4．各部门面对的共同问题

（1）问题一：互依赖性

基础设施的互依赖性指关键基础设施之内以及各关键基础设施之间存在的物理的、电子的、经济的（电子商务）联系。除了这些基础设施之间的依赖关系外，它们还要依赖于地方、州以及联邦政府的支持，确保在危机事件中能够保持充分的预警、保护以及重建功能。这些关系中最容易确定的是各部门间的运行依赖性。然而，不太容易确定的则是，基础设施间在不同程度上还存在着间接的、千丝万缕的其他关系。互联性的增强带来了关键基础设施之间互依赖性的增长，这种互依赖性则进一步加剧了基础设施面临的风险，一旦某一基础设施发生故障，其他基础设施也会受到牵连。

工业发展面对的是一个基于信息社会的大市场，不论是从物理还是业务的角度来说，各机构的运营战略必须做出调整。目前已经做出的战略调整便直接来自对电子技术的应用及依赖性，这反映出各机构在迅速扩张的市场中的生存需要，意味着新的战略联盟的形成以及电子商务的应用。传统的业务和控制系统都是为封闭、可信的环境设计的。然而，当这些公司参与到信息社会之中，引入了新型的合作与交易关系时，它们的风险随之加剧，对大量其他系统的互联有可能使其遭到毁灭性打击。

于是，除了各机构要极大地依赖运营所需的专业技术和流程外，信息技术（IT）的日益采用也制造了关键基础设施之间的技术互依赖性，对信息空间的风险起到了放大作用。然而，我们已无法再回到过去，电子商务的迅速出现已经影响了很多企业结构的重组，使很多基础设施发生了物理的变化，这些都已无法倒退。因此工业界必须马上实施信息保障战略，对其已经向IT投入的资金加以保护。

（2）问题二：研究和开发

关键基础设施保护中的研发需求是以往的传统性研发模式所无法满足的。这些新的研发需求涉及的内容包括物理及电子信息安全，以及由于关键基础设施中不断增长的复杂的互依赖性所带来的崭新的威胁和脆弱性。由于政府各机构的研发基金都受其预算的约束，私营工业在开展自己的研发活动时很少去考虑公共部门的有关工作，因而当前美国的研发工作非常支离破碎和缺乏协调。

完全依靠自然市场的推动力无法对基础研究给予足够的投入。而且，成本竞争以及法律法规的不确定性常使得各公司不愿向安全投资。这些挑战呼唤新的研发框架的出现，需要开展公共-私营研发合作，减少重复性研发，优化整个安全界内的研发活动。在这种框架内，研发需求将得到重新的审视、研发资源将得到更新和加强，安全模型中的不足也会在其中得到标识和关注。为了取得成功，需要结成一种前所未有的合作联盟，组合政府、学术界、私营工业中的最优秀的资源。

研究活动的范围包括三个领域：技术性研发活动，以发明新的关键基础设施保护技术；制定脆弱性评估的安全标准；开发工业界中最佳的操作规范，包括应急计划。上述三项工作面临的关键约束是缺少及时、准确的脆弱性信息。于是，除了对当前研发中的不足做分析外，研发计划中还必须对各关键基础设施的运营进行评估和分析。评估和分析后的结果应该在政府和工业界中共享，以定义出关键基础设施保障的研发优先级。在优先级得以确定后，研发路线将要为其提供一种全面的基石，以建立政策和战略，展开研发行动。PCIS已经启动了研发路线的制定工作，但仍需要有范围更广的工作，覆盖全面的基础设施保护需求，包括物理保护、新政策以及协调机制。

（3）问题三：教育和人才发展

在面对攻击时，一个机构内最有价值的防御力量在于其人员，即要有理解并支持安全策略和流程的雇员和管理层。安全问题的解决所需要的是多种级别的理解力：所有的系统用户都应意识到可能的安全事故；他们必须在其本职工作上担负起相应的责任，对攻击做出必要的预防；他们必须知道，当攻击真正发生时应该如何去做。通过安全意识的培养项目，要能够使用户掌握安全工具的正确使用方法，知道如何实施安全控制，由此创建一个安全的体系结构环境。雇员将从中学到应采取哪些行动来减少基础设施遇到的综合风险并缓解安全事件的危害程度。而且，坚持不懈的推广工作可以使所有雇员的头脑中始终铭记安全操作规范，使他们共同参与到对安全问题的解决行动中来。学习安全知识，加强专业水平，发扬创造力，这将使可用的安全资源得到很好的扩展。

（4）问题四：信息共享

很多危险或非法集团，如黑客、毒品贩、有组织犯罪集团或恐怖分子等，经常互相交换他们发现的系统脆弱性以及用来攻击这些脆弱性的工具。而与此对照的是，市场经济中的企业，往往出于竞争的原因，不愿意在彼此间共享安全信息，这对他们非常不利。现在，面对着层出不穷的威胁和脆弱性，工业界和政府需要通力合作，从而促进信息流的协调。

到目前为止，互为依赖的各个关键基础设施部门之间已经建立和发展了很多协作框架，以便于共享安全信息，如威胁信息、脆弱性信息、对策或最佳操作规范。在这些已有的协调机制下，有些机构已成立了信息共享系统，而有此机构还需要继续在这方面做新的工作。除了促进部门级的信息共享外，有若干基础设施部门还开始筹建超出单个工业界范畴的信息共享机制，如与多个部门或政府实现共享。

（5）问题五：公共政策和法律/法规问题

虽然各个私营部门之间已经开始在共享安全信息，但与政府的类似信息交换却非常复杂。目前，有三项法律为信息保障中的公共-私营合作造成了障碍：信息自由法（FOIA）、反托拉斯法、责任法。

在FOIA的要求下，美国政府行政部门持有的记录应该向公众公开。虽然，美国国会认识到了某些信息有着不可披露的合理需要以及通过法规、条例来促进合作的现实需求，并因此而规定了信息披露的豁免情况，然而，当前FOIA中规定的所有豁免情况是否能够对披露中的威胁和脆弱性信息提供足够的保护，这还有待于私营工业的确认。人们关心的是，出于关键基础设施安全意识培养以及安全规划的目的而资源共享的信息，有可能会应FOIA的要求而披露，而站在披露请求另一面的，可能是竞争者、诉讼者，甚至可能是居心叵测的攻击者。

此外，对于如何实施FOIA，很多州和联邦机构都有不同的规则。这造成了不同的基础设施部门以其自己的方式看待FOIA。为以防万一，它们不愿意同地方、州和联邦政府共享安全信息，除非FOIA中的模棱两可得到了彻底的澄清。在州政府级别，这一问题更加严重。

反托拉斯法也为信息共享添加了障碍。合法的商贸业务及其关键信息的交换行为应该不受联邦和州政府反托拉斯法的禁止。不论其出发点如何，工业企业之间的某些协约、合作协定以及信息共享有可能成为反托拉斯的对象，如提升价格、削减产出等。ISAC的目标是清晰的，然而，市场中一些企业发生的类似简单合作却有可能被其他未参与合作的公司、机构以及其他非政府组织所怀疑，于是，ISAC的成员不得不面对反托拉斯的风险。

最后，信息安全的专业公司以及某些ISAC不愿意制定安全标准。因为当这些标准出现问题时，它们将被迫陷入责任法诉讼。

（6）问题六：国际问题

某些关键业务部门已经建立了强有力的覆盖整个北美的跨边界基础设施联络关系。然而，由于基础设施的很多无缝连接，大多数机构都认为基础设施保障应该是一个全球问题，如Internet便没有边界。在同样的一条国际通路中，有益和有害的信息流通常夹杂在一起高速运行。而且，美国的基础设施还要依赖于很多外资的关键机构，其中还有很多特殊的安全问题。脱离于对国际经济影响的考虑而处理美国的国家安全问题是不全面的，而且也难以奏效。

大多数国家已经在国家基础设施保护战略的工作中达到了成熟阶段，与这些国家的工作相融合，并在可能的地方对他们产生影响，有利于全球的经济发展，避免留下国家基础设施保护孤岛。这些国家的基础设施保护项目应该合作，表现为一个集成的方法学，使全球的基础设施系统能够联合工作和运行。

然而，在跨越国界的合作中，社会、文化、政治准则是不能忽视的。如果不能适应不同文化对安全、隐私以及政府或工业控制的不同理解，便会不可避免地导致国际合作中的冲突和矛盾。例如，很多国家仍然需要对关键业务部门实现私有化，它们对安全保障和信息共享的看法可能与美国的公共-私营合作联盟所持有的观点大不相同。

最后，与IT伴随而来的风险直至现在尚未得到全面认识，合并、采办以及联盟（和分拆）均涉及现有网络的连接和/或集成（或者隔离）。在某些国家中，信息资产中可能还要包括与海外或国外市场的连接，这些系统或其所含信息遭到的任何破坏均会导致严重的后果。因此，必须投入大量的努力，保障这些日益国际化的基础设施的完整性。