【大纪元2012年09月21日讯】(大纪元记者程木兰综合报导)去年美国联邦航空管理局(Federal Aviation Administration, FAA)、美国国防部、以及ATM银行系统同时遭到有组织的攻击,嫌犯至今仍逍遥法外。这周,一位受挫的议会领袖因国会未能通过网络安全法案,以至自行发信至每一家《财富》500大企业的首席执行长(CEO),要求他们描述对自己企业计算机安全的处理。企业负责人在法律上没有义务回复该信件,但这显示了部分议员对企业加强网络安全相关措施感到担忧。
美国参议院商务委员会民主党籍主席洛克菲勒(Jay Rockefeller)“我们所面临的网络威胁是真实的、即时的,但国会今年没能通过立法,使国家至于日益受到灾难性网络攻击的威胁中。
参议院共和党上个月阻挠了白宫支持的法案,这法案拟为如电网、华尔街等运行重要基础系统的企业建立自愿性的计算机安全标准。共和党人说,该法案将置政府与企业处于对抗状态。
洛克菲勒的调查是促使企业采取更多的措施来保护他们的计算机网络,防御来自外部篡改、盗窃和间谍行为。参议员洛克菲勒去年说服了美国证券交易委员会SEC指定投资者报告书中得包括网络漏洞以及破坏性事件等风险。
在发出的信函中,企业CEO可看到8个问题,询问该企业是否以及如何做出网络安全保护措施,以及征询联邦政府应该在协助企业保护计算机网络中扮演的角色意见。
参议员洛克菲勒这回调查涵盖面相当广泛,《财富》500大包括运行各种行业,如电力、银行、零售及制造,其CEO被要求在10月19日前提供信息。过去,他曾征询较小范围企业信息,总能得到回复。
委员会发言人莫里斯(Vincent Morris)说,这项努力也是敦促CEO们更加注重企业的网络安全威胁。
洛克菲勒认为,这项立法失败主要是由于从商业游说团体的反对,他现在希望听到公司负责人的说法。
商会(Chamber of Commerce)曾公开反对白宫支持的措施。商会管理层抱怨这是依“政府主导管理的程序”建立网络安全标准,将会强加义务予参与的公司。
国家关键基础建设的计算机时时面临恶意攻击
美国,或许不如人们想像的那么安全。从电力网络、银行系统,到制造精密国防武器的制造商,这些单位用来执行国家关键基础建设的计算机,都面临来自不法之徒以及国家的恶意攻击。对于这些事件,有时人们或有耳闻;有时无从知晓。
强化国防、电力、财经服务、以及电信等关键基础建设,需投注钜额资金,或许还要多年的努力以及庞大的政治影响力。奥巴马曾表明他要达成此目标。.
据美国《CIO杂志》报导,部分的问题在于:政府与业界并没有彼此分享足够的信息。“政府需要了解:私人企业目前的安全处境有多糟,以及影响层面有多大;私人企业则需要知道来自外界的真实威胁有哪些。”
政府与企业仍在磨合
处理这类安全的问题,是件既昂贵又极度不讨好的工作。鲜少有人会因为事先预防了犯罪以及入侵而获得掌声。部分企业信息执行长(CIO)因政府太过投入于规范技术的标准及选择而神经紧绷。但由于计算机安全威胁与日俱增,库尔兹表示,现在要求企业以及政府有所转变的声浪已相应提高。
库尔兹是前任总统柯林顿以及布希的国土安全资深顾问。而所经营的Good Harbor公司的主要业务是安全与防范恐怖主义。
“只要有任何一个月,政府是在没有真正领导,以及没有任何决定性行动的状况之下度过,我们就等同失去了价值上亿美元的智慧资产。”库尔兹说:“那些维运电力、能源、石油、航空、军事运作的重要系统─目前均处于危险的状况。”
问题出在哪里?
去年11月,发生了FBI所谓“协同式攻击”事件,它专门针对大型城市的ATM机器下手。一个“犯罪组织”使用了100个假冒的雇员名册以及礼物卡,在30分钟之内就偷走了900万美金。FBI为此发布讯息,请求民众协助辨认在亚特兰大监视器所录下的男子影像。
美国的财经系统亦不遑多让,是业余或职业骇客所觊觎的目标。让人担心的是,专挑目标的攻击也同时会威胁其他17个被认定为重要基础建设的产业,包括能源、农 业、交通运输、电信、医疗、国防工业签约商,以及核武设施。随着企业透过Internet协同运作,以及核心的IT系统更需要仰赖公众网络,都导致系统安 全漏洞逐渐增加。
政府责任办公室(Government Accountability Office, GAO)表示:联邦以及基础建设的IT系统所受到的威胁“正不断演进及成长”。回报至US-CERT的安全事件数由2006年的5,500件,3倍成长至2008年的16,800件。(US-CERT是一间负责追踪安全事件的政府单位。)
骇客进入武器专案系统 入侵者来自中国
此外,在今年4月,政府官员证实,自从2007年以来,骇客已经潜入“联合攻击战斗机”(Joint Strike Fighter)武器专案的计算机系统中。官员告诉《华尔街日报》,骇客透过此专案的国防外包商获得存取权;此专案是由Lockheed Martin带领。藉由透过这些私人公司的进入点,间谍已经偷走了若干TB的设计及电子系统资料。据信入侵者位于中国。
督察长办公室 (Office of Inspector General, OIG)最近的一次稽核结果显示,今年2月,FAA的网站遭到入侵,导致48,000现有以及前任员工的资料外泄。OIG表示,骇客于2008年完全掌控了FAA位于阿拉斯加的计算机服务器,同时破解了位于奥克拉荷马州的管理者密码,然后成功窃取了40,000个航空总署的使用者名称及密码。属于稽核一环的 安全测试发现了763个高风险安全漏洞,部分漏洞可以让骇客透过远端直接对计算机下达可以将系统关闭,或者显示敏感资料的指令。
没有人能对网络防卫系统有足够信心
中央情报局CIA揭露,骇客藉由入侵国外某电力系统,造成该国电力中断。北美能源可靠度公司(North American Energy Reliability Corp., NERC)──也是全美电力工业最大的交易群──已经开始稽核各能源公司,目的要确保这些能源公司已将重要的计算机资产完成登录,同时计算机资产的安全性需符合联邦以及NERC的标准。在一封4月份寄给成员的信件中,NERC的首席安全官员警告:“针对一个(或多个)变电所的所有设施发动同步操弄攻击的情况是可能发生的。”
“我并非想要当一位末日灾难预言者。”吉利根表示。他是美国空军前任的首席信息执行长(CIO)以及SRA International机构负责通讯安全的前任主管。“但我找不到任何一个人,在完全了解真正情况后,又对我们自我防御的能力有足够的信心。”
