日前，美國蘭德公司網(wǎng)站發(fā)布題為《Improving the Cybersecurity of U.S. Air Force Military Systems Throughout Their Life Cycles》的研究報告，其作者是唐·斯奈德和詹姆斯D.鮑爾斯等6人。這份研究報告的主要內(nèi)容如下：

在賽博空間里，對含有信息技術(shù)的美國空軍系統(tǒng)易被搜集情報和攻擊的擔(dān)憂與日俱增。在本報告中，作者分析了美國空軍采辦/壽命周期管理機(jī)構(gòu)如何才能提高其軍用系統(tǒng)在整個壽命周期里的賽博安全。本研究主要聚焦于采辦系統(tǒng)的子集，相對于商用貨架產(chǎn)品信息技術(shù)和商用系統(tǒng)，空軍在其設(shè)計、架構(gòu)、協(xié)議和界面(例如武器系統(tǒng)、平臺信息技術(shù))上擁有一定的控制權(quán)。

本報告作者的主要研究結(jié)論是，過去建立和提出的賽博安全法律和政策是用來管理商用貨架產(chǎn)品信息技術(shù)和商用系統(tǒng)的，但不足以應(yīng)對軍用系統(tǒng)安防的挑戰(zhàn)。它們也沒有充分抓住對作戰(zhàn)任務(wù)的影響。目前，賽博安全主要是添加到系統(tǒng)上，而不是進(jìn)行內(nèi)在設(shè)計。作者提出了美國空軍在軍用系統(tǒng)整個壽命周期內(nèi)能改善賽博安全的12項建議。

本報告所研究的問題包括：(1)在采辦中應(yīng)達(dá)到何種賽博安全，以及管理賽博安全有哪些關(guān)鍵原則。(2)利用哪些法律與慣例來塑造美國國防部內(nèi)的賽博安全管理。(3)造成空軍軍用系統(tǒng)賽博安全管理出現(xiàn)缺陷的根本原因有哪些。(4)如何才能解決這些問題。

本報告的研究發(fā)現(xiàn)即造成空軍軍用系統(tǒng)賽博安全管理出現(xiàn)缺陷的根本原因包括：(1)賽博安全環(huán)境是復(fù)雜、快速變化和難以預(yù)測的，而治理賽博安全的政策更適用于簡單、不變和可預(yù)測的環(huán)境，這導(dǎo)致賽博管理上出現(xiàn)巨大缺口。(2)在軍用系統(tǒng)的整個壽命周期內(nèi)，并不是持續(xù)警惕地實施賽博安全措施，而是主要依據(jù)采辦過程中的采辦事件進(jìn)行安排，導(dǎo)致賽博安全問題方面的政策不完整。(3)對軍用系統(tǒng)賽博安全的控制和問責(zé)遍及多個組織機(jī)構(gòu)且整合不佳，導(dǎo)致賽博安全的問責(zé)和指揮控制部門的一體化被削弱。(4)賽博安全的監(jiān)控與反饋對于有效的決策或問責(zé)來說還不完整、不協(xié)調(diào)、不充分。(5)在這些研究發(fā)現(xiàn)中有兩個基本主題：賽博安全風(fēng)險管理還不足以抓住作戰(zhàn)任務(wù)使命所受的影響，以及賽博安全主要是添加到系統(tǒng)上，而不是進(jìn)行內(nèi)在設(shè)計。

本報告提出的12項建議是：(1)針對所要取得的成果，確定空軍軍用系統(tǒng)的賽博安全目標(biāo)。(2)對系統(tǒng)的脆弱性、威脅、作戰(zhàn)任務(wù)使命進(jìn)行權(quán)衡，重新調(diào)整賽博安全風(fēng)險評估的職能作用和責(zé)任，并授權(quán)官員對利益相關(guān)方進(jìn)行整合與評判。(3)為授權(quán)官員指定一個系統(tǒng)組合，并保證所有系統(tǒng)在其整個壽命周期內(nèi)都由授權(quán)官員全面負(fù)責(zé)。(4)鼓勵項目辦公室利用更全面的賽博安全措施來補充所需的安全控制，包括健全系統(tǒng)安全工程。(5)在各個項目如何實施系統(tǒng)安全工程上，空軍通過制訂新的政策來促進(jìn)賽博安全方面的創(chuàng)新和適應(yīng)性。(6)降低賽博安全問題的復(fù)雜性，通過推翻只要有可能就使系統(tǒng)互聯(lián)的缺省文化來減少互聯(lián)數(shù)量。(7)在壽命周期管理機(jī)構(gòu)內(nèi)，成立能視情進(jìn)行矩陣化轉(zhuǎn)換的賽博安全專家組，使得那些小項目和支撐項目也可獲得資源。(8)由企業(yè)確定優(yōu)先順序，評估和處理老舊系統(tǒng)的賽博安全問題。(9)持續(xù)定期評估，對空軍每個項目的賽博安全狀況進(jìn)行總結(jié)，并根據(jù)問題的解決情況來對項目管理人員進(jìn)行問責(zé)。(10)在空軍內(nèi)部針對采辦/壽命周期管理專門成立賽博安全紅隊。(11)對違反賽博安全政策的個人進(jìn)行問責(zé)。(12)開發(fā)任務(wù)線程數(shù)據(jù)，以支持項目經(jīng)理和授權(quán)官員評估系統(tǒng)和項目賽博安全缺陷所導(dǎo)致的任務(wù)風(fēng)險的可接受程度。