日前，美國蘭德公司網站發布題為《Improving the Cybersecurity of U.S. Air Force Military Systems Throughout Their Life Cycles》的研究報告，其作者是唐·斯奈德和詹姆斯D.鮑爾斯等6人。這份研究報告的主要內容如下：

在賽博空間里，對含有信息技術的美國空軍系統易被搜集情報和攻擊的擔憂與日俱增。在本報告中，作者分析了美國空軍采辦/壽命周期管理機構如何才能提高其軍用系統在整個壽命周期里的賽博安全。本研究主要聚焦于采辦系統的子集，相對于商用貨架產品信息技術和商用系統，空軍在其設計、架構、協議和界面(例如武器系統、平臺信息技術)上擁有一定的控制權。

本報告作者的主要研究結論是，過去建立和提出的賽博安全法律和政策是用來管理商用貨架產品信息技術和商用系統的，但不足以應對軍用系統安防的挑戰。它們也沒有充分抓住對作戰任務的影響。目前，賽博安全主要是添加到系統上，而不是進行內在設計。作者提出了美國空軍在軍用系統整個壽命周期內能改善賽博安全的12項建議。

本報告所研究的問題包括：(1)在采辦中應達到何種賽博安全，以及管理賽博安全有哪些關鍵原則。(2)利用哪些法律與慣例來塑造美國國防部內的賽博安全管理。(3)造成空軍軍用系統賽博安全管理出現缺陷的根本原因有哪些。(4)如何才能解決這些問題。

本報告的研究發現即造成空軍軍用系統賽博安全管理出現缺陷的根本原因包括：(1)賽博安全環境是復雜、快速變化和難以預測的，而治理賽博安全的政策更適用于簡單、不變和可預測的環境，這導致賽博管理上出現巨大缺口。(2)在軍用系統的整個壽命周期內，并不是持續警惕地實施賽博安全措施，而是主要依據采辦過程中的采辦事件進行安排，導致賽博安全問題方面的政策不完整。(3)對軍用系統賽博安全的控制和問責遍及多個組織機構且整合不佳，導致賽博安全的問責和指揮控制部門的一體化被削弱。(4)賽博安全的監控與反饋對于有效的決策或問責來說還不完整、不協調、不充分。(5)在這些研究發現中有兩個基本主題：賽博安全風險管理還不足以抓住作戰任務使命所受的影響，以及賽博安全主要是添加到系統上，而不是進行內在設計。

本報告提出的12項建議是：(1)針對所要取得的成果，確定空軍軍用系統的賽博安全目標。(2)對系統的脆弱性、威脅、作戰任務使命進行權衡，重新調整賽博安全風險評估的職能作用和責任，并授權官員對利益相關方進行整合與評判。(3)為授權官員指定一個系統組合，并保證所有系統在其整個壽命周期內都由授權官員全面負責。(4)鼓勵項目辦公室利用更全面的賽博安全措施來補充所需的安全控制，包括健全系統安全工程。(5)在各個項目如何實施系統安全工程上，空軍通過制訂新的政策來促進賽博安全方面的創新和適應性。(6)降低賽博安全問題的復雜性，通過推翻只要有可能就使系統互聯的缺省文化來減少互聯數量。(7)在壽命周期管理機構內，成立能視情進行矩陣化轉換的賽博安全專家組，使得那些小項目和支撐項目也可獲得資源。(8)由企業確定優先順序，評估和處理老舊系統的賽博安全問題。(9)持續定期評估，對空軍每個項目的賽博安全狀況進行總結，并根據問題的解決情況來對項目管理人員進行問責。(10)在空軍內部針對采辦/壽命周期管理專門成立賽博安全紅隊。(11)對違反賽博安全政策的個人進行問責。(12)開發任務線程數據，以支持項目經理和授權官員評估系統和項目賽博安全缺陷所導致的任務風險的可接受程度。