自2月24日起,俄乌冲突持续焦灼,关键基础设施成为网络攻击重点。战前乌克兰政务、金融基础设施多次受损,开战后乌克兰电信基础设施经常性中断服务,俄罗斯政务等基础设施也出现无法访问情况。在俄乌冲突升级背景下,3月11日,美国众议院通过《关键基础设施网络事件报告》法案,该法案要求关键基础设施所有者和运营商在遇到重大网络攻击72小时内、被勒索软件勒索付款的24小时内向网络安全和基础设施安全局(CISA)报告。这项法律将使联邦机构更深入地了解攻击趋势,并可能有助于在重大漏洞或攻击蔓延之前提供早期预警。在俄乌混合战争引爆全球“关基”网络安全危机的时刻,美国通过《关键基础设施网络事件报告法案》不愧为未雨绸缪,为应对网络安全态势现代化的需求提前做好准备。

一、俄乌冲突间接推动美国网络安全立法变革

随着科技不断发展,现代战争的形式已经不再局限于热战。作为第二种战争模式的“网络战争”虽不见硝烟,但它让现代战争变得更加快速且具有破坏力,可能不费一兵一卒,但它所带来的危害其实并不亚于现实战争,可对目标国重要基础设施实现精准打击。此次俄乌对战,以国家为打击目标、摧毁国防、军工、能源关键基础设施,公共通信、金融、电子政务等各种关键信息基础设施“断网”的背后,无不透露出新型网络战已经具备实体攻击的能力。

(一)美国国家网络安全立法发展进程主要事

俄乌冲突引发的一系列网络安全问题,间接推动了美国网络安全立法的变革,有助于立法者克服时间和权限障碍通过立法,要求关键基础设施的私营部门所有者向政府报告网络安全事件,并推动《网络安全增强法》的更新。

表1美国国家网络安全立法主要事件追溯

(二)《网络安全增强法(2022)》重点更新内容

3月1日,美国参议院通过《美国网络安全增强法(2022)》。该法由《网络事件报告法案》、《联邦信息安全现代化》和《 联邦安全云改进和就业法案》三项网络安全法案措施组成。总体来看,该法包含旨在使美国联邦政府的网络安全态势现代化的若干措施。试图通过简化之前的网络安全法案来改善联邦机构之间的协调,并要求所有民事机构向CISA报告网络攻击。法案的通过将有助于确保银行、电网、供水网络和交通系统等关键基础设施实体能够在网络遭到破坏时迅速恢复并向人们提供基本服务。

《网络事件报告法案》更新了各机构向国会报告网络事件的规定,并赋予CISA更多权力,以确保其是民用网络安全事件主要负责机构。“最重要的”措施要求关键基础设施的运营商在攻击发生后七十二小时内通知CISA;在勒索软件支付后二十四小时内通知CISA。《联邦信息安全现代化》重点集成了更有效的网络安全实践。《 联邦安全云改进和就业法案》加速部署云计算产品和服务,并大力推动采用安全云能力、创建工作并减少对遗留信息技术依赖。

二、美国对关键基础设施保护的布

美国作为网络技术的发起国和强大网络空间势力的拥有国,也是关键基础设施保护起步最早的国家。美国国土安全部作为关键基础设施的主管部门,也肩负着保障国家安全的重要职责,基于此,美国关键基础设施安全保障的战略思路和法律政策,从一开始就与国家安全挂钩,相比其他国家,站得更高,布局更加宽广。

(一)站位高瞻,战略地位挂钩国家安

结合2015年美国政府《网络安全法案》、 3月1日参议院通过《美国网络安全增强法(2022)》,以及NIST根据法案提出针对关键基础设施的具体框架指南,美国关键基础设施安全的战略地位全面与国家安全挂钩。近几年,安全威胁呈现出线上线下联动的态势,加之此次俄乌冲突中暴露出来的关键基础设施成为网攻重点对象,关键基础设施战略地位呈不断抬升之势。美国参议院国土安全和政府事务委员会主席加里·彼得斯认为,《美国网络安全增强法(2022)》的通过,是具有战略里程碑意义的,是确保美国能够反击的重要一步,将确保 CISA 成为主要的政府机构,负责帮助关键基础设施运营商和民用联邦机构应对重大网络漏洞并从中恢复,并减轻黑客对运营的影响。

(二)明确范围,重视物理与网络空间安全保护

美国在保护关键基础设施物理空间安全的同时更加重视网络空间安全,并且不断调整变化关键基础设施的范围以适应新时期的需要,最终固化形成了16个美国关键基础设施行业范围。

表2 美国关键基础设施行业范围与对口机构

(三)自顶向下,行成网络安全保护体系规范

1996年,第一个针对关键基础设施的行政令,13010号行政令拉开了对关键基础设备保护的序幕。2013年3636号行政令《增强关键基础设施网络安全》提出网络安全已成为关键基础设施保护的重点,应当长期巩固关键基础设施的安全性和弹性能力。2015年颁布《网络安全法》,明确了国土安全部在网络安全领域的主责地位。2016年《网络安全国家行动计划》,要求加强公共和私营部门的网络安全合作,制定网络安全框架以提高关键基础设施网络安全。2018年NIST发布新的《关键基础设施网络安全改进框架》V1.1版本,提出了自我风险评估、供应链安全、认证授权、漏洞管理等方面框架要求,为关键基础设施提供了更细粒度的指导。

通过发布《2015网络安全法》、《2016网络安全国家行动计划》《2018设施网络安全改进框架》《2022网络安全增强法》等,美国构建了一个自顶向下的以国土安全部为主责部门、以风险评估管控为准则、以公私合作信息共享为基础的关键基础设施保护体系规范。

三、结 语

前事不忘,后事之师。这次俄乌之间的网络战争给了我们很多启发,美国此刻“加急”一致通过《网络安全增强法》以推动适应网络安全态势现代化的需要。在国际纠纷日益激烈的今天,中国庞大的关键基础设施也同样面临着各种各样的网络攻击威胁,全力提升关键基础设施安全保护能力,掌握更加先进的技术,加强网络安全人才教育与培训考核,提升关键信息基础设施人才技术与管理能力势在必行。

另方面近年来,我国也持续在重要行业和领域加大网络安全保障建设的投入,发布《中华人民共和国网络安全法》,《关键信息基础设施安全保护条例》也于2021年9月1日起正式施行,但是关键信息基础设施的具体保护范围也有待进一步明晰, 建议借鉴美国经验对极其重要的关键基础设施划分保护范围,明确对应责任机构,规定强制性的监管义务和标准。从美国《关键基础设施网络事件报告》最重要的改革措施看出对关键基础设施安全事件响应精准及时的重要性,而我国也可能存在政府职能部门、科研机构、教育机构、骨干企业、测评机构之间在关键基础设施保护体系的协调配合不够流畅的情况,建议通过网络安全测评、动态演练、逐步优化,提升关键基础设施动态防护水平的同时,改善政府、企业、测评机构之间的沟通协调,形成言简意赅的“上传下达”的机制,能及时发现、完整响应、缓解并提醒关键基础设施相关人员注意正在发生以及即将发生的攻击。

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。