安全辞典:何谓国家关键性基础设施?
作为继2010年被发现的针对伊朗核设施之Stuxnet“震网”攻击后的第二波关键性基础设施网络攻击活动,最近发生的乌克兰电网入侵案件引发美国政府高度重视——这意味着美国国内电网也同样面临着遭遇网络侵袭的可能。
“此次事故中的一切手段都同样适用于美国电网,”美国空军前网络战行动主任兼关键性基础设施安全厂商Dragos Security公司联合创始人Robert M. Lee在接受《连线》杂志采访时指出。
关键性基础设施随着Stuxnet的出现而成为全世界关注的焦点,而且我们已经可以肯定的是,众多用于保障社会运转与正常秩序的重要系统——例如供水、发电、炼油等基础设施——都存在着安全漏洞。在特定情况下,黑客完全能够通过互联网成功实现入侵。
不过就当下的标准来看,关键性基础设施的定义应该是怎样的?
关键性基础设施是指任何在国家安全与运转体系中扮演重要角色的系统或者设施。政府已经确立十六个行业符合所谓关键性指标,其中除了水力与供电等常规行业外,还包含以索尼影业为代表的各好莱坞电影制片厂。
从广义角度讲,关键性基础设施是指具任何在国家安全与运转体系中扮演重要角色的系统或者设施。大多数人首先想到的应该是电力以及水处理工厂等设施。但事实上,政府做出的关键性定义涵盖了相当广泛的行业与设施范畴。
美国政府实际上已经将十六个关键性基础设施门类定义为重要的国家职能性组成部分,因此它们都面临着潜在的攻击风险。通过大致分类,具体行业包括:化工、通讯、商业设施、关键性制造、水坝、国防工业部门、应急服务响应与恢复、能源、金融服务、食品与农业、政府设施、医疗卫生、信息技术、核反应堆与材料、交通系统、供水与污水处理系统。
从表面上看,这些入选行业似乎并不会引发什么争议。不过令人们倍感惊讶的是,自2014年索尼影业遭遇黑客攻击之后,美国政府认为娱乐企业同样应被归属于关键性基础设施,因为电影制片厂可以像酒店、游乐园、会展中心以及体育场馆等一样被划入商业设施这一保护类别。很明显,不少人对政府的这项评估意见表示反对。
“这样的结论真的让我有点想笑,”美国国土安全部前副助理国务卿Paul Rosenzweig在得知这一消息后写道。“如果好莱坞遭受攻击,美国并不会陷入崩溃。
如果一切都被划归“关键”,那么也就没有所谓“关键”了——美国国土安全部前副助理国务卿Paul Rosenzweig
对于关键性基础设施的定义非常重要,因为尽管这一定义之下的相当一部分设施实际由私营机构持有,但政府仍然需要出台相应举措以避免其遭受攻击。“从武装攻击到外国军队到国际恐怖分子的物理入侵,对关键性基础设施加以保护以避免其遭受破坏是联邦政府的核心职责所在,”2009年的美国总统网络安全报告指出。其中自然也包括数字化层面的攻击活动。
美国总统奥巴马于2015年签署了一项总统令,允许美国政府对参与破坏性网络攻击或者商业间谍活动的海外个人给予经济制裁——这明确显示出政府对于保护自身关键性基础设施的严肃态度。
当然,制裁只会被应用在危害后果达到一定水平的大型攻击活动当中。举例来说,其必须直接危害到“国家安全、外交政策、经济健康或者美国的金融稳定,”这份总统公告指出。不过具体危害阈值也适用于通过大范围DDoS攻击造成的计算机网络破坏或者窃取金融数据、贸易机密或者知识产权等对国家经济稳定性造成严重冲击的行为。另外,这类制裁举措只适用于美国能够准确定位攻击活动之具体来源的情况下,包括特定国家或者团体。这项法令还允许美国政府对经由此类攻击活动使用并接收所窃取数据的个人及实体给予经济制裁。举例来说,雇佣黑客从竞争对手处窃取数据,从而实现市场优势或者购买机密信息的企业将遭受相应制裁。
这一系列举措会对关键性基础设施的预防性保护带来怎样的影响尚不得而知。由于大多数关键性基础设施由私营部门所掌握,美国政府无法强制相关行业或者企业遵循特定安全措施。不过其中也存在例外,即各受政府监管之行业,例如金融、医疗卫生与核工业等等。对于其它行业,政府能够采取的举措只有鼓励其推行最佳实践、与其共享威胁情报并在攻击活动发生后提供取证与恢复协助。美国政府还可以利用自身情报力量帮助对方识别入侵并抵御恶意攻击,不过需要承认的是,政府在这方面的执行能力仍然比较有限。
但这并不意味着企业自身无法采取各项步骤以保护民众高度依赖的关键性基础设施。去年12月入侵乌克兰配电中心的黑客就通过关闭电闸导致超过23万名客户在严冬中身陷黑暗。而他们之所以能够实现这一目标,是因为他们几乎没有受到任何阻碍即顺利由面向互联网的配电中心业务网络跳转至用于员工控制电网体系的关键性生产网络。正如攻击发生后Lee在《连线》杂志采访中所指出,美国的系统在面对同类攻击活动时也将毫无抵抗之力。
E安全/文 转载请注明E安全
新朋友请关注「E安全」
微信搜公众号EAQapp