美国务院网络安全协调专员称网安国际合作势在必行
美国国务院网络安全协调专员克里斯·潘特在2012 RSA大会上的演讲实录:
现在RSA的会议在中国的推出,这好比是一个数据包。此外我要感谢中国的同事,包括赵司长,我和赵司长进行了几次的对话。我特别要感谢在座各位的光临,因为我觉得在我的工作当中,我往往是应对政府层面的观众,但是我觉得一方面我们要有政府层面的观众,同时我们要有企业界的专家,不管是来自美国还是中国,所以今天我讨论的一个主题是合作,也就是说政府和企业要合作来应对信息安全的工作。昨天有嘉宾提到了一点,就是有一个挑战,有一个障碍,就是说我们缺乏理解,也缺乏对网络安全的理解,特别是在政府层面,以及在社会层面上,他也提到政府需要进一步增加认识,需要参与到这个问题的解决中,也需要让公众更多的认识到这个问题。在今天我想给大家介绍一下政府究竟在做一些什么?因为实际上在过去的几年中,政府所做的事情发生了很大的变化,所以政府实际上不仅是在技术层面上,政府在政策层面上也在关注这个问题,所以这个问题本身不是一个技术的问题,我们可以看到在过去二十多年中,我看到在过去这个问题是在座各位应该处理的问题,你们是网络专家,而政府说是警察等等机构来处理这个问题,在政府层面没有高层的认识,也没有认识到这个问题的重要性,在我们探讨这个问题的时候,我们应该注意到安全本身并不是结束,我们的目标并不是为了安全实现安全,而相反安全是一个促进剂,我觉得这个问题对我们通盘考虑整体问题也是很关键的,也就是安全必须是一个促进剂,也就是说经济创新以及经济增长,是这个技术和网络技术,以及计算网络推动的结果,所以安全必须要成为一个推动的力量,因此我们不应该是在安全和实现这些目标之间达成平衡。按我们来看一下政府究竟做了一些什么,以及政府是如何发挥更多的作用。
在高级的政策层面上如何发挥作用的时候,我们看到政府的方式带来很大的变化,政府在网络安全方面的措施,以及在国际上的应对,将会极大的影响这个问题是否会在这个动态的环境中,能够推动经济发展还是说不能够推动经济的发展,因此政府发挥的作用是非常关键的。在今天我想跟大家简单的谈几点。
首先,我想跟大家总结一下我要谈的内容,首先我想跟大家说,我对于威胁发展以及政府应对措施在过去二十年当中的变化的一点见解。第二点我想给大家介绍核心原则,政府在制定网络安全政策的时候必须记住的一些核心原则。当然这些不仅对于政府很关键,对企业来说也很关键,因为核心之一就是要有政府和企业之间进行对话来制定政策。第三点我想给大家介绍我们在这个空间面临的一些挑战,以及未来的一些挑战,我觉得我们已经取得了很多的进展,但是要做的事情还很多。
首先我给大家介绍一下威胁,以及应对威胁措施的变化。看一下我的个人背景,我在工作之初,至少是网络之初是网络官,是一个执法官员,那是在90年代。当时我处理的是一些很关键的美国的计算机案件,包括一些攻击者,然后我进入美国的国务院,主要是解决国际跨国网络犯罪的事情,上一届奥巴马总统上任后,我进入了白宫,主要是负责我们整体的国家的网络安全政策,现在我在国务院为克林顿国务卿工作,我的职位是一个新的职位,也就是要看全球各国的网络政策,以及这个问题目前的发展态势,以及已经出现的一些关键性的问题。纵观我的职业生涯,这就好比是一个革命,大家听到昨天的会议,以及今天的会议上谈论了很多网络安全的问题,今天早上的发言人也已经提到了,实际上网络的威胁已经更加的复杂,更加的先进,我自己前沿目睹了这个变革的发生,最开始在90年代早期,我开始涉足这个领域,其中的一些威胁是比较单独的、孤立的。黑客也是这样,他们入侵的目的是为了获取信息,但是往往他们是为了满足自己的私欲,也就是说他们并不是为了赚钱,也不是想要破坏这个系统,他们为什么这么做?是因为他们觉得做上去很酷,再请大家想象一下,从社会的角度而言,不管是美国、中国还是全球各地,我们看一下我们是高度的依靠这些系统,比如说我们现在更多的依靠计算机和计算机网络系统,所以很多人认为这些犯罪分子并不值得很担心,即便他们造成的威胁是很巨大的,这是过去的模式了,但现在他们并不是孤立的,尽管仍然有一些孤立的黑客,而更多的是一些有组织的跨国团伙,他们是跨国的,他们是以追求经济为目的,我觉得他们的行为破坏了我们的应对措施,因为他们是很难战胜的。在过去,当然我们也提到了现有的一些病毒和恶性软件,大家知道在几年前的确也已经存在了病毒和蠕虫病毒,但是在那时候他们主要是在一些公众的网站上造成广大的损害,往往这些黑客会自吹自擂,但现在不一样了,现在入侵我们系统的人动机不一样了,他们有不可告人的动机,我们在美国说他们是在雷达上飞行的动机,是人们没有办法知道的,因为他们想要持续的获得敏感的信息,或者想要持续的赚钱,或者是其他的私有的信息,只有一个方法,不为人所知,在雷达上飞行,所以他们的动机已经发生了变化,在过去我们可以看到非常直接的方式,即便僵尸病毒也是非常的简单,显然会造成损害,但攻击的方式非常直接,但现在的情况不一样了,我们看到很复杂的僵尸病毒,很复杂的渠道,覆盖在全球各地,在今天早上我们听到有这种高级持续威胁简称APT,在过去我们看到更多孤立的损害发生,当然过去我们对系统的依赖性不像现在这么高,在过去主要是国内的攻击者,不像现在是国际的,损害是巨大的,但是可控制。现在的损失不一样了,现在的损害是破坏性的,灾难性的,特别是一个公司或者一个个人,或者是一个入侵者,他们获得了这个信息的入侵,那么这个可能会影响这个公司未来的发展,造成灾害性的影响。另外我们也担心的是关键性的基础设施,现在我们利用计算机来控制水坝、供水、能源,几乎我们所有能想到的都需要计算机,现在人们更多的担心入侵到这些系统,黑客攻击到这些系统将会给我们带来实际的巨大的损失和其他方面的附带性损失。我们看到威胁因素在不断的发展,从一些孤立的枪手,鼓励的黑客,转变成现在的个人和犯罪团伙,以及黑客族,以及恐怖主义借用电脑所进行的威胁,目前主要是局限在规划攻击,或者是散布恐怖主义言论,但是恐怖主义的威胁总是存在的,他们想要利用这些系统来进行攻击,甚至有一些国家也已经参与进来,我觉得也许我们应该在这里停一停,我们应该来看一下一些新兴的趋势,有很多人听说过或者经历了这些趋势,在这里我想给大家说一个例子,也就是我现实工作中的一些例子。
其中有一个例子,我觉得还是相当不错的,若干年前我参加RSA团队的时候,介绍过这个例子,有个美国黑客,在90年代之初他造成了很多的攻击,他入侵了十几个公司的网站,不管在美国还是世界各地,他是怎么做的?他借用了一个技巧,大家都知道叫做社会工程,实际上他通过这种技术进入公司的电脑系统中,也就是劝服这些公司和员工让他进入到这个系统,然后他借用这个工具来获得数据访问,他为什么这么做?就是想要窃取这些公司的专属性信息,比如说贸易秘密,一般情况下会包括,或者是现在蜂窝运作系统和电脑操作系统中,他会窃取这些信息,我们不清楚他要这些信息做什么,实际上他利用这些信息做一些事情前就被逮捕了,他被逮捕前他就说了这样一句话,他实际上不是想要赚钱,他只是想要获得这个信息,我不太确定他这个说法是不是正确的,但是他的做法还是给这些公司带来了损失,因为这些公司不知道这些信息被谁窃取了,也不知道这些信息会对公司造成什么影响。在90年代还有,可能这个损失是巨大的,但是同种类型的活动在今天是什么样?几乎每天都会出现几百次,也就是全面的对秘密的窃取,对知识产权和一些私密信息的窃取,世界各地的公司都面临着攻击的现象,我觉得这也是我们在谈论网络安全的时候面临的巨大的挑战,实际上这是掠夺未来,这是阻碍长期的发展,的确对美国、中国的公司而言,这都是我们要解决的实际问题。还有一个事例,我想给大家谈一谈,就是威胁是怎么样在僵尸病毒的攻击下发生的,2000年左右,大家可能还记得,每个人都担心所有的电脑系统会当机,在2000年的时候我们都出现了这种地震性经济的发展,对电脑和电力系统很担心,但什么都没有发生,当时人们很担心,人们担心的是一些犯罪会利用人们的这种担忧的情绪,特别是有几个人,在当时做了我们现在很熟悉的一个事情,那就是僵尸病毒闯入了不同的电子生物网站,在当时有一个人黑客,他建立了僵尸病毒,并不是用自己的工具,而是别人的工具,这样他就闯入了美国的一些商务网站,包括易趣等等,这是一个灾难性的事件,我们发现这个孩子只有14岁,其实他的技巧也不是那么高深,但是他造成了所有的这些灾难,即便他是一个人,我觉得很多人都纷纷地效仿他。我想几个发言人在分会上提到了,目前世界各地有大量的造成各种各样的问题,不仅仅是黑客的攻击,还有其他的问题,对这些僵尸网络的控制链现在也已经更加的发达,更难去攻退。另外还有一些僵尸病毒的障碍,能够阻碍僵尸病毒的发展,现在我们也看到,在过去的二十年当中,有一个IDS的网络安全,实际上这种网络矛盾,或者说网络战的概念有点白热化了,因为这不是每天都发生,我们实际上看到每天都会出现持续的入侵,但是不断怎么说这种网络战的确是造成了巨大的影响,这种事件是我们必须要应对的,发生的概率非常低,但是发生了要应对的,我们要建立这种非常关键的技术设施来交付网络的能力,现在我们不但要巩固这些技术设施,现在我们面临各种威胁,有一些威胁它类型跟以前不一样了,而且它跟互联网有这种互操作性,他可能看到现在全球有很多标准都是不具有互操作性的,互相不兼容,这些工具都是针对这些不兼容的网络标准,我们看到这种威胁数量越来越多,类型越来越新,我们是越来越多依赖安全技术来应对这些威胁,所以现在各国政府也在进行努力,美国政府根据我的努力,根据我们的经验我来讲一讲我们的做法,其实这个问题全球都存在,其实美国已经是觉醒了,大家可以看到新闻头条上,很多举行RSA这样的大会地政府部门一起来讨论如何去理解,如何去应对网络威胁,网络供给,在过去我自己也有这方面的经验了,在过去是这样的情况,企业的首席信息官、信息专家都会找企业的老总说服他们,这个安全问题是存在的,我们要采用什么样的技术,但是CEO们可能不理解某一项技术,他就觉得这个就是技术问题啊,我没有觉得这个风险有多大啊,而且这个问题马上就消失了,在过去CIO们要做事不是特别容易,现在在政府也是一样,你要在技术层面说服大家是很容易的,如果你往高层走呢?政府的高层人员就说你这个太技术了,我不知道你说的是什么,我也不知道你这个技术对我们产生什么样的影响,我要做多大的努力?现在情况发生了变化,高层都已经认识到了这个威胁是确实存在,而且是真的影响到了各国人民的生活,人民的工作,还影响到国家的经济发展的未来。所以我看到在过去几年这个转变特别明显,在美国当奥巴马总统当选的时候,他也是重新审核了美国政府的网络安全政策,通过这个审核他后来又发表了一个演讲,我觉得这也是世界上唯一的第一次一个国家元首就网络安全发表演说。他就说在网络上,我们面临的安全威胁非常多,其实他也是我们作为美国一个国家面临的国家安全的一个威胁,所以他认识到这个网络安全问题是非常重大的,他的重要性一下提升上去,其实不同的国家面临的威胁都是各不相同,但是在美国我们已经认识到了网络威胁是一个重大的威胁,后来美国政府就专门出台了网络安全政策,而且我们也是非常清楚的指出,我们制定的这个国家安全网络政策是一个基本的基础,我们在实施网络安全技术的时候不能实行开放性创新,并且要有利的支撑经济的发展,也就是说我们的网络安全政策,我们的目标就是开放互操作性,以及确保可靠的安全的网络技术设施,可靠性、开放、可操作性,这些不是要取舍的,而是这三点必须要同时实现的目标。最后我的老板克林顿国务卿她就说,网络安全问题啊,网络犯罪问题啊,对于她来说已经成为一个全新的外交政策的计划,外交政策当中的工作重点了,这是以前从来没有过的一个高度。我也去过很多国家,我了解到很多国家已经出台了本国的国家网络安全政策,我通过跟他们的讨论,了解到他们是如何去建立相关的能力,如何跟私营部门一起来合作,共同编制这种国家网络安全政策。政府人员已经认识到这一点非常重要,从业界的角度来说,你为什么要关注呢?你为什么在乎,政府已经行动起来,为什么政府已经行动已经觉醒了网络安全是一个挑战,并且已经开始行动了呢?我觉得最关键的原因,你必须要关注政府能参与到这个战斗当中,就是政府已经意识到了网络威胁是切实存在的挑战,而且如果政府政策出错的话,那么你就会用我们的谚语说,你就把这个金色的天鹅杀死了,你就错过了好的机会,而且你就会谋杀掉业界的创新,所以政府的政策是非常重要的。在座的各位都是直接参与到,直接能够影响到政策方向的人,我们在讲到网络安全政策必须要能够提倡开放性、互操作性,你不可以在这之间做出任何取舍,都必须要同时实现,而且各国政府在制定本国政策的时候还要认识到网络安全和互操作性这些问题都是全球性的问题,不能是本国单一一个国家存在的,所以我们应该是采取这种多利益相关方合作的机制,多边合作机制,我讲的就是政府和政府间的合作,政府和私营部门的合作,以及跟民间社会的合作,还有公民的参与。其实技术是由业界由私营部门开发出来的,所以跟私营部门,跟业界的合作是非常重要,能够帮助我们解决这些重要的挑战。我也想简单的讲一讲最近发生的情况,最近业界发布了一个新的论文,欧洲、美国、亚洲发布了一个新的文件,那就是各个国家政府在制定网络安全政策方面有那些最佳实践经验,这是今年6月份发布的一个文件,我也想讲一下这个论文所提出的几点建议和结论供大家参考。
第一点是当各国政府在实施网络安全政策时候,必须要做到透明化,而且征求私营部门业务部门的建议,为什么透明很重要呢?通过实现透明你就能集思广益,政府不可能找到所有问题的解决办法,而通过建立一个透明的流程,能够从业界获得最好的资料,最好的数据,来制定好的政策。通过合作,通过跟私营部门合作,你就能找到你自己可能想不到的好的解决办法。
第二个原则就是要鼓励建立全球认可的网络安全标准,而且这个网络安全标准是支持各种安全技术的,一方面我们可以有自己本国的本地的标准,这种本地化的标准短期内是可行的,但是它可能会影响全球各个安全系统之间的互操作性,它可能会影响未来解决方案长期的实施,所以互操作性很重要。
第三个原则就是我们在采购技术的时候,我们不应该管这个技术的来源国是哪一个国家,而且我们应该采用标准化的认证和测试的体制来开展认证和测试工作。也就是说我们应该运用全球目前市面上最好的最优的解决方案来实施我们的国家网络安全政策。
最后呢,我们在设计网络安全政策的时候,就应该去避免有一些条款,就是说会影响知识产权啊,或者是企业的专有的技术啊,或者是影响企业的竞争力啊,我们还是应该创造一个公平的竞争环境,所以我们一方面要确保安全性,同时也是要鼓励业界的创新。
好,这就是业界提出的一些意见。我觉得在美国,我们认为这些原则都是非常有道理的,还有一些事情是政府需要做的,而且政府能够发挥得作用是非常独特的,那就是政府应该建立起相关的体制、制度来解决网络安全问题,网络威胁,而且必须要建立起这种应急的能力,也就是要制定应急计划,发生网络威胁、攻击的时候如何去应对。所有这些做法都是政府可以跟业界一起来合作开展的。各国政府之间也是应该互相合作,相互合作来共同抵制、打击网络犯罪。我觉得打击网络犯罪方面,国家之间的合作可以做的事情很多,全球网络犯罪事件越来越多,造成的损失也越来越大,各国政府之间的合作是越来越重要了,必须要采取通过国际的方式来打击这种网络犯罪,同时我们不断要提升用户普通公民的网络安全意识,而且更重要的是政府官员自己的网络安全一是要不断的提升,这样才能推进良好安全政策的实施,这样才能把各个不同的利益相关方聚合在一起,大家共同努力。政府之间呢,可以做很多事情,当然政府应该跟私营部门合作,政府之间应该建立相互信任的关系,在网络安全方面加强合作,而且我们如何通过合作来减少网络冲突,网络战争的发生呢?如果你觉得我们能达成一个条约,签署一个条约其实那是不现实的,因为各国必须要结合自己的情况去做认证。我们能做什么呢?我们能够建立起信息。各国之间可以建立起相互信任的关系,建立起这种透明的关系,在联合国有15个国家代表组成的专家组,包括美国的代表、中国的代表来共同讨论网络安全问题,我觉得在这个层面可以做三件事,第一就是透明度,如何在各国政府之间建立起更加透明的,更加相互信任的关系,加深彼此的理解,这就可以交流信息,交流情报,如何去应对这个网络攻击啊,交流一下各国政府所制定的战略和政策。第二政府之间可以去交换交流一些执法的信息,还有第三方获取的网络威胁的情报啊,比如说在某一个国家发现有僵尸网络的攻击,那么这个情报就可以在各国之间进行共享。第三我们要取得进展,有一些国家就会决定,大家就可以通过讨论,各国就可以确定有哪些通用的规则和原则必须要遵守的。
最后我想讲一讲美中合作是多么重要,美中两国之间就网络安全问题一直在讨论如何合作,美中两国政府之间有战略经济合作对话机制,还有中美两国之间有经济界、商贸界、高科技界之间的对话机制,而且我觉得我们应该进一步加深这种双边的对话交流机制,这样才能加强两国的合作,我认为中国和美国包括两国的业界是应该同舟共济的,在保护知识产权方面大家的利益是一致的,所以我们必须要共同努力,来共同应对威胁,抵制攻击。我觉得中美两国之间一起合作来抵御打击网络犯罪,而且中美两国应该互相合作来制定有互操作性的标准来共同打击网络犯罪。最后我认为中国和美国有共同的利益,我们应该实现更高的透明度,加强合作,加强对本次的信任。而且我觉得有很多事情可以做,挑战有很多,但是我很有信心,我觉得我们可以通过对话,通过合作来共同应对网络空间存在的各种挑战,现在网络空间各种的风险,还有威胁还是一个新生事物,我们还可以做很多事。
我想引用克林顿国务卿在访华的时候讲的,在网络安全问题上,中美两国必须要建立起可持续的有意义的对话机制,共同努力,加深共同理解,然后共同打造在网络安全方面的共同的标准。网络安全对于每个人都是非常重要的,我非常期待着进一步加深与中方各位同仁的对话和交流,在过去这两天大家都在讲,确实网络安全已经成了一个至关重要的问题。我知道我是最后一位主题演讲嘉宾了,我想讲一个笑话来结束我的演讲。我要讲的一个笑话是一个黑客,这个黑客他在海滩上,在沙滩上走,他看到了一个灯,摸了两下一个精灵就出现了,大家都知道了,精灵就给这个黑客说,我可以许你三个愿,既然许愿就是有条件的,也就是说你是一个黑客,如果你许一愿其他黑客就可以获得两倍的意愿,精灵就问他你第一个愿望是什么?他第一个愿望就是我想获得一百万个盗取的信用卡的卡号,另外的黑客他们就获得了200万张盗窃的信用卡卡号,所以他特别嫉妒,他自己只拿到一百万张,其他的黑客就拿到两百万张。精灵就问他第二个愿望是什么,他说我想要一台超级计算机,精灵实现了他的这个愿望,他拿到了一个超级计算机,其他的超级黑客就拿到了两夺超级计算及,精灵就说你最后一个愿望是什么?他说我想捐出一个肾,当然精灵的条件就是如果你捐出一个肾,那其他的黑客就捐出两个肾,人一旦捐出两个肾他就死掉了,我讲这个笑话的意思就是我们的技术越来越先进,但同时黑客他们也是越来越聪明,越来越狡猾,他们的技术也在发展,所以我们政府需要跟业界合作,需要跟其他的利益相关方合作,所以只有采用有智慧的政策,我们才能够让网络空间更加安全。
