美國總統信息技術顧問委員會（簡稱PITAC），是由美國國會根據相關法案組織建立，并由總統直接指揮的聯邦智囊機構，由美國學術和工程界的頂尖專家學者組成，其職責是向總統和國會提供有關信息技術（IT）發展的戰略建議，指導政府加速發展和運用信息技術，從而保持美國在IT領域的全球領先地位。

2005年2月底,PITAC向美國總統提交了一份最新報告,題為《網絡空間安全:迫在眉睫的危機》(Cyber Security: A Crisis of Prioritization)。這份報告是由PITAC計算機安全方面的專門委員會花費了近一年的時間完成，通過深入分析和研究，PITAC戰略性地提出：建議聯邦政府鼓勵和培育新的網絡和信息安全體系結構及安全技術，從而保障美國國家IT基礎設施的安全。

【報告的核心內容】

（一）網絡空間安全是事關美國國家發展的重大問題

1.美國的IT基礎設施在恐怖和犯罪分子的蓄意攻擊面前是非常脆弱的

計算和計算機通信已經滲透到當今美國社會的各個領域，但是這些通過錯綜復雜的方式實現互聯互通和互相依存的網絡系統實際上卻是非常脆弱的。IT基礎設施不僅包含網絡通信、電子商務和Web服務等公共互聯網應用，還包括電力網、空中交通控制系統、金融系統以及軍事和情報系統等許多控制國家關鍵基礎設施的系統和網絡。國家關鍵基礎設施對于IT基礎設施的日漸依賴意味著如果IT基礎設施不安全的話，則國家關鍵基礎設施也將不堪一擊。目前，美國IT基礎設施已經成為網絡恐怖主義和犯罪活動的重要攻擊目標。IT基礎設施一旦遭到破壞就將造成災難性的后果。

2.網絡漏洞和網絡攻擊增長的速度非常快

最新研究表明美國發生網絡攻擊的頻率、范圍、危害和損失都在持續增長。數據顯示包括病毒、蠕蟲、網絡詐騙和內部人員破壞等在內的各種網絡攻擊的數量每年都以超過20%的速度增長，其中很多種類網絡攻擊的增速達到了40%以上。相關統計顯示：2004年新發現的系統和網絡漏洞是1995年的20倍；2003年美國有92%的大型機構組織遭受過病毒災難，至少有83%的金融服務機構發生過系統泄密事件，財富100強企業的網絡有40%曾被惡意病毒侵入并且成為蠕蟲擴散的發源地。

3.無所不在的互聯互通意味著處處都可能存在安全漏洞

互聯網這個目前連接著全世界超過30億臺電腦的全球網絡，最初是本著互信的精神設計出來的。不論是網絡通信協議還是控制計算系統聯結網絡的軟件，都不是考慮在攻擊環境下運行而設計的。互聯互通，這個原本在互聯網中體現的特性，現在已經擴展到局域網、廣域網以及各種無線和混合網絡中。這種無處不在的網絡互聯互通有其無可爭辯的好處，但同時也為攻擊者在全球任何地點去發現系統漏洞和脆弱點并且迅速地廣而告之提供了便利。

4.軟件是主要的漏洞所在

現在的軟件開發方法無法提供滿足IT基礎設施所需的高質量、可靠和安全的軟件。目前軟件開發還不是一門科學，缺乏嚴格的規范，開發過程控制也不能降低攻擊者掃描出漏洞的可能性。因此，常駐計算機中的軟件是主要的網絡安全漏洞所在。就跟癌癥一樣，有漏洞的軟件會因被侵入和修改而受到病毒感染，而受感染的軟件則會復制自身，并通過網絡感染給其他的系統。當來自于美國國內和國外的敵人不斷提高自己在關鍵軟件中嵌入惡意代碼能力的時候，美國所面臨的挑戰將更加巨大。

5.無窮無盡的打補丁并不是好的解決辦法

一項在計算機科學家中間所做的廣泛調查表明，給網絡和計算機系統打補丁以及給軟件增加安全和可靠性功能模塊的方法在短期內是有效的，但是無法從根本上滿足國家網絡空間安全的需要。事實上，等安全隱患既成事實以后再去想辦法增加安全措施，會使得信息安全工作變得十分復雜。如果沒有新的根本性的解決辦法，即使應用了現有最好的安全措施，人們仍然需要不情愿地打無窮無盡的補丁來彌補漏洞。

6.需要新的基礎性的安全模型和方法

現在不能只關心暫時彌補漏洞的問題，而應該把更多的注意力放到新的安全系統設計和工程學方法上。為了長久地解決網絡空間安全問題，需要一項充滿活力的長期的基礎研究計劃來探索和開發必要的技術，以便從頭設計安全的計算和網絡系統以及軟件。對任意大型復雜的系統和網絡來說，網絡空間安全都應該是其設計過程中一個必不可少的部分。為了安全問題增加安全模塊的辦法是必要的，但是最終只有系統級的端到端的安全控制才能最大限度地降低入侵行為。

7.聯邦政府在研發工作中的核心地位

由于利益驅動的原因，公司的行為只能在短期內提高現有系統和網絡的安全性；而聯邦政府則在此領域發揮著決定性的不可替代的作用。聯邦政府始終在資助信息基礎研究方面扮演著核心角色。聯邦政府支持基礎研究的不可替代性在于，這些研究所產生的成果將廣泛應用到社會各個領域，造福大眾。政府支持的基礎研究、產業界支持的應用研究以及工業產品開發三者之間互相促進，奠定了美國在當今世界信息技術領域的領先地位。

8.網絡空間安全的非技術因素

發展信息技術是彌補安全漏洞、解決安全問題的首要措施，但這只是網絡空間安全問題的一部分內容。其他一些需要社會關注的網絡安全方面的非技術因素包括國內和國際立法、教育、信息安全、道德和社會學問題等，這些非技術因素使得網絡空間安全問題更具挑戰性。

（二）應對政策與措施建議

報告指出，雖然現有的技術方案能夠解決一些眼前的問題，但是卻不能夠提供足夠的計算機和網絡安全。只有與現有體系結構和技術全然不同的架構和技術才能從根本上保證IT基礎設施整體的安全性。

長期以來，美國聯邦政府在支持基礎性和長期性IT研究與開發方面，一直扮演著至關重要的角色，正是在這些IT研究基礎上產生的新技術催生了美國價值數十億美元的IT產業。但是，PITAC通過對現在聯邦政府在網絡安全研究方面的政策進行檢查，發現了一個不平衡的現象：大部分支持和資助都給了那些短期的、面向防御的研究；而對于那些能夠同時解決防御問題以及保障民用IT基礎設施安全的基礎性網絡安全研究，資助的卻少之又少。因此，PITAC強烈要求政府應該在如下方面改進其對網絡安全研究的策略：

1.政府對民間網絡安全研究的資助方面

建議聯邦政府劃撥給國家自然科學獎金委員會（NSF）用于支持網絡安全基礎研究的經費應該以每年9000萬美元的速度遞增，同時建議國防高級研究計劃署（DARPA）和國土安全部（DHS）等其他政府部門對在十大優先研究領域（見后）開展研究的投資也應該有實質性的增長。

2.網絡安全基礎性研究團隊方面

建議聯邦政府應該加強對于研究型大學中的網絡安全研究人員和學生的招募和挽留工作，目標是在十年之后使得網絡安全研究方面的專業人才數量翻一番。

3.網絡安全研究成果的成功轉化方面

建議聯邦機構為網絡安全尖端科技成果產業化提供持續的支持。

4.政府網絡安全研究的協調與監管方面

建議加強關鍵信息基礎設施保護部門間工作組的協調和監督作用，并建議把該工作組整合到網絡和信息技術研究與發展計劃（NITRD）當中去。

（三）網絡空間安全十大優先研究領域

報告通過深入分析和研究，提出以下十個領域為網絡空間安全研究的優先領域。

1.認證技術

網絡中的實體如硬件、軟件、數據和用戶等都需要認證系統，包括身份識別、授權以及完整性檢驗。這些系統必須保證是安全的、校驗方便、支持上億個元件運行，并且操作快捷。

2.安全基礎協議

維護互聯網運行的協議沒有幾個是足夠安全的。若要將互聯網建成可靠的交流媒介，就必須開發出針對訪問拒絕、數據污染和欺騙等威脅的基礎安全協議。此外，還需要保證這些基礎協議自身的弱點不致被利用。

3.安全軟件工程和軟件保證

如今的商業軟件工程缺乏制造安全的、高品質產品所需的科學基礎和嚴格的控制。不管是為了避免基本程序錯誤，還是為了開發大量系統，保證系統軟件即使在部分受到危害的情況下仍能安全，這需要在軟件安全工程的創新研究上下功夫。

4.系統整體安全

確保一個復雜、多層、全世界使用的設施安全，不僅僅需要其各部分都安全，還應保障其整體的安全性。因此，應該著手開發一個包括硬件、操作系統、網絡和應用在內的完整的、全新的安全系統。

5.網絡監控與監測

當有不可預知的問題出現的時候，監控工具可以幫助我們了解情況，采取正確的防御措施。而現有的網絡監測工具在監控非正常網絡活動，識別其原因的能力方面還比較初級。

6.減少損失和進行恢復的方法

安全系統必須被設計成能在預想不到的事件和攻擊出現的時候進行快速反應，并能從損失中恢復過來——這是像互聯網這樣龐大的、結點眾多的系統所面臨的一個典型問題。

7.捕獲犯罪分子和阻止犯罪行為的網絡法庭

目前我們在調查網絡犯罪、識別入侵者、收集舉證和將犯罪分子繩之以法方面的能力還很薄弱。綜合考慮這些問題，人們還無法真正了解如何去阻止網絡罪犯。因此迫切需要開發新的工具和技術來對網絡犯罪進行調查，將犯罪分子繩之以法。

8.新技術開發所需的模型和測試平臺

現在缺少能在現實的網絡環境下對新技術進行測試的實用模型和測試平臺，這是妨礙網絡安全新產品迅速開發的障礙之一。由于互聯網的規模和復雜性，缺少模型和測試平臺已經變成了一個很嚴重的問題。

9.評價標準、測試方法和實施方案

目前人們對網絡安全的評價標準、測試方法和方案的研究開發關注的不夠。現有的各種測試方法和標準，不僅十分陳舊，而且昂貴，有時甚至還會對改善網絡安全起到相反的作用。

10.損害網絡安全的非技術因素

一系列的非技術因素，包括心理、社會學、制度、法律和經濟因素在內，都會對網絡安全造成危害，而網絡和軟件工程本身無法解決這樣的問題。因此，迫切需要針對這些非技術因素開展網絡空間安全問題的研究。

【對我國信息安全工作的啟示】

美國總統信息技術顧問委員會提出的《網絡空間安全：迫在眉睫的危機》，是一份系統全面、深刻獨到的研究報告，對于指導美國政府加強網絡空間安全研究和保持美國在IT領域的全球霸主地位，具有極其重要的戰略意義。

相比之下，我國的網絡空間安全狀況要比美國嚴峻得多。這是因為，長期以來，我國信息化建設缺乏核心技術，信息技術自主創新能力不足，對發達國家的信息技術與裝備存在很強的依賴性，始終沒有擺脫“受控于人”和“受制于人”的被動狀態與危險局面。因此，在同樣的環境下，我國在網絡空間安全領域面臨的隱患更多、風險更大，尤其在信息化戰爭的情況下，我國的軍事、情報、金融等關鍵網絡系統的安全性與可靠性尤其令人擔憂。

目前，我國對網絡和信息安全的重視程度不斷提高，信息安全保障工作不斷取得新的進展。密切關注全球網絡和信息安全技術發展的最新態勢，從戰略的高度認識和把握信息安全保障工作的關鍵，大力提高我國的信息安全保障水平，這是擺在我們面前的迫在眉睫的任務。

它山之石，可以攻玉。PITAC此份報告中的諸多觀點和建議，對我國的網絡和信息安全工作都具有一定的指導意義。其中，有兩點重要的戰略性思想，最值得我們認真思考和借鑒：

第一，研發全新的網絡和信息安全體系結構以及安全技術目前全世界現有的基于防御的網絡安全技術方案雖然能夠解決一些眼前的問題，但是都不能從根本上解決計算機和網絡安全問題。為此，需要研究和開發全新的網絡和信息安全體系結構以及安全技術，以便從根本上為IT基礎設施提供整體安全性保障。這一點值得我們格外關注，因為這表明了美國在網絡空間安全方面開啟了原始性創新的全新思路，極有可能很快引發網絡空間安全領域的一場創新性革命。這給我國帶來了新的更加嚴峻的挑戰，也為我國網絡和信息安全工作及時啟動原始性自主創新和實施跨越式發展提供了新的機遇。

第二，政府要大力支持網絡和信息安全基礎性研究與開發建立全新的網絡和信息安全體系結構以及安全技術依賴于長期的基礎性科學研究工作。由于利益驅動的原因，IT公司和企業更愿意關注短期的結果或者能快速提升產品競爭力的研究。因此，不能依靠公司和企業進行長期的基礎性IT研究與開發。政府部門必須責無旁貸地承擔起其在支持IT基礎研究方面的責任，充分發揮其不可替代的作用，加大對研究型大學和科研院所等網絡和信息安全研究機構的支持與資助力度，下大力氣鼓勵和培育新的網絡和信息安全體系結構以及安全技術，為我國二十一世紀的網絡信息安全和國家安全提供堅實的保障。