波士顿大学计算机专家与联邦调查局讨论网络安全问题

哈里里澳门威尼斯人注册网站研究所所长Azer Bestavros最近向联邦官员简要介绍了波士顿大学正在进行的几个网络安全项目。 西德尼·斯科特摄

This is the summer of our cyber-discontent: earlier this month, the federal Office of Personnel Management (OPM) 披露了一次黑客攻击, believed to have originated in China, that raided personal data on 21.5 million Americans who had been subjected to government background checks in the last 15 years. 这被认为是美国政府系统有史以来最大的一次泄密事件，导致人事管理局负责人辞职，上个月发生的一起相关攻击导致400多万联邦澳门威尼斯人注册的信息被盗。

7月8日，波士顿大学的一位专家与政府澳门威尼斯人注册会面，讨论网络安全问题。 The OPM hack was not the subject of the discussions, says Azer Bestavros, director of the Rafik B. Hariri计算与计算科学与工程澳门威尼斯人注册网站研究所. But the 国防部 (DOD) and 国土安全 (DHS) are interested in several Hariri initiatives, including the 模块化的云安全方法 (MACS), a $10 million, five-year, 国家科学基金会–funded project to help develop information systems with several layers of security measures.

A professor of computer science at the College of Arts & Sciences, Bestavros also briefed officials on the 马萨诸塞州开放云 (MOC), a computing cloud Hariri is developing that he says will be more secure than other clouds. （在云计算中，用户可以按需访问共享的、大量的、场外的计算机资源。） 他说，有关波士顿大学项目的信息得到了官员们的“好评”。

但是今天 就他与政府官员的会面以及最近的网络安全漏洞，贝斯特夫罗斯接受了采访。

但是今天: 你与国防部和国土安全部官员的会面是如何进行的？

Bestavros: These meetings were 由我们的联邦关系团队组织 as part of our ongoing effort to evangelize BU’s computing and data-driven research, especially as it relates to research at the nexus of big data, cybersecurity, and cloud computing.

At the DOD, the discussions focused on how our MACS project and the 马萨诸塞州开放云 might provide operational cybersecurity capabilities for [supporting] the IT infrastructure for the DOD, and also on opportunities to better engage with the Army, Air Force, and Navy basic research offices. 在国土安全部，讨论的重点是与需要跨机构和企业共享大数据资产的应用程序相关的挑战，包括对数据安全和隐私的支持。

Were you surprised by the theft of government information on Americans who’d applied for security clearances?

我们的讨论中没有提到这件事，这件事一点也不让我感到惊讶。 这种保护系统的方法的问题在于它是被动的：我们等待，直到过时的系统被破坏，然后提供一些补救措施。 （两步）认证肯定比便利贴上的老式密码要好。 黑客入侵后对系统进行改进可能会让我们感觉良好，但如果我们意识到网络安全是有代价的，而且从一开始就为网络安全买单比在造成重大损害后再买单要好得多，我们的处境会好得多。 被盗的信息无法“恢复被盗”。

这次黑客攻击和之前的一次黑客攻击被认为起源于中国。 中国是黑客攻击的主要来源国吗？这些攻击是中国政府还是私人黑客所为？

我不知道，即使这种攻击的来源可以追溯到一个特定的国家，也不容易确定肇事者是否来自那个国家，更不用说政府支持了。 哪个政府？ 例如，在中国运行的僵尸网络可能被俄罗斯的黑客用来攻击美国的目标。 同样，美国的黑客可能会在你最喜欢的国家使用僵尸网络来攻击美国的目标。 

Tech companies and others are worried about a proposal to give the government a “back door” to their online data.

这个问题没有被提出来，因为我遇到的官员们关心的是国防部和国土安全部的运营挑战，而不是情报能力。 也就是说，我对此有强烈的意见！ 这是一个非常糟糕的主意，原因有很多。

首先，“后门”有办法变成“前门”。 如果我们不想让坏人突破我们的网络大门，窃取我们的数据资产或监听我们的通信，那么我们的网络大门越少越好。 此外，区分好人和坏人是主观的。 今天的好人可能是明天的坏人，总有偶尔的坏苹果在混合。 在这里，我注意到，即使是对这个主题的讨论也会伤害美国的科技部门——尤其是在云服务领域——因为如果人们认为存在主权风险，他们就有可能在国际合同上失利。

为了讨论替代方案，我们必须确保我们的法律跟上时代的步伐，为了实现这一点，我们的社会必须了解情况，以便推动立法者做正确的事情，而不是让技术人员凭借他们开发的软件，在没有社会参与的情况下，有效地支配土地的法律。

私营公司和个人在保护自己方面比政府做得更多吗？ 在网络安全方面，我们能从其他政府那里学到什么吗？

我并不完全清楚，在政府系统中发现的网络安全弱点，是否一定比在私营系统中发现的更糟糕。 与我们最终了解到的对政府操作系统的入侵不同，对私人操作系统的入侵可能对公众隐藏起来，或者仍然不为人所知。 此外，在网络安全方面，它总是最薄弱的环节。 事实上，对政府操作系统的入侵很可能是从对私人操作系统或员工个人手机的入侵开始的。 网络安全不是一个可以零敲碎打地解决的问题。

我们的MACS项目认识到一种规范的网络安全方法的重要性，这种方法允许系统作为一个整体的安全性来源于其组件的安全性。 这是一个雄心勃勃的目标，因为这样一个整体的方法必须利用广泛的专业知识，从纯和应用密码学和理论计算机科学，到低级硬件、网络、操作系统和分布式系统。