ENGLISH 4006-WOSIGN
首页>安全资讯>解读“奥巴马时代”10大网络安全成就

解读“奥巴马时代”10大网络安全成就

在过去的七年半时间里,奥巴马政府在网络安全领域下达了哪些行政命令,做出了哪些重大举措和改革?一起来看一看奥巴马时期的网络安全成就。

美国总统Barack Obama

今年2月9日,美国总统Barack Obama推出《网络安全国家行动计划》( CNAP),并将其称为“奥巴马政府”历经 7年的思想结晶。计划从加强网络基础设施建设、加强专业人才队伍建设、加强与企业的合作、加强民众网络安全意识宣传以及寻求长期解决方案5个方面入手,全面提高美国在数字空间的安全。

在奥巴马执政的七年半的时间里,已经相继推出了大量的政策和计划来构建网络安全空间,旨在增强政府对网络安全的防御实力以及保护公民个人信息的能力等。

Tom Kellermann,网络安全战略&国际问题研究委员会成员,为奥巴马政府提供网络安全服务,该委员会创立的初衷是为第44任总统构建和维护一个全面的网络安全策略。

 

Kellermann说:

“事情变得更糟了吗?是的。如果作为个人或公司,在网络安全方面需要奥巴马政府的帮助,你会觉得舒服吗?不!通过调查昨晚发生了什么, FBI能否阻止正在或将要发生在你身上的事吗?不能! ”

如果警方来调查物理犯罪,不仅会调查到罪犯,还可以防止这一罪行再次发生,但是,Kellermann指出,这种情况在网络空间内是不会发生的。

在接下来的文章中,我们将总结奥巴马任职期间对网络安全领域作出的突出贡献。你是如何看待奥巴马总统的这些网络安全成就的呢?

 

1. 为期60天的政府网络安全状况的全面评估工作准备就绪

2009 年2 月,奥巴马总统指示美国国家安全委员会 (NSC) 和国土安全委员会 ,针对美国的网络安全现状展开为期60天的审查工作,“自上而下”地检查联邦政府部门保护机密信息和数据的措施 ,提出有效手段来确保这些系统能够为国家的网络安全和繁荣提供保障。 四个月后,白宫发表一份报告,题为《网络空间政策评估:确保拥有可靠的和有韧性的信息与通信基础设施》。

2009年5月29 日,奥巴马在演讲中宣布计划制定一项新的、全面的国家网络安全战略,并在两党战略委员会的建议下,宣布任命了一位政府网络安全协调员,他将直接向总统报告,将网络安全问题提升为美国政府管理工作的重中之重

此外,战略中还呼吁着力推广大型的网络安全教育活动,为个人和企业建立更迅速的网络安全事件响应能力 ,提升网络安全性能指标。

奥巴马指出:网络诈骗者,心怀不满的内部员工,千里之外的黑客 ,犯罪组织,工业间谍,外国情报机构越来越多,网络问题成为影响国家经济和安全的致命因素。2008年,网络罪犯偷窃的世界各地的企业知识产权价值就高达1万亿美元 。

奥巴马表示: “简而言之,21 世纪美国的经济繁荣将取决于网络安全。”

 

2. 白宫任命Howard Schmidt为网络安全协调员

2009年12月,奥巴马总统任命Howard Schmidt为首位网络安全协调员 ,他在公共和私营部门的安全管理领域都有着丰富的经验,是网络安全界杰出的领袖。

Schmidt曾在乔治·布什(George W. Bush)时期担任关键基础设施保护委员会副主席和网络空间安全的特别顾问,而在此之前,他还曾在eBay和微软任安全主管。

作为维护国家网络安全的关键成员,Schmidt的主要职责包括:为各组织加强计算机安全防护,开发新技术,开展网络安全意识教育活动。

2011年,Schmidt牵头制定了旨在改善网络空间身份认证的国家战略,通过公私合作的方式有效解决了在线欺诈和身份信息窃取等问题。两年半后,Schmidt 宣布将在2012 年5月底退休,把更多的时间用来陪伴家人和进行网络安全教学。

Schmidt退休后,来自国家安全部门管理办公室和情报处的Michael Daniel继任了Schmidt的职位。

 

3. 2010扩大网络政策审查年

基于网络政策审查中提出的建议,美国政府提出了网络安全教育计划,旨在增强公众的安全意识。2010 年3 月,政府公布了国家网络安全教育计划(NICE) , 这个计划经过不断的完善和推出,形成了一个完整的体系,涉及到公众、在校学生,网络空间专业人员三大群体的教育。

根据白宫的阐释,NICE计划主要包含4个方面:美国国土安全部,国家网络安全联盟和其他联邦机构领导的全国公共意识活动,正式的网络安全教育,联邦劳动力的发展以及国家劳动力培训。

在此期间,加强网络安全成为了政府绩效管理议程的核心组成部分。联邦首席绩效官的目标就是提升政府业务,其中包括:实现实时监测以及将网络安全集成进系统设计中。

2010年4月21 日,NSS和OMB 发布了联邦信息安全管理法案 (FISMA) ,该法案将焦点从部门和机构的静态化发展和纸质合规报告,转化为针对联邦机构网络的连续、实时的监测。基于这种实时监测,建立基于风险的性能指标体系,这些指标被纳入高级官员绩效计划,旨在帮助机构更快地识别漏洞,积极地部署防御,阻止攻击行为。

 

4. 防范内部威胁计划

2011年10 月,为应对21世纪早期发生的一系列大规模的数据泄露事件,例如布拉德利•曼宁(Bradley Manning) 主导的外交电报泄露事件。奥巴马总统签署了第 13587号行政命令:《加强信息共享和保护计算机网络中的机密信息的结构性改革》 。

第13587号行政命令建立了几个新的跨机构协调机构,以提高机密网络的安全性,其中包括高级信息共享和安全保障指导委员会、内部威胁特别工作组、以及保护美国国家安全局和国防部系统的执行机构。 条例指出,负责操作或访问机分类计算机网络的联邦机构 负责人,有责任适当地共享和保护计算机网络上 的机密信息。 作为职责的一部分,他们需要:

指定一名高级官员负责监督分类信息的共享和维护工作;

根据内部威胁工作组制定的标准和指示,实现内部威胁检测和防御计划。

遵循行政命令和其他政策标准等进行自我评价,并将结果报告给高级信息共享和安全保障指导委员会。

提供符合规定的信息和访问服务,保证执行代理能够在计算机网络中独立评估和维护分类信息。

 

5. 提高关键基础设施的网络安全

关键基础设施系统间的相互依赖,尤其是信息和通信技术间的依赖加深了网络威胁,多种新型漏洞不断涌现,其中包括物理和网络威胁等。

为应对这一现状,2013年2月12 日,奥巴马总统签署第13636 号行政命令 : 《增强关键基础设施网络安全》,明确指出该政策作用为提升国家关键基础设施并维护环境安全与恢复能力。

该行政命令主要聚焦三个关键领域:(1) 信息共享;(2)隐私 ;(3) 采用网络安全措施 ;

关键基础设施是指对美国至关重要的,物理的抑或虚拟的系统和资产,一旦遭到损坏将会对国家的政治、经济、公共卫生和安全或是这些事项的任意组合带来严重的影响。 条例鼓励国家标准和技术研究院(NIST)与私营部门合作,识别现有的自愿共识性标准和业界最佳实践,并将其融入到网络安全框架中去。

奥巴马政府承认,一些私营部门网络领导人已经在实施强大的网络安全控制,政策 ,程序和创新技术,并要求这些公司协助政府塑造跨关键基础设施的最佳实践 。总统还要求国土安全部建立一个自愿项目,以推动框架实施 。

 

6. 政府推动信息共享以强化响应速度

快速的信息共享是有效网络安全的重要组成部分,它能帮助美国企业共同应对威胁,而不是孤军奋战。为推进这一进程,2015年2月12 日,奥巴马总统签署一项行政命令,鼓励和促进私营部门与政府之间分享网络威胁情报。 条例制定了一个框架,旨在扩大信息共享,帮助公司协作共赢 ,此外,还可以通过与联邦政府合作,力求 快速识别和防范网络威胁。 条例鼓励成立信息分享和分析组织(ISAOs),以作为政府和私营企业共享信息的联系点,协调私营部门和政府之间的网络安全信息共享、合作和发展。

 

7. 制裁网络攻击者

2015年4月1日,奥巴马总统发表了两年之内的第三个网络安全行政命令,以制裁和 威慑那些以美国关键基础设施为目标的网络攻击者。

奥巴马引用《国际紧急经济权力法》(International Emergency Economic Powers Act),允许 联邦政府对列入黑名单的重大恶意网络活动背后的 国外个人或机构实施制裁。

条例是美国对困扰国家企业、组织和个人的网络攻击者的有利反攻武器。它授权财政部部长、司法部长和国务卿,提起制裁、打击网络犯罪、网络间谍和其他破坏性网络攻击背后的实体。

总统称:

“这是我第一次授权对在网络空间实施攻击行为,造成国家安全、外交政策、经济健康或金融稳定等受到重大威胁的个人或实体实施制裁。我们主要 聚焦来自海外的网络威胁。在许多情况下,外交和法律执法工具仍将 是我们最有效的反击武器。但 是,明智地运用有针对性的制裁,将赋予我们一个全新的、 有力 的方式来应对最最糟糕的情况。”

此项条例实施后,美国政府将有权冻结任何破坏美国关键基础设施的攻击者资产,或从美国企业窃取商业机密、个人信息获取的利润。 这项条例无疑是深受欢迎的,但是问题是,联邦调查局如何能够正确识别攻击者。

此外,条例还授权对任何协助及教唆与恶意网络活动相关的人实施制裁,恶意网络活动相关群体包括通过“财政、物质或技术支持或商品和服务支持的人群 “。银行或金融服务机构、技术提供商或任何其他供应商,只要被发现向攻击者提供支持的都可能会受到牵连。

 

8. 设置最后期限,推动美联邦网站设置HTTPS加密

随着使用互联网加密成为一种新常态,2015年6 月9 日,美国白宫制定了一项新政策,要求2016年底,所有联邦机构面向公众的网站必须使用加密的HTTPS (安全超文本传输协议) 。

当时,只有31%的联邦机构使用HTTPS协议,包括:白宫网站(whitehouse.gov) ,cia.gov,nsa.gov 和 omb.gov等,而dhs.gov 和 fbi.gov 等机构网站却未启用HTTPS。而目前,已经有52%的联邦网站支持HTTPS加密, dhs.gov 和 fbi.gov 等安全机构已经使用HTTPS。

未加密的HTTP链接可能存在漏洞,造成联邦网站和服务器上的潜在用户 的敏感信息泄露。这些数据包括浏览器标识、网站内容、搜索词 和其他用户提交的信息等。为了解决这些问题,许多商业组织已经采用了https协议来保护其网站和服务器中的用户安全。

2015年3月,奥巴马首次以草案的形式发布仅使用HTTPS的建议 ,并将2016 年12月31日,作为网站使用HTTPS加密通信的最后期限。为协助转换HTTPS, 用户可以通过https://https.cio.gov网站获取来自世界各地的技术专家提供的技术援助和最佳方案。

联邦首席信息官Tony Scott在博客中写道:“HTTPS只保证两个系统之间的连接的完整性,而不是系统本身。它不是被设计来保护web服务器免受攻击或破坏的,也不能防止web服务在正常运行的情况下公开用户信息 。然而HTTPS-only标准将消除不一致,能够判断出哪些内容或浏览活动在本质上是敏感的,为政府创建了一个更强的隐私标准。

 

9. 中美达成共识,不通过网络间谍行为获取经济利益

2015年9月17日,中国国家主席习近平和美国总统奥巴马就网络安全问题达成共识,无论中美都不会通过国家网络间谍活动谋取经济利益。

长期以来,中国都在针对美国的网络间谍组织的问题上“躺枪”,但是,中国始终强烈否认此类间谍活动源自中国。在一次新闻发布会上,奥巴马称已与中国达成初步“共识”,他表示,接下来的问题就是言行一致,付诸实际的过程了。

美国同样坚持否认通过网络间谍活动为美国企业谋取经济利益,此次习近平主席和奥巴马总统就制裁入侵本国企业和组织,窃取资产和知识产权的国外攻击者方面达成共识,共同惩治网络犯罪。

FireEye Mandiant公司的创始人兼总裁Kevin Mandia认为,奥巴马总统和习近平主席间达成的这一历史性协议将预示着网络安全进入了一个新篇章。

Mandia表示,中美达成的“无网络间谍”协议可能会有三种结局:最坏的一种是,中国仅口头承诺,但是继续盗取美国的IP;中国缩减此类黑客行为;中国限制此类活动。他认为,这将推动中美两个大国在全球经济的背景下合力打击全球网络犯罪行为。

 

10. 总统呼吁将网络安全支出增加到2017年的190亿美元

2016年2月9日,奥巴马总统将总额高达4.1万亿美元的2017财年政府预算提交国会 ,呼吁将网络安全支出增加到2017年的190亿美元,较2016财年增长35% 。

奥巴马指出,必须付诸更多的努力来提高网络安全能力,让公民拥有自己需要的工具来保护自己,公司有能力捍卫自身网络和信息安全,政府也有实力保护美国公民委托的个人信息。

这也是美国总统指示政府实施《网络安全国家行动计划》(CNAP)的原因所在。《网络安全国家行动计划》是美国政府七年来的经验总结,吸纳了来自网络安全趋势、威胁、入侵等方面的教训。通过短期和长期战略提高网络安全意识,加强保护,确保公共安全,支持经济和国家安全。

 CNAP的一些要点包括:

● 建立“国家网络安全促进委员会”(Commission on Enhancing National Cybersecurity)——由顶尖的企业与技术专家组成,部分人员由国会任命,共同谱写出一份为期十年、涵盖公私两方面的网络安全技术、政策发展蓝图 ,以推广各类最佳实践。这项计划将包含:强化网络安全意识,保护隐私、公共安全,维护经济、国家安全并保证美国拥有更强大的数字安全控制能力,促进联邦、州和本地政府以及企业间的合作。

● 专门分配31亿美元的信息技术现代化基金,用于升级已过时或难维护的政府IT和网络安全管理基础设施。同时设立联邦首席信息安全官(the Federal Chief Information Security Officer),监督政府部门实施这些工作。其具体职责包括开发、管理并协调整个联邦政府体系内的网络安全政策,以及操作的执行。

● 加强在线账户的保护,除密码外,辅以指纹、短信发送一次性密码等更多安全措施。通过“国家网络安全联盟”(the National Cyber Security Alliance)发起新的国家网络安全宣传行动(National Cybersecurity Awareness Campaign),专注多重认证,以提升、培育信息消费者的网络安全意识。

“国家网络安全联盟”为非营利性组织,其成员包括美国国土安全部(DHS)以及赛门铁克、思科、微软、SAIC与EMC等私营企业。其呼吁并鼓励使用多重验证机制,同时实施一套尚未最终定名的“有效身份认证”方案。合作者包括Google、Facebook、DropBox、Microsoft等顶尖技术公司,以及MasterCard、Visa、PayPal和Venmo等交易服务公司。

● 2017财年预算中,网络安全总体支出达190亿美元,较2016财年增长35%。

美国的网络霸主地位是无可否认的,尽管已经与中国达成了“网络安全共识”,但是可以预测的是,美国绝不会轻易放弃网络空间的“霸权”统治,通过总结奥巴马总统任职期间的网络安全成就,不仅对美国未来执政人提供参考和学习的依据,同时对我们国家也有很强的借鉴作用,通过“师夷长技”不断提升自身网络安全整体实力,共建安全、融合、共享的网络安全空间。

文章来源:freebuf

 

相关资讯:

美国政府网站将强制实现全站HTTPS加密,值得我国政府借鉴

美国白宫6月8日下午发布的官方文件:HTTPS-Everywhere for Government (政府网站必须全站https),此举是为了保证政府网站上各种信息的安全和保护用户的隐私,保证政府网站...

美国推HTTPS-Only标准 政府网站须全站HTTPS加密

美国人民希望政府网站是安全的,并且他们在这些网站的访问是作为隐私被保护的。HTTPS协议用当今的因特网技术为公共网络连接提供了最强的隐私保护。HTTPS的使用降低了...

美国超29家政府机构网站没有HTTPS加密

根据外媒报道称,日前,美国公民自由联盟发表公开信,表示包括美国国土安全局、农业部、财政部等共计超过29个美国政府机构的网站没有启用HTTPS加密。这将导致美国公民...

美国政府收集用户数据,微软提议先告知用户

自从棱镜门之后,美国政府通过各大科技巨头收集用户数据已经并不是什么秘密。而日前,微软向美国政府提出了一项法律提议,当政府人员索要用户信息时,应当先...

1.91亿美国选民个人信息网上泄露

TNW News今日报道,网络安全研究人员发现一个美国选民数据库,其中可能包含所有登记注册选民的姓名、地址、出生日期、电话号码、投票ID及投票意向。