国家如何引导企业为安全投资

Greg Garcia于2006年9月接受美国国土安全部（Department of Homeland Security，DHS）长官Michael Chertoff任命，担任美国最高网络安全长官，此前这一职位已空缺一年多，他是第一位国土安全部负责网络安全和电信事务的部长助理。由于这一职位拥有很多职权，因此这次提拔相当重要。据Garcia说，前任长官任职失败的部分原因是施政缺乏高度。

他自述的使命并不让人感到吃惊，尤其是考虑到他曾经在美国信息技术安全协会（Information Technology Association of America，ITAA）担任主管的专业背景。例如，Garcia要求议会探寻一个能够促进安全技术采购的方案，但并不是行业规则。他反对行业规则，反对在加密技术中预留后门以供法律执行机构查看犯罪嫌疑人的加密文件。

Garcia一直在努力建立私营企业的安全监管员与政府监督员之间的联系，继续进行公众和私营集团之间的对话。请看CNET News.com对他的采访。

记者：现在您上任已将近六个月。在刚上任的第一个星期，您曾经说过感觉自己就像一台笔记本电脑正在从超级计算机上下载东西。现在您的感觉如何？
Greg Garcia：现在我觉得自己就是一台超级计算机。今年我们已经取得了一些进步。当我说自己好像一台从超级计算机上进行下载的笔记本电脑时，那是因为网络安全和电信工作是如此的繁重，那是一个适应官僚机关作风的过程。但是在2006年12月中旬，我向部长陈述了我的工作目标，他表示理解，并让我放手去做。2007年年初，我的领导小组已经就位，所以我感觉机构更为完整，我们拥有强大的技术力量以及拥有多年管理经验的人才，所以现在我信心十足。

记者：您是第一位得到提拔并获得助理部长头衔的技术专家。助理部长这个职位对您来说重要么？这能不能让你的工作进展的更顺利？
Greg Garcia：我在上任第一个星期就注意到了。我认为大家期待的是关注网络安全和电信事务的人，是一个真正能够坚持要求私营企业承诺投入资金进行类似国家风险评估或者与政府就运营能力方面进行合作的人。

过去存在很多问题是因为从来没有一个人能站在这个高度对这些问题进行管理。由于没有一个具有足够影响力和权利的人真正关注这些问题，所以对这些问题的解决向来是三天打鱼，两天晒网。不仅仅DHS内部如此，整个政府部门都是这样。我可以说我能够解决这些问题。当人们终于认识到时，他们就十分期盼。

记者：您计划呼吁议会考虑一种能够鼓励民众增强安全投资的方法？什么样的鼓励能够刺激安全投资呢？
Greg Garcia：股东们有各种各样的业务模式：金融服务企业，银行业，保险公司等等。要用什么方法才能让他们愿意在信息安全技术以及相关培训方面投资100万美元呢？我认为议会在此有不可推卸的责任。哪些现有法律阻碍了安全投资？应该制订什么样的法律来促进市场上的安全投资？是保险吗？应该有比保险更好的方法。能不能考虑用税收手段进行鼓励？让肯负责的人能轻税务负担？

议会和私营企业已经讨论过很多不同的想法。我希望他们能合作一些。我们所要做的是找到安全投资与企业回报之间的关系。

记者：最终您希望议会能够在某些方面找到让企业、组织机构和大学更感兴趣的安全投资方式？
Greg Garcia：也许与法律无关。我的想法是能用一种更系统的方法进行对话。就是对话本身也能使各方积极思考如何让企业进行投资并能切身感觉到投资的回报。

记者：是不是像混合动力汽车的那种减税政策？如果购买安全性高的计算机系统能不能获得减税，就像购买丰田Prius车一样？
Greg Garcia：非常类似。但是这种方法必须得到消费者的监督，如果你是我的消费者，你说：“你的系统是安全的我才会与你交易”，那么我就会更积极的考虑安全问题，而不会想着与破坏规矩的人或者网络破坏者算帐。很多事情都是由消费者驱动的，可能会与现有法律稍有冲突，如果议会能够出面解决，就能够提升投资。

记者：您和产业中的很多人一样，预计全世界范围内的通讯最终将会通过单一的以互联网协议为基础的通道进行，这种说法会不会引起人们的恐慌？
Greg Garcia：如果我们没有能够解决全部问题就会引起人们的恐慌。通过同样的管道来传输信息和进行交流将会提高企业管理效率，降低成本，提高生产力，使企业得到利益。这将是下一代网络，但是那样也会带来更多的漏洞。我们需要清楚的认识到存在哪些漏洞，并且在我们打造这一架构和建立更安全的环境之前的现在就采取措施。

记者：同时，您也看到了IT产业全球化带来的危机。
Greg Garcia：全球化非常好，就像网络融合一样，全球化大规模引入了新的效率和经济。当然，其中也有风险，因为你的设计、产品、包装或运输的应用范围越广，遭到攻击的可能性就越大。在美国有很多心怀不轨的黑客。许多我所接触过的全球性企业实际上都注意到了这点，并在员工离职程序，背景审查等方面进行了严格的控制。

记者：尽管如此，苹果在海外生产的iPod中还是夹带了一个Windows病毒。
Greg Garcia：所有企业都需要非常警惕。全球化本身并无风险，但最终要测试的不是在哪生产以及如何生产等。特别是当您的确拥有全球供应链的情况时，供应链中一定要有安全程序。

记者：您曾经谈到过您的网络监控中心US-CERT，是针对隐私问题的安全监控措施。这个监控中心能带来什么好处？
Greg Garcia：它能让我们获得真正的快速响应，在关键利益相关的参与者之间你需要可靠的信息共享。如果不能保证安全，我们就无法很好的合作，因此将他们的实体集中在一起是一个方法。

记者：硬盘加密日渐流行。Windows Vista有BitLocker，Mac更支持哪种加密方法？美国是需要更广泛地向民众推广加密方法，还是应该限制加密方法的使用？
Greg Garcia：加密是工具之一。DHS需要继续推进隐私保护方面的创新，让市场来决定各种方法孰优孰劣。

记者：当执行法律程序时，是不是会有可供法律执行机构访问加密文件的后门呢？
Greg Garcia：我们不想对技术市场指手画脚。我们想运用我们能够掌控的工具，以技术手段来对付技术手段。（责任编辑： 刘燕之）