人人都喜欢公私部门合作关系。
20多年来,这种合作方式对于大量网络安全解决方案而言起到非常重要的作用。可能85%(比例可能因人而异)的关键基础设施由私营部门拥有,因此政府部门无法独立行事。
例如,《2003年白宫网络战略》指出,“美国网络空间安全战略的基石目前是而且将来也仍然是公私部门合作伙伴关系”,而且它提到“合作”或“合作伙伴关系”的次数超过60次。
但是,虽然成功的公私部门合作关系具有多种框架和相似之处,但少有框架和类比是对比公共部门和私营部门之间基本的控制关系的。这就忽视了一些关键的问题:哪种部门具有处理问题的推定合法性?哪种部门拥有关键决策者?哪种部门具有解决问题的相对优势?
三种常见的合作模式是:由政府主导的合作伙伴关系、均衡的合作伙伴关系和由私营部门主导的合作伙伴关系。
权力制衡
在很多合作伙伴关系中,政府被认为拥有卓越的知识水平或行动能力或权力。其中一些合作伙伴关系可能并非以上讨论的公私部门合作关系,但通常在战略和声明中被指为合作伙伴关系。这些合作伙伴关系分为四类:国有化、动员和控制,控制、强制和规范,协作,以及个体参与。
在这些公私部门合作关系模型中,政府定调、授权、指令或使私营部门“合作伙伴”一路跟随。政府借《通信法案》或《国防生产法案》的权力能下令网络安全行业遵守这些法案。但这种类型的合作关系也包括依靠国防工业基地公司进行咨询或者依靠中心辐射信息共享计划行动,后者要求私营部门在进一步分享信息前先向政府“提交所观测到的网络威胁指标”。
在其它模式中,公共部门和私营部门之间的关系更为均衡,比如人员交流如 IT 交流计划或僵尸网络删除如 GameOver Zeus。我们也可以将部门协调委员会 (SSC) 和政府协调委员会(如金融行业的 FSSCC 和 FBIIC)归为此类。但这是一种强制的适合,因为政府通常也是监管机构。荷兰人在这方面是领导者,尤其是将多利益相关方政府模式应用到国内网络安全决策的情况而是如此。
在公私部门合作的第三种类型中,私营部门具有明显的领先优势。一种方法可能是“受支持的命令”。政府利用其独特的能力、优势和权力尽可能地提供帮助,如利用企业已被黑的情报通知遭攻击企业,或者通过外交渠道帮助缓解攻击。然而,私营部门仍然拥有独立行事的时候,因为政府可能不愿意或者无法提供任何支持。
哪种合作关系最好?
看情况。不过跟你想的可能不太一样。
每种模式都有各自的优缺点。人们可能会很自然地认为“均衡的方式”是公私部门合作的理想模式。但这种模式仅对有限的问题而言是最佳选择,即公共部门和私营部门在能力方面不分上下。
从网络纠纷历史来看,显然美国政府具备三种关键优势:资源充足、持久力以及能接触其它权力工具如起诉、制裁或暴力工具。私营部门当然会带来敏捷性和主题专业知识,但由于它创造和维护的是网络空间,因此在必要的情况下它具备改变的能力。
由政府主导的公私部门合作关系在几个领域意义最大:面对市场失灵的监管,直接支持其它联邦任务如为实现间谍或进攻性任务开发特殊能力,对国家黑客的积极防御或胁迫外交,以及战略性网络战争。
但是如果政府试图将自己放在行动的中心位置,那么它的效果最差。如果政府缺乏某种所需能力,很可能永远开发不出来。在大多数合作伙伴关系中,私营部门应该占主导地位。国家安全局和中情局的前局长 Michael Hayden 将军就是这种方式的支持者之一,他认为,“美国网络防御的主力军是私营部门。政府的作用就是做政府能做的事情,然后对于其余98%的问题而言,我们的作用就是助力私营部门发挥最佳水平解决这些问题。”
然而,美国政府常常忽视自身的这种优势。一名资深的军事网络官员在最近举行的一次会议上坚持要求建立一种“合作伙伴关系”,但实际上这种关系是单边的:如果美国银行不同意在自家网络中安装军事传感器,那么它也不会满足政府的要求。
因此,白宫应该开发处一项新的网络安全战略来推动这些理念,或者至少授权创建由私营部门主导的合作伙伴关系。行政令13800的颁布以及对最关键的“第9节”企业的支持正是基于早期的最佳工作基础之上。
即使处于高级别的网络纠纷中,美国政府也不能陷入想象自己成为网络防御中心的陷阱。私营部门将成为并肩作战的战友,寻求的是支持而非命令。
私营部门运行着大量的关键基础设施和网络防御措施。它们和政府的合作伙伴关系也应该向这个方向倾斜。
本文由360代码卫士翻译自THE CIPHER BRIEF
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
