2．現狀分析

在概述研發項目關聯性以及制定項目計劃的各項任務之前，本章將首先對導致本文之所以做出這些研發方法建議的當前現狀做一番闡述。當前的狀況稱得上是我們所面臨的一大緊迫挑戰，其中包括未被充分認識的信息安全脆弱性、運行和技術方面的困難以及旨在保護關鍵基礎設施的研發項目的缺乏。

基本網絡威脅

基本網絡威脅，是指任何人有可能在任何地點利用互聯網或其他公共、專用網絡，未經授權進入關鍵基礎設施資產的運營機構的IT系統。這些關鍵基礎設施的運營者，往往是那些試圖未授權進入系統的敵對分子的首選目標，他們的目的無非是惡意修改運營者的IT系統，從而阻止基礎設施提供服務或泄露相關涉密信息。我們國家面臨的最大的網絡恐怖主義威脅是國土攻擊，網絡破壞者、黑客、竊賊、“電腦迷”以及其他形形色色在各種系統上尋找信息安全脆弱性的人的小打小鬧絕對無法與這種威脅同日而語。

最應引起我們警覺的情況是，敵對分子像在“9·11”事件中那樣，喪心病狂地對物理設施和虛擬網絡同時發起攻擊，這種情況最有可能在地區、全國乃至國際范圍內造成多重的、同時的、連鎖性的破壞。有了“9·11”事件的先例，我們已經不難想象，恐怖主義分子一旦對空中運輸控制雷達計算機和網絡發起攻擊，使雷達系統追蹤偏航飛機的能力降低，進而使空中其他飛機面臨的危險大大增加，將會是怎樣一幅物景。其他有關的危險情況，還包括敵對分子對供水控制系統同時進行網絡和生化武器攻擊。對供水控制系統的這類攻擊，可能會使社會公眾在不知不覺中受到化學或生物制劑的傷害。

這類威脅的對象，絕不僅僅限于關鍵基礎設施運營者的IT系統，凡是由于設計缺陷、疏忽大意或者對信息安全的脆弱性不了解或不重視而可以任人隨意通過互聯網進入的系統，都面臨著這樣的威脅。互聯網只是一個攻擊媒介而已，一次成功的攻擊無論借助何種媒介，暴露出缺陷的系統都有可能被用作下一次攻擊的登錄點。這種連鎖攻擊，最終會導致惡意濫用IT系統的情況出現，從而使攻擊者得以控制或直接影響對基礎設施提供服務的至關重要的系統。

其他攻擊媒介，還包括某一關鍵基礎設施運營者的IT系統與其伙伴組織（其中從作為合作伙伴的同一公司的業務部門到其他關鍵基礎設施運營者，涉及的范圍很廣）的IT系統之間的專用網絡連接（真實連接或VPN連接）。合法進入此類附屬系統的人（如附屬機構雇員之類的內部人員），或者能夠得到授權進入系統的外部人員，都有可能濫用訪問權，從而對關鍵基礎設施運營者的目標系統形成攻擊。最近的恐怖主義活動明顯表明，蓄意作惡的敵對分子將千方百計并且有能力取得內部人員資格，以獲得訪問權或相關信息，進而把這種內部人員資格轉變為一種攻擊能力。

由這種“連鎖攻擊”造成的基本網絡威脅，是各國關鍵基礎設施運營者高度相互依賴的必然結果。相互依賴問題將在后面進一步討論。

緊迫挑戰

由于存在這樣的基本威脅，我們面臨以下四種緊迫挑戰，它們不僅會影響行之有效的研發項目的開發任務，同時還會對改善關鍵基礎設施運營者網絡安全狀況的近期任務產生影響，從而使運營者由于其信息系統缺乏相關設計而無法應對新的網絡恐怖主義威脅。

未知的脆弱性程度

基本網絡威脅尤其應該引起我們的警覺，因為當今存在著另外一種緊迫挑戰，即我們對將會遭受攻擊的關鍵基礎設施運營者的IT系統的脆弱性缺乏充分認識。除了銀行與金融部門的某些環節存在明顯例外以外，關鍵基礎設施普遍沒有積極投身到商業信息安全實踐中來，沒有運用現有信息安全技術和流程進行脆弱性評估。事實的確如此，直到最近，也仍然有很多關鍵基礎設施運營者不把自己的IT系統視為高風險、高價值資產，并沒有認識到他們應該受到額外的妥善保護。同樣，對于評價信息安全的脆弱性，人們也普遍缺乏積極性。

因此可以說，對于我們國家的關鍵基礎設施信息系統面對網絡恐怖主義究竟有多脆弱，我們實在是知之甚少。同樣，對于現有信息安全技術究竟在多大程度上應用到了關鍵基礎設施保護之中，這些應用產生了多大效果，信息安全技術在關鍵基礎設施IT系統中的應用還存在多大差距等問題，我們也是不甚了了。同樣的情況還包括用于使用和管理信息安全技術的通用信息安全處理方法，以及旨在保護技術安全機制（如物理和人員安全）的對非技術安全手段的應用和管理。

然而，如果我們對關鍵基礎設施系統的脆弱性缺乏具體的、準確的和全面的了解，我們就很難搞清應該如何運用信息安全技術來降低近期風險，同時也很難搞清應該如何通過信息安全技術開發來提供具有長期效果的更好的保護方式。下面列出的部分問題表明了這方面問題所涉及的范圍：

我們應該如何通過更好地運用現有信息安全技術來根除脆弱性，以使我們的關鍵基礎設施系統更有力地抵御當今的攻擊？

我們應該如何通過定義“標準”手段或“通用實踐措施”來使現有信息安全技術應用到關鍵基礎設施之中？

當今的信息安全技術在現存脆弱性方面以及在面對威脅時（尤其是面對針對關鍵基礎設施或部門的威脅時）具有哪些局限性？

我們需要在哪些方面開展技術研發工作以真正縮小差距？

我們需要開發哪些新的通用處理方法來管理這些差距帶來的風險并為應用不斷涌現的新信息安全技術做好準備？

由于缺乏對這類問題的答案，我們只能通過籌劃兩種行動來擴大我們的信息庫，從而得以真正了解和控制國家關鍵基礎設施系統所面臨的風險。

首先，從中期和長期角度而言，我們期望關鍵基礎設施運營者不斷加強信息安全的脆弱性和風險評估工作，同時主動應用信息安全技術，開發出能夠滿足關鍵基礎設施運營者和部門最迫切需要的通用處理方法。這些努力應與關鍵基礎設施部門內和部門間加強信息共享、解決FOIA放寬公共-私營部門之間信息共享之類政策問題、鼓勵開展預算外信息安全活動、鼓勵部門內和部門間合作實施新的信息安全方案等其他方面的工作從根本上結合到一起。

其次，我們需要通過近期行動，來加強對我國關鍵基礎設施IT安全現狀的了解。雖然，需要長期付出巨大努力，才能對國家關鍵基礎設施的脆弱性做出恰如其分的評估，但是，新近開展的研發項目，能夠而且應該包含涉及關鍵基礎設施系統的IT應用的運營研究。試驗性運營研究可以從闡明上述問題開始（事實上，這方面的試驗性研究已經幫助我們懂得了應該如何闡明上述問題），繼而將研究成果應用到當前正在運營的具有代表性的現實世界系統之中，最終確定應該用哪些現有信息安全技術和處理方法來消除現存的脆弱性。

復雜性

當前的脆弱性評估和正在進行中的研發項目，都因關鍵基礎設施的錯綜復雜而困難重重，而這些復雜性構成了更為緊迫的挑戰。各個系統之間的相互依賴（這個問題將在下文中討論）會擴大一次攻擊的潛在影響范圍，因為對某一關鍵基礎設施系統的攻擊能否取得成功，可能取決于其他關鍵基礎設施系統。只有這樣，攻擊的影響才有可能在多個系統內繁衍蔓延。連鎖影響和連鎖攻擊之所以令人憂慮，不僅因為各個系統相互依賴，而且因為網絡的融合已經成為一種程度越來越高的發展趨勢。其中，從數據/電話網的融合，到多公司共享的電子事務處理，再到關鍵基礎設施服務提供商的網絡和計算機與其他關鍵基礎設施服務提供商的網絡和計算機的共同運行，凡此種種，不一而足。在如此形成的新威脅環境中，對多重信息領域的持續性影響，極有可能使傳統上被視為多余并容忍錯誤存在的信息源遭到各種不法行為的破壞。

除了廣義的復雜性之外，我們還要面對更為具體的技術復雜性，它們產生于現行通用處理基礎設施（即現有信息安全技術的運行對象）與用在關鍵基礎設施IT系統中的各種專業系統之間的矛盾。其中，最為關鍵的是嵌入關鍵基礎設施運行心臟的控制系統，即廣泛用在從制造業到發電廠的各個部門的不可或缺的系統，我們的關鍵基礎設施系統離開了它們就無法運轉。這些控制系統因其對關鍵基礎設施服務的直接控制，構成了最重要的資產。大多數控制系統和網絡在技術上存在著巨大的差異，而為它們設計的現行信息安全技術也必然會千差萬別。當前，適用于這些控制系統的信息安全技術十分缺乏，抑或說，無論在基本保護還是在充滿網絡恐怖主義威脅的新環境方面，對于哪些技術適用于這些控制系統、哪些技術不宜用于控制系統，我們實在知之甚少，這是一個應引起我們高度警覺的問題。很多技術差距和研發差距之所以存在，可能就是各種各樣專業系統與比較常規的計算系統之間的復雜交互作用造成的。

即便撇開關鍵基礎設施控制系統的安全問題不談，也存在著復雜的信息安全挑戰。它們是典型商業處理方法與關鍵基礎設施運營者之間在信息技術上相互依賴的綜合作用結果（后文將對此做詳細討論）。

研發協調、信息共享和合作

關鍵基礎設施和網絡安全是涉及范圍極廣的問題，任何行業都不可能獨立將其解決。這種挑戰絕不是傳統的政府主持的研發形式、私人出資的研發形式和大學的研發形式所能應付得了的。然而，當前的信息安全研發工作卻處于一種支離破碎、毫無調度的紊亂狀態——眾多政府撥款部門各自按照不同的計劃行事，而私營研發工作則幾乎從不考慮政府研發工作的布局。政府多個部門之間的信息安全研發投資、由政府實施的信息安全研發、幾乎互不關聯的公司出資和實施的信息安全研發造成了混亂，從而為信息共享、研究協調和設定研發的優先級帶來了極大的挑戰。

因此可以說，在當前情況下，對實施中的各種形式的研發工作進行全面和準確的歸類是不可行的，然而這種歸類卻是以下幾項活動的先決條件：評估與關鍵基礎設施相關的信息需求、確定正在進行中的關鍵基礎設施研發項目的工作重點，以及確定各行業的信息安全研究工作進行新合作和潛在協作的新前景。以下這些活動是彌補現行研發工作以下缺陷所必不可少的。

信息安全研發可能沒有與關鍵基礎設施直接相關。大多數傳統信息安全研究都是僅僅基于TCP/IP網絡以及標準商業操作系統和軟件開展的。由于控制系統并沒有完全分享這種技術基礎，因此現行信息安全具體而言可能與操作系統無關，總體而言可能與關鍵基礎設施和網絡無關。

當前的研發都是出于商業用途開展的。當前的研發對象是可在商業界通用的技術和方法，以及可供軍方/政府用于各種用途的相同的COTS技術。

當前的研發是以單一所有者/運營者模式開展的。當前的信息安全技術都是以單一所有者/運營者模式開發出來的。在實際工作中，相互依賴的關鍵基礎設施系統具有很高的相互關聯性，因此難免產生涉及多個運營者系統的信息問題。雖然，這樣的情況在一定程度上存在于比較典型的商業處理中，但是人們往往并不將其當作技術問題來處理，而僅僅認為它們屬于商業問題的范疇。然而在關鍵基礎設施處理中，一個系統由于另一個系統的原因遭到破壞的風險卻是根本不可接受的風險。盡管有限的少數涉及企業外聯網和電子商務的“跨企業安全”研究把重點放在了有控制地擴大安全范圍上，但是當前的信息安全研發工作都不是以開發解決這些相互依賴問題的方法為目的的。

關鍵基礎設施部門的協調和信息共享

要想評估當前的脆弱性、制定標準、定義差距和研發需要，各關鍵基礎設施部門就必須通力合作。這種前所未有的信息共享和合作，應該涉及共享各關鍵基礎設施運營者的脆弱性評估信息、比較各種通用矯正手段、開發可滿足部門信息安全需要的通用方法、確定方法或技術上存在的差距。這些合作，對于適宜保護我們的基礎設施網免受網絡攻擊乃至預防會造成連鎖破壞的意外事件來說，也是必不可少的。

這樣的合作其實已經開始。其中，以信息共享和分析中心在若干關鍵基礎設施部門做出的努力效果最為顯著。在各個部門內共享現有信息的努力，會為從工業界到政府部門的整個關鍵基礎設施業內更廣泛的信息共享和合作打下堅實的基礎，進而可以提高和共享對技術或方法脆弱性和差距的認識。

然而，主要側重于信息共享和分析中心的合作（這是至為關鍵的最初步驟）遠不足以形成一個探討關鍵基礎設施信息安全脆弱性評估及相關問題的論壇。此外，了解脆弱性與關鍵基礎設施防范網絡攻擊，往往是同時并進的。當前，預防災害的責任呈高度分散之勢，各部門形成了各自為戰的局面：地方政府和州政府在某些聯邦部門的參與下，負責確定以何種方法應對會使某個關鍵基礎設施運營者的服務質量降低乃至癱瘓的攻擊或意外事件；而關鍵基礎設施運營者則負責消除攻擊或意外事件造成的內部影響。因此，信息安全方面的協調合作還涉及針對災害預防的協調合作。

互依賴性

所有這些緊迫挑戰，被關鍵基礎設施運營者之間的高度互依賴性組合到了一起。互依賴問題涉及物理運行（關鍵基礎設施服務的提供）、信息共享以及保護和響應技術等諸多方面。而在互依賴性的每個方面都存在著越來越惡化的若干因素，使研發的問題顯得日漸突出，原因就在于關鍵基礎設施業界人士對現有的安全技術和信息安全研發工作缺乏足夠的重視。

我們的關鍵基礎設施，不僅在運行上相互依賴，而且這種依賴性正愈演愈烈。每個部門內部的關鍵基礎設施的運營，都越來越依賴于相關的信息技術，同時通過專用網絡和公共互聯網相互聯得越來越緊密。由于存在著如此廣泛的相互關聯，我們的關鍵基礎設施正面臨著巨大的潛在破壞。這樣的破壞會在局部、國家乃至國際層面上造成多重的、并發的和連鎖性的破壞。

有了“9·11”事件的先例，我們已經不難想象，恐怖主義分子一旦對空中運輸控制雷達計算機和網絡發起攻擊，使雷達系統追蹤偏航飛機的能力降低，進而使空中其他飛機面臨的危險大大增加，將會是怎樣一幅場景。其他相關聯的危險情況，還包括敵對分子對供水控制系統同時進行網絡和生化武器攻擊。對供水控制系統的這類攻擊可能會使社會公眾在不知不覺中受到化學或生物制劑的傷害。

運行性互依賴性和網絡互依賴性

互依賴性有兩種基本類型。第一種，每個基礎設施公司都需要其他部門提供的基礎設施服務。因此，一個部門出問題會對其他基礎設施部門產生連鎖影響。例如，供水公司依賴交通部門運送化學制劑，如果后者因遭受攻擊而無法正常運轉，就會造成前者供水短缺、服務質量下降和風險增大。

第二種互依賴性是由這樣的情況造成的：很多基礎設施公司的計算機系統要定期與其他公司的處理系統發生聯系，結果每個關鍵基礎設施運營者的處理系統都要依賴其他公司的處理系統（其中包括其他基礎設施服務提供商以及供應鏈上的其他公司和合作伙伴）。

由于IT系統日趨復雜，第二種網絡方面的互依賴性大幅度增加了關鍵基礎設施IT系統所面臨的風險。例如，多網絡接口中，會為關鍵基礎設施網絡攻擊提供多個進入點，而對某個公司系統的每次網絡攻擊，都會有機會對其他公司的系統發起連鎖攻擊。網絡方面的互依賴性對技術和研究方案提出了不可忽視的要求：這些方案必須能夠解決由于所有者、運營者、部門和相關技術之間相互依賴而給關鍵基礎設施帶來威脅的問題。

連鎖破壞和連鎖攻擊

互依賴性有可能產生兩種連鎖性結果：間接破壞和間接攻擊。連鎖性間接破壞產生于運營或后勤保障上的相互依賴，這使得關鍵基礎設施在攻擊面前總體上顯得十分脆弱。例如，（由電子攻擊造成的）運輸服務癱瘓，會使運送供水系統用于水處理的化學制劑的工作無法正常進行，從而造成化學制劑儲備下降乃至無法正常供水。

連鎖性的電子攻擊，是從各關鍵基礎設施運營者之間的網絡連接點上著手進行的。例如，某運輸服務提供商遭到一個網絡攻擊者入侵，后者隨后可以利用該運輸服務提供商與某個供水服務提供商之間的網絡聯系，直接進入供水服務提供商的控制系統，從而讓供水工作陷于癱瘓。因此，該供水服務提供商的安全取決于該運輸服務提供商的安全，然而運輸服務提供商的系統安全并不在供水服務提供商的控制之下。

信息安全研發工作必須強調電子依賴性，以及用以化解連鎖性電子攻擊風險的手段。后勤保障的相互依賴是運營研究所必須重點考慮的問題，這方面的工作應該開發出適宜的模式，用以推動相關各方共同做出努力，化解連鎖性間接破壞的風險。

關鍵基礎設施運營者不僅依賴其他關鍵基礎設施運營者，同時還依賴與其有業務往來的其他公司（例如，關鍵基礎設施運營者會與其提供商共同使用某一自動供應鏈管理設施），這就使網絡依賴性的問題變得更加復雜。這樣的情況要求在企業之間建立安全機制。但是，在企業間目前的基本安全狀況下，很難確定是否存在涉及關鍵基礎設施的安全要求。也就是說，在兩種網絡依賴性（即基礎設施內的電子聯系和關鍵基礎設施運營者/提供商之間的電子聯系）間可能存在著重大差別。

關鍵基礎設施的這兩種依賴性，在所需要的保護、現有安全技術和滿足這些需要的處理方法等諸方面均有很大的不同。以通常方式運用安全技術和使用典型的自動電子事務的處理方法，或許能夠解決基礎設施運營者/提供商的安全問題，但也有可能毫無作用。現有的信息安全技術，很可能并不足以滿足關鍵基礎設施的需要，因為殘余風險在某些典型的電子事務環境中是可以接受的，但是在基礎設施機構中卻不可容忍。更可能的是，在基礎設施內部，電子連接的信息安全需要是現有的信息安全技術所無法滿足的，因為這些連接與生俱來就是雙向的，而這樣的相互依賴在典型電子商務環境中根本不存在。針對基礎設施內部網絡連接的安全處理方法，必須明顯區別于基礎設施提供者內部網絡連接的安全處理方法。在前者的環境中，必須由雙方共同承擔安全責任；而在后者的環境中，由基礎設施公司獨自承擔網絡連接的安全責任就可以了。

政府政策問題

目前，有很多政府政策問題限制了各部門的協調和信息共享，而最為明顯的是，它們限制了各部門為加強對現有脆弱性以及研發需要的認識而付出的努力。FOIA和反托拉斯問題制約了協調和信息共享，因此應成為當前立法和制定法規工作的重點。

最突出的政府政策問題，或許非向關鍵基礎設施運營者撥款開展信息安全現狀評估和改善工作莫屬。例如，加利福尼亞州首席信息官辦公室最近對該州所屬公共事業運營者進行了一次調查，發現不但存在安全狀態之薄弱的情況，而且他們還計劃進一步增加并提高自動化信息系統的復雜性，這著實令人擔憂。雖然重要的安全問題已經得到重視，但是用以解決這些問題的資金依然是一個始終沒有得到解決的問題。私營關鍵基礎設施運營者也面臨著同樣的問題，他們同時還缺少開展信息安全工作的委托授權（后一個問題比前一個問題更嚴重）。既然有大量潛在的信息安全工作需要由涉及各個行業和部門的關鍵基礎設施運營者來開展，政策專家就應認識到，這方面的費用最終要由政府承擔（如通過政府發行長期債券、課稅扣除和按規定減免關鍵基礎設施消費者的使用費用等方式）。但是，從目前來看，政府還沒有采取任何行動為關鍵基礎設施的信息安全頒發委托授權或提供資金。

有一個相關的政府政策問題產生于關鍵基礎設施行業或部門的“合理實踐措施”概念（sound practices）中。這種概念構成了關鍵基礎設施信息安全活動的標準化基礎，為關鍵基礎設施運營者評估自己在信息安全方面付出了充分努力提供了一種通用度量尺度。沒有這樣的“標準”，關鍵基礎設施運營者便會在評估脆弱性以及通過研發工作彌補和確認技術及處理方法的差距方面，面臨巨大困難。但是，除資金和對現存脆弱性缺乏認識問題之外的很多政府政策問題，制約了“合理的實踐措施”定義工作的開展。需要付出多大努力才能實現制定適宜標準和確保處理方法合理的目標？政府在闡明和實現這些目標的過程中應該擔任何種角色？政府在推動各界接受和應用“標準”和研發成果方面應該發揮什么作用？關鍵基礎設施運營者對安全應該有什么認識？諸如此類的問題，使有關如何制定標準或定義“合理的事件措施”的政府政策問題變得更加突出。當前，有關這些問題的政策責任涉及了聯邦政府和州政府的很多部門。