背景

关键基础设施保护 (CIP) 包括保护相互依存的系统、网络和资产的措施,这些系统构成了社会必不可少的服务基础。 重要的物理基础设施包括道路、桥梁、机场、通讯设施和发电厂。 以信息为基础的基础设施使所有其他系统具有计算机和网络的特点,特别是监控和数据采集 (SCADA) 系统,这些系统在相互联系的基础上运作,以便跨越关键功能进行信息交换和分析。 其中包括银行、发电和配电、医疗服务、政府紧急服务、空运和水陆运输。

由于大多数国家的关键信息基础设施主要由私营部门拥有和经营,因此我们需要一套动态的解决方案,能够应对这样的情况,即新出现的威胁以及需要阻止它们的技术往往比监管程序更快地跟上。 利用互联网固有的快速和持续变化以及其全球可达性,灵活需求的解决方案可以迅速适应新的和不断变化的情况。

对 McAfee 的意义

物理和/或信息化基础设施因自然灾害、网络攻击或者其他原因导致的破坏或瘫痪,可能对公民、企业和政府造成巨大的伤害。 保护关键信息系统和网络的挑战是全球性的。 当今的信息基础设施从根本上取决于全球连接和互操作性。 因此,必须采取有效的国际战略和解决办法来应对保护全球关键信息基础设施的挑战。

McAfee 致力于使互联的世界更安全。 我们认为,没有任何人、产品或组织能够单独打击网络攻击,特别是每天受到国家和全球犯罪集团攻击的重要基础设施组织。 迄今为止,McAfee 在重要的关键基础设施部门(包括医疗保健、政府和金融领域)建立了强大的业务。 我们在通信和能源等其他关键领域也取得了进展。 作为我们致力于为客户利益服务的一部分,我们积极关注并努力影响我们客户和自身运营的公共政策环境,并作为远大双赢战略的一部分。

政策建议

采取自愿的方式

各国政府保护关键基础设施是合情合理的,这主要是私营部门所拥有的。 因此,McAfee 认为私营部门应该在保护方面发挥带头作用。 政府应允许行业继续在关键基础设施的保护中自主创新。 管制和授权将对确保保护关键基础设施的目标产生反作用。

  • 如果管制迫使制造商防范今天的威胁,那么明天的威胁很可能趁虚而入。
  • 如果政府实施技术授权,结果很可能只是服从,而不是真正的安全。 管制在网络安全等领域是非常棘手的,意想不到的后果可能超过管制的任何好处。

产生 NIST 框架的自愿公私合作的方式远比强硬的管制要好得多。 NIST 的做法之所以成功,是因为决策者和私营部门确定了真正的需求:改善关键基础设施的安全性。 随着这一进程的展开,NIST 听取了私营部门的意见,并与主要利益相关者建立了信任关系,形成了基于自愿合作而不是硬性规定的灵活框架。 协作使集成和经过验证的行业流程解决方案能够在不牺牲安全性或可靠性的情况下更迅速地部署。 决策者应牢记 NIST 框架所取得的成功,作为取得预期成果的积极途径。

 

鼓励通过设计保护安全

决策者应该鼓励对于新的关键基础设施安装通过设计保护安全。 在开发过程早期引入安全性—从底层构建基础设施—是一种主动的方法,比事后修补、更新和修改安全系统更为可取。

  • 在系统已经启动和运行后,向系统、网络或设备添加或“锚接”安全功能有着其固有的弱点和低效率,比如在更新系统时必须将系统脱机,这对电网来说是不切实际的要求。
  • 制造商应在设计过程早期阶段就考虑到联网设备的安全性,并设计好在初次生产后安全升级和修补的机制。

 

鼓励对网络安全性能进一步投资

作为网络安全的前沿组织,我们知道客户实施所有需要的投资是多么不易,以便让他们的组织运作良好。 在网络安全方面的投资通常会对新产品、销售或市场的投资产生效益。 鉴于保护私营部门拥有和经营的基础设施系统的国家利益,决策者有必要实施更多的鼓励措施,如下文所述,以帮助这些组织提高其网络安全能力:

  • 税收激励: 鼓励企业投资网络防御的税收激励措施,包括加速折旧计划或采用经验证的安全技术的税收减免。
  • 保险改革: 政府可以通过提供支持计划来加强保险市场。 为此,国会应该考虑将网络攻击包含在 Terrorism Reinsurance Program Reauthorization Act (TRIPRA) 的适用范围中。
  • 鼓励克服信息共享“搭便车”的挑战: 我们需要认识到在公共和私营部门的信息共享中出现的威胁情报“搭便车”问题的影响。 每个组织都受益于获取威胁情报,但没有从提供它获得直接的价值,除非提供正确的组织结构和激励机制,才能消除“搭便车”问题。
  • 解密更多的威胁数据:政府需要提高与私营部门共享的威胁数据的质量和数量,解决这个“搭便车”的问题。 政府应该解密更多类别的威胁数据,并积极与私营部门进行分享。 政府应该向合格的公司代表发出更多的安全许可,以便访问最敏感、可能最有价值的或威胁数据。