第3级：国家信息基础设施部门_美国网络安全战略与政策二十年-QQ阅读男生轻小说网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

第3级：国家信息基础设施部门

A．联邦政府

3.A.1 最佳实践措施和标准（Best Practices and Standards）：针对各类联邦政府机构和/或IT系统所支持的各种（机构）职能来说，是否应该有一套IT安全最佳实践措施、策略，和/或标准？应怎样去制定？详细程度如何？是否应符合法律法规的要求？

3.A.2 可追究性、责任以及监督（Accountability, Responsibility and Oversight）：应该对联邦政府的IT安全执行何种常规审计？谁负责执行？应向谁报告？对结果应采取何种行动？怎样才能将这些审计与必要的及时矫正行为联系起来？

3.A.3 拨款（Funding）：在很多联邦机构的IT安全状况中，是不是常规的年度预算有时不足以充分地改善其安全状况？与此相关的拨款活动是否要与联邦政府在修复千年虫问题时所采取的方法相类似？如果是的话，该如何去运行？

3.A.4 跨越各部的活动（Cross-Department Activity）：哪些IT安全职能应在联邦部级的级别上履行？哪些应集中履行？各部局之间怎样才能更好地合作，以在履行某些涉及IT安全的职能时实现规模经济？

3.A.5 关键职能连入Internet（Connecting Critical Functions to the Internet）：网络中的路由器以及其他系统容易受到来自Internet的拒绝服务以及其他类型的攻击，当联邦的某些关键职能通过这些网络履行时，如何最好地解决由此带来的风险？

3.A.6 IT安全人员（IT Security Personnel）：联邦政府在合格的IT安全人员方面的短缺程度如何？联邦政府怎样才能改善其对合格IT安全人员的招募、教育、在职培训以及留任？

3.A.7 采购（Procurement）：采购政策在改善联邦IT安全中发挥着什么作用？

3.A.8 意识（Awareness）:IT安全意识培训怎样才能适用于大多数联邦雇员？

3.A.9 事故报告（Event Reporting）：联邦政府应怎样更好地满足各部局对其网络和系统上发生的恶意行为的报告的需求？怎样处理这种报告？

3.A.10 预警、分析、事件响应和恢复（Warning, Analysis, Incident Response and Recovery）：联邦政府应该拥有哪些系统和能力，以针对IT安全事件去发布预警，执行分析并做出响应？

3.A.11 组织（Organization）：为了改善联邦IT安全，是否需要对组织结构进行进一步的改革？如果有必要，应做什么样的改革？

3.A.12 国家安全（National Security）：对那些涉及国家安全的联邦机构来说，是否需要有进一步的IT安全计划、组织结构或功能？

B．私营部门

3.B.1 各私营部门职责（Sectors）：每类私营部门应承担何种IT安全角色？怎样组织这些私营部门级的活动？

3.B.2 信息共享（Information Sharing）：信息共享和分析中心（ISCA）的角色是什么？怎样提高它们的工作效果？联邦政府怎样做才能促进与私营部门在脆弱性、威胁、预警信息以及分析活动等方面实现共享？

3.B.3 最佳实践措施和标准（Best Practices and Standards）：最佳实践措施和标准在私营部门中扮演何种角色？

3.B.4 事件响应和恢复（Incident Response and Recovery）：在事件响应和恢复方面，应该有哪些私营部门级的合作机制？

3.B.5 数字控制系统（Digital Control Systems）：数字控制系统以及SCADA系统面临着哪些独特的威胁？怎样解决？

3.B.6 关键职能连入Internet（Connecting Critical Functions to the Internet）：某些私营部门的关键职能在其网络与Internet以及其他开放的公共交换系统断开连接后，安全性和可靠性是否能得到更大的提高？

3.B.7 针对某几个特定部门，国家战略中将分别各有一节讨论其具体问题和计划，包括：

银行与金融；

能源；

运输；

电信；

信息技术；

通用制造业；

化学制造业。

C．州和地方政府

3.C.1 组织（Organization）：州政府是否应成立州级的负责信息共享和事件管理的组织？如果需要，这样的组织应包括州政府内的机构吗？应包括市级以及县级机构吗？应包括州内与关键基础设施有关的私营部门实体吗？州和地方政府是否应参与国家机制中的IT安全活动？联邦政府在州和地方政府成立的上述组织中承担何种角色？

3.C.2 执法和应急服务（Law Enforcement and Emergency Services）：除了州和地方政府的其他IT安全需求与活动外，执法和应急服务机构还面临哪些独特的需求以及问题？如何最好地加以解决？

D．高等教育

3.D.1 防范来自大学的攻击（Preventing Attacks from Universities）：怎样才能既确保学术研究自由，又能防止大学内的大规模计算能力被攻击者利用，以免被用来向其他地方发动拒绝服务攻击以及其他的恶意行为？

3.D.2 防范大学内的攻击（Preventing Attacks within Universities）：大学内哪些职能需要高级别的IT安全（如医疗记录、研究试验、发明专利等）？在大学这样的学术环境中如何才能达到这样的安全级别？

3.D.3 组织（Organization）：大学应怎样去最好地实现相关的组织化，以解决它们普遍面临的IT安全问题？是否应在国家级别上就大学内的最佳实践措施或标准达成一致？