环顾全球,网络安全形势仍十分严峻,各国在网络空间展开激烈博弈。关键信息基础设施是我国经济社会运行的神经中枢,发挥着基础性、全局性、支撑性作用,因此保护好关键信息基础设施是网络安全的重中之重。网络安全是开放的而不是封闭的,维护关键信息基础设施网络安全要有全球视野和开放心态,因此有必要关注其他国家的做法。美国全面加强关键基础设施保护安全工作已有二十五年的历史,是值得我们关注的重点对象。通过开展美国关键基础设施保护政策的研究,旨在进一步更好的学习美国关键基础设施保护的理念与经验,思考关键基础设施保护工作路径,少走弯路。
一、政策演进四个阶段
1996年美国总统克林顿签署第13010号行政令《关键基础设施保护》,拉开了以美国关键基础设施保护为重点的网络安全工作历史大幕。在这二十五年间,美国历经5任总统,围绕关键基础设施保护先后发布一系列战略、法律、规划、行政令、总统令。通过对二十五年来发布的相关政策文件的研究,可以将美国关键基础设施保护分为四个阶段,即定目标、划范围、建体系、强执行。
图1:美国关键基础设施保护政策演进
(一)定目标(1996年到2003年):探索关键基础设施保护,提出可用性、安全性和快速恢复性目标
美国早在克林顿政府时期就意识到关键基础设施保护的必要性。该阶段通过探索研究提出了确保关键基础设施可用性、安全性和快速恢复性的目标,确立了政府与关键基础设施运营者信息共享、责任共担的合作模式,倡导加强立法设置、研发投入和宣传教育等一系列措施强化关键基础设施保护。
1996年克林顿签署13010号行政令《关键基础设施保护》,组建了“关键基础设施保护委员会”,专门对关键基础设施安全的薄弱环节及威胁进行探索研究。
1997年美国“关键基础设施保护委员会”发布了《美国基础设施保护》报告,提出了适合美国国情的关键基础设施保护建议。该报告明确了联邦政府的关键基础设施领导地位,规划了专门负责关键基础设施保护的组织架构,提出了公私合作和宣传教育等建议。
1998年克林顿签署63号总统令《关键基础设施保护》,成立“国家关键基础设施保护中心”和“信息共享和分析中心”,组建“关键基础设施协调小组”,开启了关键基础设施保护组织架构的建设。
2001年小布什签署了13231号行政令《信息时代的关键基础设施保护》,强调信息时代关键基础设施的信息系统安全保护,进一步确定关键基础设施保护目标。
(二)划范围(2003年到2013年):重视物理与网络空间安全保护,确定关键基础设施范围
随着信息化和互联网技术的不断发展,美国在保护关键基础设施物理空间安全的同时更加重视网络空间安全。在此期间,关键基础设施的范围在不断调整变化。911恐怖袭击后美国将国防工业设施、农业食品和国家纪念物等列入关键基础设施保护范围。十年后,美国将国家纪念物去掉并增加了关键制造、核设施等行业,最终固化形成了16个美国关键基础设施行业范围。
2003年美国发布国土安全第7号总统令《关键基础设施识别、优先排序和保护》,将国防工业设施、农业食品、国家纪念物等列入到关键基础设施保护范围。
2006年发布《国家基础设施保护计划》报告,随后持续发布《国家基础设施保护计划》(2007/2008)、《国家基础设施保护计划》(2009)、《国家基础设施保护计划》(2013)等报告,为各级政府机构和私营部门如何管理国家关键基础设施提供实施框架。
2013年美国发布第21号总统令《关键基础设施安全和弹性》,取代2003年发布的7号总统令。经过近10年的探索和调整,美国关键基础设施保护范围最终确定16个行业并固化。
表1:美国16个关键基础设施保护行业范围
行业 | 对口机构 |
化工行业 | 国土安全部 |
通信行业 | 国土安全部 |
水坝 | 国土安全部 |
应急服务行业 | 国土安全部 |
金融行业 | 财政部 |
政府设施 | 国土安全部和总务管理局 |
信息技术行业 | 国土安全部 |
交通运输行业 | 国土安全部和交通部 |
商业设施 | 国土安全部 |
关键制造业 | 国土安全部 |
国防工业设施 | 国防部 |
能源行业 | 能源部 |
农业食品行业 | 美国农业部和健康与公众服务部 |
医疗保健和公共卫生行业 | 健康与公众服务部 |
核设施行业 | 国土安全部 |
供水与废水处理行业 | 环境保护局 |
(三)建体系(2013年到2018年):明确进入网络安全时代,构建关键基础设施保护体系
美国第13636号行政令《增强关键基础设施网络安全》提出网络安全已成为关键基础设施保护的重点,应当长期巩固关键基础设施的安全性和弹性能力。通过发布《网络安全法》、《网络安全国家行动计划》、《国家基础设施保护计划》、《关键基础设施网络安全改进框架》和《关键基础设施行业行动计划》等举措,构建了以国土安全部为主责地位、以风险评估管控为准则、以公私合作信息共享为基础的关键基础设施保护体系。
2013年,美国发布第13636号行政令《增强关键基础设施网络安全》,要求国土安全部采取措施推进网络安全信息共享,制定网络安全框架以降低关键基础设施网络安全风险,关键基础设施保护的网络安全时代到来。
2015年美国发布《网络安全法》,从立法层面加强了网络安全保护,明确了国土安全部在网络安全领域的主责地位,确立了政府和私营企业信息共享、应急响应、风险评估、人才培养等工作的法律责任与义务。
2016年奥巴马政府发布《网络安全国家行动计划》,明确指出要增强关键基础设施的安全性和抗打击能力。计划建立“国家网络安全促进委员会”,加强公共和私营部门的网络安全合作,制定网络安全框架以提高关键基础设施网络安全。
2016-2019年每年举办一次国家基础设施保护计划“网络安全与弹性”挑战赛,筛选关键基础设施保护的优秀创新项目案例,从而为长期巩固关键基础设施的安全性和弹性提供实践。
2017年特朗普签署行政令《增强联邦政府与关键基础设施网络安全》,加强关键基础设施网络安全保护。该行政令明确了风险评估报告的基本要求,重点关注信息通信系统、电力系统网络安全能力的评估。
2018年美国国家标准技术研究院(NIST)发布新的《关键基础设施网络安全改进框架》V1.1版本,提出了自我风险评估、供应链安全、认证授权、漏洞管理等方面框架要求,为关键基础设施提供了更细粒度的指导。
(四)强执行(2018年至今):加强法规政策和建议指导的发布,强化关键基础设施保护落地执行
2018年国土安全部整合资源重组成立“网络安全和基础设施安全局”,先后发布了《州和地方网络安全改善法案》、《美国网络安全和基础设施安全局网络演习法案》、《关键基础设施行业风险与漏洞评估(RVA)报告》、《保护5G云基础设施安全指南》,成立“联合网络防御协作中心”,在国家级网络安全防御协同、威胁情报共享、漏洞披露管理、联合安全演习等方面对关键基础设施提供建议指导和强制要求,更加强化落地执行。
2018年美国发布《网络安全和基础设施安全局法案》,成立“网络安全和基础设施安全局”机构,将“国家保护与计划局”设立的技术中心等组织架构并入网络安全和基础设施安全局管理。
2019年美国发布《改善州、地方网络安全法案》,该法案在《国土安全法》的基础上增加了三项举措,有助于州和地方政府获得更充分的网络安全资源,包括制定网络安全资源指南、识别高价值资产和提供网络安全建设资金。
2020年网络安全和基础设施安全局颁布了强制命令《实施漏洞披露政策》,要求所有的联邦机构必须在180天内完成安全联系接口对接、漏洞提交、漏洞披露等工作。
2021年美国发布《美国网络安全和基础设施安全局网络演习法案》,该法案提出了对关键基础设施开展网络安全应急响应、攻防演习、定期测试和评估的工作要求。
2021年美国发布《国家安全备忘录:改进关键基础设施控制系统网络安全》,要求国土安全部制定跨部门关键基础设施控制系统网络安全基准,推动联邦政府和关键基础设施之间的跨部门合作,以改善关键基础设施网络安全。
2021年网络安全和基础设施安全局陆续发布《保护5G云基础设施安全指南》,提出5G云基础设施的“防止和检测横向移动”、“安全隔离网络资源”、“数据保护”以及“基础设施的完整性保护”安全要求。
二、思考与启示
纵观美国关键基础设施保护政策发展的二十五年,可以得到以下重要启示。
一是关键基础设施识别认定是一个长期动态的过程。美国从1996年提出关键基础设施保护的目标后,关键基础设施保护范围始终在不断变化,花了10多年时间基本确定16个行业范围。今年11月24日,美国众议院国土安全委员会依然提出立法,要求明确流程来识别关键基础设施行业中真正必不可少的系统服务,将其指定为国家“具有系统重要性的关键基础设施”(SICI)。
我国《关键信息基础设施安全保护条例》第二章专门介绍“关键信息基础设施认定”,后续关键基础设施的认定规则仍待发布。关键信息基础设施的识别和认定工作也必将是一个长期动态的过程。
二是加强关键基础设施保护的安全信息共享和统筹协调工作。从1997年“关键基础设施保护委员会”提出建立公私合营的合作伙伴关系、1998年63号总统令成立“信息共享和分析中心”和“关键基础设施协调小组”,到2018年美国“网络安全和基础设施安全局”成立,安全信息共享和统筹协调工作至始至终都是关键基础设施保护的核心工作。
我国也应建立健全国家有关机构、行业主管部门以及运营者之间的安全信息共享和统筹协调机制,加强关键基础设施安全漏洞管理、威胁情报共享、安全事件通报和应急响应工作。
三是加强对关键基础设施运营者的指导和监督工作。2018年美国“网络安全和基础设施安全局”成立以来,不断加强关键基础设施安全风险评估与管控,对关键基础设施运营者的安全保护指导和监督工作发挥了重要作用。通过法案立法保障网络安全经费投入,构建关键基础设施行业网络安全框架,开展网络安全风险评估、应对与持续监控服务,发布关键基础设施保护安全实施指南等,有效促进关键基础设施安全保护的落地执行。
我国应加快关键基础设施安全保护标准体系建设,持续发布可落地执行规范文件,在风险评估、安全保障、人才培养、技术创新等领域加强对关键基础设施运营者的指导和监督,切实保护关键基础设施安全。
三、结语
本文通过研究二十五年来美国关键基础设施保护的政策,将政策演进总结为四个阶段,即定目标、划范围、建体系、强执行。定目标阶段是探索关键基础设施保护,提出可用性、安全性、快速恢复性等关键基础设施保护目标;划范围阶段是重视物理与网络空间安全保护,确定16个行业的关键基础设施范围;建体系阶段是明确进入网络安全时代,构建以国土安全部为主责部门、以风险评估管控为准则、以公私合作信息共享为基础的关键基础设施保护体系;强执行阶段是加强法规政策和建议指导的发布,强化关键基础设施保护落地执行。通过分析研究发现关键基础设施识别认定是一个长期动态的过程;关键基础设施保护的安全信息共享和统筹协调是核心工作;对关键基础设施运营者的指导和监督工作是落地执行的关键。
本文刊载于《中国信息化》杂志2022年第1期(2022年1月20日)
回复“关基专报1”,获取相应文档
声明:本文来自路云天网络安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。