2024年11月24日 星期天

湯姆·裏奇:通力合作應對資訊時代的安全挑戰

  • 發佈時間:2014-09-24 11:51:48  來源:中國網財經  作者:佚名  責任編輯:王磊


美國首任國土安全部部長湯姆·裏奇

  中國網財經9月24日訊 9月24日至25日,亞太資訊安全領域最權威的年度峰會——2014中國網際網路安全大會(ISC 2014)在北京國家會議中心召開。

  大會由360網際網路安全中心與網際網路協會網路與資訊安全工作委員會主辦,國家電腦網路應急技術處理協調中心(CNCERT/CC)、中國資訊安全測評中心、國家電腦病毒應急處理中心和中國網際網路協會作為指導單位。

  ISC 2014大會主題為“互聯世界,安全第一”,聚焦在網際網路時代、大數據背景下的資訊安全所面臨的全新挑戰和問題,峰會深入探討了智慧城市、網際網路金融、數字醫療、可穿戴計算等業界關心的問題。

  在今天上午召開的“産業領袖峰會”上,美國首任國土安全部部長湯姆·裏奇(Tom Ridge)在大會發表“網際網路監管與基礎設施安全”主題演講。

  以下為湯姆·裏奇演講全文:

  女士們,先生們早上好!首先我感謝本次會議的贊助方,他們邀請我來參加這次會議,我非常容幸能夠跟大家一起參加這次會議。相信大家都知道,我們的數字世界充滿了機遇,也充滿了挑戰和威脅。

  所以,他並不是一個實時存在的地緣上的界限和政治上的界限,應該説它是不斷擴張的範圍,充滿了各種各樣的襲擊者,包括襲擊我們的國家,還包括一些駭客分子組織犯罪,以及個人的行為。所以,這種襲擊的層面,每天都在不斷的擴大,它的複雜性也越來越高,它的機密程度也會越來越高。網路襲擊現在是一個全球性面臨的威脅和挑戰,為了應對這樣的挑戰,我們就要更好的管理我們面臨的一些風險以及建立這樣一種很好的彈性文化,能夠在我們的組織內部建立起來是至關重要的,才能夠獲得生存和成功。

  我非常高興有這個機會能夠跟大家分享我在這個方面的一些想法以及一些個人的經驗。就像大家聽到的,我有一個機會給我們的社區服務,其實在不同層面服務,這些經驗在我還在越戰的時候就出現了,之後我也承擔了美國國防部和國土安全部秘書長的時候一直在增長這方面的經驗,所以給了我獨一無二的無價的經驗和智慧,去觀察學習和領導。因此這些經驗給了我很多的知識,奠基了我不斷發展的一些想法和觀點。現在我已經不年輕了,我已經見證了網際網路的春天,同時我們看到高度連接性的網際網路的發展和互相依賴的數字發展。我們現在可以預測我們面臨很多機遇和挑戰,這是我們數字化時代給我們提供的挑戰和機遇。

  數字化的春天不會結束,我們可以看到在不久之前,我們基於PC的個人數據轉換協議就已經創造出來,能夠促進美國的國防部和一些大學進行更好的交流。

  當然我們也可以看到,數字化的全球生態系統,也能夠促進我們全球範圍內的商業和文化的交流。這使我們的核心特色和價值並沒有發生任何的變化,網際網路是一個開放的體系,它是基於匿名系統建立起來的,它並不是用來設計建立一個安全的溝通平臺,其實我們面臨的機遇和脆弱性同時存在,我們在任何一個地方都在競爭,它的能力和不確定性、相互依賴性能夠將我們所有人聚集在這次大會當中。

  當然也可以看到網際網路也有它的弱勢,這是普遍存在的,我們都會暴露在各種惡性的和邪惡的使用者面前,同時我們也都有這樣的義務和角色去扮演,那就是需要共同來打擊這種不合時宜的使用者。我們面臨的風險和危機越來越大,所以我們現在應該更清晰認識到我們永遠存在的這個威脅。我們都知道他們存在我們的身邊,不同的犯罪在不同的國家都存在,全球都是一樣,所以,各國政府應該共同合作來戰勝這些邪惡者。同時我們看到有些人對此無動於衷,還有一些人充分意識到卻不能控制他們這種活動,他們的動機還有他們的這種惡果需要我們所有人都知道。比如説能夠帶來我們網路的破壞,還包括一些盜竊、間諜行為等等。

  我們同時知道在數字的越界行為方面也是一樣,

  就像我之前的同事也就是美國國防部長也説過,這些條件下我們就像在戰場上一樣,我們在數字的空間其實是大家彼此都知道的一個情況,對所了解的威脅都是彼此熟悉的,因此我們可以把它比作一個當代的戰場,特別是我們有不同的運營者,我們如何能去解釋面臨的這些挑戰,如何去保衛我們的國家,如何更好的去成為一個網路的戰士。這對我們來説是非常重要的,而這是一個不平衡的戰士。

  我們知道傳統戰場有他們的戰術和戰略,他們可以自我掩藏他們的身份,在一個更加開放的空間,那就是在網際網路這樣一個對惡意沒有抵抗力的空間裏戰鬥。當然我們現在應該找到新的戰術和戰略,增強我們的能力,從而更加高效的進行戰爭。當然我們也在不斷的進行嘗試,挖掘這個弱點在哪,以及一些並未授權的接入點是哪,更好的進行防衛。當我們看到他們使用一些低技術的武器來進行破壞,但他們並不能建立一些高科技的武器來克服一些具體的防衛系統和具體的目標。

  幾個星期前美國的一個主要的零售商被報道説,有一個從來未見的惡意軟體導致了5600萬的個人資訊被洩露掉。這些襲擊者有這樣的能力,我們也需要不斷的進行防衛。在空中、地域或者海域將敵人拒之門外比之在數字空間更容易,軍事方面的哨兵可以實地放哨,但在數字的邊界,針對某一具體的駭客抓住他們,通過一種有意義的方式抓住他們是非常困難的,有時候甚至是不可能的,這是顯而易見的。

  對於一個數字邊界的防衛來講,最重要的邊界在一次的攻擊中,不光是要考慮到我們的這種對他們的一些防衛,同時還有多層面的防禦戰略。在二十一世紀只有兩種類型的組織。在中國有一句俗語説蒼蠅不叮無縫的蛋,因特網充滿了縫隙,這些野蠻人不僅是在門口對你攻擊了,他們通常隱藏在內部,他們通常在數字世界裏作為一種現實存在。如果是這樣的話,我們的政府和公司如何進行自我組織來應對他們,我們需要來進行主動的攻擊、防衛還是兩者都需要,在多個世紀以來,來自全世界的政府都在不斷的收集這些資訊,並且孫子也曾經説過知己知彼。

  所以,通過對這些細節的攔截,19世紀的時候我們可以通過解密電報電碼進行防衛,20世紀的時候有了無線電和電話通信,但現在網路空間不只是這麼簡單的通信技術,整個數字世界是互聯的,與很多關鍵的工業控制系統、金融系統、生命維護系統和其他的一些系統密切相連,這些都有可能會受到攻擊,從而有可能被損害。在這類行為中,從來都沒有過一個國際的準則,這種網路攻擊可能性不斷提高的現實是存在的,每個國家都在採取措施來保障和促進他們的資訊安全,但問題不在於數字技術,問題不只是在1和0之間演進,或者是通過比特,或者是通過字節以及平臺演進,問題是在於人。我們的領導者如何就這個方向進一步做出努力,那麼全球的公民如何來在數字的空間裏進行關注。

  一個國家在解析這種秘密攻擊的時候,有的時候面臨的攻擊是針對他們的工業控制系統和基礎設施的,到底這算不算一種戰爭?

  被攻擊的國家是不是可以響應這樣的數字攻擊,到底這算不算是一種常規的軍事武器,這些都是從我們當前世界涌現出來的政治和軍事的問題,可能也在我們不遠的將來仍然作為一個沒有辦法處理的現實,但我相信一切的中心就是國家的利益,各國可以找到一個共同的基礎以及共同的利益,使他們彼此之間可以實現在數字領域的合作並聯手。

  針對一些這種攻擊的行為是可以一起來聯合採取行動的,來打擊有組織的犯罪,需要依靠公司和我們的公民,一些恐怖主義分子,在進行這種金融系統犯罪以及洗錢,雙邊和多邊的努力是幫助我們克服這些數字方面的問題時在國際範圍內的首要選擇。

  我們既不能幼稚,也能不憤世嫉俗,這種問題有時候就算能夠成功的解決。政府和私營組織應該是一起進行防衛保護我們的基礎設施,很多基礎設施大多都是政府擁有,但是由私營部門來進行運營的,在美國有85%的關鍵資産是由私人擁有的。

  我覺得關鍵基礎設施的定義通常都是普遍性的,在中國、美國或其他國家都是一樣,他們是一些系統或者是資産,有虛擬的,也有實體的。對他們的損害和傷害將會對於國家和經濟安全造成不可估量的損失。這些都是顯而易見的,前面的幾位演講者也都提到過。就像是一些金融服務、電信、交通、能源等等的行業,在美國保衛關鍵基礎設施就意味著公眾以及私營部門應該共同負擔起責任和義務,這一新型關係的奠基石是在2013年2月份奠定的。

  奧巴馬總統簽署了總統令,題目稱之為“改善關鍵基礎設施的網路安全”,最重要的網路安全標準中的三個重要組成部分是資訊分享、管理以及監管委員會,我們希望政府能夠實現這些目標,同時又不損害公民的自由和隱私。

  美國的標準以及技術全國委員會也是有責任進一步與私營部門進行合作,來進行運營檢查和實踐檢查的藍圖,從而能夠成為公司業務以及網路風險管理戰略的一部分。美國建立了這個網路標準,它是需要來識別並且能夠檢查風險,保護基礎設施,同時能夠來創建能力,來響應或者説是在出現攻擊的時候,讓我們在損失當中儘快恢復過來。

  不同的一些政府機構也都有監管的責任,他們在16個不同的經濟部門,包括一些與這些關鍵的全國相關的資産密切相關,無論這場戰爭是在地面打響,還是在數字空間我們的防衛者必須有足夠的信心才能夠進行防衛操作,就像你是士兵或一個公司的首席運營官、首席技術官,你都應該要注意到當前我們對這個現象的意識,對於情況的意識是一個重要的組成部分,並且我們也有一些聯邦機構也在獲取一些相關的資訊,包括與私營部門一起來識別某一部門行業的風險,並且還有一些關鍵基礎設施有可能出現的問題。

  美國建立起了資訊分享中心,在這個分享系統中企業可以分享資訊,這些資訊包括實體犯罪以及網路風險,而且總統令也是及時能夠提供更多的資訊,從政府到私營部門。同時,它也解決了聯邦政府的雙重責任問題,這裡包括向提供保護國家安全的同時又能夠保衛我們的公民的隱私和他們的市民自由。

  在一個多重任務的時代,大家在同時都可以做兩三件事情,那麼對於美國的政府來講,同時要負責的事情就更多了。您和我都明白,人們在因特網互動的是作為用戶、市民而存在,大多數的公民都沒有意識到政府和商業部門掌握了他們的個人資訊有多少,有一些資訊是法定規定的,有很多是這種自願性的,是的,有一些也是被不正當獲取的。

  聯合國人權委員會在幾年前就提過這個問題,那也是第一次確認了在數字範疇內的權利也應該獲得在實體事件中一樣的保護,擁有一樣的權利。這次委員會會議中的一位參會者德國的大使漢斯舒馬赫先生專門提出,每個人都有權獲得私人範圍,無論是在現實還是在虛擬的空間中。所以,他也是呼籲全球社區能夠在數字時代裏,在法定的公眾和安全關注點,以及基本的人權隱私中取得平衡,這一國家和公民之間的關係,隨著時代的發展發生了巨大的變化,現在政府的功能也變得越來越透明化,政府也有很多的合法理由而去獲得一些個人的資訊。

  Twitter等社交網路的與公民們所在的現實社會越來越深的結合,這些也是讓我們感受到前所未有的威脅。人們所使用的手機等設備每天都在使用當中,它知道你是誰,你在幹什麼,甚至在那一刻你在想什麼。所有的這些資訊都被收集、分類、分析,用於整個的數字網路裏面,甚至因為經濟社會、國家安全將個人作為攻擊的目標。那麼我們知道這一切都是數字的,都是數字的就意味是可以獲得的,所以,我們也是知道在美國是非常珍惜隱私的,我相信中國人也是這樣。

  為了保護我們公民的自由和隱私,顯然這是作為我們美國的這一屆政府以及國會的關注點之一,為了能夠響應像2001年的9.11類似的一些這種事件的攻擊,我們的國土安全部也是創立並且首次實現了這種法定的隱私辦公室的成立。美國現在也相信無論技術在識別恐怖主義者攻擊能有多麼早,無論他們開展怎樣的攻擊,我們都將儘自己最大的努力來保護公民的自由以及保護我們的國土安全。所以,隱私辦公室不光要認真分析資訊如何獲取和分類,如何進行這種私人資訊的訪問,在什麼樣的情況下得到訪問。

  為了總結美國的一個具有標誌性的人物,本傑明•富蘭克林曾經説過,如果一個人願意放棄自己的自由而獲取安全,這個人是不會這麼選擇的。所以在整個有限的空間裏,政府對於私人一些資訊的獲得,是在這個數字的危險的時代裏永久的挑戰,技術必須是作為政府的打擊威脅的工具之一,但無論是怎樣的一種本質的威脅,我們永遠都不應該使用武器來指向我們的公民,我們現在正在慶祝當今時代給我們帶來的優勢,有將近40億的設備目前連接在因特網上,真是一個物聯網的時代,這樣的空間沒有辦法停止,也沒有人能夠預測。

  財富雜誌剛剛進行了一個預測,在本世紀末將會有110億設備連接到網路。我最近也是剛剛在報紙上讀到,現在的存儲比經濟發展的速度更快,甚至電腦處理能力的發展有9倍的增長速度,就像大數據時代的作者曾經説過,變革不是在網路中,而是在如何使用它。大數據的分析已經減輕和進一步貢獻高效率、更有生産能力的農業,以及改善人類的健康水準,更加安全的交通,更加清潔的環境,這些確實是無限的數字時代的潛在的實際的收益,我們在慶祝這些正面的,但卻不應該忘記一些負面的影響。

  數字的聚集和分析不是我們關注的唯一的中心。使用複雜的演算法給我們帶來了一些優勢,但也可以更好的進行個人的一些行為分析和預測。我們有時候要分析一些具體的行為,對於政府來講必須要非常謹慎地順著這條路往下發展。

  數據的聚集和分析不是我們唯一關注的點,更重要在於它的使用,必須有這種規則讓我們能夠限制進行數據的獲取以及它的使用。在美國,這已經寫入了我們本國的一些法規,有人覺得照片是會盜取人們的靈魂,在整個的資訊時代裏,我們也看到我們的數字靈魂也在隨處散步。我們必須要警惕,政府有時候會收集一些資訊,但不會盜取我們的靈魂,隨著每個國家和個人不斷調整他們的一些數字關係,政府和私營部門也必須要去修改他們的這種關係來更好的貢獻于經濟以及國家安全。

  沒有政府和實體能建立一個毫無缺陷的防禦系統,他們會首先利用自己的優勢來採取舉措,所以他們需要滲透一個切入點進行襲擊。所以我們現在考慮到破壞者的頑固不化,他們的耐力和能力,我們必須要確保我們能夠有更好的方式和方法來控制、抑制他們的破壞行動以及隨之産生的一些惡果。

  不像颶風、恐怖主義襲擊和其他潛在的破壞行為,他們會破壞我們政府的運作、企業的操作,網路襲擊是一個24小時×7的威脅,在數字年代是無法避免的。因此我們必須要創造一種彈性文化來克服這樣的問題。所以,我們可以看到在我們的主題中,我們必須要有這樣一種意識,我們認為在二十世紀的時候,艾德沃克德爾明(音)就引進了一個全新的理念,那就是要有整體的品質風險控制的理念,這不僅是一個實踐操作方式,也是一種運營的方式,我們的企業界現在受到挑戰,從每一個關鍵來看都需要一個連接點,這樣能夠把他們的績效和品質進行匹配。每個人都在其中,不管是你的僱員、供應商還是服務商都有高效能的産品才能確保我們終端産品盡可能的良好,我們沒有捷徑,我們每走一步都是能夠認為增強我們産品管理和克服失敗的潛在的源泉。

  現在我們也在不斷的致力於我們的産品品質的提升,在整個企業的組織管理中都是一樣,所以,我們認為整體品質管理是非常重要的,在市場環境當中全球範圍內,都必須要去遵守的一個理念。所以,現在我們可以看到在二十一世紀尤其如此,我們需要這樣一個關鍵點,每個人都不能逃離這樣一個大的環境。包括我們的員工、買主、供應商,所有這些人其實都會有最高的一個可能性,來確保我們的安全實踐、確保我們所有的産品都能像我們想像那麼好,沒有彎曲之路,每走一步都應該沿著這樣一個方向前行,這樣我們才能夠克服掉失敗。所以我們要致力於産品的控制,在每個實體和組織中都是一樣的。

  這對我們的企業文化來説是非常重要的,在上世紀當中一個革命性的理念,市場其實都會回饋那些能夠採用最佳實踐做法的人,他們會懲罰那些否定做出改變的人。

  最後一點,我們可以看到黑天鵝事件隨處都在,由於受到恐怖事件、網路襲擊都是一些潛在的威脅,不僅帶來了破壞,而且是毀滅性的後果。現在很多組織都富有彈性,作好了準備進行調試,而且是應對這些威脅,因此,沒有辦法認可和進行改變的人就有可能被淘汰掉。沒有通過網路數字連接進入到網路的人將會進行思維方式的改變,採取最佳實踐的做法。

  獲得網路現在有各種各樣的方式了,不管通過哪種渠道我們可以看到都存在一種潛在的脆弱性。現在我們看到由於網路的出現,實體企業專署資訊的保護、個人資訊系統的維護都是非常脆弱的環節,我們需要多種連接端點進行24×7的警戒和保護,如果沒有安全系統就會導致防衛的破壞,我們需要持續進行運營和克服這種攻擊。

  在美國企業界的領袖們都在擁護這樣一個新的思維方式和方法,網路安全經常被認為是企業面臨的風險而不是一個IT問題。領袖們最終也認識到這一點,網路資訊是真實存在而不是虛擬的,越來越多的公司也開始整合他們的資訊技術、運營技術和消費者技術,能夠進行一個整合的、統一的網路安全計劃並執行起來。安全現在已經越來越重要了,很多的企業他們都已經進行更廣泛的網路教育,成為他們的企業文化的一個部分。之前,可能是一個新興或者邊緣的問題,現在卻建立了一個新的關係網路,與政府建立起來。所以,我們認為這種領域和角度的防衛系統正在讓位於整合性戰術的建立。

  我還想提醒大家,其實我們可以看到像達爾文所説的適者生存的方式被人誤解,他是英國非常知名的自然學家和地理學家,我們可以看到他所説的適者生存並不是為了更快、更強、更明智,而是為了適應和改變。我們的企業也應該做到適應和改變,這樣才能開發出一個能夠隨時進行風險通知的流程,能夠持續不斷的進行流程的改善,安全的升級和彈性文化的持續運營。我們的目的是為了有更強的連接性、互通性和依賴性,這樣我們能夠進行數字危險的管理,而不是讓危險管理你。

  毫無疑問,在我的腦中,當然我們在座所有的人士都是專業人士,有技術專長和專業知識,在網路中我們擁有各自的專業知識,但現在我們要認識到一個全球性的新的萬維網的環境下,我們這種彈性文化多麼重要。所以,我相信大家已經可以看到這是一個日益複雜和威脅的世界,數字網路已經遍及全球,就像我們知道的一些,在我們所有的數字終端和設備、伺服器、路由器和其他的工具面前,我們需要政府上百上萬的企業和更多的人能夠從中受益,而不是遭受到威脅。

  我們現在可以看到,所有人都是依賴於我們的網路世界,所以,大家都是相互連接的,都是依賴於我們的數據網路而相互連接。現在萬維網創造的這種高度的脆弱性都有其重要性,這是我們必須要充分理解的面臨的這樣一個世界。我相信沒有任何的政治領導者或者業務的執行官,甚至是我們的市民,能夠忽視現在我們網路連接性的深度和廣度,當然我覺得現在這一點是越來越重要了,那就是我們現在已經通過各樣的渠道讓全球各個地方的人都能理解到這一點,我們是相互聯繫在一起的。

  我們能做什麼呢?不管我們做什麼,不管我們在哪?我們都應該意識到這一點,以及我們要不斷的進行現實性的使用網際網路,我們都知道世界是充滿了一些非常糟糕的邪惡的人士和非法的操作者,我們必須共同的努力來合作,來戰勝他們。我們不斷被人提醒,那就是誰又受到了襲擊,誰又受到了損失,我們不能只關心自己的利益,我們還要關心其他身邊人的利益和受到的襲擊。這就是一個高度連接的世界的屬性,我們不能只關心自己。如果説我們只關心自己,不關心別人,誰會贏這樣一場大戰呢?所以我們的答案就是我們必須要共同的合作,在這樣一個複雜的道路上進行長期的友好的合作,這是我們的責任,我們的子子孫孫,我們孩子的孩子,接下來好幾代人共同的責任,不僅僅是我們這一代,包括我們的孩子也是一樣的。我們不是從祖先那裏繼承了地球,我們其實是從孩子那裏借來了地球,我們應該思考能夠給孩子留下什麼,我們還應該給他們回饋或者是給他們一個更好的、更安全的地球。也就是給他們提供更好的經濟形勢和更好的自然資源,就像一個諺語中説的,千里之行,始於足下。

  非常感謝大家,能夠讓我們和大家一起開始我們的第一步。

  • 股票名稱 最新價 漲跌幅