2024年12月29日 星期天

汤姆·里奇:通力合作应对信息时代的安全挑战

  • 发布时间:2014-09-24 11:51:48  来源:中国网财经  作者:佚名  责任编辑:王磊


美国首任国土安全部部长汤姆·里奇

  中国网财经9月24日讯 9月24日至25日,亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC 2014)在北京国家会议中心召开。

  大会由360互联网安全中心与互联网协会网络与信息安全工作委员会主办,国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国信息安全测评中心、国家计算机病毒应急处理中心和中国互联网协会作为指导单位。

  ISC 2014大会主题为“互联世界,安全第一”,聚焦在互联网时代、大数据背景下的信息安全所面临的全新挑战和问题,峰会深入探讨了智慧城市、互联网金融、数字医疗、可穿戴计算等业界关心的问题。

  在今天上午召开的“产业领袖峰会”上,美国首任国土安全部部长汤姆·里奇(Tom Ridge)在大会发表“互联网监管与基础设施安全”主题演讲。

  以下为汤姆·里奇演讲全文:

  女士们,先生们早上好!首先我感谢本次会议的赞助方,他们邀请我来参加这次会议,我非常容幸能够跟大家一起参加这次会议。相信大家都知道,我们的数字世界充满了机遇,也充满了挑战和威胁。

  所以,他并不是一个实时存在的地缘上的界限和政治上的界限,应该说它是不断扩张的范围,充满了各种各样的袭击者,包括袭击我们的国家,还包括一些黑客分子组织犯罪,以及个人的行为。所以,这种袭击的层面,每天都在不断的扩大,它的复杂性也越来越高,它的机密程度也会越来越高。网络袭击现在是一个全球性面临的威胁和挑战,为了应对这样的挑战,我们就要更好的管理我们面临的一些风险以及建立这样一种很好的弹性文化,能够在我们的组织内部建立起来是至关重要的,才能够获得生存和成功。

  我非常高兴有这个机会能够跟大家分享我在这个方面的一些想法以及一些个人的经验。就像大家听到的,我有一个机会给我们的社区服务,其实在不同层面服务,这些经验在我还在越战的时候就出现了,之后我也承担了美国国防部和国土安全部秘书长的时候一直在增长这方面的经验,所以给了我独一无二的无价的经验和智慧,去观察学习和领导。因此这些经验给了我很多的知识,奠基了我不断发展的一些想法和观点。现在我已经不年轻了,我已经见证了互联网的春天,同时我们看到高度连接性的互联网的发展和互相依赖的数字发展。我们现在可以预测我们面临很多机遇和挑战,这是我们数字化时代给我们提供的挑战和机遇。

  数字化的春天不会结束,我们可以看到在不久之前,我们基于PC的个人数据转换协议就已经创造出来,能够促进美国的国防部和一些大学进行更好的交流。

  当然我们也可以看到,数字化的全球生态系统,也能够促进我们全球范围内的商业和文化的交流。这使我们的核心特色和价值并没有发生任何的变化,互联网是一个开放的体系,它是基于匿名系统建立起来的,它并不是用来设计建立一个安全的沟通平台,其实我们面临的机遇和脆弱性同时存在,我们在任何一个地方都在竞争,它的能力和不确定性、相互依赖性能够将我们所有人聚集在这次大会当中。

  当然也可以看到互联网也有它的弱势,这是普遍存在的,我们都会暴露在各种恶性的和邪恶的使用者面前,同时我们也都有这样的义务和角色去扮演,那就是需要共同来打击这种不合时宜的使用者。我们面临的风险和危机越来越大,所以我们现在应该更清晰认识到我们永远存在的这个威胁。我们都知道他们存在我们的身边,不同的犯罪在不同的国家都存在,全球都是一样,所以,各国政府应该共同合作来战胜这些邪恶者。同时我们看到有些人对此无动于衷,还有一些人充分意识到却不能控制他们这种活动,他们的动机还有他们的这种恶果需要我们所有人都知道。比如说能够带来我们网络的破坏,还包括一些盗窃、间谍行为等等。

  我们同时知道在数字的越界行为方面也是一样,

  就像我之前的同事也就是美国国防部长也说过,这些条件下我们就像在战场上一样,我们在数字的空间其实是大家彼此都知道的一个情况,对所了解的威胁都是彼此熟悉的,因此我们可以把它比作一个当代的战场,特别是我们有不同的运营者,我们如何能去解释面临的这些挑战,如何去保卫我们的国家,如何更好的去成为一个网络的战士。这对我们来说是非常重要的,而这是一个不平衡的战士。

  我们知道传统战场有他们的战术和战略,他们可以自我掩藏他们的身份,在一个更加开放的空间,那就是在互联网这样一个对恶意没有抵抗力的空间里战斗。当然我们现在应该找到新的战术和战略,增强我们的能力,从而更加高效的进行战争。当然我们也在不断的进行尝试,挖掘这个弱点在哪里,以及一些并未授权的接入点是哪里,更好的进行防卫。当我们看到他们使用一些低技术的武器来进行破坏,但他们并不能建立一些高科技的武器来克服一些具体的防卫系统和具体的目标。

  几个星期前美国的一个主要的零售商被报道说,有一个从来未见的恶意软件导致了5600万的个人信息被泄露掉。这些袭击者有这样的能力,我们也需要不断的进行防卫。在空中、地域或者海域将敌人拒之门外比之在数字空间更容易,军事方面的哨兵可以实地放哨,但在数字的边界,针对某一具体的黑客抓住他们,通过一种有意义的方式抓住他们是非常困难的,有时候甚至是不可能的,这是显而易见的。

  对于一个数字边界的防卫来讲,最重要的边界在一次的攻击中,不光是要考虑到我们的这种对他们的一些防卫,同时还有多层面的防御战略。在二十一世纪只有两种类型的组织。在中国有一句俗语说苍蝇不叮无缝的蛋,因特网充满了缝隙,这些野蛮人不仅是在门口对你攻击了,他们通常隐藏在内部,他们通常在数字世界里作为一种现实存在。如果是这样的话,我们的政府和公司如何进行自我组织来应对他们,我们需要来进行主动的攻击、防卫还是两者都需要,在多个世纪以来,来自全世界的政府都在不断的收集这些信息,并且孙子也曾经说过知己知彼。

  所以,通过对这些细节的拦截,19世纪的时候我们可以通过解密电报电码进行防卫,20世纪的时候有了无线电和电话通信,但现在网络空间不只是这么简单的通信技术,整个数字世界是互联的,与很多关键的工业控制系统、金融系统、生命维护系统和其他的一些系统密切相连,这些都有可能会受到攻击,从而有可能被损害。在这类行为中,从来都没有过一个国际的准则,这种网络攻击可能性不断提高的现实是存在的,每个国家都在采取措施来保障和促进他们的信息安全,但问题不在于数字技术,问题不只是在1和0之间演进,或者是通过比特,或者是通过字节以及平台演进,问题是在于人。我们的领导者如何就这个方向进一步做出努力,那么全球的公民如何来在数字的空间里进行关注。

  一个国家在解析这种秘密攻击的时候,有的时候面临的攻击是针对他们的工业控制系统和基础设施的,到底这算不算一种战争?

  被攻击的国家是不是可以响应这样的数字攻击,到底这算不算是一种常规的军事武器,这些都是从我们当前世界涌现出来的政治和军事的问题,可能也在我们不远的将来仍然作为一个没有办法处理的现实,但我相信一切的中心就是国家的利益,各国可以找到一个共同的基础以及共同的利益,使他们彼此之间可以实现在数字领域的合作并联手。

  针对一些这种攻击的行为是可以一起来联合采取行动的,来打击有组织的犯罪,需要依靠公司和我们的公民,一些恐怖主义分子,在进行这种金融系统犯罪以及洗钱,双边和多边的努力是帮助我们克服这些数字方面的问题时在国际范围内的首要选择。

  我们既不能幼稚,也能不愤世嫉俗,这种问题有时候就算能够成功的解决。政府和私营组织应该是一起进行防卫保护我们的基础设施,很多基础设施大多都是政府拥有,但是由私营部门来进行运营的,在美国有85%的关键资产是由私人拥有的。

  我觉得关键基础设施的定义通常都是普遍性的,在中国、美国或其他国家都是一样,他们是一些系统或者是资产,有虚拟的,也有实体的。对他们的损害和伤害将会对于国家和经济安全造成不可估量的损失。这些都是显而易见的,前面的几位演讲者也都提到过。就像是一些金融服务、电信、交通、能源等等的行业,在美国保卫关键基础设施就意味着公众以及私营部门应该共同负担起责任和义务,这一新型关系的奠基石是在2013年2月份奠定的。

  奥巴马总统签署了总统令,题目称之为“改善关键基础设施的网络安全”,最重要的网络安全标准中的三个重要组成部分是信息分享、管理以及监管委员会,我们希望政府能够实现这些目标,同时又不损害公民的自由和隐私。

  美国的标准以及技术全国委员会也是有责任进一步与私营部门进行合作,来进行运营检查和实践检查的蓝图,从而能够成为公司业务以及网络风险管理战略的一部分。美国建立了这个网络标准,它是需要来识别并且能够检查风险,保护基础设施,同时能够来创建能力,来响应或者说是在出现攻击的时候,让我们在损失当中尽快恢复过来。

  不同的一些政府机构也都有监管的责任,他们在16个不同的经济部门,包括一些与这些关键的全国相关的资产密切相关,无论这场战争是在地面打响,还是在数字空间我们的防卫者必须有足够的信心才能够进行防卫操作,就像你是士兵或一个公司的首席运营官、首席技术官,你都应该要注意到当前我们对这个现象的意识,对于情况的意识是一个重要的组成部分,并且我们也有一些联邦机构也在获取一些相关的信息,包括与私营部门一起来识别某一部门行业的风险,并且还有一些关键基础设施有可能出现的问题。

  美国建立起了信息分享中心,在这个分享系统中企业可以分享信息,这些信息包括实体犯罪以及网络风险,而且总统令也是及时能够提供更多的信息,从政府到私营部门。同时,它也解决了联邦政府的双重责任问题,这里包括向提供保护国家安全的同时又能够保卫我们的公民的隐私和他们的市民自由。

  在一个多重任务的时代,大家在同时都可以做两三件事情,那么对于美国的政府来讲,同时要负责的事情就更多了。您和我都明白,人们在因特网互动的是作为用户、市民而存在,大多数的公民都没有意识到政府和商业部门掌握了他们的个人信息有多少,有一些信息是法定规定的,有很多是这种自愿性的,是的,有一些也是被不正当获取的。

  联合国人权委员会在几年前就提过这个问题,那也是第一次确认了在数字范畴内的权利也应该获得在实体事件中一样的保护,拥有一样的权利。这次委员会会议中的一位参会者德国的大使汉斯舒马赫先生专门提出,每个人都有权获得私人范围,无论是在现实还是在虚拟的空间中。所以,他也是呼吁全球社区能够在数字时代里,在法定的公众和安全关注点,以及基本的人权隐私中取得平衡,这一国家和公民之间的关系,随着时代的发展发生了巨大的变化,现在政府的功能也变得越来越透明化,政府也有很多的合法理由而去获得一些个人的信息。

  Twitter等社交网络的与公民们所在的现实社会越来越深的结合,这些也是让我们感受到前所未有的威胁。人们所使用的手机等设备每天都在使用当中,它知道你是谁,你在干什么,甚至在那一刻你在想什么。所有的这些信息都被收集、分类、分析,用于整个的数字网络里面,甚至因为经济社会、国家安全将个人作为攻击的目标。那么我们知道这一切都是数字的,都是数字的就意味是可以获得的,所以,我们也是知道在美国是非常珍惜隐私的,我相信中国人也是这样。

  为了保护我们公民的自由和隐私,显然这是作为我们美国的这一届政府以及国会的关注点之一,为了能够响应像2001年的9.11类似的一些这种事件的攻击,我们的国土安全部也是创立并且首次实现了这种法定的隐私办公室的成立。美国现在也相信无论技术在识别恐怖主义者攻击能有多么早,无论他们开展怎样的攻击,我们都将尽自己最大的努力来保护公民的自由以及保护我们的国土安全。所以,隐私办公室不光要认真分析信息如何获取和分类,如何进行这种私人信息的访问,在什么样的情况下得到访问。

  为了总结美国的一个具有标志性的人物,本杰明•富兰克林曾经说过,如果一个人愿意放弃自己的自由而获取安全,这个人是不会这么选择的。所以在整个有限的空间里,政府对于私人一些信息的获得,是在这个数字的危险的时代里永久的挑战,技术必须是作为政府的打击威胁的工具之一,但无论是怎样的一种本质的威胁,我们永远都不应该使用武器来指向我们的公民,我们现在正在庆祝当今时代给我们带来的优势,有将近40亿的设备目前连接在因特网上,真是一个物联网的时代,这样的空间没有办法停止,也没有人能够预测。

  财富杂志刚刚进行了一个预测,在本世纪末将会有110亿设备连接到网络。我最近也是刚刚在报纸上读到,现在的存储比经济发展的速度更快,甚至计算机处理能力的发展有9倍的增长速度,就像大数据时代的作者曾经说过,变革不是在网络中,而是在如何使用它。大数据的分析已经减轻和进一步贡献高效率、更有生产能力的农业,以及改善人类的健康水平,更加安全的交通,更加清洁的环境,这些确实是无限的数字时代的潜在的实际的收益,我们在庆祝这些正面的,但却不应该忘记一些负面的影响。

  数字的聚集和分析不是我们关注的唯一的中心。使用复杂的算法给我们带来了一些优势,但也可以更好的进行个人的一些行为分析和预测。我们有时候要分析一些具体的行为,对于政府来讲必须要非常谨慎地顺着这条路往下发展。

  数据的聚集和分析不是我们唯一关注的点,更重要在于它的使用,必须有这种规则让我们能够限制进行数据的获取以及它的使用。在美国,这已经写入了我们本国的一些法规,有人觉得照片是会盗取人们的灵魂,在整个的信息时代里,我们也看到我们的数字灵魂也在随处散步。我们必须要警惕,政府有时候会收集一些信息,但不会盗取我们的灵魂,随着每个国家和个人不断调整他们的一些数字关系,政府和私营部门也必须要去修改他们的这种关系来更好的贡献于经济以及国家安全。

  没有政府和实体能建立一个毫无缺陷的防御系统,他们会首先利用自己的优势来采取举措,所以他们需要渗透一个切入点进行袭击。所以我们现在考虑到破坏者的顽固不化,他们的耐力和能力,我们必须要确保我们能够有更好的方式和方法来控制、抑制他们的破坏行动以及随之产生的一些恶果。

  不像飓风、恐怖主义袭击和其他潜在的破坏行为,他们会破坏我们政府的运行、企业的操作,网络袭击是一个24小时×7的威胁,在数字年代是无法避免的。因此我们必须要创造一种弹性文化来克服这样的问题。所以,我们可以看到在我们的主题中,我们必须要有这样一种意识,我们认为在二十世纪的时候,艾德沃克德尔明(音)就引进了一个全新的理念,那就是要有整体的质量风险控制的理念,这不仅是一个实践操作方式,也是一种运营的方式,我们的企业界现在受到挑战,从每一个关键来看都需要一个连接点,这样能够把他们的绩效和质量进行匹配。每个人都在其中,不管是你的雇员、供应商还是服务商都有高效能的产品才能确保我们终端产品尽可能的良好,我们没有捷径,我们每走一步都是能够认为增强我们产品管理和克服失败的潜在的源泉。

  现在我们也在不断的致力于我们的产品质量的提升,在整个企业的组织管理中都是一样,所以,我们认为整体质量管理是非常重要的,在市场环境当中全球范围内,都必须要去遵守的一个理念。所以,现在我们可以看到在二十一世纪尤其如此,我们需要这样一个关键点,每个人都不能逃离这样一个大的环境。包括我们的员工、买主、供应商,所有这些人其实都会有最高的一个可能性,来确保我们的安全实践、确保我们所有的产品都能像我们想象那么好,没有弯曲之路,每走一步都应该沿着这样一个方向前行,这样我们才能够克服掉失败。所以我们要致力于产品的控制,在每个实体和组织中都是一样的。

  这对我们的企业文化来说是非常重要的,在上世纪当中一个革命性的理念,市场其实都会回馈那些能够采用最佳实践做法的人,他们会惩罚那些否定做出改变的人。

  最后一点,我们可以看到黑天鹅事件随处都在,由于受到恐怖事件、网络袭击都是一些潜在的威胁,不仅带来了破坏,而且是毁灭性的后果。现在很多组织都富有弹性,作好了准备进行调试,而且是应对这些威胁,因此,没有办法认可和进行改变的人就有可能被淘汰掉。没有通过网络数字连接进入到网络的人将会进行思维方式的改变,采取最佳实践的做法。

  获得网络现在有各种各样的方式了,不管通过哪种渠道我们可以看到都存在一种潜在的脆弱性。现在我们看到由于网络的出现,实体企业专署信息的保护、个人信息系统的维护都是非常脆弱的环节,我们需要多种连接端点进行24×7的警戒和保护,如果没有安全系统就会导致防卫的破坏,我们需要持续进行运营和克服这种攻击。

  在美国企业界的领袖们都在拥护这样一个新的思维方式和方法,网络安全经常被认为是企业面临的风险而不是一个IT问题。领袖们最终也认识到这一点,网络信息是真实存在而不是虚拟的,越来越多的公司也开始整合他们的信息技术、运营技术和消费者技术,能够进行一个整合的、统一的网络安全计划并执行起来。安全现在已经越来越重要了,很多的企业他们都已经进行更广泛的网络教育,成为他们的企业文化的一个部分。之前,可能是一个新兴或者边缘的问题,现在却建立了一个新的关系网络,与政府建立起来。所以,我们认为这种领域和角度的防卫系统正在让位于整合性战术的建立。

  我还想提醒大家,其实我们可以看到像达尔文所说的适者生存的方式被人误解,他是英国非常知名的自然学家和地理学家,我们可以看到他所说的适者生存并不是为了更快、更强、更明智,而是为了适应和改变。我们的企业也应该做到适应和改变,这样才能开发出一个能够随时进行风险通知的流程,能够持续不断的进行流程的改善,安全的升级和弹性文化的持续运营。我们的目的是为了有更强的连接性、互通性和依赖性,这样我们能够进行数字危险的管理,而不是让危险管理你。

  毫无疑问,在我的脑中,当然我们在座所有的人士都是专业人士,有技术专长和专业知识,在网络中我们拥有各自的专业知识,但现在我们要认识到一个全球性的新的万维网的环境下,我们这种弹性文化多么重要。所以,我相信大家已经可以看到这是一个日益复杂和威胁的世界,数字网络已经遍及全球,就像我们知道的一些,在我们所有的数字终端和设备、服务器、路由器和其他的工具面前,我们需要政府上百上万的企业和更多的人能够从中受益,而不是遭受到威胁。

  我们现在可以看到,所有人都是依赖于我们的网络世界,所以,大家都是相互连接的,都是依赖于我们的数据网络而相互连接。现在万维网创造的这种高度的脆弱性都有其重要性,这是我们必须要充分理解的面临的这样一个世界。我相信没有任何的政治领导者或者业务的执行官,甚至是我们的市民,能够忽视现在我们网络连接性的深度和广度,当然我觉得现在这一点是越来越重要了,那就是我们现在已经通过各样的渠道让全球各个地方的人都能理解到这一点,我们是相互联系在一起的。

  我们能做什么呢?不管我们做什么,不管我们在哪里?我们都应该意识到这一点,以及我们要不断的进行现实性的使用互联网,我们都知道世界是充满了一些非常糟糕的邪恶的人士和非法的操作者,我们必须共同的努力来合作,来战胜他们。我们不断被人提醒,那就是谁又受到了袭击,谁又受到了损失,我们不能只关心自己的利益,我们还要关心其他身边人的利益和受到的袭击。这就是一个高度连接的世界的属性,我们不能只关心自己。如果说我们只关心自己,不关心别人,谁会赢这样一场大战呢?所以我们的答案就是我们必须要共同的合作,在这样一个复杂的道路上进行长期的友好的合作,这是我们的责任,我们的子子孙孙,我们孩子的孩子,接下来好几代人共同的责任,不仅仅是我们这一代,包括我们的孩子也是一样的。我们不是从祖先那里继承了地球,我们其实是从孩子那里借来了地球,我们应该思考能够给孩子留下什么,我们还应该给他们回馈或者是给他们一个更好的、更安全的地球。也就是给他们提供更好的经济形势和更好的自然资源,就像一个谚语中说的,千里之行,始于足下。

  非常感谢大家,能够让我们和大家一起开始我们的第一步。

  • 股票名称 最新价 涨跌幅