政府與企業在網路安全上該如何「共贏」？聽聽NSA局長怎麼說

無論是企業還是政府，網路攻擊所帶來危險性的不斷加劇，使其成為刻不容緩需要解決的問題。這是一場沒有硝煙也不分國界的戰爭，但是卻能造成世界範圍內的經濟商業損失，甚至還會影響到一國的總統大選。

華爾街日報的Rebecca Blumenstein就以上的網路安全問題，專訪了NSA局長兼美國網路司令部負責人，上將Michael S.Rogers。

Rebecca Blumenstein：企業CEO到底應該如何看待國家網路安全現狀？

Rogers認為國家目前的確面臨著這樣那樣的網路安全問題，而各企業的CEO在其中也扮演著自己獨一無二的角色。他們需要自己做決策，不能僅僅依靠公司的安全團隊單方面去判定什麼是最重要的。Rogers還說他自己就是這麼乾的。

Rebecca Blumenstein：在Sony被黑事件過去兩年後的今天，我們有從中吸取什麼經驗么？

Rogers覺得Sony被黑事件有樂觀的一面：

私企意識到了自己可能會面臨的問題，所以也願意去尋求政府方面的支持，形成了兩者間的良好合作關係。

Sony的伺服器是在兩年前的11月24號被入侵的，當時索尼影業員工的顯示屏上都出現了一張頭骨圖片，還有第三方在Sony不知情的情況下下載了大量公司數據。

事件發生後的場景可能是這樣的，企業負責人坐在那邊自言自語：「一定要盡可降低這次泄露事件帶來的影響，爭取不要完全公開。」所以在企業來尋求政府幫助的時候，態度也是十分積極主動的。

然後政府這邊就會說，「給你們提供幫助也不是不可以，前提就是給我們要進入你們公司內網查看數據的許可權，這是唯一的辦法。我們知道讓你們開放許可權，將公司系統、網路、數據全部都給我們看或許會有些強人所難，但是沒辦法，你們只能接受。」

企業又會回復說：「沒問題呀，我們一定全權配合。我們只希望你們在做什麼的時候通知我們一下就可以了。」

Rebecca Blumenstein：企業花了很長時間才檢測出來被入侵么？

Rogers提到，是商業網路還是政府網路其實不重要。就我們長期的網路防禦經驗，絕大多數企業或組織從發現網路被入侵到入侵者實際的初次成功滲透的時間，都存在著一個明顯的滯後。

Rebecca Blumenstein：我們應該對這些為網路安全事件中國家所扮演的角色表示擔憂么？

Rogers說，在值得我們擔心的事件中，60%到65%都是不存在國家背景的單純犯罪行為，像是竊取知識產權一類的。但也不排除有國家會做類似的事情。像是一些犯罪組織會竊取企業數據，期望能高價賣出。

同樣也有國家背景的黑客竊取商業信息等。

還有一些個人或組織會因為某個特定目標或理想而聚集在一起，這種共同的興趣很可能會產生一個特定結果。「一起來做點什麼吧，反正我們都不喜歡這個政策不是么。」這種類型的匿名組織不在少數，他們通常都會將某國家、公司、或個人作為攻擊目標。

下圖是一個的關於政府機關網路安全的調查，問題包括：阻礙公司網路安全升級的三大因素？我的公司完全清楚核心資產在哪裡？我的公司還在思考真的會有入侵者對我們的數據造成威脅么？

從圖中可以看出，阻礙公司網路安全升級的三大因素分別是：缺乏資金，缺乏責任感和沒有安全意識。

有59%的被調查者認為自己公司清楚的知道核心資產在哪裡。同樣也有59%的人認為自己公司還在思考是否真的會有入侵者對公司數據造成威脅。

Rogers還說，他並不希望在企業遭到入侵之後得到的結論是我們需要改變現狀。在他心裡這種問題的最終解決方案還是如何處理這種公私間的合作關係。

我一般都會跟合作對象制定這樣的協議：我絕不會濫用你們的數據，只希望這種合作能夠增加政府與企業間的交流機會。

傳統意義上的國家，政府和私企之間的職能有著非常大的差別。網路是不會因現實中國家之間所謂的界限而分離，它並不存在地理上的限制。單純指望私企能夠抵抗有國家背景的強大網路攻擊是十分不現實的。

同樣的，只期待政府去防禦也不太可能。政府面臨的挑戰是：企業既然要我防禦，就不可能將我拒之門外。不然就是讓一個雙手被綁在背後的人去戰鬥，既不現實也不會產生什麼好結果。

Rebecca Blumenstein：關於維基解密，今年八月的時候Rogers在美國公共電台（NPR）上提到：「郵件門的泄露是有原因的，一定會達到一個特定效果。」現在有什麼最新進展么？

Rogers回應，這件事還在調查中，我不會透露更多細節。不過我覺得應該沒人會懷疑這次事件是有問題的吧，郵件的泄露可不是什麼偶然事件或意外，針對的對象也絕不單純。這應該是某國家為了達到自己的特殊目的，在背後故意操縱的結果。

* 參考來源：

WSJ

，FB小編孫毛毛編譯，轉載請註明來自

FreeBuf.COM