S时评：奥巴马时代的网络安全

今年2 月 9 日，总统奧巴馬公布了网络安全国家行动计划 (CNAP)，作为其政府七年的坚定努力的顶点，该计划来自美从网络安全趋势、 威胁和入侵等方面的经验教训。

计划指示联邦政府采取新的行动和准备改善各地政府、 私营部门和人们所需的网络安全条件。

七年多来，来自奧巴馬办公室发起了许多倡议和行政命令，强化政府对网络攻击的防御，以及对其公民的个人信息的保护。

网络安全战略 & 国际研究委员会成员Tom Kellermann，负责创建和维护的全面网络安全策略，并为第 44 任总统提供相关意见。

Kellermann说，事情变得更糟了吗?是的。如果个人或公司需要网络安全方面的帮助会考虑到“呼叫”奥巴马政府吗?没有!FBI会来调查昨晚发生了什么?他们能阻止什么吗?不会!

如果警方来调查物理犯罪，不仅会调查到罪犯，还可以防止这一罪行再次发生，而在网络空间内，不可能!~!

当然，MalwareBenchmark的Pr0.s在前面的文章也谈过：网络犯罪在美国的法律执法检控率低于 2%!!!!!!

那么奥巴马在任职期间网络安全领域有哪些成就呢?DarkReading的Rutrell Yasin，以及MalwareBenchmark 的 Pr0.s，给出了如下的总结。

0X01 审查的政府信息安全状态，准备就绪

2009 年 2 月，总统奧巴馬指示国家安全委员会 (NSC) 和国土安全委员会，“自顶而下”检讨联邦政府捍卫国家的信息和通信基础设施的方案，提出更为合理的方法，以确保这些系统能够为国家的网络安全和繁荣提供保障。

四个月后，白宫公布了网络空间政策评论︰保证受信任和有弹性的信息和通信基础设施。

2009年5 月 29 日，奧巴馬在演讲中宣布计划制定一项新的、 全面的国家网络安全战略，从私人专家得到帮助和投资，用于尖端网络安全研究。

奧巴馬还宣布任命政府网络安全协调员，他将直接向总统报告，提升美国政府对网络安全关注。

他还呼吁发起的大型网络安全教育运动，建立网络安全事件响应，网络安全性能指标。

奧巴馬指出，网络窃贼、心怀不满的员工、孤独的黑客、有组织犯罪、工业间谍、外国情报机构越来越多，2008 年网络罪犯偷窃了价值达 $ 1 兆世界各地的企业的知识产权。在 21 世纪美国的经济繁荣将取决于网络安全。

0X02 白宫任命网络安全协调员Howard Schmidt

总统奧巴馬任命的第一个网络安全协调员是Howard Schmidt。他在公共和私营部门的安全管理行业都有着丰富的经验。

Schmidt曾经 George W. Bush时代，任关键基础设施保护网络空间安全的特别顾问，也曾在 eBay 和微软任安全主管。

他的职责包括加强计算机安全，针对各种机构，开发新技术，用于提高网络安全意识。

2011 年，Schmidt通过改进在线身份验证，有效解决了在线欺诈和身份信息窃取等问题，并建立了公私合作建立国家战略。2012 年 5 月，他宣布花更多时间与他的家人在一起，年底退休了。

来自国家的安全部门管理办公室和情报处的Michael Daniel取代了施密特。

0X03 2010扩大网络政策审查年

2010 年 3 月，政府公布了网络安全教育 (NICE) 国家倡议，加强招聘、 培训和保留网络安全的专业人才，提高公众的认识，并加强学校的网络安全教育。

NICE四个轨道的工作包括︰美国国土安全部、国家网络安全联盟和其他联邦机构的全国公共意识运动、正式的网络安全教育、 联邦劳动力的发展和国家劳动力培训。

在此期间，加强网络安全成为了政府的绩效管理议程的核心组成部分。提升政府业务，其中包括：将实时监测网络安全纳入系统设计。

2010 年 4 月 21 日，NSS 和 OMB 发布联邦信息安全管理法案 (FISMA) ，将部门和机构静态的基于纸张的遵从性报告，发展为连续性、 实时监测的联邦机构网络。基于这种实时监测，建立基于风险的性能指标体系，这些指标被纳入高级公务员绩效计划，帮助机构更快地识别漏洞和积极保护、免受攻击。

0X04 防范内幕威胁计划

2011 年 10 月，为响应大规模的数据泄露。主席奧巴馬签署行政命令 13587，"结构性改革来改善网络分类，负责共享的安全和机密信息的保护"。

行政命令设立的高级信息共享和维护委员会制定和实施的政府各项政策和最低标准。它还创建国家内幕威胁任务力阻吓、 检测和减轻内部威胁的政府全程序的开发。

条例指出，联邦机构操作或访问机密的计算机网络负责人有责任适当地共享和保护计算机网络上机密的信息，并指定一名高级官员负责监督分类的信息共享和工程维护，实施内幕交易威胁检测指导预防程序。

0X05 提高关键基础设施的网络安全

国家关键基础设施，日益增长的相互依赖性，跨基础设施系统，特别是依赖信息和通信技术，不断产生新的物理和网络漏洞。

2013 年 2 月 12 日，主席奧巴馬签署行政命令 13636，"改进关键基础设施安全"。

行政命令通过三个重点关键领域: (1) 信息共享 (2)隐私 和 (3) 采用网络安全措施，增加国家的关键基础设施网络风险管理的核心能力。

关键基础设施是指对美国至关重要的物理或虚拟的系统和资产，一旦丧失工作能力或毁坏，他们会对国家政治、经济、公共卫生等这些事项的任何组合产生严重利影响。

条例指出，国立标准和技术研究院 (NIST) 与私营部门合作，确定现有自愿共识性标准和业界最佳做法，并将其融入网络安全框架。

一个初步的框架通过发布行政命令实施 (由 2013 年 10 月 10 日) ，而240 天内最终框架 (由 2014 年 2 月 12 日)也通过行政命令发布。

奧巴馬政府承认一些私营部门网络领导人已经在实施强大的网络安全控制、 政策、 程序和创新，并要求这些公司，帮助政府塑造跨关键基础设施的最佳做法。

总统还指示国土安全部建立方案，推动框架实施，关注系统的过程识别、优先次序、处理、管理，以及通信网络安全风险的关键部分。

0X06 为快速反应政府推行扩大信息共享

快速的信息共享是有效的网络安全的重要组成部分，它能使独自工作共同应对威胁。2015 年 2 月 12 日，奧巴馬签署一项行政命令，以鼓励和促进私营部门和政府之间分享网络安全威胁信息。

条例奠定了扩大的信息共享框架，旨在帮助公司携手合作，并与联邦政府合作，以快速识别和防范网络威胁。

它鼓励信息共享和分析组织 (ISAOs) 作为协调中心，协调私营部门和政府之间的网络安全信息共享、合作和发展。

0X07 对攻击者施压

2015 年 4 月 1 日，总统奧巴馬发表两年之内的第三个网络安全行政命令，以制裁来威慑那些以美国关键基础设施为目标的行为者。

奧巴馬引用国际紧急经济权力法(International Emergency Economic Powers Act)，允许对列入黑名单的重大恶意网络活动背后的外国个人或机构，实施反击。

条例是网络空间的另一种武器，美国要反击哪些攻击美国的企业、组织和个人。它授权财政部部长(Secretary of Treasury)、律政司和国务卿，提起制裁、打击网络犯罪、网络间谍和其他破坏性网络攻击背后的实体。

总统称，第一次授权，对因在网络空间中的行为导致国家安全、 外交政策、 经济健康或美国的金融稳定受到重大威胁的个人或实体实施制裁。我们主要的重点将是来自海外的网络威胁。在许多情况下，外交和法律执法工具仍将我们最有效的反应。但有针对性的制裁，明智地使用，使用将会给我们一个新的、 强大的方法，应对最坏最坏的情况。

据此，美国有权冻破坏美国关键的基础设施攻击者的资产，或从美国企业窃取商业机密、个人信息获取的利润。但问题仍是，联邦调查局如何能够正确识别攻击者。

条例还授权对任何协助及教唆与恶意网络活动相关的人实施制裁，这类群体包括通过"财政、 物质或技术支持或商品和服务支持的"。银行或金融服务机构、 技术提供商或任何其他供应商被发现向攻击者提供的支持可能会受到牵连。

(在中国，这种企业太多了，只能呵呵了!~)

0X08 美联邦网站设置HTTPS

2015 年 6 月 9 日，美国白宫制定新的政策，要求2016年底，所有联邦机构面向公众的网站使用加密的 HTTPS (超文本传输协议安全) 。

当时，只有 31%的联邦机构使用HTTPS，包括：白宫网站，cia.gov，nsa.gov 和 omb.gov等，而dhs.gov 和 fbi.gov 等机构网站却未启用 HTTPS。

而目前，已经有52%的联邦网站支持 HTTPS 加密， dhs.gov 和 fbi.gov 等安全机构已经使用 HTTPS。

未加密的 HTTP ，有可能造成未加密的联邦网站和服务的潜在的敏感信息泄露。这些数据可以包括浏览器标识、 网站内容、 搜索条件和其他用户提交的信息。

奥巴马在 2015 年 3 月，以草案的形式第一次发布建议仅使用 HTTPS的政策，并将2016 年 12 月 31 日，作为网站采用加密通信的最后期限。来自世界各地的技术专家可以通过https://https.cio.gov为协助转换HTTPS，提供技术援助和最佳方案。

0X09 中美达成网络安全共识 共同打击网络犯罪

2015 年 9 月 ，具有历史意义的举动，中国国家主席习近平和美国总统奧巴馬就共同打击网络犯罪等执法安全领域的突出问题达成重要共识。包括，但不仅限于以下一些内容：

1、中美双方承诺，用以在商业领域加强信息通信技术网络安全(信息通信技术网络安全法规)的一般适用措施，应符合世贸组织协定，仅用于小范围，考虑国际规范，非歧视，且不对商业机构在相关产品的购买、销售或使用方面不必要地设置基于国别的条件或限制。

2、中美双方承诺，其各自关于外资的国家安全审查(在美方指美国外国投资委员会的审查程序)的范围限于属于国家安全关切的问题，不通过纳入其他更宽泛的公共利益或经济问题将审查范围泛化。

3、中美双方同意，就恶意网络活动提供信息及协助的请求要及时给予回应。

4、中美双方同意，各自国家政府均不得从事或者在知情情况下支持网络窃取知识产权，包括贸易秘密，以及其他机密商业信息，以使其企业或商业行业在竞争中处于有利地位。

5、中美双方承诺，共同继续制定和推动国际社会网络空间合适的国家行为准则。

6、中美双方同意，建立两国打击网络犯罪及相关事项高级别联合对话机制。

0X10 总统呼吁增加网络安全 2017 年财政支出到 $ 190 亿

2016年2月9日，总统奥巴马向国会提交2017财年政府预算，总额高达4.1万亿美元，亮点之一在于计划斥资190亿美元强化美国网络安全。

根据这份预算，新财年(自今年10月1日开始)美国联邦政府支出总计4.1万亿美元，比上一财年上涨约5%。

奥巴马认为这份预算是迈向未来的“路线图”，但多家美国媒体将其称为奥巴马任期最后一年的“愿望清单”，他希望能在税收方面“削富济贫”，进一步减少碳排放、增加教育投入、打击“伊斯兰国”、强化国家安全等。

这份预算的亮点之一是“网络安全”支出比上一财年增加35%，资金计划拨付给国防部、联邦调查局、退伍军人事务部和联邦人事管理局等部门，用于升级政府机构网络安全基础设施、淘汰陈旧的计算机系统、招募优秀的网络安全人才等。

奥巴马当天表示，网络威胁是美国经济和国家安全面临的“最迫切”危险之一，急需加强信息安全。他提出的190亿美元网络安全计划能解决美国面临的短期和长期挑战，政府将建立网络安全高级别委员会，了解技术革新趋势和网络威胁发展趋势。

Pr0.s认为，当前讨论奥巴马时代的网络空间安全政策，恰逢其时，一方面总结奥巴马这些年来在美国网络安全领域的努力和贡献;另一方面，也为两党候选人未来执政的网络空间安全领域政策导向，提供参考和预估。

无论如何未来网络空间安全领域逐渐走向，互动、融合、共享是势在必行~!当然，在此之内，美也不会轻易放弃网络空间的“霸权”(在其国内和盟友间互动、共享，在其它国家间降下“网络铁幕”)，MalwareBenchmark前段时间的文章可窥一斑。