雖然奧巴馬總統投入了時間、精力和政治資金來改善網絡安全，結果卻不盡人意。

奧巴馬總統才離任幾周，但他在網絡安全方面的遺產已在評定進行時——褒貶不一的評價。

一些專家評價道：奧巴馬說了很多，做了很多，投入了大量的精力來推動網絡安全，但最終，并沒有達成讓政府或私營產業更加安全的目標。

最近一系列的數據泄露事件，就是赤裸裸的明證。美國情報機構將罪責歸結到俄羅斯頭上，然而民主黨總統候選人希拉里·克林頓以及美國總統大選本身的信譽，已然遭到傷害。

正如反間諜咨詢機構 Murray ASSOciates 總監凱文·穆雷所言：“政府想制定多少政策都可以，但如果不能解決問題，要來何用?”

或者，像 Red Branch Consulting 創始人，小布什任期內國土安全部官員，Lawfare博主保羅·羅森茨威格所說：“他們有工具，僅僅是在芯片宕機的時候選擇了不使用工具而已。我也不知道為什么。”

這問題可大了，畢竟，政府的首要憲法義務，就是“提供共同防御”不是?過去十年，網絡安全已上升與軍事或司法安全同等重要的級別。網絡攻擊的潛在傷害，已從無關緊要水平，提升至可致嚴重后果的程度。

在物理層次，高級政府官員數次警告了民族國家、恐怖分子或犯罪團伙進行“網絡珍珠港”攻擊的風險。國家關鍵基礎設施漏洞的報道也不斷見諸報端。

在經濟層次，前國家安全局(NSA)局長兼美國網絡司令部司令亞歷山大將軍，在2012年就說過：經濟間諜，尤其是中國的經濟間諜行為，已經導致了人類歷史上最大數額的財富轉移。

當然，這些并非奧巴馬的無視造成的，相反，他在任期之初就將網絡安全提上了優先日程，幾乎每次國情咨文必提網絡安全重要性。在他監管下的項目、命令、政策和立法清單簡直又長又閃亮。包括：

• 2009年2月，奧巴馬下令審查政府網絡安全狀態。5月，宣布“網絡空間策略評估”，期望形成白宮主導的“協同網絡安全計劃”，旨在“遏阻、預防、檢測和防御”網絡攻擊。
• 2009年6月，自2006年暫行的美國網絡司令部成為永久編制。目標是擁有雇員6000人，但直到去年，據稱依然缺編1/3，不過，專家普遍達成共識，美國擁有“世界上最強大的網絡武器庫。”
• 為響應奧巴馬在2013年發出的總統令，國家標準與技術局(NIST)在2014年2月發布了《網絡安全框架》——一份私營和公共產業都應遵守的標準，至今已歷經多次修訂。最新的更新草案，旨在提升關鍵基礎設施安全性，于今年1月奧巴馬離任前不久頒布。
• 2015年6月，政府發布了 M-15-13 —— 要求聯邦網站和Web服務必須使用安全連接的一項政策，截止2016年12月31日，所有機構都必須使用加密HTTPS網站和Web服務。
• 美國總務署報告，截至本月，雖然合規率遠未及100%——政府域名和子域名合規率在43%到73%之間，在HTTPS上政府已超過了私營產業。
• 《網絡信息共享法案(CISA)》被國會通過，并于2015年12月受奧巴馬簽署，旨在促進政府和私營產業間威脅信息的共享。反對者依然指稱該法案為“監視法令”，但贊成者認為，改善國家網絡安全的任何希望，都需要私營和公共產業的協作。

不幸的是，這些行動，連同其他一些計劃，并不總能達到預期的效果。過去8年間的安全失敗眾所周知，某些案例，甚至是災難性的。或許，最糟糕的一起黑客事件，是據稱中國所為的人事管理局(OPM)數據泄露案，約2200萬在職和離任聯邦雇員個人數據被泄。

美國一家律師事務所網絡安全部的負責人認為，美國政府如今的網絡安全水平，如果放在整個美國經濟圈里看，那是相當“不體面”的。而前情報官員協會(AFIO)董事阿倫·坦特雷夫，則將其稱之為“史詩級的失敗。”

預算管理辦公室(OMB)發起了一個所謂的“30天網絡安全沖刺”，想要提高各方各面的安全水平，從身份驗證到威脅檢測。然而，來得太遲了——在數據泄露曝光之后。

其他著名的失誤包括：

• 美國陸軍上等兵布拉德利·曼寧(現變性并改名為切爾西·曼寧)和前NSA承包商雇員愛德華·斯諾登泄出的百萬份機密文件，不僅損害了政府關于沒有對美國公民進行監視之聲明的信譽度，也表現出政府根本無力防御內部人威脅。
• 2011和2015年，總統兩度嘗試啟動立法，“提升美國人民、國家關鍵基礎設施，以及聯邦政府自有網絡和計算機的網絡安全。”

但是，每次提案都沒有結果，部分原因是國會意見分歧，另外一部分原因，則是來自人權和隱私保護團體的反對。

• 自2004年其便已存在，歷經數次迭代的聯邦“愛因斯坦”網絡威脅檢測和預防系統，于2015年被DHS升級至“愛因斯坦3加速版”。

但其遭到了專家、前政府官員和國會成員的批評，說是在完全實現前就已過時——實現的截止日期是去年12月。格雷格·陶希爾，DHS網絡安全運營和項目助理副部長，曾在2015年11月說過那么一句著名的話;“愛因斯坦3簡直就是我們15年前就該有的東西。”

• 歸罪于俄羅斯的DNC及希拉里總統競選主席約翰·波德斯塔郵箱被黑案。維基解密在競選最后幾周放出了來自被泄郵箱的敏感信息。

以上安全失敗的可能原因如下：

首先，無數專家都說過，基本上，政府是不可能趕上這些威脅的進化和擴張的。就像羅森茨威格在訪談中所說：“政府時速60邁，互聯網創新時速可是6,000邁。”

其他人則說，其間差距有幾個數量級那么大。

其次，在關鍵基礎設施大多屬于私營公司之手的情況下，政府也是很難管理其在線安全的。不是出臺強制性規定和嚴厲的未合規處罰，政府主要是頒布各種建議和推薦參考。

再次，在跟私營產業競爭人才上，政府處于下風。

“聯邦政府一直拍馬不及，因為它支付IT員工的薪水要受到政府薪酬范圍的限制。” Fidelis Cybersecurity 威脅系統經理約翰·班白尼克說，“對有經驗有激情的IT員工來說，私營產業收獲更多，是更有吸引力的職業選擇。”

但是，專家也稱，確實有些事情是政府可以，也應該，做得更好的。普萊斯說，“安全需要防護措施和遏阻對策。在前者上我們做對了，但我們依然遭受外國黑客攻擊的事實說明，在遏阻層面我們依然還有許多工作要做。”

坦特雷夫指出，有些漏洞一直留存，因為我們選擇出于安全原因而保留它們——簡直太奇怪了。

這里，他指向的是前白宮網絡安全協調員邁克爾·丹尼爾。這位仁兄稱辯稱：“公開漏洞，意味著我們可能放棄的，是收集可摧毀恐怖襲擊、阻止國家知識產權被竊，甚或發現更危險可利用網絡漏洞的機會。”

丹尼爾還說，打造“巨大的未公開漏洞庫”可能不在國家利益之列。當然，“巨大”一詞的定義恐怕會引發巨大的爭議。

政府改善安全狀態的一個明顯途徑，就是更新其技術。專家稱，近4萬億美元的預算支持下，當然有錢來改進硬件和軟件。但是，似乎這方面的政治意愿尚有不足。

“只要涉及到花錢，安全總是排在其他東西后面。”班白尼克說，“更新服務器和筆記本可沒有其他消費項目來得性感迷人。沒有國會議員曾經出席過新計算機發售的剪彩。”

最后，政府不僅需要關注黑數據的人，還需要聚焦放任這些事件發生的那些人。除非要求追責，否則政府得不到更好的結果。基本上，每個安全失敗，包括OPM數據泄露案，負責人都被允許辭職——意味著他們還能保有退休金和所有其他政府津貼。

“只要這么做了，人們就會開始重視起來。”

最終，如果重要的是結果，奧巴馬留下的東西可真令人傷心。最近新出了一本題為《全球網絡漏洞報告》的書，里面評估了44個國家的網絡漏洞，美國在安全度上位列第11位。

“很難讓人相信這一結果對奧巴馬的網絡安全遺產有何幫助。”

特朗普治下會不會有什么改善我們尚未可知，但有些早期征兆可真是令人擔心。

國際計算機科學研究所高級研究員尼古拉斯·委弗，在Lawfare博客文章上宣稱，特朗普對繼續使用不安全安卓設備的堅持，就是在“召喚災難，肯定會引發真正的恐慌。”

“一旦被黑，該手機就是個漏洞，甚至是比擁有巨大權限的璽印被偷更大的災難。它可以記錄周圍的任何事情，并且只要重新聯上網絡，就能將記錄的信息發送出去。”

關于特朗普是否能提升奧巴馬的記錄，尚未有定案，但在安全專家看來，標準其實并不高，提升空間還有很大。