E安全2月8日文 美国人嘲笑特朗普是文盲,不能接受现实,还开不起玩笑。
作为一个美国总统,这些确实令人担忧、困惑。但令网络安全专家不得其解的是:特朗普为什么推迟签署新的网络安全行政命令?
一份泄露的草案显示,这项行政命令将使美国政府部门负责人对计算机安全问题比以往任何时候更负责。先前有报道称,这项行政命令将要求政府高层领导人实施美国国家标准技术局(简称:NIST)制定的网络安全防御框架。
自上台以来,特朗普签署多条其它领域的行政命令——如移民禁令,并任命首席战略顾问斯蒂夫·班农(“白人至上主义者”)为美国国家安全委员会(简称:NSC)的常设成员等 — 均引发争议。相比之下,网络安全行政命令反响较好,或者说相对而言,是大家在叹息再也不会更糟糕了。
Blancco Technology Group的首席战略官理查德·斯蒂农认为网络安全行政命令草案是明智的。理查德·斯蒂农表示,“显然,要做的工作更多,不仅仅是保护联邦机构免于遭受网络攻击,还应保护国家的关键基础设施。让内阁部长和机构负责人担负起组织机构的网络安全责任不失为一个好的概念。机构的每个负责人都应采取进一步措施,将责任分发到实际负责人头上。每个网络管理员、系统管理员和程序管理员应对自身系统的安全负责。”
Cyber Adapt的首席执行官兼总裁克尔斯滕(她也是白宫和欧盟多年来的专家顾问)表示,“问责制意义重大。”她补充道,必须为防御美国计算机系统的负责人提供必需资源。
网络安全行政命令的第一份草案呼吁,对美国政府网络的漏洞进行60天的审查。理查德·斯蒂农表示,“上一届政府已经有过这样的先例,因此这项工作不会太过繁重。只需要重新审视国家现实影响力和攻击的优先事项。”
理查德·斯蒂农指出,除了寻找漏洞,审查应考虑存储问题:应确定关键数据存储,并优先保护关键数据。
规则与角色
理查德·斯蒂农指出,“可能有太多不同的组织自称对网络安全负责。集中管理可以消除混乱,但是美国国防部的领导力可能不是正确的方向。设立独立的内阁级网络领导人会更好,该领导人应具有技术和政策背景。”
特朗普在2016大选中意外胜选后,人们对网络安全的讨论集中在指控俄罗斯干预美国大选上。美国情报机构断言,俄罗斯军事情报部门和俄罗斯联邦安全局FSB通过入侵美国民主党和泄露敏感电子邮件干预大选结果。
特朗普对这些说法持怀疑态度,他认为俄罗斯、中国或新泽西地下室的某个人都可能渗透了民主党的投票机。虽然特朗普对美国情报机构的说法持反对态度,但经过面谈后,他勉强接受了俄罗斯黑客在某种程度上干涉美国大选。最终,特朗普沉迷于个人崇拜,塑造了一种自命不凡的形象,似乎他胜选全得益于自己一个人的功劳:他得以成功,是因为他是特朗普,他是世界上最伟大的人物。实际上,他认为,俄罗斯助他一臂之力的说法是对他的侮辱。
美国国会就俄罗斯干涉美国选举举行听证会,这可能是未来网络安全政策的导向。
特朗普的心腹——班农
政策草案未确定特朗普网络安全顾问朱利安尼的职责。克尔斯滕指出,朱利安尼的职责是一个悬而未决的问题。朱利安尼可能会担负类似霍华德·施密特(奥巴马政府的网络协调员)的角色。
清晰的网络安全政策可以帮助供应商制定战略,帮助形成美国在线业务操作与共享公民私有信息的合法框架。推迟签署网络安全行政命令令人不解,虽然奥巴马政府也曾推迟宣布几个政策立场。诚然,奥巴马是在与专家和政界人士进行协商,修订并重新起草,而不是推出班农风格的命令。
故意推迟发布网络安全政策
安全专家猜测,特朗普政府推迟发布网络安全政策可能与科技公司对H1B签证(E安全注:美国签证的一种,指:特殊专业人员/临时工作签证,发放给美国公司雇佣的外国籍有专业技能的员工,属于非移民签证的一种。持有H1B签证者可以在美国工作三年,然后可以再延长三年,6年期满后如果签证持有者的身份还没有转化,就必须离开美国。)的争议有关。推迟发布还可能与幕后游说有关,或班农在命令签发之前未告知特朗普而修改国家安全委员会命令,特朗普为此倍感愤怒,因此特朗普推迟签署所有后续命令。
或许特朗普已无意让政府机构负责人负责安全问题:特朗普政府的领导人承认遭遇失败可能会使他看起来脆弱不堪,他讨厌看起来软弱的样子。也或许是此命令还不成熟。
克尔斯滕表示,“网络安全的复杂性会使政治家麻痹,这可能导致政治家推出糟糕的政策或干脆不出台政策,其结果都一样。美国政府有必要调整网络安全政策,以便政府可以适应新威胁和各类攻击。然而,要应用并执行现有的网络安全政策,需要做的更多。”
克尔斯滕表示,“我们应该看看如何实施已经制定的规则,以及如何资助教育计划。”
尚不清楚特朗普政府如何与信息安全行业专家合作,尤其许多专家提倡加深国际合作——这与特朗普的“保护主义”哲学似乎不符。不过,还有一点值得提出的是:特朗普坚持认为,政府机构每推出一项新规则,就要废除两项规定。克尔斯滕表示,美国政府需要较少的规定,更重要的是采取更多行动。”
推荐阅读
特朗普网络安全专题分析报告:评估《加强美国网络安全与能力》行政令草案
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论