日前,美國(guó)蘭德公司網(wǎng)站發(fā)布題為《Improving the Cybersecurity of U.S. Air Force Military Systems Throughout Their Life Cycles》的研究報(bào)告,其作者是唐·斯奈德和詹姆斯D.鮑爾斯等6人。這份研究報(bào)告的主要內(nèi)容如下:
在賽博空間里,對(duì)含有信息技術(shù)的美國(guó)空軍系統(tǒng)易被搜集情報(bào)和攻擊的擔(dān)憂與日俱增。在本報(bào)告中,作者分析了美國(guó)空軍采辦/壽命周期管理機(jī)構(gòu)如何才能提高其軍用系統(tǒng)在整個(gè)壽命周期里的賽博安全。本研究主要聚焦于采辦系統(tǒng)的子集,相對(duì)于商用貨架產(chǎn)品信息技術(shù)和商用系統(tǒng),空軍在其設(shè)計(jì)、架構(gòu)、協(xié)議和界面(例如武器系統(tǒng)、平臺(tái)信息技術(shù))上擁有一定的控制權(quán)。
本報(bào)告作者的主要研究結(jié)論是,過(guò)去建立和提出的賽博安全法律和政策是用來(lái)管理商用貨架產(chǎn)品信息技術(shù)和商用系統(tǒng)的,但不足以應(yīng)對(duì)軍用系統(tǒng)安防的挑戰(zhàn)。它們也沒(méi)有充分抓住對(duì)作戰(zhàn)任務(wù)的影響。目前,賽博安全主要是添加到系統(tǒng)上,而不是進(jìn)行內(nèi)在設(shè)計(jì)。作者提出了美國(guó)空軍在軍用系統(tǒng)整個(gè)壽命周期內(nèi)能改善賽博安全的12項(xiàng)建議。
本報(bào)告所研究的問(wèn)題包括:(1)在采辦中應(yīng)達(dá)到何種賽博安全,以及管理賽博安全有哪些關(guān)鍵原則。(2)利用哪些法律與慣例來(lái)塑造美國(guó)國(guó)防部?jī)?nèi)的賽博安全管理。(3)造成空軍軍用系統(tǒng)賽博安全管理出現(xiàn)缺陷的根本原因有哪些。(4)如何才能解決這些問(wèn)題。
本報(bào)告的研究發(fā)現(xiàn)即造成空軍軍用系統(tǒng)賽博安全管理出現(xiàn)缺陷的根本原因包括:(1)賽博安全環(huán)境是復(fù)雜、快速變化和難以預(yù)測(cè)的,而治理賽博安全的政策更適用于簡(jiǎn)單、不變和可預(yù)測(cè)的環(huán)境,這導(dǎo)致賽博管理上出現(xiàn)巨大缺口。(2)在軍用系統(tǒng)的整個(gè)壽命周期內(nèi),并不是持續(xù)警惕地實(shí)施賽博安全措施,而是主要依據(jù)采辦過(guò)程中的采辦事件進(jìn)行安排,導(dǎo)致賽博安全問(wèn)題方面的政策不完整。(3)對(duì)軍用系統(tǒng)賽博安全的控制和問(wèn)責(zé)遍及多個(gè)組織機(jī)構(gòu)且整合不佳,導(dǎo)致賽博安全的問(wèn)責(zé)和指揮控制部門的一體化被削弱。(4)賽博安全的監(jiān)控與反饋對(duì)于有效的決策或問(wèn)責(zé)來(lái)說(shuō)還不完整、不協(xié)調(diào)、不充分。(5)在這些研究發(fā)現(xiàn)中有兩個(gè)基本主題:賽博安全風(fēng)險(xiǎn)管理還不足以抓住作戰(zhàn)任務(wù)使命所受的影響,以及賽博安全主要是添加到系統(tǒng)上,而不是進(jìn)行內(nèi)在設(shè)計(jì)。
本報(bào)告提出的12項(xiàng)建議是:(1)針對(duì)所要取得的成果,確定空軍軍用系統(tǒng)的賽博安全目標(biāo)。(2)對(duì)系統(tǒng)的脆弱性、威脅、作戰(zhàn)任務(wù)使命進(jìn)行權(quán)衡,重新調(diào)整賽博安全風(fēng)險(xiǎn)評(píng)估的職能作用和責(zé)任,并授權(quán)官員對(duì)利益相關(guān)方進(jìn)行整合與評(píng)判。(3)為授權(quán)官員指定一個(gè)系統(tǒng)組合,并保證所有系統(tǒng)在其整個(gè)壽命周期內(nèi)都由授權(quán)官員全面負(fù)責(zé)。(4)鼓勵(lì)項(xiàng)目辦公室利用更全面的賽博安全措施來(lái)補(bǔ)充所需的安全控制,包括健全系統(tǒng)安全工程。(5)在各個(gè)項(xiàng)目如何實(shí)施系統(tǒng)安全工程上,空軍通過(guò)制訂新的政策來(lái)促進(jìn)賽博安全方面的創(chuàng)新和適應(yīng)性。(6)降低賽博安全問(wèn)題的復(fù)雜性,通過(guò)推翻只要有可能就使系統(tǒng)互聯(lián)的缺省文化來(lái)減少互聯(lián)數(shù)量。(7)在壽命周期管理機(jī)構(gòu)內(nèi),成立能視情進(jìn)行矩陣化轉(zhuǎn)換的賽博安全專家組,使得那些小項(xiàng)目和支撐項(xiàng)目也可獲得資源。(8)由企業(yè)確定優(yōu)先順序,評(píng)估和處理老舊系統(tǒng)的賽博安全問(wèn)題。(9)持續(xù)定期評(píng)估,對(duì)空軍每個(gè)項(xiàng)目的賽博安全狀況進(jìn)行總結(jié),并根據(jù)問(wèn)題的解決情況來(lái)對(duì)項(xiàng)目管理人員進(jìn)行問(wèn)責(zé)。(10)在空軍內(nèi)部針對(duì)采辦/壽命周期管理專門成立賽博安全紅隊(duì)。(11)對(duì)違反賽博安全政策的個(gè)人進(jìn)行問(wèn)責(zé)。(12)開(kāi)發(fā)任務(wù)線程數(shù)據(jù),以支持項(xiàng)目經(jīng)理和授權(quán)官員評(píng)估系統(tǒng)和項(xiàng)目賽博安全缺陷所導(dǎo)致的任務(wù)風(fēng)險(xiǎn)的可接受程度。