此前数名候选人都曾拒绝了这个职位,很难找到可以同时令白宫国家安全小组和经济小组都满意的人选,因为这两个团队都希望对挑选过程拥有发言权。在这种情况下,施密特成了“为数不多”的合适人选之一。
“网络安全是我们面临的最为严重的经济和国家安全挑战之一,”美国总统奥巴马曾说。
早在2009年5月,奥巴马就宣布在白宫设立网络安全办公室,并任命一名网络安全协调主管,负责制定今后的国家网络安全战略。然而,直到2009年12月22日,白宫才在一长串外界推测的候选名单中公布了最终人选。霍华德·施密特,这位前eBay和微软公司的高管,从此多了一个称呼—“网络沙皇”。
“网络安全事关国家安全、公共安全、个人隐私和自由,”美国白宫国家安全事务顾问约翰·布瑞南在宣布此次任命的时候说:“施密特将定期与总统奥巴马会面,并成为国家安全小组的重要一员。”
游走军政商界
“我将在网络安全相关领域信任这名官员,他会得到我的全力支持。当我们遇到这方面挑战时,他负责定期向我汇报。”早在几个月前,奥巴马就这样评价国家网络安全协调官的职责。
作为一个直接对国家安全委员会和美国总统负责的网络安全机构,白宫网络安全办公室凌驾于军队和政府情报部门之上。其负责人可以直接和总统进行沟通,讨论国家安全事宜。美国退役空军将军达勒·梅伊尔罗斯认为,政府机构需要改进使用电脑系统和维护系统安全的方式,奥巴马政府应给予“网络沙皇”解决这种问题的权力。
尽管如此,白宫还是花了超过半年时间来考虑 “网络沙皇”的人选。
2009年8月,代理“网络沙皇”的梅利萨·哈撒韦,更是因为无法推行必要的改革措施,宣布辞职。白宫网络安全计划还未正式开始,便遭到了不小的阻力。
据《纽约时报》分析,白宫迟迟不任命“网络沙皇”,是由各种政治、军事以及商业部门利益纠纷造成的。由于政府大力支持网络安全权战略,每一方都希望这个负责人能够代表自己的利益。因此,能胜任“网络沙皇”职位的人,不仅需要在政治上游刃有余,还必须在业界拥有较高的影响力。
据《华尔街日报》报道,此前数名候选人都曾拒绝了这个职位,很难找到可以同时令白宫国家安全小组和经济小组都满意的人选,因为这两个团队都希望对挑选过程拥有发言权。在这种情况下,施密特成了“为数不多”的合适人选之一。
“他(施密特)在政府、商业和执法等领域拥有40多年的工作经验。”美国白宫宣称。而美国司法部计算机犯罪部门的查尔尼也表示,在政府工作期间,施密特赢得了“达成共识者”的声誉。不仅如此,相关人士还对媒体透露,施密特也是白宫经济顾问的优先人选。
“施密特的任命,实际上是对各种利益的折中。”《纽约时报》评论道。
曾为FBI效力
作为最早致力于网络安全研究的人士之一,施密特的履历非常丰富。拥有军方、政府和商业机构的多重背景。
曾在军队服役的他创办了美国空军第一个计算机取证实验室。他还效力过美国联邦调查局,专门研究网络犯罪。他的妻子也是一名计算机专家。在公司方面,施密特先后担任微软和电子湾的首席安全官。
“9·11”事件后,他成了布什政府的白宫网络安全顾问,一度成为政府的得力智囊。而在此次任命前,施密特还是一家信息安全论坛的主席,该组织是一个非营利性企业联合会,由300多家的大型企业和公共事务组织组成。可以说,不管是军方、政府,还是商业组织,施密特都能够游刃有余。
尽管如此, 《华尔街日报》分析,上任后的施密特可一点也不轻松。他不仅要制定民用和商业网络安全准则,还必须触及一系列政治敏感问题:包括是否制定行业规则,要求实施网络安全措施;对法律进行整理,限定网络攻击何时成为战争行为;提出应对网络犯罪等国际性问题的建议。
除了在国土安全部和国家安全局等机构间规定职能和分工外,整合美国国土安全部和五角大楼等机构的诸多网络安全项目,也是施密特的任务之一。
新任“网络沙皇”的前任代理,美国国家安全委员会和国土安全委员会负责网络事务的高级官员梅利萨·哈撒韦说,施密特的团队可能已经错过了在2009年12月31日之前完成他们提出的前十项建议的最后期限。这些建议包括与私营行业协作以及制定国际政策等初步举措。
“不管是否乐意,施密特都得面临最后期限,” 哈撒韦说。
“美国是世界上第一个引入网络战概念的国家,也是第一个将其应用于战争的国家,” 中国国务院发展研究中心研究员、信息安全领域专家陈宝国在接受媒体采访的时候表示,“从克林顿政府开始,美国就着手信息安全领域的战略部署,把信息安全提升至美国国家安全重要组成部分的高度。”
2009年秋,美国国家情报总监办公室发布了最新版的《国家情报战略》。作为奥巴马政府上任后第一份正式国家情报政策报告,《国家情报战略》对网络安全战略给予了极大的重视,加强计算机网络安全明确成为了美国情报机构的重要任务之一。
“奥巴马政府希望给予网络安全更多的重视,继续发展美国情报界的技术优势,”美国传统基金会研究员成斌对《华盛顿观察》说,“网络安全和反间谍的技术需求一直都是美国情报战略的重点,也是其他国家非常重视的情报工作。加强网络安全是信息时代的要求,包括计算机、芯片、互联网络、电子系统,所有这些设备的安全性能和先进程度都是各国情报发展战略不能忽视的,近年来,更是备受重视。”
不仅如此,报告中还特别提及了中美之间可能发生的紧张形势。对此,美国哥伦比亚大学战争与和平研究协会主任理查德·贝茨在接受《华盛顿观察》采访的时候分析说:“不可避免的事实是中美之间的战略合作极为有限,但是对双方潜在冲突的长期担忧不太可能马上改变。”
“中美应该有可能进行正面合作,发展和平关系,进行有限的军事交换,继续分享互利的情报,比如在反恐方面,”贝茨补充道。
考验“协调”能力
不过,也有分析指出,由于美国现有的网络安全部门结构非常复杂,各部门之间存在职能上的冲突,奥巴马和施密特如何就网络安全的职能划分,在军事机构和非军事组织间达到平衡,将会是未来的一个巨大问题。
据了解,除了白宫网络办公室这个负责总协调的部门以外,美国参与网络安全相关的活动主要有三个部门:国家科学基金会、国家安全局和国防部。
国家科学基金会主要是支持非保密网络安全研发和教育的机构。国家安全局在研发网络安全技术以外,还担任协调网络安全作战的角色。而国防部作为主要的研发机构之一,不仅要研发相关的技术,还要制定网络作战计划,比如设计在网络攻击和恶意入侵下仍需保证安全无线战术网络。在职能方面,也存在着一定程度的重叠。
2009年6月,美国国防部长罗伯特·盖茨授权建立网络司令部,这是第一个专门用来协调武装力量和五角大楼所属的计算机网络安全和作战的军事组织。由于盖茨计划让前国家安全局的基思·亚历山大中将担任网络司令部的负责人,一度引发各界的批评和争论。
罗德·贝克斯琼,美国前国家网络安全中心主任就抱怨道,美国国家安全局支配了大部分国家网络安全事务,甚至开始对其他各部门的网络安全事务进行所谓的“有效控制”。在他看来,这种权力过于集中于一个部门的做法,并不利于网络安全的维护。
2010年,各个部门都将增加网络安全的研发经费和预算。如何避免在未来出现利益冲突,将是“网络沙皇”不得不仔细考量的问题。
霍华德·施密特在2008年成为信息安全论坛的主席和首席执行官。日前,他在温哥华接受了TechNewsWorld专访,而温哥华也是信息安全论坛第20届世界大会的举办地。以下便是他接受专访的主要内容:
TechNewsWorld:在此次大会上,您对机构成员有什么教导和要求,以使他们更好地应对最新的IT安全威胁?
霍华德·施密特:我认为这和我们在世界范围内处理的其它事务相比有很多共性。不管是北欧的小国还是发达的西方国家,网络袭击的方式都是一样的,其解决方式也是一样的。从技术移到风险排序管理,这在我们所有成员中都是一致的。
TechNewsWorld:互联网是美国的发明,世界上顶尖的互联网精英大都在为美国公司工作。因此,会有一些国家在处理网络安全方面跟随美国步伐,您也这样认为么?
霍华德·施密特:不,这完全不同,事实上,这很有趣。开始时人们掌握了技术,然后人们把这种技术提升了一个层次到达信息技术,最后,人们又把信息技术提升了一个层次到达信息安全空间。我认为全世界的人们在这个过程中都显示出了不容置疑的智慧。我想其中的不同在于,美国采取措施应对信息安全领域问题,其他国家在铺设基础设施的时候也在看美国如何处理这些问题。随后,这些国家表示:“我们不愿意采取同样的路子,我们需要采取另外一种不同的方式。”举个例子,加强核实——使用用户ID和设置密码的想法有着很大问题。因此他们会走上别的路子。
霍华德·施密特:很显然,互联网上的坏蛋和5年前相比已经大不一样了。随着互联网越来越成为了一种经济载体,互联网和社会其它层面基本没有区别了,那些坏蛋当然也知道这一点。他们会通过网络偷盗你的钱财,而不用到你家附近或是被逮捕。当你诉诸国际法时,有的国家会有互联网犯罪和诈骗方面的法律,另外一些国家在这方面却还处在起步阶段。因此,情况大不一样。
另外一个我想谈的问题是,你如何防护网络犯罪和诈骗?这取决于IT系统的防护性,你自己、国家或者公司在互联网上的花费。美国一直是网络钓鱼者和诈骗者的目标,因为美国在网络上的花费很大。现在,其他国家会说:“我们会根据GDP的大小相应地在网络上进行投资,但是我们不会给那些坏家伙可乘之机。”另外,黑客在网络攻击时也更有针对性和组织性了。
TechNewsWorld:越来越多的公司转向了云计算服务。在云计算中我们的数据代表着我们对更多人的信任。你可以通过智能手机这样的无线设备来获取云中的数据。在我看来,公司应该有义务去确保云数据的安全。您认为那些公司对此事的态度认真么?
霍华德·施密特:我们论坛的这些成员都在这了(温哥华)。这是一个经济不景气的时期,但我们的成员都来了。这说明这些公司愿意派遣职员来参加这次会议,他们对此事的态度很认真。
我想具体说说云计算。过去几年里我们对网络病毒,恶意软件,核实认证,ID失窃等有了相当的经验。现在,云计算来了,并表示不会再去经历这些。因此,当他们签订云计算协议的时候,他们想得到的是良好的加密效果,想确保在云计算中有特定的明确他们数据去向的界线。
http://www.whitehouse.gov/blog/2009/12/22/introducing-new-cybersecurity-coordinator