8.第4级:国家的优先任务
在实施国家的优先任务时,总的战略目标是建立网络空间安全的基石。包括如下三个重要的网络空间安全基石:
保护共享系统的安全;
培育一个强有力的经济和社会框架;
制定国家计划和政策;
为建立这些基石,我们将需要实施一系列清晰定义的工作。这些工作都要置于国家级的层面上,并将为我们的国民在本战略中的各个级别上采取行动时提供支持。比如,研究如何加强当前的基础设施安全性或研究发明新的信息保护方法,这会使从家庭、工业界以及政府内的所有人士受益。本节概要介绍了国家在17个网络空间安全领域正在实施的工作。
保护共享系统的安全
在网络空间的基本元素更加安全和更加可靠后,各级用户将从中受益。政府最好能够找到可以使计算设备,尤其是操作系统更加安全的途径,并能够保护互联网络的安全性,确保新添加的组件和设备的充分安全。通用系统中的一项安全性改进,相当于单个用户的几百万项安全性改进。当发生脆弱性时,必须有有效的脆弱性矫正手段。保护共享系统的战略目标是通过保护所有各级用户的通用系统,大大增强个体的安全。
(1)保护Internet机制
Internet最初开发时,其创建者不会设想到经济、国家安全以及Internet最终需要具有的应急战备目的。他们没有意识到Internet随时间而发展的速度和规模。于是,在Internet最初建造时,类似于安全性的很多在现在看来非常重要的特性,却没有成为Internet基础的一部分。
Internet有冗余性,安全可以不断地加入。但是,安全从来就没有被融合成Internet的基础特性,而且在安全的实现上也还存在着诸多缺陷。除此之外,Internet用来通信的方法和规则以及支撑信息传输的设备均不是为支持日益膨胀的信息在Internet上流动而设计的。
Internet安全机制的开发和实施是其业主、操作者以及用户的共同责任,单个实体或组织无法完成这项工作。而且,这其中还需要一个合作联盟。由私营工业正在领导的很多工作是为了使Internet的功能能够以安全的方式发展。必要时,联邦政府会持久地对这些工作提供支持。
此中的战略目标是促进安全和稳健的Internet机制的开发,使Internet能够支持国家当前以及未来的需求。需做的工作包括:
改善关键Internet协议的安全性和抵抗力;
提高路由安全;
采纳最好的安全标准、实施方法及准则,即“良好的实施规范”;
建立公共-私营合作联盟,探求和解决基础性的Internet技术需求。
(2)监督控制和数据采集(SCADA)系统
过去20年来,美国很多工业部门的设备控制和监督方式已经发生了根本性的改变。以前,系统由工人们以人工方式控制,这需要工人在物理上位于设备端;而如今,很多这样的系统已经通过网络远程控制,在一些案例中,Internet成为了信息流通的必要手段。
这些公司对其控制系统的保护能力由于两个原因而受到限制:首先,很多公司不愿意对安全投入资金;其次,在技术上还存在着一些缺陷。SCADA系统通常不大,且是独立的自控制系统,其能量输入有限,而且运行于实时模式。这意味着安全特性有可能削弱SCADA系统的性能,或还需要其他的操作能源,因此在SCADA系统上实现安全性确实有难度。
我们的战略目标是使DCS(数字控制系统)和SCADA系统的用户有能力去保护他们的网络空间,防止其系统被用来破坏国家的关键基础设施。为实现该目标,需要完成下列事项:
提高工业提供商和用户对SCADA系统中的脆弱性的意识,并使他们意识到这些脆弱性被利用后所带来的后果。
制定和部署如下专题的培训与认证项目:数据安全基础、面向DCS/SCADA的安全、软件安全、硬件安全等。
推动标准化、安全策略的制定等工作,加强这些标准和策略的实施手段。
提供测试床环境,用以研究安全问题和所提交的安全解决方案。
在如下领域展开研发:超低延迟链路加密机/鉴别器、密钥管理、网络状态监测。
确立政府/工业界合作联盟,确定与DCS/SCADA有关的最关键的场所,并为这些场所制定安全计划,以提高其网络空间的安全。
(3)研究
当国家对网络空间的依赖不断增强时,联邦在下一代网络空间安全技术方面的投资一定不能落后于不断增多的脆弱性数目。为了确保研发过程能与不断发展的技术环境相对应,重要的是保持一种灵活性。在财政投入与寻找和修补脆弱性这两个问题中,应求得适当的平衡,这便要求在未来投入更多的资金。国家会对网络空间安全研究活动的优先级进行排序,并为这些研究活动的前进而提供必要的资源。
新一代的安全技术将会使Internet“现代化”,使其适合于快速增长的通信流量和不断扩张的电子商务,并能够满足下一代网络广泛部署时出现的一些高级应用。因此,国家级研究工作必须优先考虑对网络空间安全的支持,使网络空间成为一个21世纪的安全、高速的知识交换和通信基础设施。
这项工作需要一些非常重要的研究内容。比如,必须对数字控制系统开发出加密和鉴别功能。在所有的基础设施部门以及基金源中,国家必须优先考虑其网络空间安全方面的研究。
国家级网络空间安全研发的战略目标是协调各项技术的发展,以对抗威胁、较少脆弱性,并面向未来培育建设起一个有抵抗性的、安全的网络空间。这将通过如下工作来实现:
制定年度的网络空间安全研发规划,分别满足短期、中期以及长期的目标。
在网络空间安全领域领导一个充满活力的联邦研发项目,以求快速标明、发展并促进威胁和脆弱性对抗技术和工具的落实。
在私营部门、学术界、国际社会之间培育起一个密切的合作联盟,以确保每项关键的技术都得到考虑,并使新的安全技术得到迅速采纳。
确保联邦政府的2004财年网络空间安全预算与国家级的研发重点相一致。
(4)高度安全和可信的计算
在未来的某一天,我们会离不开对计算机、Internet以及其他任何网络空间系统的操作,就像我们无法不去开灯或打开水龙头一样。它们将会成为一种必然的东西,融入我们的生活。然而现在,计算机或系统长时间遭到破坏或无法使用的情况是很普遍的。数据常常丢失,要么就是费尽九牛二虎之力才能接收到。系统常因为其组件受损而超载或出错。
我们的战略目标是确保未来的网络空间基础设施组件的内在安全和可靠。这要通过下列工作来实现:
进一步研发高度安全可靠的系统。
建立软件开发过程方法以及质量保证测试机制,以制造出安全可靠的产品。
发展在软件中检查恶意代码的功能。
重新改革联邦的采购标准,在其中坚决要求安全性,并严格执行这些标准。
(5)保护新兴系统的安全
新兴技术在发展时也可能会同时引入新的脆弱性。无线局域网便是一个实例。虽然在系统的开发中人们已经对此作了特别注意,但在操作环境下实施时,这些系统仍然表现出了某些弱点。今天,一个人驾车绕城一圈就可以找到很多无线局域网络去访问,不论这些网络归谁所有。只要入侵者愿意,他就可能从这些新兴系统中偷窃信息,或发起对系统的攻击。加入某些安全机制(如口令访问要求、地址过滤、加密、使用VPN)后,它们被攻击的可能性就会大大减小。然而,司空见惯的是,由于这些安全机制涉及的复杂性、成本或时间,它们常常未得到实现。即使当厂商安装了安全机制后,也有可能因为口令遭到破坏而发生入侵事件。因此当新系统进入市场并广泛普及后,必须努力确保其充分的安全性。
新兴技术可能会产生难以预见的安全后果。光计算、智能代理以及长期研究领域中的纳米技术和量子计算等,均有可能对网络空间带来变革并影响其安全。我们的国家必须站在领导位置上去探究这些技术及它们对安全的影响。
我们的战略目标是发现由新兴技术而导致的网络空间的脆弱性,并思考如何去消除、降低或者管理由这些脆弱性所带来的潜在风险。该目标的实现要依靠以下努力:
改善新兴技术的安全性。比如无线局域网(WLAN)中,其安全性的改善将通过下列手段实现:增强人们的安全意识及WLAN的易用性;发展新一代的安全无线技术;研究ad hoc网络和格计算中的安全问题。
不断审查新兴技术的安全性。
(6)脆弱性矫正
新的脆弱性每天都在出现,软件使用中暴露出的缺陷可以被犯罪分子利用来发起恶意行为。当前,每年报告的脆弱性数目大约有3500个,而这些脆弱性的修补往往是生产商以补丁的形式并通过补丁的分发来完成的。
很多已知的缺陷却长时间得不到改正。比如,相当多已报告的网络空间攻击事件的罪魁祸首就是我们前面说过的十大漏洞。导致这种现象的原因是多方面的。很多系统管理员可能缺乏足够培训,或者没有时间去查看是否每个补丁都已安装到系统上。待安装补丁的系统有可能会影响到其复杂的互联系统集,要确信补丁可以安装之前,必须花费较长的时间去测试。如果系统很关键,那么就很可能难以将其关闭来安装补丁。
我们的战略目标是:在近期,通过改善有关工具和方法,能够极大地提高脆弱性修补时的速度、覆盖范围、有效性;在远期,要从源头上减少脆弱性的存在。该目标可通过如下工作来实现:
制定脆弱性修补的最佳操作方法,并推动各公司和机构对最佳操作方法的接受。
创建一个中立的信息交流机关,以更快地判断脆弱性补丁对通用应用程序造成的影响,包括可能的测试结果。
研究并鼓励对补丁影响信息的正确披露,从而加速补丁的有效实施。
开发并实现改良的代码技术和质量保证标准,以减少脆弱性的数目。
使更多软件在交付时能达到一个安全的初始配置状态。
培育一个强有力的经济和社会框架
为加强并维护网络空间系统的安全,系统所存在的这个社会的法律和准则必须能够以强有力的方式来对其安全起到强化作用。这些机制包括通过法律手段来对付网络空间犯罪,通过法规和相关组织来促进信息的共享,通过学习机构来培训和教育安全人员。应坚持某些基本的原则,如要认识到市场的角色以及隐私保护的重要性和核心性,这也有助于进一步实现社会化安全机制。国家战略的目的便是培育起一个经济和社会框架,以一种自然平滑且稳固的途径来使用安全并同时加强这种安全性。
(1)意识培养
很多情况下,人们不是没有网络空间安全问题的解决方案,而是需要这些方案的人们不知道它们的存在,或者不知道如何或到哪里去找到这些方案。而在另一些情况中,人们甚至没有意识到网络安全的需求。比如,一个小型商业可能就不会想到其Web服务器使用的是任何人都可以用来登录系统的默认口令。为了使用户和操作员敏感到其安全需求,教育和推广活动便扮演了重要的角色。在本战略讨论的几乎所有问题中,这些教育和推广活动都可以成为解决方案的一部分,从工业界中数字控制系统的保护,到家庭中电缆Modem的安全。
我们在此中的战略目标是使所有人都懂得网络空间的安全问题和解决方案,从而激励大家行动起来去保护我们的网络空间安全。这要通过下列工作实现:
以现有的工作为基础,并进一步扩展现有的工作,引导机构的关键决策者(如CEO及董事会成员)在其业务中考虑如何去保护机构的信息系统安全。
通过各项有关计划的实施来使州和地方政府的关键决策者(如州长、州议员、市长、县行政官/县监事会等)支持信息系统安全方面的投资,并使他们能够采纳可行的安全管理政策和措施。
向广泛的用户、学生、儿童、小型商业机构灌输基础的网络空间防护/安全教育。
通过与当地机构、中小学的交流与合作,使网络空间的安全问题为更多人所知,并促进大家对可参考的安全资源的了解。
(2)培训和教育
为实现并维护网络空间安全,我们国家需要很多受过良好培训的、富有才华和创新精神的人才。虽然,随着Internet的扩张以及计算机、网络和其他网络空间设备的普及,对这些人才的需求已经迅速增长,但培训方面的投入却还未跟上。各大学中,工程专业的毕业生越来越不够,他们的大部分资源已经被其他学科占用了,如生物学或生命科学。虽然如今的计算机网络已经广泛普及,且它们的安全问题也已经广为人知,但很少有小学或中学学生能够得到网络空间安全课程或课件的教育。美国要想在网络空间经济中领导这个世界,这一趋势就必须制止。
我们的战略目标包括:(1)培养并保持众多受过良好培训的、技术高超的、我们国家自己的IT安全专家,满足日益增长的国家需求;(2)在大众中培育起基本的网络空间安全技能以及网络空间的道德规范。这些目标要靠如下工作来实现:
面向各级教育,推行由州和地方政府及私营实体制定的各项指南,内容涉及网络空间的意识培养和知识学习、培训以及教育,包括针对网络空间中道德行为的教育。
对当前现有的教育项目加以扩展,使更多四年制学院和大学能开设高质量的IT安全项目,通过非学位的教育项目、职业学校、初级学院、技术学会等途径增加IT安全技能的培训机会。
创建一个国家级的网络空间学会,把联邦政府的网络空间安全和计算机取证学方面的培训项目联合起来。
在联邦政府和私营工业的每个部门中,都建立清晰定义的IT安全职务和专业。
确保在工作中能得到不断的教育和高级培训,以培养高超的技能和创新能力。
(3)认证
与教育和培训相关联的需求便是合格人员的认证。认证可以为雇主和客户提供更多的关于待聘雇员或安全顾问的能力的有关信息。现在已经有了一些网络空间安全工程师的认证项目,然而,它们在各自的认证要求方面差别甚大。比如,某些认证项目强调的是广泛的知识面,并通过综合性的多项选择题来考查;而有的项目则考查一个人对某个具体的网络空间组件所具有的深层次的实践知识。还没有哪个认证项目能够对一个人的实践和学术能力提供适度的保障,无法同医师、法律、会计职业认证相比。
我们的战略目标是为IT安全专家认证建立起一套在国家范围内得到认可的标准,以确保IT系统和网络的评估与维护能保持一致性和有效性。需要做的工作如下:
强化现有的认证项目,在必要时发展新的能力,创建能够与会计、法律、医师认证过程相比拟的IT安全专家的对等认证标准。认证的范围可包括高级水平的国家级标准考试、由专业机构主管的考试、服务于私营工业的IT顾问认证考试。
建立认可机构,负责检查各种认证项目是否满足了系统管理或相应职位上的最小标准集。
联邦政府在招聘某些级别的IT专家时,应对认证提出要求,并在一段时间以后,应对其当前所有雇员提出认证要求。
(4)信息共享
国家必须能够以实时方式对网络空间的事故以及攻击加以检测和分析。有关这些事故或攻击事件的自愿式的信息共享将在网络空间安全中起到至关重要的作用。而一些实际存在或预料到的某些法律障碍可能会使某些公司畏葸不前,难以同联邦政府或在几个公司彼此间共享事件信息。首先。某些人担心共享的数据有可能是保密的或有知识产权问题,或者会使公司陷入窘境,一旦与政府间实现共享,则这些信息便可能会被公众看到。其次,一些人也担心,在工业界中,各公司之间的信息共享还会受限于利益竞争。最后,有时也仅仅是因为找不到有效的信息共享机制。
我们的战略目标是增强公共-私营实体以及私营部门实体间对网络空间安全信息的自愿式共享。为此,应完成如下工作:
强化现有的信息共享机制,以确保这些机制的充分性,使它们能够覆盖所有必要的信息源。
为关键信息的共享创造一个良好的法律和政治环境,消除人们对于共享信息的使用方面的担心。
(5)网络空间犯罪
一旦检测到安全事件,就必须解决。通过快速响应可以遏制住正在发生中的攻击,并减弱其最终可能造成的损失。我们国家现在有很多可确保对大规模事件发起快速响应的法律和机制。这种响应还包括为事件中受到影响的业主和用户分析并传递实用的信息。理想的是,这之后马上开展对入侵者的调查、逮捕和起诉。如果入侵行为是由某个国家发起的,则还可能还会涉及外交或军事行动。遗憾的是,常常有很多事件得不到报告,而且有时即使报告了入侵事件,当地机关也会因缺乏培训或经验缺陷而无法有效地做出响应。各州和地方政府内执法机关的水平也极为参差不齐。
我们的战略目标是预防、检测并大大减弱网络空间的攻击,以确保能够发现正在活动或试图进攻的攻击者,并随后由政府发起适当的响应,在出现网络空间犯罪时,还要迅速逮捕并对犯罪者施以必要的严厉惩处。这将通过下列工作实现:
改善联邦、州和地方政府内负责关键基础设施保护和网络空间安全事务的执法界内及他们同其他机构和私营部门之间的信息共享和调查工作的协调。
不断评估联邦判决准则对网络空间犯罪处罚的力度,确保每次网络空间犯罪都得到应有的惩罚。
增强联邦、州和地方执法机构的能力,努力为其提供足够的调查和取证资源,并向它们提供培训,方便其在关键基础设施事件中的调查取证工作及对事件的解决。
为网络空间犯罪和入侵事件中的受害者建立详细的数据。
参与国际合作,以获得合适的网络空间事件响应工具。
(6)市场推动力
大部分网络空间都经历了私营及无序运行的历史和传统,是私营部门的投资和创新使得Internet,更普遍地说,是网络空间成为了当前这样至关重要且稳健的基础设施。而当网络空间成为了国家关键基础设施的一个重要组成部分时,我们对其安全、可靠和防护性的需求也显得势在必行。要满足这一需求,就需要网络空间中各业主和提供商增加进一步的投入并提供更多的资源。
确保投入到位的最好的办法就是让市场提出需求,而不是让政府去下命令。某些时候,政府可能会通过政策来鼓励私营部门的参与,比如在意识培养工作中宣传网络空间安全的重要性。此外,还可以通过推荐性标准和标准化活动来影响政府系统的投资和采购,也可诉诸公共-私营合作联盟。应为这些市场推动力的有效发挥而努力创造环境。在其中,不要去诉诸有关网络空间安全的法规条例,除非有凌驾一切的需求去保护美国人民的健康、安全和福利。
此中的战略目标是在促进和加强网络空间安全的过程中尽可能减小对市场的干预。该目标可通过如下工作实现:
充分利用机构管理层和工业界中标准制定者的工作,促进网络空间的安全。
与保险界合作,推动网络空间安全风险转移机制的实施。
建设更加清晰透明的安全储备,推广最佳实践措施,这有可能要通过自我管理机构来实现,如市场交换手段。
通过向私营部门的技术转化,开发创新性的网络空间安全产品和服务。
(7)隐私和公民自由
国家战略必须与这个开放、民主的社会中的核心价值相一致。同样,美国人民希望政府和工业界能够尊重他们的隐私,防止隐私遭到滥用。这种对隐私的尊重正是我们国家的力量之源,因此,确保网络空间中的数据的完整性、可靠性、可用性、保密性的最重要的原因之一便是当美国人民使用网络,或者当他们的个人信息保存于网络时,去保护美国人民的隐私和公民自由。为此,我们的国家战略中体现了隐私原则,不只是在某一章内,而是通篇之中。我们将坚定不移地致力于寻求既能增强安全性、也能保护隐私和公民自由的解决方案。
我们的战略目标是在实现网络空间的安全性的同时,不致损害个人的隐私和公民自由。该目标将通过下述步骤来完成:
继续履行政府的承诺,严格实施已有的隐私和公民自由保护法律。
经常同隐私提倡者、工业界专家以及公众相协商,确保在国家战略的实施中能尽最大可能地吸收国民对隐私问题的看法,尽可能地考虑到隐私问题,从而在加强网络和主机安全的同时也能对隐私提供保护。
扩大当前的年度GISRA审计项目的范围,审查每个联邦机构中的隐私保护事项。
鼓励工业界在制定规划以及生产产品时以自愿的方式加入必要的隐私保护。
确保联邦政府通过具体实例起到领导作用,在各机构中实施强隐私政策和措施。
就隐私问题和相关政策向终端用户实施教育,并鼓励他们在隐私事项中能够做出有意识的选择。
制定国家计划和政策
这是国家级事项的第三大类问题,它涉及国家计划及政策的制定,以对付关键基础设施遭到的有组织的攻击,防止由于攻击或自然事故而导致的基础设施瘫痪。这种瘫痪的后果必须得到充分的研究,因为关键基础设施是高度互联的,其瘫痪后果可能很复杂,且难以建模。一旦我们充分理解了这种后果,国家就必须制定相应计划来有效且高效地响应这种大规模的安全事件。下文讨论了国家政策和计划中四方面的重要问题。
(1)分析和预警
我们国家对网络空间事故或攻击进行响应的能力要首先依赖于对这些事故的早期检测能力。现在,政府和私营部门的很多机构,均在收集Internet、互联网络及信息系统上出现的各种事件和脆弱性信息。还有的机构能够把这些信息传播给需要它们的人,以帮助其减弱可能的负面后果。很多工业部门已经建设了信息共享和分析中心(ISAC),能够向该部门中的所有公司发布早期的事件信息。各ISAC和政府之间还可以通过双向的途径共享信息。
虽然在检测和信息传播方面,我们已经取得了一些进步,但缺陷依然存在。对Internet服务提供商(ISP)以及作为一个整体的国家来说,还没有一个用来发布预警信息的专一的信息收集和发布中心,也没有一个得到了清晰定义的联合事件响应流程或团队。预分析功能也十分欠缺,且常受到信息匮乏的困扰。而且,很多事件信息来自于敏感机关,它们常与国家安全联系在一起。
我们的战略目标是:在事件的早期实施检测,高效地响应这些事件,并尽最大可能提前预知它们。该目标要通过下列工作来实现:
对建立国家网络运行中心一事进行研究。
改善政府的数据分析功能,包括提高对各机构的数据的使用率。
鼓励公共-私营实体间不断扩展数据共享和分析功能。
加速事件响应功能的改善和扩展。
(2)运营连续性、重建和恢复
对网络空间重大事故或破坏进行响应的综合性公共-私营计划将会使我们国家从中获益。很多机构已经制定了在大型网络空间事故或灾难中恢复其网络功能的计划。然而,我们还缺乏相应的机制来统一协调公共及私营部门中的这类计划。
我们的战略目标是提供一个国家级的运营连续性及重建和恢复计划,当一个或多个部门的IT系统发生大规模事故时,能够确保服务的连续性,或设法将其恢复和重建。为此,公共-私营界需要完成下列工作:
协调并不断更新网络空间安全应急计划的制定,包括Internet功能的恢复计划。
确定在网络空间安全应急计划或Internet恢复计划启动时所要求的门限值。
经常性地演习应急或恢复计划。
(3)国家安全
我们国家面临的敌人还包括外国政府和恐怖分子集团,它们能在国家安全的层次上发动网络攻击。在和平年代,美国的敌人可能会对我们的政府、大学的研究中心以及私营公司实施间谍活动;在对峙时期,他们将会通过研究美国的信息系统、确定重点攻击目标、在关键基础设施中安装后门或其他手段来储备网络战能力;而在战争或危机时期,他们则可能通过攻击我们的关键基础设施和重点经济功能,或者通过削弱公众对信息系统的信心而威胁我国的政治领袖。他们还可能试图借由对国防部、情报界、其他政府机构或关键基础设施的系统的破坏来延缓美国的军事响应能力。
我们的战略目标是改善我们国家在网络空间中的安全状况,限制敌人对美国施压的能力,一旦发现威胁就将其迅速消除。国家安全委员会、国防部、司法部、情报界或其他联邦机构应当:
与州、地方政府和私营部门密切合作,提高国家整体的网络空间安全状况。
发展强有力的反情报能力,以对抗美国政府、商业和教育机关所遭到的网络空间情报搜集势力。
使国家能够迅速定位威胁性攻击或行为源,并能在攻击发生前便可将威胁加以抑制。
在执法机构、国家安全机构、国防机构之间,改善对重大攻击的事件响应协调过程的认识。
当美国的核心利益受到网络空间的攻击所威胁时,保留实时响应的权力。
当敌对国家、恐怖主义集团或其他对手通过网络空间攻击我们国家时,美国不会排除以法律起诉甚至信息战为手段进行响应。当美国的核心利益受到网络空间的攻击所威胁时,美国将保留实时响应的权力,就像对待任何其他类型的侵略一样。
(4)互依赖性和物理安全
当一个基础设施遭到破坏时,其他基础设施也常常会受到影响。甚至网络空间中的破坏性事件也会影响到物理空间,反之亦然。一列火车在巴尔的摩隧道出轨后,芝加哥的Internet的速度也受到了影响;而由于墨西哥州的某次篝火晚会破坏了天然气管道,硅谷内与IT有关的产品纷纷止步不前;地球上空数百英里处的卫星失控后,受到影响的银行客户便无法再使用其ATM。
网络空间同时也有很多物理形式的表现,比如通信和Internet网络就要靠建筑物和导线所支持。在设计和建造时,这些物理元素已经包含了冗余特性,可以避免单点故障。然而,运营商和服务提供商仍应彼此合作,共同分析其网络,增强网络的可靠性和冗余特性。FCC(联邦通信委员会)和PCIPB(总统关键基础设施保护委员会)可以支持这些工作,并应负责查明在国家网络的加固过程中可能存在的任何政府阻碍,FCC的工作由其下属的NRIC(国家可靠性和互操作性会议)实施,而PCIPB的工作则通过NSTAC(国家安全电信咨询委员会)实施。
我们的战略目标是减少某处基础设施的故障对其他基础设施可能带来的负面影响。
为实现该目标,政府和私营工业需要完成下列工作:
在关键基础设施业主、政府以及负责系统建模和解决方案开发的私营集团之间培育信息共享体制。
针对关键基础设施的互依赖性,发展一种强健的国家级建模功能。
在关键基础设施的业主和操作者之间,就基础设施在出现故障时产生的互依赖影响以及消除互依赖负面影响的步骤而提高大家的意识。
续表
续表
续表
续表
