1．介绍_美国网络安全战略与政策二十年-QQ阅读男生轻小说网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1．介绍

关键基础设施研发项目计划

所谓关键基础设施保护（CIP），涉及运用信息安全（InfoSec）技术和方法抵御来自网络对支持或影响关键基础设施（CI）运行的IT系统的攻击。如今，我们的社会存在着远还没有化解的巨大风险，尤其是恐怖主义攻击的风险，其中包括针对既定基础设施目标的协调一致的网络攻击。这些风险之所以高悬我们头顶始终阴魂不散，是因为对适用于关键基础设施信息技术系统的信息安全手段。我们在其有效性和实用性方面还缺乏应有认识。我们所了解的只是以下两个最突出的问题：

（1）关键基础设施的信息安全技术需要在多方面得到改进。

（2）这些方面包括一些已知不足和很多未知不足。这些不足的存在是由于我们对以下两点情况缺乏了解而造成的：

关键基础设施信息技术现存的脆弱性；

用以消除脆弱性（尤其是在网络恐怖主义日益猖獗的情况下）的现有信息安全技术的有效性和实用性。

由此可见，就制定一项“关键基础设施保护信息安全研发项目开发计划”而言，我们还缺乏大量的必要信息。这样的“关键基础设施保护信息安全研发项目计划”对于指导和实施作为关键基础设施保护国家战略组成部分的关键基础设施保护研发工作来说，具有不可估量的价值。如果没有这种计划，有价值的研发工作也肯定会开展起来，但是我们不会更明智地对待由研发工作提出的最关键性的信息安全需要是否得到满足的迫切问题。

然而，我们可以通过大量工作来接近这样的项目计划，这些工作在第3章“项目开发计划”中得到描述，该计划中要详细阐明制定“关键基础设施保护研发项目计划”需要做哪些工作。本文便是这种“项目开发计划”的一个草案，它是关键基础设施安全合作组织（以下简称“合作组织”）（PCIS）主持的一项研究的成果。

合作组织的任务和研发工作的作用

合作组织致力于联合工业界成员有70多家私营公司和13个政府部门，参见附录所列董事会成员名单。和政府部门关键基础设施安全合作组织应“国家计划第1版”第8项第8.1节第4款重要事件8.2的要求创建。，“提高和确保关键基础设施服务 PDD-63（5/22/98）定义的关键基础设施（CI）包括能源、金融服务（FS）、运输、通信和信息服务（C&IS）、重要民生服务[其中包括医疗保健、安全和供水（VHS）]。的可靠供应，以应对经济和国家安全所面临的不断涌现的风险。” 关键基础设施安全合作组织观点的陈述，详见www.pcis-forum.org。应第1版《信息系统保护国家计划》（以下简称“第1版国家计划”）的要求，关键基础设施安全合作组织于2000年2月成立。合作组织的任务是“协调跨部门方案和补充公共-私营部门做出的努力，提高并确保关键基础设施服务的可靠供应，以应对经济和国家安全所面临的不断涌现的风险。” 参见“国家计划第1版”第8项第8.1节第4款重要事件8.2（重点为73～116页）。

合作组织下设若干工作组，研发工作组便是其中之一。该工作组的任务是努力制定出一个研发项目计划来。这个计划堪称一幅“近期研发布局图”，上面标明的活动包括了用以引导当前信息安全研发朝着满足关键基础设施保护需要的方向发展的差距分析，同时还涉及了制定项目计划所必需的多项相关准备。本文描述了这些工作。不仅“研发布局图”所列开发工作的成果，就连开发过程本身都是为了给网络空间安全研发工作奠定一个强大、灵活和综合性的基础。这个基础是相关政策、评价、战略和行动的基石，可以大幅度改善关键基础设施的安全状况，从而保持相互依存的关键基础设施部门的稳定和持续运转。合作组织的研发工作是所涉范围更广的关键基础设施保护框架性文件“信息系统安全国家战略” 详见http://www.ciao.gov/CIAO_Document_Library/national_plan%20_final.pdf。（目前正在制定中）的准备工作的组成部分。

范围和现状

制定本工作草案的目的是为筹划一项用以支持信息技术系统关键基础设施保护的研发项目计划（这是合作组织任务的重要组成部分）做基本准备。这种准备工作包括（但不仅限于）一份完整的定义、假设和目标清单，可补充和支持合作组织对国家战略的贡献。本文是有关定义的工作草案，是在合作组织第四工作组关于关键基础设施安全合作组织其他工作组的情况，请参阅附录。指导下完成的，它将构成第四工作组对合作组织所提建议的内容。

因此，本项目开发计划的目标是完成两项工作。第一，它将在高层定义用以支持信息技术系统保护的研发项目的开发所需完成的任务，同时将概述最终定义研发项目的基本原理和方法，研发项目中包括可能由合作组织和/或关键基础设施保障办公室（CIAO）发起的试验性活动。第二，它将支持合作组织应总统令（PDD63）的要求就制定“第2.0版信息系统保护国家战略”（以下简称“国家战略”）提出的研发建议。

本工作草案的范围是记述研发项目预计的已知要素、定义未知或未被充分认识的要素，并描述必须把所有要素包含在内的各项任务。这些以开发研发项目为目的的任务，是以表现一组相关关系的方式描述出来的。换言之，研发项目的相关图可以为如何达成研发项目计划提供一个定义结构。列出这些任务，意在构成一个记述完整的综合性高层计划（基本原理和方法也包括在计划内），用以指导合作组织以及其他任何从事通过信息安全技术实现关键基础设施保护研发工作的辅助性组织的研发活动。此外，本文还概述了将在合作组织领导下实施的试验性研发活动，以接近于制定出一个全面的关键基础设保护研发项目开发计划。

这个项目开发计划的最终草案，旨在成为一份综合性的文献，容纳了很多关键组织提供的输入。这些组织参与或监督了各项研发工作或即将参与或监督研发计划的未来版本中定义的任何其他任务。然而，这个“最终”草案还要成为一份“活”文件，将描述运用必要信息达到制定研发项目计划目标的进展情况。而该研发项目计划将用来指导和追踪以关键基础设施保护为对象的信息安全研发工作。

本文概述

本文第2章“现状分析”对关键基础设施保护、基本威胁以及对关键基础设施保护研发项目各个方面都产生了推动作用的紧迫挑战进行了现状分析。第3章“研发项目开发计划”是本文的核心部分，介绍了开发关键基础设施研发项目的计划。项目开发计划在很大程度上依赖于多项近期任务、后续任务、各项任务的互依赖性、各项任务的完成结果以及执行中的关键基础设施保护研发项目的目标。第4章“CIP中的InfoSec技术研究领域”详细描述了技术研发的若干方面。第5章“CIP中的InfoSec运行研究领域”对实施研究任务进行了详细的补充说明。第6章“总结”归纳了研发项目计划以及本文推荐的后续步骤的基本原理。