1月5日，美国商务部和国土安全部联合发布给特朗普总统的报告《增强互联网和通信生态系统对僵尸网络和其他自动、分布式威胁的恢复能力》，以响应2017年5月11日特朗普总统关于加强联邦网络和关键基础设施网络安全的行政命令^[1]。

一、减少自动、分布式攻击威胁所面临的六大机遇和挑战

报告认为，在减少自动、分布式攻击的威胁方面所面临的机遇和挑战可以概括为六个方面。

1、全球性的自动、分布式攻击。在近期的僵尸网络中，大多数被破坏的设备在地理位置上都位于美国以外。提高互联网和通信系统抵御这些威胁的能力需要与国际伙伴采取协调行动。

2、存在有效的防御工具，但没有被广泛应用。能够显著提高因特网和通信系统恢复力的工具、程序和实践是可以广泛获得的。然而由于多种原因，它们不属于各部门共同部署的产品开发，存在缺乏认识、缺乏成本规避、技术专长不足、缺乏市场激励措施等缺点。

3、产品需要在生命周期的各个阶段得到保护。在部署时易受攻击的设备、发现漏洞后缺乏修补工具的设备、或在供应商的支持结束后仍继续服务的设备，都使得装配自动化、分布式威胁变得极其容易。

4、需要教育和提高认识。家庭和企业客户、产品开发商、制造商和基础设施运营商之间的知识差距阻碍了使生态系统更具弹性的工具、流程和实践的部署。

5、市场激励失调。明确的市场激励与“大幅度减少自动化和分布式攻击所造成的威胁”的目标不一致。市场激励措施促使产品开发人员、制造商和供应商将成本和时间降至最低，而不是注重安全或安全更新。开发产品时，必须在安全性和便利性之间取得更好的平衡。

6、自动、分布式攻击是全生态系统的挑战。没有一个单一的利益相关者群体能够孤立地解决这个问题。

二、提高生态系统对自动、分布式攻击的恢复能力的目标和措施

报告确定了5个将大大减少自动、分布式攻击，提高生态系统对威胁的恢复能力的目标，并提出了每个目标下的具体措施。

1、明确建立可适应、可持续和安全的技术市场的路径

主要措施包括：①为家庭和工业应用中的物联网设备建立广泛接受的基准安全配置，并通过双边安排和使用国际标准促进国际化。②软件开发工具和流程可以显著减少商用软件中安全漏洞的发生率，工业界必须更广泛地采用。③工业界应加快发展和部署创新技术，以防止和减轻分布式威胁。政府应优先考虑研发基金的申请和技术转型工作，支持预防与减轻分布式拒绝服务（DDoS）的研发工作，并支持预防僵尸网络的基础性技术。④政府和工业界应进行合作，确保现有的最佳实践、框架、与物联网相关的指南以及确保透明度的程序在数字生态系统中得到更广泛采用。

2、促进基础设施创新，以动态适应不断变化的威胁

主要措施包括：①互联网服务提供商和他们的合作伙伴应该扩大当前的信息共享，以便在国内和全球范围内更及时和有效地共享可操作的威胁信息。②利益相关者和主题专家在与国家标准与技术研究院协商时，应领导开发一套用于DDoS预防与减轻的网络安全框架（CSF）概要文件。③联邦政府应以身作则，展示技术的实用性，为早期采用者创造市场激励机制。④产业界和政府应与所有利益相关者合作，继续加强和规范信息共享协议。⑤联邦政府应与美国和全球基础设施供应商合作，推广整个生态系统网络流量管理的最佳实践。

3、在网络边缘促进创新，以防止、发现和减轻不良行为

主要措施包括：①网络行业应加大当前产品的开发和标准化工作，在家庭和企业中进行有效和安全的流量管理。②家庭IT和物联网产品的用户界面设计应最大限度地确保安全性，同时满足管理安全知识需求。③企业应使用有助于检测、破坏和缓解自动、分布式威胁的网络架构。④联邦政府应调查广泛的IPv6部署如何能改变攻击和防御的经济性。

4、在国内外建立安全、基础设施和操作技术社区之间的联盟

主要措施包括：①因特网服务提供商和大型企业应加强与执法部门的信息共享，以提供更及时和可操作的关于自动化、分布式威胁的信息。②联邦政府应通过双边和多边国际合作促进国际采用最佳做法和相关工具。③监管机构应与行业合作，确保非欺骗性营销，建立适当的部门特定安全要求。④社区应采取具体措施限制快速流量。⑤网络安全群体应继续与运营技术界接触，提高认识和加快网络安全技术转让。

5、提高整个生态系统的认识和教育

主要措施包括：①在一个可扩展和具有成本效益的评估过程的支持下，私营部门应建立和管理被消费者信任和理解的家庭物联网设备的自愿信息工具。②在一个可扩展和具有成本效益的评估过程的支持下，私营部门应制定工业物联网应用的自愿标签计划，为物联网关键基础设施的应用提供足够的保证。③政府应鼓励学术和培训部门充分地将安全编码实践纳入计算机科学和相关程序中。④学术界应该把网络安全作为所有工程学科的基本要求。⑤联邦政府应发起一场公众意识运动，以支持对家庭物联网设备安全配置文件的认可和采用。（邓阿妹）