奥巴马离任前不久颁布。
• 2015年6月，政府发布了 M-15-13 —— 要求联邦网站和Web服务必须使用安全连接的一项政策，截止2016年12月31日，所有机构都必须使用加密HTTPS网站和Web服务。
• 美国总务署报告，截至本月，虽然合规率远未及100%——政府域名和子域名合规率在43%到73%之间，在HTTPS上政府已超过了私营产业。
• 《网络信息共享法案(CISA)》被国会通过，并于2015年12月受奥巴马签署，旨在促进政府和私营产业间威胁信息的共享。反对者依然指称该法案为“监视法令”，但赞成者认为，改善国家网络安全的任何希望，都需要私营和公共产业的协作。

不幸的是，这些行动，连同其他一些计划，并不总能达到预期的效果。过去8年间的安全失败众所周知，某些案例，甚至是灾难性的。或许，最糟糕的一起黑客事件，是据称中国所为的人事管理局(OPM)数据泄露案，约2200万在职和离任联邦雇员个人数据被泄。

美国一家律师事务所网络安全部的负责人认为，美国政府如今的网络安全水平，如果放在整个美国经济圈里看，那是相当“不体面”的。而前情报官员协会(AFIO)董事阿伦·坦特雷夫，则将其称之为“史诗级的失败。”

预算管理办公室(OMB)发起了一个所谓的“30天网络安全冲刺”，想要提高各方各面的安全水平，从身份验证到威胁检测。然而，来得太迟了——在数据泄露曝光之后。

其他著名的失误包括：

• 美国陆军上等兵布拉德利·曼宁(现变性并改名为切尔西·曼宁)和前NSA承包商雇员爱德华·斯诺登泄出的百万份机密文件，不仅损害了政府关于没有对美国公民进行监视之声明的信誉度，也表现出政府根本无力防御内部人威胁。
• 2011和2015年，总统两度尝试启动立法，“提升美国人民、国家关键基础设施，以及联邦政府自有网络和计算机的网络安全。”

但是，每次提案都没有结果，部分原因是国会意见分歧，另外一部分原因，则是来自人权和隐私保护团体的反对。

• 自2004年其便已存在，历经数次迭代的联邦“爱因斯坦”网络威胁检测和预防系统，于2015年被DHS升级至“爱因斯坦3加速版”。

但其遭到了专家、前政府官员和国会成员的批评，说是在完全实现前就已过时——实现的截止日期是去年12月。格雷格·陶希尔，DHS网络安全运营和项目助理副部长，曾在2015年11月说过那么一句著名的话;“爱因斯坦3简直就是我们15年前就该有的东西。”

• 归罪于俄罗斯的DNC及希拉里总统竞选主席约翰·波德斯塔邮箱被黑案。维基解密在竞选最后几周放出了来自被泄邮箱的敏感信息。

以上安全失败的可能原因如下：

首先，无数专家都说过，基本上，政府是不可能赶上这些威胁的进化和扩张的。就像罗森茨威格在访谈中所说：“政府时速60迈，互联网创新时速可是6,000迈。”

其他人则说，其间差距有几个数量级那么大。

其次，在关键基础设施大多属于私营公司之手的情况下，政府也是很难管理其在线安全的。不是出台强制性规定和严厉的未合规处罚，政府主要是颁布各种建议和推荐参考。

再次，在跟私营产业竞争人才上，政府处于下风。

“联邦政府一直拍马不及，因为它支付IT员工的薪水要受到政府薪酬范围的限制。” Fidelis Cybersecurity 威胁系统经理约翰·班白尼克说，“对有经验有激情的IT员工来说，私营产业收获更多，是更有吸引力的职业选择。”

但是，专家也称，确实有些事情是政府可以，也应该，做得更好的。普莱斯说，“安全需要防护措施和遏阻对策。在前者上我们做对了，但我们依然遭受外国黑客攻击的事实说明，在遏阻层面我们依然还有许多工作要做。”

坦特雷夫指出，有些漏洞一直留存，因为我们选择出于安全原因而保留它们——简直太奇怪了。

这里，他指向的是前白宫网络安全协调员迈克尔·丹尼尔。这位仁兄称辩称：“公开漏洞，意味着我们可能放弃的，是收集可摧毁恐怖袭击、阻止国家知识产权被窃，甚或发现更危险可利用网络漏洞的机会。”

丹尼尔还说，打造“巨大的未公开漏洞库”可能不在国家利益之列。当然，“巨大”一词的定义恐怕会引发巨大的争议。

政府改善安全状态的一个明显途径，就是更新其技术。专家称，近4万亿美元的预算支持下，当然有钱来改进硬件和软件。但是，似乎这方面的政治意愿尚有不足。

“只要涉及到花钱，安全总是排在其他东西后面。”班白尼克说，“更新服务器和笔记本可没有其他消费项目来得性感迷人。没有国会议员曾经出席过新计算机发售的剪彩。”

最后，政府不仅需要关注黑数据的人，还需要聚焦放任这些事件发生的那些人。除非要求追责，否则政府得不到更好的结果。基本上，每个安全失败，包括OPM数据泄露案，负责人都被允许辞职——意味着他们还能保有退休金和所有其他政府津贴。

“只要这么做了，人们就会开始重视起来。”

最终，如果重要的是结果，奥巴马留下的东西可真令人伤心。最近新出了一本题为《全球网络漏洞报告》的书，里面评估了44个国家的网络漏洞，美国在安全度上位列第11位。

“很难让人相信这一结果对奥巴马的网络安全遗产有何帮助。”

特朗普治下会不会有什么改善我们尚未可知，但有些早期征兆可真是令人担心。

国际计算机科学研究所高级研究员尼古拉斯·委弗，在Lawfare博客文章上宣称，特朗普对继续使用不安全安卓设备的坚持，就是在“召唤灾难，肯定会引发真正的恐慌。”

“一旦被黑，该手机就是个漏洞，甚至是比拥有巨大权限的玺印被偷更大的灾难。它可以记录周围的任何事情，并且只要重新联上网络，就能将记录的信息发送出去。”

关于特朗普是否能提升奥巴马的记录，尚未有定案，但在安全专家看来，标准其实并不高，提升空间还有很大。