/ 中存储网

特朗普网络安全专题分析报告:评估《加强美国网络安全与能力》行政令草案

2017-02-04 10:37:07 来源:e安全

特朗普原计划于美国当地时间周二签署一项为期60天的国家网络安全状况报告,而据美国财经有线电视卫星新闻台CNBC最新消息显示,特朗普已经取消了签署网络安全行政令的计划。

特朗普网络安全专题分析报告:评估《加强美国网络安全与能力》行政令草案-E安全

这项题为《加强美国网络安全与能力》的行政令草案要求对美国网络安全状况分别进行为期60天与100天的评估,从而确定其中的须改进空间,这将标志着特朗普政府为解决其头号任务所采取的第一项措施,有趣的是奥巴马也曾在上任后不久就下令进行为期60天的网络空间审查。E安全的读者可在本文末进行下载查看特朗普政府的这份行政命令草案。虽然特朗普已经取消签署网络安全行政令的计划,但E安全(微信公众号E安全)依旧编译浅析了这份行政令草案,让大家了解特朗普执政初期网络安全政策的动向。

作为基本思路,我们首先假设这份草案的内容不会发生改变,而这项行政令的意图则代表着特朗普政府处理各项待解决网络安全挑战的合理起点。然而值得注意的是,该项行政令似乎并没有与美国各联邦政府部门及机构进行协调。与特朗普近期发布的其它行政令相比,本项行政令的内容相当温和,例如其中并未包含任何与国际法相冲突的规定。虽然不与国际法相冲突看似只是一项极低的标准。

最令人意外的是, 本份行政令中并未提及美国联邦调查局(简称FBI)。我们尚不清楚该如何解读这一迹象,因为FBI以及相关执法机构一直在奥巴马政府任期内担任着重要的网络安全保障角色。或许这只是一项遗漏,并将在后续草案中得到纠正。然而如果FBI在后续版本中仍然未能出现,那么其很有可能将被彻底排除出网络安全事务之外。FBI一直积极在恶意网络活动的调查与防御事务中发挥重要作用,甚至对于奥巴马政府的政策制定产生着关键性影响,特别是在此前的第41号总统行政令中。剥夺其在网络安全审查工作中的地位将代表着对过去几年职能分配的重大调整。

作为核心内容,这项行政令以宽松方式利用传统公式进行风险评估:评估对手威胁水平、面对这类威胁因素时的自身脆弱性以及漏洞被利用所产生的后果。特朗普政府当局希望以此更好地了解美国国内中存在的脆弱性以及面临的威胁,并确定政府或机构能够利用哪些工具保护关键性基础设施免受此类敌对手段的侵扰。由于尚处于草案阶段,特朗普时代的美国网络安全走向E安全也将持续关注!

政策与结论

这份行政令草案的前两个章节与奥巴马时代的任何关键性网络战略文件基本相同。政策与结论部分重申了美国国内网络安全主流声音对于联邦政府发展方向的几项常规期望:需要保证互联网能够在不危害个人隐私或允许罪犯自由行动的前提下继续作为繁荣与创新的有力引擎; 互联网领域的动态特性及其与信息技术及关键性基础设施之间日益提升的关联性; 以及私营与公共部门网络中的各类安全漏洞。E安全目前无法确定此项草案最终给出的结论——即美国政府各部门与机构尚未合理组织以处理此类问题——在奥巴马政府领导期间的争议性。信息安全与网络问题已经对美国联邦政府机构构成了一项巨大挑战,而且美国政府方面的权威指导思路经常尚立足于数十年前的计算与网络技术。

政策协调

本章节指出,网络问题的管理将与新签署的总统国家安全备忘录(简称NSPM)2保持一致——该备忘录建立起美国国家安全委员会负责相关事务的组织与协调。其中的关键在于,美国国家安全与反恐委员会主席汤姆·博赛特(Tom Bossert)将有权组建各位委员会委员(由总统内阁秘书组成)。根据报道,博赛特将与奥巴马时期的国土安全顾问丽萨·莫纳柯(Lisa Monaco)一样继续保留网络安全方案组合,而这一继承性决策显然值得关注。不过博赛特在网络安全领域的从业经验较莫纳柯更为丰富,而且其表明表示网络安全将成为未来的一大重点关注领域。这一论断再加上特朗普政府将国土安全顾问之重要性与国家安全顾问看齐的作法,很可能意味着新一届美国领导班子将对这些问题给予高度关注。

网络安全漏洞审查

这项行政令的第一条实质性内容讨论现有安全漏洞。我们认为其分析起点不再着重于能力与防御性调查,而是着眼于美国现有脆弱性认知。Belfer Center网络安全项目博士后研究员本·巴查纳(Ben Buchanan)给出的结论是,“美国可能确实拥有众多杰出的网络技术人才,但我们的生活环境仍然相当脆弱。”[备注:E安全认为本章节内容所采取的安全漏洞讨论方式较安全漏洞实体审查流程(Vulnerabilities Equities Process)的涵盖范围更为广泛,后者负责提供机构间在软件与硬件漏洞领域的协调方式。相反,本项行政令草案中使用的‘安全漏洞’一词旨在解决关键性基础设施领域的系统性风险。]

此项行政令要求在未来60天内对“大部分关键性美国网络安全漏洞”进行全面审查。在此之后,由美国国防部长负责向总统提交建议,用以说明如何最好地解决这些“国家安全系统”中存在的漏洞,具体涉及各类情报与军事活动类政府系统。(此项行政令中还包含对于美国国家安全系统的更为精确的定义。)根据E安全(微信公众号E安全)的理解,有理由假设美国国防部长能够在某些情况下行使权力,从而指导或者控制大部分此类系统——当然,E安全认为美国情报界的各组织机构也将为此提供重要的信息来源。

美国国土安全部(简称DHS)部长将负责协调并提出关于“加强并保护关键性”非国家安全系统的建议,即《联邦政府、公共与私营部门基础设施》保护建议。一般来讲,“民用联邦政府”系统由各类联邦政府负责持有并运营的.gov及其它非保密网络所构成。公共部门基础设施则顾名思义,主要涵盖如美国田纳西河流域管理局(Tennessee Valley Authority,成立于1933年5月,是美国大萧条时代罗斯福总统规划专责解决田纳西河谷一切问题的机构,位于美国田纳西州诺克斯维尔。整体规划水土保持、粮食生产、水库、发电、交通等,创新为“地理导向”的一个整体解决方案机构,获得很大的成功,经营至今。)等各类公共基础设施。私营部门基础设施则代表行业当中众所周知的细分类别,包括由私营企业拥有并运营的系统,这些系统与电网等关键性基础设施相互作用。当然,其中对“最为关键”的基础设施与其它一些非关键性系统的具体划分会有部分浮动空间。 

其中最令人意外的是,DHS这一核心角色的具体定位与过去几周中的传闻有所区别。传闻称美国国防部(简称DoD)将在国家网络安全政策领域发挥更为重要的作用,但本项行政令草案证明DHS将通过提交建议以更好地保护各类网络,而特朗普政府正在延续奥巴马政府为DHS设置的角色定位——作为网络安全领域的领导方负责指导各民营机构。E安全也会长期观察DHS将在后续的角色与职能分配当中拥有怎样的设置,但就目前来看其基本定位将保持不变。

除了提出建议以解决安全漏洞(并更好地保护相关系统)之外,美国国防部长与美国国土安全部部长还将致力于“采取措施以确保各责任机构得到适当的组织、任务与资源支持,同时提供充分的法律依据以作为完成任务的必要权利。”同样的,这亦是为各部门分配职能的合理设定。E安全认为这两大部门都可能要求扩大其授权范围,从而减少机构间的审查或者干预。然而,这一要求亦可能与前文所提到之NSPM-2的政策审查设置有所冲突。另外,这两个部门亦或可能要求更多资源以完成其所分配任务,而过多的资源需求将与行政层面优先事务列表发生冲突,特别是近期刚刚公布的美国联邦政府新员工雇用叫停及更为严格的支出控制举措。 

这项行政令随后列出了此项安全漏洞审查工作的联席主席人选。美国国防部长或美国国家情报总署主任位列其中也在我们的意料之中。包括美国国土安全部部长在内的各相关机构负责人应该不会担心特朗普就任后出现的,国防部将在网络安全领域一家独大的传闻。这一政策延续举措值得大家高度关注。

另一项因素同样值得一提。任何一位称职的首席信息安全官都很清楚,在着手深入了解安全漏洞之前,首先明确哪些资产需要保护才是最为重要的前提。单纯了解网络中的薄弱环节并不代表着我们有必要花费投入对其加以保护。在这方面,特朗普政府可能会充分利用奥巴马政府主管部门相关工作带来的启示,确定当前最为重要的关键性公共基础设施(包括来自第13636号行政令相关内容)以及民用政府网络(特别是由2016年美国国家网络活动规划中明确指定的‘高价值资产’)。

网络攻击对手审查

这项行政令随后要求由美国国家情报总署(简称DNI)主任向特朗普提交国家情报评估报告,其中包含美国在网络空间中所面临顶级对手的身份、能力、意图与脆弱性结论。当然,情报机构本身本身就有义务为特朗普政府准备此类资讯支持。鉴于美国主流声音认为目前俄罗斯已经出于政治性诉求而在网络空间内成为美国最为棘手的威胁根源之一,我们发现行政令中给出了一项有趣的结论,即要求审查工作不可单独由情报机构执行——而是同时涉及美国国家安全顾问弗林(Flynn)、美国国家安全与反恐委员会主席汤姆·博赛特外加美国国土安全部、美国国防部乃至美国国家情报总署。这意味着此类面向特朗普的提交结论将涵盖更为广泛的范畴,而不单纯由情报机构一家负责。

美国网络能力审查

行政令中的这部分内容用于指导对当前美国网络能力的评估工作。在这项评估之前,特朗普政府须首先完成对网络攻击对手及安全漏洞的审查工作,这将成为确定立足哪些领域加以改进并最终保护美国关键性基础设施网络的根本性依据。就E安全目前的理解,尚不清楚行政令中提到的“能力”到底是指什么,但我们认为这一“能力”应该是指用于防御攻击活动或者发起主动网络攻击的技术能力。行政令中的这部分内容能够在由特朗普签署生效之前,极有可能交由其它机构做进一步审查。

就目前的内容来看,这项审查只涉及美国国土安全部、国防部与国家安全局NSA(NSA本身就隶属于美国国防部的组成部分)。这意味着同样具备重要网络能力的其它重要机构——包括FBI与CIA——被排除在外(CIA甚至最近公布其正在努力扩大自身网络能力)。这份草案正式签署前亦可能会考虑到非国有实体在为政府提供助力方面所起到的积极作用,关于这一点,相信E安全的读者还记得FBI曾于2016年从以色列公司Cellebrite购买解决方案以解锁犯罪嫌疑人的iPhone设备。

此外,单纯专注于网络能力亦可能导致特朗普政府忽略来自网络领域之外,但同样有能力阻止或者应对恶意网络活动的重要工具。在理想情况下,此项行政令应对可用于保护网络的工具进行更为全面的审查,充分利用各类手段阻止及应对恶意对手,同时确保对这些非网络工具加以改进并将其更好地整合至网络政策当中。

最后,这项能力审查还排除了负责管理各类关键性基础设施的对应部门及具体机构。虽然美国国土安全部将广泛负责与私营部门合作以改善国家网络安全水平,但各类特定部门的下辖机构——例如美国财政部(面向金融行业)以及美国能源部(面向能源行业)——都具备着极为重要的监管手段,且足以有效提升关键性网络的安全性。虽然在这一领域为美国国土安全部提供关键性职能非常重要,但其它部门下辖的特定机构可能会在后期一起参与进来。

本项行政令中的这一能力审查规划还包含一条专门针对培训新型人才储备发展的章节,其中特别要求美国国土安全部与美国国防部审查美国教育部所设置的,关于网络安全、数学与计算机科学相关教育数据。这算的上是一项明智之举,特别是考虑到目前全球范围内信息技术安全从业者数量与行业乃至政府机构的需求数量之间正呈现出愈发严重的供不应求态势。然而,此项行政令仅单纯向美国国防部长提出了这一建议,要求其就“如何最好地调整美国教育体系以保持其未来竞争优势”提出建议。这似乎是一项奇怪的决定:尽管美国国防部拥有相当大的信息安全人员聘用比重,但美国政府各机构极有可能在将来把这一主题推广至更为庞大的利益相关者当中,从而确保相关建议能够对私营部门及政府机构产生更加广泛的积极影响。

私营部门基础设施激励措施

这一章节要求美国商务部长、美国财政部与美国国土安全部秘书以及特朗普经济事务助理联合提交报告,用以提供激励性措施以鼓励私营部门采取更为有效的网管安全实践方案。此项行政令要求美国商务部及各联席主席审查现有工作与报告,并就如何帮助关键性基础设施所有者及运营者采取更为理想的网络安全保障方案提出建议,从而改进信息共享机制并推动其投资于企业网络管理工具与举措。这是一项慎重的步骤,特别是考虑到美国政府要求企业购买网络安全保险及其它激励性措施往往以负面结果收场。然而我们不禁想到,如果单纯对私营部门的网络保护事务采取“利诱”方式,那么这种缺乏“威逼”的举措很可能令政府方面在谈判中陷入被动。也就是说,这样的作法实际上与美国国家安全与反恐委员会主席汤姆·博赛特就任后提出的网络原则应“反映自由市场智慧、私营企业竞争以及政府方面给予的重要但相对有限的作用”基本保持一致,但事实证明这样的理论并未被公众所广泛接纳。

最后

虽然这只是一项面向特朗普政府最初几个月内进行高优先级事务处理的行政命令,在目前的行政令草案当中,我们发现特朗普政府似乎认为培训新型人才储备以了解自身安全漏洞、外部威胁与网络能力是最主要的核心任务。但这项行政令草案中并没有提到FBI的相关职能,而且此行政令草案中也没有纳入其它更为广泛的刑事与司法性问题。在2016年的总统竞选辩论中,当时特朗普对情报机构认为俄罗斯政府针对DNC实施网络攻击的行为不予理睬,但是特朗普却呼吁抵制苹果公司—而在苹果与联邦检察官就苹果是否应该被迫帮助当局解锁嫌犯的加密iPhone展开辩论时,他却未抵制。终有一天,特朗普政府需要解决美国执法机构对于数据访问权这个重要问题,去年美国国内就已经爆发出关于加密技术后门的大规模争议。

最重要的就是这份行政令草案缺少美国如何就网络空间国际性合作建立行为规范方面采取之努力达成共识的相关内容,这一点如果在未来不能得到及时的补充势必会影响全球范围网络空间领域的深化合作进程。我国国家主席习近平就曾在第二次世界互联网大会中强调互联网是人类的共同家园,各国应该共同构建网络空间命运共同体,推动网络空间互联互通、共享共治,为开创人类发展更加美好的未来助力。E安全也将继续为大家关注美国在特朗普执政期间的网络安全的动向,为大家提供一个了解特朗普执政期间网络安全政策的窗口,为我国的网络空间安全发展提供部分参考对照。