美国对网络安全加强的建议

承认你有问题是认真解决问题的第一步。这似乎是白宫最近宣布“加强美国网络安全”倡议的原因。

公告的文本包含几项声明，任何读过网络安全的人都会听过很多次：提高弹性、提高意识、对抗勒索软件攻击——不胜枚举。

文本也有一些新颖的方面，包括认识到网络安全不是，从来没有，也永远不会是可以在民族国家层面解决的问题。

白宫还指出物联网警告标签是一种解决方案——并提醒我们所有人（我们确实需要提醒）网络安全教育的重要性。让我们来看看。

国际合作至关重要

白宫声明非常明确的一个关键点是，网络攻击是不对称的，因为威胁行为者可以跨越国界而不受惩罚。同时，维权者通常会受到法律要求的限制，这些要求不允许按比例作出反应。

攻击者感到一种保护感，因为他们在家中享受较轻的监管和执法措施，同时他们可以瞄准地球上几乎任何地方运行的系统——无论目标所在国家/地区的法律执行力度如何。

只要这个问题没有在国际层面得到解决，任何找到的解决方案都不会比创可贴更好。白宫倡议在多个情况下正确地指出，北约等国际合作伙伴和组织将在网络安全领域发挥决定性作用。

这不是一个理想的解决方案。是的，国际合作伙伴共同努力将国防领域扩大到更接近问题规模的规模。然而，这仍然是一个效果有限的拼凑解决方案。

我们需要的是更像是一项真正执行网络安全法的全球条约。例如，想想国际海事法的影响。

尽管如此，共享有关威胁参与者、方法和新技术的信息无疑符合每个人的最大利益，并且如果启动得当，将能够更快地响应新威胁。

网络安全教育仍然很重要

加强美国网络安全倡议的另一个有趣方面是重点促进网络安全教育。正如我们不断痛苦地意识到的那样，网络安全首先是人的问题，而不是技术问题。

提高网络安全知识并教人们如何在私人和商业生活的各个阶段安全上网的基本知识，将在降低风险和降低任何不可避免仍会发生的事件的影响方面产生复合效应。

以 NIST 支持的国家网络安全教育倡议 (NICE) 为例。通过正式的框架、定期活动和时事通讯更新，它做出了巨大的努力。当然，没有解决方案是万无一失的，但每项举措的累积效应都会产生影响。

物联网设备的风险标签呢？

围绕物联网设备的新风险标签方案引发了激烈的争论。消费者网络安全标签旨在充当披露途径，类似于食品标签列出成分和营养分数的方式。

但是，对于消费者网络安全标签的有效性，尚无定论。新的漏洞一直在出现，因此当设备放在百思买的货架上时，半年前打印的标签有多准确是值得商榷的。

此外，如果没有足够的国际支持，标签计划可能会导致碎片化，就像 GDPR 所做的那样——因为一些网站现在选择简单地阻止来自 GDPR 覆盖区域的所有访问者，而不是尝试遵守 GDPR 要求。

还有一个问题是，标签可能只是攻击者的“点菜”菜单。如果标签清楚地指定了设备已采取的所有网络安全措施，它只会让攻击者更容易，因为他们可以通过跳过显然不起作用的攻击策略来节省时间。

这是一个循序渐进的过程

在通常很难取得任何进展的情况下，消费者网络安全标签是朝着正确方向迈出的一步。如果实施得当，消费者网络安全标签可能会导致整个互联网及其各种网络的安全状况得到全面改善。越来越多的网络安全教育计划也是如此。

但是，正如他们所说，魔鬼在细节中，而这些仍有待公布。得出的结论是，美国政府至少正在做出一些努力来帮助该国的公民和企业控制网络安全危机。

会足够吗？可能不会，但有些运动总比没有运动好。