再不点蓝字关注，机会就要飞走了哦

前言

本报告明确了美国网络安全面临的最具战略性的挑战，提出了未来5-10年美国关键网络安全需要达到高水平的政策和研究议题，认为国家必须制定行动目标，包括近期和长期的。报告首先简要介绍了美国政府在关键基础设施安全管理方面的迟疑，指出解决这一问题需要技术、治理等方面的努力。为解决这一问题，政府组织了包括电力、金融、通信、石油和天然气行业等4个关键行业的研讨，试图找到目前面临的挑战。根据研讨内容，报告从8个方面分析了美国关键基础设施面临的挑战，给出了研究的发现和挑战、长期和短期广泛可适用的建议，以及需进一步研究的问题。

一、概述和建议

1．历史上的动摇

 美国和很多其它国家控制关键基础设施的数字系统容易侵入和结构薄弱，而总统对基础设施安全的领导一直犹豫不决，系统运营商往往侧重于短期修复与战术改进。因此，需要努力开发更安全的标准，但大多数标准只是咨询性的。主要联邦部门，包括但不限于：国土安全部、国防部和能源部已努力加大投入提高基础设施的安全性，但这些努力没有改变战略平衡。

进攻依然占主导地位，为了打破这个模式，国家需通过经过多年的协调努力，解决深层的战略薄弱环节和重要系统的结构，包括系统运营和装置的连接。这种努力部分要以技术为导向，也需要对网络治理的法律、监管和政策进行评估。面临的挑战不仅是技术上的，还有经济、管理、行为、政治和法律上的。技术挑战可能更容易解决，但非技术问题更难以解决，但我们必须这么做，否则关键基础设施的安全问题无法解决。

本报告确定了最具战略性的挑战，提出了未来5-10年关键网络安全达到高水平的政策和研究议题。但国家必须制定行动目标，包括近期和长期的。

为了完成这一任务，MIT 国际研究中心（CIS）和互联网政策研究计划（IPRI）项目组联合召开了研讨会，特别关注四个关键经济部门——电力、金融、通信、石油和天然气（ONG），对其关键网络威胁进行描述。

研讨会由各行业龙头企业的专家、相关领域的学术专家，还有一些政府官员参加，发现了很多问题。对网络风险和困难进行了量化。各行业存在差异，部分原因在于不同行业监管框架不同，部分原因在于其中两个部门——电力和石油天然气（ONG）严重依赖工业操作技术（OT）和信息技术（IT）。各部门存在显著差异的原因，还在于网络安全和抵御攻击的能力的投资水平不同。

2．研究结果、发现的问题和建议

本报告提出了美国关键基础设施长期和短期广泛可适用的建议，不包括全球关键基础设施相关的法律和监管内容。报告确定了八项面临的战略挑战困境，针对每一挑战提出了指导政策和研究。通过研讨发现的问题，提出了针对性的建议。建议涉及广泛的问题，包括组织网络安全、网络的技术措施、安全性和错位监管激励措施。针对每一挑战，给出了一系列应对挑战需研究问题。报告的目标用户有三类，分别是：政府官员、公共和私营机构、研究人员。

在提出的研究问题中，有些是广泛的和技术性的，有些是狭义的，集中在非技术性领域。各种技术和政策问题存在差异，特别是许多问题受到法律、经济、政治的阻碍。这些问题是基础，国家议程必须采取行动、协调并给予资助。

国家不应再采用不协调的行政行为模式和分散研究，否则无法实现安全。在虚拟经济和社会活动中，基础设施实际安全环境的改善，有助于资源和政治环境的建立。要实现这一目标，需要确定政府和行业高级别的指导性方法。需要总统比他的前任们采取更具活力和协调一致的措施。

（1）挑战一：改善协调

通过研究发现：政府间的关键基础设施保护协调不足，要改变这种状况，需要白宫提供更多的指导。

建议：总统应提升网络安全顾问的地位，他的主要工作是负责办公室的管理和预算，工作重点放在政府的长期政策上，促进联邦研究议程、应对相关挑战、管理关键基础设施网络安全预算，以及相关资金的支出。

（2）挑战二：衡量网络风险和基础设施碎片化

通过研究发现：绝对和相对量化风险是困难的，阻碍了各行业的网络投资（除金融行业以外），另外，无法量化网络安全投资的收益率也是一个问题，会影响整体投资，很难实现目标化投资。系统的碎片化也是风险之一，涉及所有行业。系统的脆弱性是另一个问题。公众应有权了解关键基础设施安全的总体状况。

建议：总统应直接指导召开相关会议，加速计划的时间表制定、会见国家实验室代表和其它专家，对网络风险和碎片化进行评价，提出国家应对挑战的战略。会议应接近公众，但要注意保密。

需研究的问题包括：

● 如何衡量网络风险和网络碎片化，特殊安全投资对风险带来的改变能衡量吗？如果可带来改变，企业为何不推动？

● 企业回答这些问题会产生合理的决策吗？如果不会，原因是什么？

● 对于重要行业，是否仿真模型可用于建立网络安全压力试验？在电力行业，何种模型可用于测试发电的冷启动？这种模型是否可保护公众信息的披露？当公众关键系统受到损害，如何通知他们？

● 这些问题的答案是否对一些或所有关键部门有监管意义？

● 可以获得必要的确定数据，以支持对这些问题的研究吗？是否应适当立法强制生成关乎国家安全利益确定数据? 在立法特权下的披露豁免是否可阻止其用于任何其他目的？如何界定所需数据，数据持有者是谁?

（3）挑战三：审查法律法规，旨在降低风险和优化安全性投资

通过研究发现：各行业与会者绝大多数认为，在强制性遵守制度与网络安全改进间没有实际联系。绝大多数来自金融界的与会者认为，应考虑加大更高级别的网络安全投资，包括联邦税收和监管激励方面。许多电力和电信行业与会者则认为，这些规定阻碍或不能鼓励更高级别的网络安全投资。

建议：总统应尽早在关键基础设施领域提出立法，有质量的网络安全投资更有利于税收的处理。对于经济,投资可转向更安全的DNS和更安全的边界网关协议。要符合优惠待遇资格，投资的产品和服务应符合NIST公布的框架。能源部长、州公用事业专员和美国国家公用事业监管协会应检查电力监管对网络安全的影响，包括现行法规对网络安全投资的影响，以及达到高水平安全当前合规标准的可用性。

需研究的问题包括：

● 如何优化责任规则和条例，使供应商、基础设施所有者和经营者的行为更安全？研究比较国家和联邦的监管模式，有助于解决这个问题。

● 网络安全监管可以在政府之间协调一致吗？包括各行业对政府的监管，例如：FCC监管通信，财政部、美联储和其他机构监管银行；能源部、环境保护机构监管能源。“垂直”监管机构也开始监管网络安全，出现了重叠、成本高和潜在的不一致的标准。这些监管是促进了安全性的提升，还是产生了更加精细化、成本高的合规制度？

● 许多竞争合规标准造成混乱。政府应制定NIST框架，仅使用NIST框架，唯一的政府强制性标准，处理承包商与政府的关系？

● 对一个或多个关键部门的攻击给保险公司和再保险公司可能造成的财务损害是否可内部消化？如果不能，需要什么法律和政策，才能使这种损失被内部消化？

● 可以获得必要的确定数据，以支持对这些问题的研究吗？如果不能， 是否应适当立法强制生成关乎企业安全利益的确定数据?如何界定所需数据?

（4）挑战四：使关键的基础设施运营商能够快速识别和响应跨部门相关的网络风险，就和自己的网络一样

通过研究发现：所有行业都依赖电力和金融行业的全球平台支持能源和电信交易。对行业特殊的模拟和其他测试了解不足或说明不充分，会导致级联故障的可能性出现。各界人士表示，除非可确保数据和结果保密，不用于其他目的，否则无法实现合并专有数据和测试结果。

建议：总统应召集各行业领导，加速会见领先的工业保险公司和其他专家，分步实施更强有力的跨部门模拟，包括共享数据，向总统提出适当建议。从保密性考虑，会议应不向公众开放，但建议应对外公布。

需研究的问题包括：

● 应增加什么措施，增加早期发现缓慢演进的对关键部门或跨关键部门的战略攻击？向IPv6演进，对检测技术产生的影响是什么？

● 这种攻击对关键备份系统的影响？

● 基于模拟的建模可用于建立更好的跨部门压力测试吗？

● 模拟的网络灾难可在国家紧急发生时帮助确定通信应优先考虑的问题吗？

● 使用大数据和快速处理，是否能使快速检测对关键网络的入侵？

● 如果有的话，阻止有效使用身份管理工具，执行成功攻击所需的全部措施？

（5）挑战五：降低组件复杂性及其固有的漏洞

通过研究发现：电力和石油和天然气行业与会者认为，并特别强调，硬件过于复杂导致安全性不足，软件、硬件和工业控制是网络受损的重要来源，造成物理危险和信息风险漏洞。这两个能源行业，高度依赖工业操作技术。这是由商业，而不是技术产生的巨大的供应链风险。供应商发现有利可图的是廉价的常规多用途的硬件和软件，不关注不同行业安全性如何和用途不同。

建议：总统应要求各行业领导直接向他报告，包括可行性、时间表和费用支持，以加速计划的实施。对于关键基础设施，要鼓励生产和使用更多安全且不太复杂的硬件，软件和控件。

需研究的问题包括：

● 减少信息技术和工业操作技术复杂性的技术、经济和监管障碍是否可确定？

● 多功能计算机芯片便宜，可用于多目的，包括商业路由器和用于关键基础设施运营的工业控制，但其复杂性和多余性功能使风险增加。通用处理单位、操作系统和软件系统也有类似问题。

● 是否可建立标准，减少逻辑处理器中的漏洞，以及控制它们的软件和固件？

● 可以建立标准或激励建立分阶段的设计工具，允许硬件和软件设计者做反复出现基本错误（如允许缓冲区溢出）。

● 建立硬件认证体系需要采取哪些措施和软件，可在实验室建模的电子产品？

● 可以设计微芯片，使使用芯片的整个行业达到便宜、可靠和可验证，使功能任务需求匹配

● 采取哪些激励措施引导控制制造商和互联网业务提供商使用更好的芯片

● 在关键基础设施方面建立和支持更简单的市场、更安全的装置方面，如何优化国防部、能源部和国土安全部的作用。例如：这些部门联合建立复杂性矩阵、控制标准、使用政府采购决策，选择更安全的硬件和软件。

● 可简单的固件和操作系统，使形成成本和关键基础设施销售更有效

（6）挑战六：解决系统架构的基本问题

通过研究发现：互联网是专为非商业用途设计的系统，对安全的需求很少或根本不需要。安全主要是终结点的选择。对于热衷于快速上市和低成本的市场，经常被忽略。在互联网上运行的硬件和软件安全差异性很大，创建硬件和软件的工具有许多相同的安全错误已重复多年，没有责任人。

所有行业的安全专业人士绝大部分认为，除非与公共网络隔离，否则系统的某些方面无法保证合理的安全性，但对适度隔离，各方观点不同。

建议：总统应指导能源部和国土安全部，与联邦能源管理委员会（FERC）协商，探讨与公众网络隔离的可行性、费用和时间表。所有对FERC内部活动的控制和操作管辖权，确定可接受的隔离程度，并向总统报告计划进度。与FERC和北美电力可靠性公司（NERC）协调，尽早召开国家电力监管机构会议，探讨隔离发电关键元素和公共网输电其不意可行性与支出。

总统应指导各行业主管和关键利益相关方，包括制造商、用户、公众和保险行业。探讨关键基础设施的硬件和软件制造法律和标准建立关联性的可行性、对硬件和软件建立专业和管理的认证局的可行性，并向总统报告进展情况。

需要研究的问题包括：

● 某些或所有关键部门的某些操作是否应与互联网隔绝？如果是，有哪些？如何定义“隔离”？关键应用中的特定系统采用什么级别隔离？谁来确定隔离的级别？

● 区块链等技术是否可用于账户认证以降低备份系统和擦除帐户损坏的风险？

● 安全架构的变化将使我们更有效地管理系统接入和装置、人员、应用和数据的认证，包括内部和外部？

● 系统的设计是否可以使问题出现时，运营商能一目了然？系统的算法状态人类可否了解？在系统中强加审计要求是否符合成本效益？如果可以，为什么不对关键部门进行审计？

● 哪些经济、监管或其他因素阻碍了更快地逐步淘汰电子系统组件，依据组件的安全性，而不是新旧？

● 哪些经济或其他因素妨碍私营部门采用现有未使用的安全域名系统或可替代安全架构？什么激励机制可加速采用更安全的域名系统？

● 在通信行业，哪些经济或其他因素阻碍了采用安全的边界网关协议，使其不可能，或者难以转移网络流量？什么激励机制可采用加速对类型的控制？

● 企业利益不同、学术界以意见不同谋生，因此，对域名系统和边界网关控制协议达成一致很困难。针对这一问题，国会应如何做出选择？

● 物联网使攻击管理难度几何基数增加。不安全设备的哪些方面影响最大？应该在装置层面，还是网络更高层面增加安全性？

● 在虚拟网络中分离或至少识别所有可执行代码是否可行或高效？如何发现未经授权的可执行文件？

（7）挑战七：为国家制定有效的威慑策略

通过研究发现：美国的网络安全姿态和能力，以及和它对等或近乎对等的网络安全竞争对手间，在关键基础设施方面可彻底阻止彼此的攻击。但无法成功较低级别但日益恶化的对经济、社会和政治制度运营的损害。敌对系统低于武装冲突的行为，逐渐降低国家地位和安全性、在全球自由和开放民主方面的引领能力。在战争与和平间的灰色空间，美国没有针对民族国家或跨国公司，以及恐怖团体或其他形式的对关键基础设施破坏的有效威慑策略。

建议：总统应该指派国家安全顾问来审查国家威慑策略。该策略应包括但不限于：强化美国的关键系统和基础设施；提高攻击的成本价格；建立外交战略，与潜在对手签订网络安全协议；评估国家保持进攻，在网络空间方面占主导地位的长期能力。

需要研究的问题包括：

● 具有经济，政治和潜在军事优势的网络，应更多强化关键网络的指导性政策是否合理？在参与全球交易和电信业务方面，美国和其他国家的行动在政治上可否接受？

● 有网络运行能力的国家和其代理的防控是困难或不可能的，期望关键的基础设施运营商可保卫自己应对这些攻击。这是否是正确的公共政策？如果不是，什么政策可取代它？

● 在未来5-10年在网络空间追求进攻优势是否可行？它与秩序和稳定性是否不一致？因为它被证明是与苏联的战略核关系联盟。对这些问题的答案对美国网络空间外交战略有什么影响？包括没有达到国际法要求的武装冲突。

● 政府部门是否应进行现实的模拟等演习，探讨非军事反击的后果？总统是否应理解和批准这些假设的演习？

（8）挑战八：加快和完善网络安全专业人员的培训

通过研究发现：美国严重缺乏网络安全专长人员，特别是高水平的人才。 国家教育培养的具有先进的网络安全技能，以及具有先进的网络安全和工业操作系统运营技能的人才不足。

建议：总统应任命一个蓝带委员会，增加提供训练有素的计算机科学家的可行性；开发示范课程，培训保护关键系统的电脑科学家和工程师。该委员会应在180天内向总统报告。

需要研究的问题包括：

● 海曼·里克乌夫建立了严格的选择和培训核潜艇人员的模式。 政府或行业在关键基础设施的防御上是否应采用这种模式？

● 教授高效的网络防御技能，而不教授高层次的进攻技能？如果不是，这些技能教授会带来风险。谁有资格接受指示？由合格的培训师定义课程，为教授攻击战术承担责任。

● 不同的核心课程是否适合培训人们操作和维护不同关键基础设施的网络？ 如果是这样，谁来开发？网络安全学科人员是否应接受专门培训和认证，与其他专业学科一样？

二、背景

1. 持续存在的问题

在美国，总统指令解决基础设施风险始于25年前，本报告历数了1990-2015年间，历届总统在这方面所做的工作和努力，但这一问题仍未得到很好的解决。

在批评这种不稳定和不安全的状况外，关键是在操作层面改善策略，为此，收集了行业专家、政府和学术界的意见，重要的改变系统的构建或运行。这意味着要超越关键行业运营商面临的激烈和艰巨的常规战术挑战，重要的是在5-10年内，建立更好的安全环境，以及如何实现。

2. 运营风险的扩展

关键基础设施拥有者和运营商，首要关注运营风险，而不是信息被窃取，尽管后者更严重。报告列举了多个对关键基础设施的攻击案例，指出：攻击者最强大的能力并不在于他们选择的工具、他们的专长，而在执行长期侦察行的能力，需了解环境和执行高度同步、多级、多站点攻击。两方面的因素，导致关键基础设施运营风险扩展。

3. 系统不安全的原因

互联网在设计初并不清楚重要的安全问题是什么？而且安全不是问题，后来这一问题通过加密即可解决，这导致了若干安全问题，主要有：1）互联网的核心控制协议和配套服务在设计时没有考虑安全方法，之后增加安全性证明比预期更困难； 2）互联网是使用TCP / IP技术协议连接端到端的网络，无法警告犯罪或冒犯行为，受损发生在各个层面；3）互联网生态系统的安全责任不清，缺乏全球信任和协调； 4）被动和可执行数据文件、执行操作在互联网上传输，不能区分开，恶意可执行文件容易在大量数据中伪装、插入，在大型数据库中难以找到。互联网商用后，安全问题更加重要。网络安全涉及技术、管理、行为和文化多方面，使用互联网的犯罪活动各式各样，网络环境各级的漏洞众所周知。简而言之，许多网络不安全问题已持续25年，要集中研究和开发资源、技术和政策，使攻击成本增加。总之，网络安全打击难度较大、成本高。

4. 研究政策的协调

近年来联邦政府对关键的基础设施网络安全研究并不缺少，但保持常规水平，报告列举了一些研究。在这种背景下，国家必须大力协调资源，1）确定关键基础设施网络最突出的风险研究；2）描述可以减少这些风险的具体网络安全目标，打破网络安全成为可管理的研究项目。

三、研讨计划

IPRI 和CIS召开了4个行业的研讨会，研究挑战、协调和政策计划。主要包括：描述系统性面临的最严峻挑战、描述IT和OT链接更安全的环境特点、确定实现这些目标的技术、政治和经济障碍。

1. 电力行业的研讨

（1）最严重的风险

老化操作系统改装数字控制的风险；第三方接入的风险；监管强调合规与安全带来的风险。

（2）面临的挑战

在企业、行业和宏观经济层面量化的风险。

通过仿真、跨行业实践，测量和减少行业间和跨部门的脆弱性，包括：基于模拟的跨部门实践、编制质量模拟所需的数据，确保州、地方和联邦政府参与跨部门模拟实践，在麻省理工与工业界的合作下制定实际情景模拟实践。

建立合理的监管计划模型，将投资、安全要求和风险结合起来。对对马萨诸塞州，罗德岛州和纽约州电力公用事业的国家监管进行比较分析、对电力和金融部门的数据完整性措施进行比较、研究核监管，并作为非核电力监管的潜在模式、优化法律、监管和税收，实施安全投资政策，实现投资激励最大化，使价格反映产品和服务成本。

支持市场更简单，减少技术带来的伤害。

改善网络管理方面的人力资源，包括：确定行业对特殊技能的需求，扩大人才池、考察“雷克斯模型”，对海军进行培训和选拔核潜艇服务人员。

整合IT和OT管理，确保安全功能、优化OT/IT更换周期和不同步。

2. 金融行业的研讨

（1）最严重的风险

● 数据完整性风险。

● 内部和跨部门紧密耦合的系统风险。

● 由于无法改变与其他市场参与者长期合约安排而产生的第三方风险。

● 识别恶意行为者有困难。

（2）面临的挑战

● 增加备份系统的完整性。

● 通过跨行业实践结合，确定和减跨行业的风险。

● 改善识别管理，使其与隐私相关内容一致，包括传输者间、提供者间；考虑破坏性攻击的“爆炸半径”。

● 建立现代化验室监管环境，包括：灵活的标准、协调性。

● 重新确立对美国全球领导的信任。

● 评估信息不安全投资组合风险。

● 识别未授权的可执行代码。

● 增强劳动力的开发。

● 建立有效的网络威慑。

● 设计对失败有反应的系统。

3. 通信行业的研讨

（1）最严重的风险

● 来自不确定的网络状态风险。

● 第三方接入和多孔网络周边风险。

（2）面临的挑战

● 通信网络应该更难禁用，包括：网络任何部分的故障都应显现、传统系统应尽快被更新、软件定义网络（SDN）应更简单和普及、一些关键设施应该与公众网隔离，技术单一文化应多样化，其组成部分应考虑设计安全。

● 监管和标准应循证、具有灵活性。

● 关键基础设施和关键资源部门的持续运行应该是广泛和健壮的。

● 政府应面对国家紧急情况通信优先考虑的重点需要。

● 制定国家威慑策略。

● 应加强域名系统。

● 应大大增加具有安全专长的高素质网络工程师和计算机科学家。

4. 石油和天然气行业的研讨

（1）最严重的风险

● 过度复杂的通用技术;无法迅速检测恶意软件。

● 迅速隔离不协调影响的能力不确定。

（2）面临的挑战

● 根据行业模式，建立安全环境竞赛，以改善安全环境。

● 建立政府与行业的伙伴关系，促进供应链生产更简单、更不易损的组件，特别是工业操作控制。

● 自动识别未经授权的可执行文件。

● 自动中和或包涵系统故障的影响。

● 鼓励实施对标准的关注。

● 加速和自动化补丁管理。

● 确保内存安全。

● 制定合理的，基于风险的投资和合规模式。

● 增加对基于仿真复杂建模和能力成熟度的支持。

内容框架

一、概述和建议

 1. 历史上的动摇

 2. 研究结果、发现的问题和建议

 二、背景

 1. 持续存在的问题

 2. 运营风险的扩展

 3. 系统不安全的原因

 4. 研究政策的协调

 三、研讨计划

 1. 电力行业的研讨

 2. 金融行业的研讨

 3. 通信行业的研讨

 4. 石油和天然气行业的研讨

本内容仅供研究参考，严禁用于商业用途。

推荐阅读

智库跟踪 | ITIF：跨境数据流动障碍在哪里，成本是什么?

智库跟踪 | PWC ：人工智能与机器人技术2017

好文章，快分享，一起涨姿势~