近年来,世界各国纷纷出台政策、法规,将关键基础设施安全提升到国家安全的高度,并开始重视对其网络安全的保护。目前,全球已经有数十个国家正在制定或已经实施关键信息基础设施相关安全政策、法规和标准,深刻影响着国家安全、经济发展和社会机遇。

美国作为网络技术的发起国和强大网络空间势力的拥有国,也是关键基础设施保护起步最早的国家。美国国土安全部作为关键基础设施的主管部门,也肩负着保障国家安全的重要职责,基于此,美国关键基础设施安全保障的战略思想和法律政策,从一开始就与国家安全挂钩,相比其他国家,站得更高,布局更加广泛。目前,美国已经形成系统的保护体制和实施方案并不断进行完善。

在习近平总书记“网络强国”战略思想指引下,我国的关键信息基础设施安全保护工作也受到了高度重视。习总书记在2016年4月19日的网络安全和信息化工作座谈会上指出,网络安全威胁和风险日益突出,并向政治、经济、文化、社会、生态、国防等领域传导渗透,特别是国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。习总书记要求,要加快构建关键信息基础设施安全保障体系。

一、关键基础设施面临的网络安全风险日益加大

随着网络技术的飞速发展以及对提高效率的要求,人们发现关键基础设施面临的不再仅仅是物理风险,金融服务、交通运输、基础性资源(水、电力 、天然气和石油等)供应、医疗服务、信息和通信服务、政府服务、国防等重要领域的关键基础设施越来越多地依赖网络和信息系统,并逐渐变得自动化和互联,在此过程中,天生便不安全的信息系统给关键基础设施带来了巨大的网络安全风险。

近年来针对关键基础设施的网络入侵事件频频发生,关键基础设施受到的网络威胁呈逐年上升之势,对国家安全和经济社会稳定运行造成了严重影响。

2010年7月,针对西门子工业控制系统的“震网”病毒感染了伊朗核设施,导致伊朗浓缩铀工厂内五分之一的离心机报废,大大延迟了伊朗核进程,随后该病毒感染世界各地,我国也深受其害。

2013年6月,美国中央情报局前雇员斯诺登披露 , 美国国家安全局曾持续攻击清华大学的教育网主干网,为获取手机短信而广泛入侵中国的主要电信运营商。

2015年6月,波兰航空公司地面操作系统遭受黑客攻击,致使系统瘫痪长达5小时,至少10个班次的航班被取消,1400多名乘客滞留,造成航空秩序严重混乱。

2016年1月,乌克兰电网遭到黑客网络攻击,导致包括乌克兰首府在内的多个地区停电数小时,引发公众恐慌。

2018年11月,伊朗基础设施和战略网络受到了网络病毒的攻击。伊朗军方人士证实,这次攻击相比2010年瘫痪其核设施1000多台离心机的震网病毒,来得更加猛烈、更加先进、更加复杂。

二、美国已经将关键基础设施作为网络攻防的重点

1998 年 10 月,美国参谋长联席会议颁布《信息战共同条令》,提出把基础设施列入信息战打击的范围;2002年7月,美国发布了第一份《国土安全战略》,将关键基础设施保护作为“六大关键业务领域”;2003年2月,发布的《保护网络空间的国家战略》提出了三大战略目标,其中之一是“预防美国的关键基础设施遭到信息网络攻击”;2012年12月,奥巴马总统签署第 20 号总统令,部署了两项行动任务“进攻性网络效应行动”(OCEO)和“防御性网络效应行动”(DCEO),提出“必要时可以对他国网络空间中的数据、信息以及关键基础设施采取控制、运行中断、拒绝执行指令、性能降级,甚至完全破坏”。从网络中心战扩展到网络空间作战行动等;2018年3月,美国众议院通过《2018国土安全部网络事件响应小组法案》,提出授权由美国国土安全部国家网络安全与通信整合中心下的网络狩猎及事件响应小组帮助保护联邦网络和关键基础设施免于遭受网络攻击。

通过对上述文件的分析发现,美国已经清楚地认识到关键基础设施已经成为国家间对抗的重点,美国不仅将关键基础设施作为网络攻击的重要目标,也将其作为网络安全保护的重点。也可以说正是美国将关键基础设施作为网络战攻击的重点,才使得美国将关键基础设施作为其网络安全保护的重点。

三、美国关键基础设施保护发展历程及未来走向

关键基础设施保护概念最早由克林顿总统执政期间提出。1996 年 7 月,克林顿政府颁布第13010号行政令,初步划定关键基础设施的范围,决定成立关键基础设施保护机构,这成为美国建立关键基础设施保护体系框架的开端。之后,美国先后颁布第 62 号总统令(简称PDD-62)、第 63 号总统令(简称 PDD-63)和《信息系统保护国家计划》,逐步明确了关键基础设施涉及的领域和范畴,如何识别关键基础设施,明确关键基础设施的重要性及其国家战略地位。

2001 年,布什总统先后签署《爱国者法案》、《国土安全法》和多部行政令,提出了关键基础设施保护的基本政策,扩大了关键基础设施的范畴,成立关键基础设施保护领导机构,明确负有关键基础设施信息共享和分析职责的机构和组织。

2002 年至 2009 年,布什政府发布了《网络空间国家安全战略》、《关键基础设施和重要资产物理保护国家战略》、《2003年国土安全第 7 号总统令》、《国家基础设施保护计划》等多项保护文件,不断调整关键基础设施保护的范围,从克林顿政府的 8 类扩充到 17 类关键基础设施和资源,明确关键基础设施保护机构及职能。布什执政期间出台的关键基础设施保护文件迄今为止在美国最多。

2013 年 2 月,奥巴马政府发布《提高关键基础设施的网络安全的行政令》(第 13636号行政令),强调保护关键基础设施的重要性,重申关键基础设施保护范畴定义,提出要建立政府与私营机构的信息共享机制,授权政府相关部门制定关键基础设施网络安全框架。同期,颁布2013 年第21号总统令(简称 PDD-21),强调关键基础设施的安全性和恢复力,阐明关键基础设施中联邦政府的角色和职能,确立信息共享和责任共担机制。2013 年,更新发布了《国家基础设施保护计划》,在2009年版的基础上,拓展了保护计划的范围,阐明关键设施面临的风险和威胁。2014 年2 月,美国白宫发布了由国家标准技术研究所(NIST)起草的美国国家信息安全指导规范《提高美国关键基础设施网络安全的框架规范》。这是棱镜门事件后,美国政府首次出台的国家信息安全指导规范,也是奥巴马总统2013年签署第13636 号行政命令《提高关键基础设施的网络安全》以来,落实行政命令的第一个基础性框架文件。美国关键基础设施网络安全保护体系框架基于全生命周期和流程化的框架方法,分为识别、保护、监测、响应和恢复五个层面。框架包括一系列应对网络风险的标准、方法和流程,提供在跨部门之间确立适用于关键基础设施的安全标准和行为准则。

2014年12月,美国两院通过了《2014国家网络安全保护法案》,成立了国家网络安全和通信集成中心,对该中心的主要功能、组成方式、重点工作、运行原则等做出详细规定。

2015年2月发布的《2015年美国国家安全战略报告》明确指出,美国政府要加强与关键基础设施所有者和运行者的紧密合作,并要提高金融、交通等重要领域关键基础设施的恢复能力。

2017年5月,美国总统特朗普发布了关于“加强联邦网络和关键基础设施的网络安全”的行政命令13800。该行政命令要求评估与重大网络事件相关的长时间停电的潜在范围和持续时间,评估美国在管理和缓解针对电子行业网络事件后果的能力和差距。

2018年4月,美国国家标准与技术研究院发布《提升关键基础设施网络安全的框架》。4月18日,美国众议院通过“管道与液化天然气设施网络安全准备法案”、“能源应急领导法案”、“2018网络感知法案”以及“公私合作加强电网安全法案”等4项法案。5月9日,美国国会众议院军事委员会通过“关键基础设施”法案,赋予网络部队保护关键基础设施的任务。5月15日,美国国土安全部(DHS)发布新版《网络安全战略》,并正在着手将选举系统定义为关键基础设施,以施行高级别进行网络安全防护。2018年6月,美众议院国土安全委员会通过保护关键基础设施第5733号法案,要求美国国土安全部下的国家网络安全和通信整合中心识别并应对关键基础设施自动化控制过程中作用产品和技术的漏洞和威胁。此外,还需提供其他保障措施,保护美国的关键行业,包括电力和供水系统、制造业、交通运输、能源等。2018年7月,美国国土安全部部长克尔斯滕.尼尔森正式宣布成立新的机构中心—国家风险管理中心,旨在帮助关键基础设施企业长期评估持续存在的网络威胁以及由此引发的网络风险,尼尔森表示将致力打击入侵和破坏金融、能源以及医疗保健系统的黑客行为,化解科技公司遭受网络攻击的危机。

综上,我们可以看出,美国关键基础设施保护的未来走向将呈现出以下态势:

*第一,关键基础设施安全的战略地位全面与国家安全挂钩。近几年,安全威胁呈现出线上线下联动的态势,加之主管部门—国土安全部所肩负的保障国家安全的职责,关键基础设施的战略地位不断呈抬升之势,甚至与战争、网络军控相联系。

*第二、对新兴安全威胁与传统安全威胁同时考虑。国土安全部指出,一方面,需要警惕新技术、新业务给关键基础设施带来的新的安全威胁,比如物联网、工业互联网、人工智能等。另一方面,不能忽视关键基础设施自身的安全问题,比如设施老化问题带来的安全威胁,以及关键基础设施之间相互依赖所带来的安全威胁等。

四、美国关键基础设施保护体系的支撑机构

目前,美国国土安全部已建立了一套较为完善的关键基础设施保护体系的机构支撑。承担保护关键基础设施职能的主要有国家保护和计划司(NPPD)、国家基础设施协调中心(NICC)、美国网络应急响应中心(US-CERT)和信息分析与基础设施保护部( IAIP)。

NPPD负责保护美国国家物理和网络基础设施,下设关键基础设施保护办公室(IP)、网络安全和通信办公室(CS&C)、风险管理与分析办公室(RMA)和生物特征身份管理办公室(OBIM)。其中,IP负责协调各方力量来降低关键基础设施的风险;CS&S负责确保国家网络和通信基础设施的安全;RMA 负责统领联邦政府突发事件管理;OBIM 提供必要的生物识别技术支持。

NICC是美国关键基础设施网络保护和协调中心,实时监控关键基础设施的风险度,7×24 小时运转。

US-CERT是关键基础设施漏洞披露和信息共享的重要渠道,主要负责降低关键基础设施行业的风险。

IAIP下设国家基础设施保护中心(NIPC)负责收集关键基础设施威胁情报,以保护关键基础设施网络和系统避免遭受攻击。

五、美国关键基础设施保护措施

美国关键信息集成设施保护机构及其职能划分比较明确,机构设置呈现体系化,逐步建立了以国土安全部为主导、基础设施特定领域机构(SSA)具体负责和配合本领域关键信息基础设施保护工作,形成了各部门之间职能分工明确、相互协调的关键信息集成设施保护组织体系。同时,美国政府认识到关键信息集成设施保护是政府部门与私营部门的共同责任,不仅强调政府相关部门在关键信息基础设施保护方面的重要作用,还始终鼓励和倡导私营部门与政府相关部门加强合作与交流,在关键信息集成设施保护计划、协调、实施和运行方面协同努力。

在管理体制方面,2002年美国依据《国土安全法》成立国土安全部,负责协调政府的关键基础设施保护工作,同时在不同的关键基础设施部门内设置有对应的联邦机构负责具体实施这一部门的关键基础设施保护工作。2003年发布第7号国土安全总统指令(HSPD-7),《关键基础设施标识、优先级和保护》,确定了美国关键信息技术设施保护框架的基础性政策,该法令认为各关键基础设施部门都有其独特的特征和运行模式,明确指定了基础设施保护行业主管部门,包括农业部、健康和公共服务部、环境保护局、能源部、财政部、国防部,并关系到关键基础设施和重要资源保护的各联邦部局以及各个总统行政办公室纳入到保护框架之内,包括国务院、司法部、商务部、关键基础设施保护政策协调委员会、管理和预算办公室、首席信息官委员会等。2013年,HSPD-7被撤销并被第21号总统令取代,但延续了之间的保护框架。

在部门工作协调方面,最早的基础设施保护政策《第63号总统决定令:克林顿政府对关键基础设施保护的政策》就明确了部门联络的领导机构、特殊职能的领导机构、跨机构协调机制。由领导机构、国家经济委员会和国家协调员的推荐,总统指派一个由大型基础设施提供商和州及地方官员组成的小组,组成国家基础设施保障委员会,委员会主席由总统指定。国家协调员将担任该委员会的执行主任。国家基础设施保障委员会将定期集会,以加强关键基础设施保护中公共和私营部门间的合作关系,并在必要的时候向总统提交报告。

在力量建设方面,除了国防部的网络司令部和其他联邦机构的常备网络力量担负关键基础设施保护外,近几年,美国还大力加强新型网络力量的建设,以确保关键基础设施安全。一是组建护电特战队。2013年1月5日,多份解密的美国机密级文件显示,国家安全部正在推行一项代号为“完美公民”的行动计划,组建保护全国电网等关键基础设施的护电特战队。28名从国家安全局、黑客联盟、国防部情报局、陆海空陆战队网络战官兵中层层挑选出来的队员已经部署到位,具有美国中央情报局与美国国防情报局的双重身份,享有国内外情报搜集、网络攻与防的特别权力,除了美国的电网外,还担负对他国的电力系统的攻击任务。二是建立国家网络任务部队。2013年2月27日,美国国防部决定在现有人数的基础上,把网络安全部队扩编5倍,从目前900人陆续扩编至4900人。拟建立“国家任务部队”,负责保护电力网络、电厂和其他关键基础设施。三是雇佣非军事人员,保护关键基础设施。2013年12月19日,美国在2014年国防授权法案中提出招募“非双重技术人员”或者国民警卫队人员的建议,以防范对关键基础设施的网络攻击。双重身份的人员必须是统一着装的军事人员,并且保留国防部的头衔和任务。

在预警响应方面,2016年发布了第41号总统政策令《网络事件协调》和国土安全部《国家网络事件响应计划》规定,由国土安全部负责营运国家基础设施保护中心、信息共享与分析中心等,负责实现信息整合和分析功能,为其他管件基础设施相关角色提供态势感知,对关键基础设施进行物理和网络保护,以保障国家关键信息集成设施安全事件监测通报与预警的有效实施。在能力建设方面,保持对网络威胁的态势感知,检测网络威胁,减轻事件响应,响应事件并从中恢复。

在技术标准层面,根据《改善关键基础设施的网络安全行政令》制定了网络安全框架。该框架通过基于风险的方法,使用现有的标准和最近实践,帮助关键机械化设施的营运使用单位应对网络空间的风险,构建了包括识别、保护、监测、响应和恢复在内的网络安全框架,提出安全基线要求并借助NIST80053、ISO/IEC27001、COBIT、COSO、ISA等信息安全管理标准作为控制目标的实现。

六、结束语

美国已基本形成了一套自上而下、兼顾各级政府和私营部门的关键基础设施管理体系,并将关键基础设施的安全保护工作作为国家安全保护的重要领域之一,同国家战备、应急响应等战略高度结合。在关键基础设施识别认定和风险管理、公私合作机制、信息的共享和分析处理、态势感知等方面都积累了大量的经验,其中一些成功的做法可以为我国所借鉴。我国首部网络安全方面综合立法 《中华人民共和国网络安全法》的施行和《关键信息基础设施安全保护条例》的发布意义重大,展现了国家对该项工作的重视,也为进一步开展关键信息基础设施保护工作指明了方向,我们建议加强对各网络强国基础设施保护工作的研究分析,建立并完善我国关键信息基础设施识别认定标准和流程,分行业制定适用于该行业的标准规范,制定相关机制以增强跨行业、跨部门、跨地区的沟通协调,建立部门间、政企间网络安全相关信息共享机制,构建全天候的态势感知体系,完善关键信息基础设施相关应急体系并加强网络安全人才培养,提升我国关键信息基础设施的安全防护水平,为网络强国战略保驾护航。