4．各部門(mén)面對(duì)的共同問(wèn)題

（1）問(wèn)題一：互依賴性

基礎(chǔ)設(shè)施的互依賴性指關(guān)鍵基礎(chǔ)設(shè)施之內(nèi)以及各關(guān)鍵基礎(chǔ)設(shè)施之間存在的物理的、電子的、經(jīng)濟(jì)的（電子商務(wù)）聯(lián)系。除了這些基礎(chǔ)設(shè)施之間的依賴關(guān)系外，它們還要依賴于地方、州以及聯(lián)邦政府的支持，確保在危機(jī)事件中能夠保持充分的預(yù)警、保護(hù)以及重建功能。這些關(guān)系中最容易確定的是各部門(mén)間的運(yùn)行依賴性。然而，不太容易確定的則是，基礎(chǔ)設(shè)施間在不同程度上還存在著間接的、千絲萬(wàn)縷的其他關(guān)系。互聯(lián)性的增強(qiáng)帶來(lái)了關(guān)鍵基礎(chǔ)設(shè)施之間互依賴性的增長(zhǎng)，這種互依賴性則進(jìn)一步加劇了基礎(chǔ)設(shè)施面臨的風(fēng)險(xiǎn)，一旦某一基礎(chǔ)設(shè)施發(fā)生故障，其他基礎(chǔ)設(shè)施也會(huì)受到牽連。

工業(yè)發(fā)展面對(duì)的是一個(gè)基于信息社會(huì)的大市場(chǎng)，不論是從物理還是業(yè)務(wù)的角度來(lái)說(shuō)，各機(jī)構(gòu)的運(yùn)營(yíng)戰(zhàn)略必須做出調(diào)整。目前已經(jīng)做出的戰(zhàn)略調(diào)整便直接來(lái)自對(duì)電子技術(shù)的應(yīng)用及依賴性，這反映出各機(jī)構(gòu)在迅速擴(kuò)張的市場(chǎng)中的生存需要，意味著新的戰(zhàn)略聯(lián)盟的形成以及電子商務(wù)的應(yīng)用。傳統(tǒng)的業(yè)務(wù)和控制系統(tǒng)都是為封閉、可信的環(huán)境設(shè)計(jì)的。然而，當(dāng)這些公司參與到信息社會(huì)之中，引入了新型的合作與交易關(guān)系時(shí)，它們的風(fēng)險(xiǎn)隨之加劇，對(duì)大量其他系統(tǒng)的互聯(lián)有可能使其遭到毀滅性打擊。

于是，除了各機(jī)構(gòu)要極大地依賴運(yùn)營(yíng)所需的專業(yè)技術(shù)和流程外，信息技術(shù)（IT）的日益采用也制造了關(guān)鍵基礎(chǔ)設(shè)施之間的技術(shù)互依賴性，對(duì)信息空間的風(fēng)險(xiǎn)起到了放大作用。然而，我們已無(wú)法再回到過(guò)去，電子商務(wù)的迅速出現(xiàn)已經(jīng)影響了很多企業(yè)結(jié)構(gòu)的重組，使很多基礎(chǔ)設(shè)施發(fā)生了物理的變化，這些都已無(wú)法倒退。因此工業(yè)界必須馬上實(shí)施信息保障戰(zhàn)略，對(duì)其已經(jīng)向IT投入的資金加以保護(hù)。

（2）問(wèn)題二：研究和開(kāi)發(fā)

關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中的研發(fā)需求是以往的傳統(tǒng)性研發(fā)模式所無(wú)法滿足的。這些新的研發(fā)需求涉及的內(nèi)容包括物理及電子信息安全，以及由于關(guān)鍵基礎(chǔ)設(shè)施中不斷增長(zhǎng)的復(fù)雜的互依賴性所帶來(lái)的嶄新的威脅和脆弱性。由于政府各機(jī)構(gòu)的研發(fā)基金都受其預(yù)算的約束，私營(yíng)工業(yè)在開(kāi)展自己的研發(fā)活動(dòng)時(shí)很少去考慮公共部門(mén)的有關(guān)工作，因而當(dāng)前美國(guó)的研發(fā)工作非常支離破碎和缺乏協(xié)調(diào)。

完全依靠自然市場(chǎng)的推動(dòng)力無(wú)法對(duì)基礎(chǔ)研究給予足夠的投入。而且，成本競(jìng)爭(zhēng)以及法律法規(guī)的不確定性常使得各公司不愿向安全投資。這些挑戰(zhàn)呼喚新的研發(fā)框架的出現(xiàn)，需要開(kāi)展公共-私營(yíng)研發(fā)合作，減少重復(fù)性研發(fā)，優(yōu)化整個(gè)安全界內(nèi)的研發(fā)活動(dòng)。在這種框架內(nèi)，研發(fā)需求將得到重新的審視、研發(fā)資源將得到更新和加強(qiáng)，安全模型中的不足也會(huì)在其中得到標(biāo)識(shí)和關(guān)注。為了取得成功，需要結(jié)成一種前所未有的合作聯(lián)盟，組合政府、學(xué)術(shù)界、私營(yíng)工業(yè)中的最優(yōu)秀的資源。

研究活動(dòng)的范圍包括三個(gè)領(lǐng)域：技術(shù)性研發(fā)活動(dòng)，以發(fā)明新的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)技術(shù)；制定脆弱性評(píng)估的安全標(biāo)準(zhǔn)；開(kāi)發(fā)工業(yè)界中最佳的操作規(guī)范，包括應(yīng)急計(jì)劃。上述三項(xiàng)工作面臨的關(guān)鍵約束是缺少及時(shí)、準(zhǔn)確的脆弱性信息。于是，除了對(duì)當(dāng)前研發(fā)中的不足做分析外，研發(fā)計(jì)劃中還必須對(duì)各關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)進(jìn)行評(píng)估和分析。評(píng)估和分析后的結(jié)果應(yīng)該在政府和工業(yè)界中共享，以定義出關(guān)鍵基礎(chǔ)設(shè)施保障的研發(fā)優(yōu)先級(jí)。在優(yōu)先級(jí)得以確定后，研發(fā)路線將要為其提供一種全面的基石，以建立政策和戰(zhàn)略，展開(kāi)研發(fā)行動(dòng)。PCIS已經(jīng)啟動(dòng)了研發(fā)路線的制定工作，但仍需要有范圍更廣的工作，覆蓋全面的基礎(chǔ)設(shè)施保護(hù)需求，包括物理保護(hù)、新政策以及協(xié)調(diào)機(jī)制。

（3）問(wèn)題三：教育和人才發(fā)展

在面對(duì)攻擊時(shí)，一個(gè)機(jī)構(gòu)內(nèi)最有價(jià)值的防御力量在于其人員，即要有理解并支持安全策略和流程的雇員和管理層。安全問(wèn)題的解決所需要的是多種級(jí)別的理解力：所有的系統(tǒng)用戶都應(yīng)意識(shí)到可能的安全事故；他們必須在其本職工作上擔(dān)負(fù)起相應(yīng)的責(zé)任，對(duì)攻擊做出必要的預(yù)防；他們必須知道，當(dāng)攻擊真正發(fā)生時(shí)應(yīng)該如何去做。通過(guò)安全意識(shí)的培養(yǎng)項(xiàng)目，要能夠使用戶掌握安全工具的正確使用方法，知道如何實(shí)施安全控制，由此創(chuàng)建一個(gè)安全的體系結(jié)構(gòu)環(huán)境。雇員將從中學(xué)到應(yīng)采取哪些行動(dòng)來(lái)減少基礎(chǔ)設(shè)施遇到的綜合風(fēng)險(xiǎn)并緩解安全事件的危害程度。而且，堅(jiān)持不懈的推廣工作可以使所有雇員的頭腦中始終銘記安全操作規(guī)范，使他們共同參與到對(duì)安全問(wèn)題的解決行動(dòng)中來(lái)。學(xué)習(xí)安全知識(shí)，加強(qiáng)專業(yè)水平，發(fā)揚(yáng)創(chuàng)造力，這將使可用的安全資源得到很好的擴(kuò)展。

（4）問(wèn)題四：信息共享

很多危險(xiǎn)或非法集團(tuán)，如黑客、毒品販、有組織犯罪集團(tuán)或恐怖分子等，經(jīng)常互相交換他們發(fā)現(xiàn)的系統(tǒng)脆弱性以及用來(lái)攻擊這些脆弱性的工具。而與此對(duì)照的是，市場(chǎng)經(jīng)濟(jì)中的企業(yè)，往往出于競(jìng)爭(zhēng)的原因，不愿意在彼此間共享安全信息，這對(duì)他們非常不利。現(xiàn)在，面對(duì)著層出不窮的威脅和脆弱性，工業(yè)界和政府需要通力合作，從而促進(jìn)信息流的協(xié)調(diào)。

到目前為止，互為依賴的各個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)之間已經(jīng)建立和發(fā)展了很多協(xié)作框架，以便于共享安全信息，如威脅信息、脆弱性信息、對(duì)策或最佳操作規(guī)范。在這些已有的協(xié)調(diào)機(jī)制下，有些機(jī)構(gòu)已成立了信息共享系統(tǒng)，而有此機(jī)構(gòu)還需要繼續(xù)在這方面做新的工作。除了促進(jìn)部門(mén)級(jí)的信息共享外，有若干基礎(chǔ)設(shè)施部門(mén)還開(kāi)始籌建超出單個(gè)工業(yè)界范疇的信息共享機(jī)制，如與多個(gè)部門(mén)或政府實(shí)現(xiàn)共享。

（5）問(wèn)題五：公共政策和法律/法規(guī)問(wèn)題

雖然各個(gè)私營(yíng)部門(mén)之間已經(jīng)開(kāi)始在共享安全信息，但與政府的類似信息交換卻非常復(fù)雜。目前，有三項(xiàng)法律為信息保障中的公共-私營(yíng)合作造成了障礙：信息自由法（FOIA）、反托拉斯法、責(zé)任法。

在FOIA的要求下，美國(guó)政府行政部門(mén)持有的記錄應(yīng)該向公眾公開(kāi)。雖然，美國(guó)國(guó)會(huì)認(rèn)識(shí)到了某些信息有著不可披露的合理需要以及通過(guò)法規(guī)、條例來(lái)促進(jìn)合作的現(xiàn)實(shí)需求，并因此而規(guī)定了信息披露的豁免情況，然而，當(dāng)前FOIA中規(guī)定的所有豁免情況是否能夠?qū)ε吨械耐{和脆弱性信息提供足夠的保護(hù)，這還有待于私營(yíng)工業(yè)的確認(rèn)。人們關(guān)心的是，出于關(guān)鍵基礎(chǔ)設(shè)施安全意識(shí)培養(yǎng)以及安全規(guī)劃的目的而資源共享的信息，有可能會(huì)應(yīng)FOIA的要求而披露，而站在披露請(qǐng)求另一面的，可能是競(jìng)爭(zhēng)者、訴訟者，甚至可能是居心叵測(cè)的攻擊者。

此外，對(duì)于如何實(shí)施FOIA，很多州和聯(lián)邦機(jī)構(gòu)都有不同的規(guī)則。這造成了不同的基礎(chǔ)設(shè)施部門(mén)以其自己的方式看待FOIA。為以防萬(wàn)一，它們不愿意同地方、州和聯(lián)邦政府共享安全信息，除非FOIA中的模棱兩可得到了徹底的澄清。在州政府級(jí)別，這一問(wèn)題更加嚴(yán)重。

反托拉斯法也為信息共享添加了障礙。合法的商貿(mào)業(yè)務(wù)及其關(guān)鍵信息的交換行為應(yīng)該不受聯(lián)邦和州政府反托拉斯法的禁止。不論其出發(fā)點(diǎn)如何，工業(yè)企業(yè)之間的某些協(xié)約、合作協(xié)定以及信息共享有可能成為反托拉斯的對(duì)象，如提升價(jià)格、削減產(chǎn)出等。ISAC的目標(biāo)是清晰的，然而，市場(chǎng)中一些企業(yè)發(fā)生的類似簡(jiǎn)單合作卻有可能被其他未參與合作的公司、機(jī)構(gòu)以及其他非政府組織所懷疑，于是，ISAC的成員不得不面對(duì)反托拉斯的風(fēng)險(xiǎn)。

最后，信息安全的專業(yè)公司以及某些ISAC不愿意制定安全標(biāo)準(zhǔn)。因?yàn)楫?dāng)這些標(biāo)準(zhǔn)出現(xiàn)問(wèn)題時(shí)，它們將被迫陷入責(zé)任法訴訟。

（6）問(wèn)題六：國(guó)際問(wèn)題

某些關(guān)鍵業(yè)務(wù)部門(mén)已經(jīng)建立了強(qiáng)有力的覆蓋整個(gè)北美的跨邊界基礎(chǔ)設(shè)施聯(lián)絡(luò)關(guān)系。然而，由于基礎(chǔ)設(shè)施的很多無(wú)縫連接，大多數(shù)機(jī)構(gòu)都認(rèn)為基礎(chǔ)設(shè)施保障應(yīng)該是一個(gè)全球問(wèn)題，如Internet便沒(méi)有邊界。在同樣的一條國(guó)際通路中，有益和有害的信息流通常夾雜在一起高速運(yùn)行。而且，美國(guó)的基礎(chǔ)設(shè)施還要依賴于很多外資的關(guān)鍵機(jī)構(gòu)，其中還有很多特殊的安全問(wèn)題。脫離于對(duì)國(guó)際經(jīng)濟(jì)影響的考慮而處理美國(guó)的國(guó)家安全問(wèn)題是不全面的，而且也難以奏效。

大多數(shù)國(guó)家已經(jīng)在國(guó)家基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略的工作中達(dá)到了成熟階段，與這些國(guó)家的工作相融合，并在可能的地方對(duì)他們產(chǎn)生影響，有利于全球的經(jīng)濟(jì)發(fā)展，避免留下國(guó)家基礎(chǔ)設(shè)施保護(hù)孤島。這些國(guó)家的基礎(chǔ)設(shè)施保護(hù)項(xiàng)目應(yīng)該合作，表現(xiàn)為一個(gè)集成的方法學(xué)，使全球的基礎(chǔ)設(shè)施系統(tǒng)能夠聯(lián)合工作和運(yùn)行。

然而，在跨越國(guó)界的合作中，社會(huì)、文化、政治準(zhǔn)則是不能忽視的。如果不能適應(yīng)不同文化對(duì)安全、隱私以及政府或工業(yè)控制的不同理解，便會(huì)不可避免地導(dǎo)致國(guó)際合作中的沖突和矛盾。例如，很多國(guó)家仍然需要對(duì)關(guān)鍵業(yè)務(wù)部門(mén)實(shí)現(xiàn)私有化，它們對(duì)安全保障和信息共享的看法可能與美國(guó)的公共-私營(yíng)合作聯(lián)盟所持有的觀點(diǎn)大不相同。

最后，與IT伴隨而來(lái)的風(fēng)險(xiǎn)直至現(xiàn)在尚未得到全面認(rèn)識(shí)，合并、采辦以及聯(lián)盟（和分拆）均涉及現(xiàn)有網(wǎng)絡(luò)的連接和/或集成（或者隔離）。在某些國(guó)家中，信息資產(chǎn)中可能還要包括與海外或國(guó)外市場(chǎng)的連接，這些系統(tǒng)或其所含信息遭到的任何破壞均會(huì)導(dǎo)致嚴(yán)重的后果。因此，必須投入大量的努力，保障這些日益國(guó)際化的基礎(chǔ)設(shè)施的完整性。