日前,美国兰德公司网站发布题为《Improving the Cybersecurity of U.S. Air Force Military Systems Throughout Their Life Cycles》的研究报告,其作者是唐·斯奈德和詹姆斯D.鲍尔斯等6人。这份研究报告的主要内容如下:
在赛博空间里,对含有信息技术的美国空军系统易被搜集情报和攻击的担忧与日俱增。在本报告中,作者分析了美国空军采办/寿命周期管理机构如何才能提高其军用系统在整个寿命周期里的赛博安全。本研究主要聚焦于采办系统的子集,相对于商用货架产品信息技术和商用系统,空军在其设计、架构、协议和界面(例如武器系统、平台信息技术)上拥有一定的控制权。
本报告作者的主要研究结论是,过去建立和提出的赛博安全法律和政策是用来管理商用货架产品信息技术和商用系统的,但不足以应对军用系统安防的挑战。它们也没有充分抓住对作战任务的影响。目前,赛博安全主要是添加到系统上,而不是进行内在设计。作者提出了美国空军在军用系统整个寿命周期内能改善赛博安全的12项建议。
本报告所研究的问题包括:(1)在采办中应达到何种赛博安全,以及管理赛博安全有哪些关键原则。(2)利用哪些法律与惯例来塑造美国国防部内的赛博安全管理。(3)造成空军军用系统赛博安全管理出现缺陷的根本原因有哪些。(4)如何才能解决这些问题。
本报告的研究发现即造成空军军用系统赛博安全管理出现缺陷的根本原因包括:(1)赛博安全环境是复杂、快速变化和难以预测的,而治理赛博安全的政策更适用于简单、不变和可预测的环境,这导致赛博管理上出现巨大缺口。(2)在军用系统的整个寿命周期内,并不是持续警惕地实施赛博安全措施,而是主要依据采办过程中的采办事件进行安排,导致赛博安全问题方面的政策不完整。(3)对军用系统赛博安全的控制和问责遍及多个组织机构且整合不佳,导致赛博安全的问责和指挥控制部门的一体化被削弱。(4)赛博安全的监控与反馈对于有效的决策或问责来说还不完整、不协调、不充分。(5)在这些研究发现中有两个基本主题:赛博安全风险管理还不足以抓住作战任务使命所受的影响,以及赛博安全主要是添加到系统上,而不是进行内在设计。
本报告提出的12项建议是:(1)针对所要取得的成果,确定空军军用系统的赛博安全目标。(2)对系统的脆弱性、威胁、作战任务使命进行权衡,重新调整赛博安全风险评估的职能作用和责任,并授权官员对利益相关方进行整合与评判。(3)为授权官员指定一个系统组合,并保证所有系统在其整个寿命周期内都由授权官员全面负责。(4)鼓励项目办公室利用更全面的赛博安全措施来补充所需的安全控制,包括健全系统安全工程。(5)在各个项目如何实施系统安全工程上,空军通过制订新的政策来促进赛博安全方面的创新和适应性。(6)降低赛博安全问题的复杂性,通过推翻只要有可能就使系统互联的缺省文化来减少互联数量。(7)在寿命周期管理机构内,成立能视情进行矩阵化转换的赛博安全专家组,使得那些小项目和支撑项目也可获得资源。(8)由企业确定优先顺序,评估和处理老旧系统的赛博安全问题。(9)持续定期评估,对空军每个项目的赛博安全状况进行总结,并根据问题的解决情况来对项目管理人员进行问责。(10)在空军内部针对采办/寿命周期管理专门成立赛博安全红队。(11)对违反赛博安全政策的个人进行问责。(12)开发任务线程数据,以支持项目经理和授权官员评估系统和项目赛博安全缺陷所导致的任务风险的可接受程度。