CSIS官员在参院就“国家关键基础设施的网络威胁”发表证词

据美国战略与国际研究中心网站2018年8月21日反映，美国智库战略与国际研究中心（CSIS）副总裁詹姆斯·路易斯（JamesAndrew Lewis）2018年8月21日在参议院司法委员会犯罪与恐怖主义小组委员会作证时就“美国国家关键基础设施的网络威胁”发表证词。证词主要内容如下：

为改进政府在关键基础设施网络安全方面所做出的努力和阻止其他国家在网络空间攻击美国的行动展开讨论，路易斯认为两者都是必不可少的。

路易斯在证词中称，“关于关键基础设施和网络安全的第一个联邦政策颁布于1998年，事后看来，它错误的预估了威胁的来源。它假定恐怖分子或非国家行为者将对关键基础设施发动破坏性的网络攻击。二十年来，这种情况从未发生过，而且在可预见的未来也不大可能发生。相反，我们最危险和最活跃的对手是敌对国家。”

在谈及给美国基础设施带来网络威胁的主要国家时，他称，“俄罗斯、中国、伊朗和朝鲜四个国家长期以来在网络空间上与美国发生冲突。他们利用网络进行间谍活动，并准备利用网络采取行动威胁或攻击我们的关键基础设施，只要这样做符合他们的利益，他们就会采取行动。俄罗斯和朝鲜可以被认为是网络犯罪的发起国。这四个国家都探查过美国的关键基础设施，并获得了不同程度的经验和成功。俄罗斯和伊朗给美国基础设施构成了最大的威胁，因为他们对对手进行过针对基础设施的攻击，并且主动敌视美国（中国看似不想加剧贸易战的紧张局势，朝鲜则采取最佳行动，与美国的谈判似乎很有希望，这使他们比俄罗斯和伊朗更不可能攻击我们的关键基础设施）。俄罗斯拥有与美国同水平或近似美国水平的网络攻击能力，伊朗的能力正在迅速提高。两个国家都准备了针对美国的网络攻击——关键基础设施，尤其是能源基础设施。”

就关键基础设施的网络安全，路易斯称，“最重要的基础设施是能源、金融、电信和政府服务。如果俄罗斯、伊朗或其他国家选择攻击这些基础设施，那么它们都不会安全。改变这一点需要两个要素：通过改善公司和机构的网络安全来强化目标，以及改变潜在攻击者对风险和利益的计算。这两项任务都是不可能完成的任务，但我们在加强网络安全方面已经取得了一些进展，就是进展过慢。”

“我们的四个最重要的关键基础设施中最安全最稳固的算是金融业（同时它也面临最大的犯罪威胁），至少在大公司是这样的。网络安全有一个潜在的规律，如果一个网络很难攻击，攻击者就会转移到另一个更容易攻击的目标。这可以是中小型公司、分包商、律师事务所，甚至是公司雇员的家用计算机。所有部门的中小型公司及其承包商面临更大的风险，因为它们缺乏高水平的防御资源。电信和电力行业也是如此，在这些行业，大的供应商拥有更多的资源，可能比较小的地区公司具备更强的防御能力。”

路易斯还直言不讳的指出，“政府机构面临着一系列不同的问题。联邦政府就像一个庞大的、杂乱无序的企业，在管理和资源层面都一直存在着问题。机构对用于网络安全或信息技术现代化的资金缺乏管控。美国政府宣布计划通过现代化来改善政府机构的网络安全，这是必不可少的第一步，但人力和高级管理层的关注仍然存在问题。国家和地方政府在管理或有时运维关键基础设施时，都会面临资源短缺等类似问题。”

他还称，“具体到电网，这可以说是最重要的国家基础设施，总的结论是它没有充分的防御能力。不同的公司情况不同：有些做得很好，而有些做的不好。如果你与网络安全专家深入了解这个行业及其控制系统现状，他们会说我们很脆弱。调查2015年和2017年俄罗斯袭击乌克兰电力设施事件的专家说，美国绝对容易受到俄罗斯针对电网的袭击。”

该官员在如何提高关键基础设施的防御能力时建议，“要改变上述‘绝对漏洞’需要做到以下两点：首先是改善关键基础设施公司的网络防御。鉴于技术及其相互联系的复杂性，这不是一项容易的任务，但有一些措施是可以实施的，包括确定强制性的安全基线；加强对更安全控制技术的研究； 对公司的事故和漏洞进行全面的统计；并创建一个国家“红队”计划，对基础设施设备进行突击渗透测试。第二是改变潜在攻击者的风险计算。这不是威慑，至少在冷战意义上是利用核威胁威慑攻击或创造“战略稳定”。这是利用各种直接措施来影响对手的思维。这些措施包括私人和公共通信、起诉、制裁、建立联盟以及使报复性行动具有可信的威胁性。潜在的攻击者需要了解美国在应对网络攻击时可以采取的各种应对措施，这需要有统一的政策。他们需要知道，美国真的会采取这些行动。”

他说，这两套行动都需要国家战略、领导和资源。自1998年以来，网络安全已成为新闻的头条，公众对此有了更高的认识，企业和决策者也持续予以关注。这是一种进步，但如果说我们是安全的,那就过于乐观了。

他还说，无论如何,网络犯罪的损失继续以惊人的速度增加。世界上最好的网络犯罪分子都生活在俄罗斯，俄罗斯政府为他们提供了一个避难所。有媒体报道称，中国政府黑客能够窃取与海底战争有关的机密数据——这些数据很可能是准确的——令人非常不安，因为这些数据是在国防部为强化其网络进行了十多年的努力之后发布的。这份报告符合中国反对美国的长期活动模式。中国的军事目标和情报部门对美国的打击取得了惊人的成功，从2000年初的核武器数据被盗开始。

路易斯在提及政府机构在网络安全方面所作的努力时称，“政府所采取的大部分步骤都是有计划有组织的，而且这些步骤最近才得以实施，因此无法判断其效力。”

路易斯在证词中还表示，网络的自我修复是最后的手段。它意味着对手已经决定进攻，而我们的防御失败了。最好的结果是首先阻止那些国家攻击美国。如果我们不能，大多数研究表明我们的网络防御能力是不够的。这是可以改进的，但这将需要几年的时间，美国将从如何建设关键基础设施修复能力的规划中受益。面临当前充满敌意和冲突的网络环境，我们必须对如何在攻击后迅速恢复关键基础设施运作能力进行具体规划，包括实战演习，以及如何继续在退化的网络环境中运作，这可以从存在风险最大的关键基础设施入手。

最后，路易斯称，“经过了18个月，政府在网络安全方面采取了很多积极措施，但这些新政策和组织还来不及改进我们现有的网络防御能力。在前进的过程中，政府应该避免前几届政府把起草报告或政策与采取行动混淆起来的错误。随着时间的推移，我们可以使关键的基础设施更具修复能力且受到更好的保护，这一改变任重道远。立即有效的措施是改变我们的对手，尤其是俄罗斯和伊朗对网络攻击风险的计算。有了正确的政策，就可以迅速有效地达成我们的目的。”

本文仅为编译，不代表本公众号观点

声明：本文来自国家网络威胁情报共享开放平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。