摘自:《网络安全技术和产业动态》2022年第8期,总第26期。

2022年9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式施行一周年。《条例》的发布为我国开展关键信息基础设施安全保护提供了法律依据,标志着我国网络安全进入了以关键信息基础设施安全保护为重点的新阶段。

“网络安全是开放的而不是封闭的”。关键信息基础设施安全保护是网络安全的重中之重,更要有全球视野。美国全面加强关键基础设施保护至今已有二十六年的历史,是我们可以借鉴的对象。通过回顾美国关键基础设施安全保护工作的历史,可以得到一些有益的启示。

0美国历史政策情况

1996年美国总统克林顿签署第13010号行政令《关键基础设施保护》,拉开了美国关键基础设施安全保护工作历史大幕。二十六年来美国关键基础设施保护经历了四个阶段,即定目标、划范围、建体系、强执行。

(一)定目标(1996年—2003年)

美国在克林顿政府时期开始意识到关键基础设施保护的重要性,提出了确保关键基础设施可用性、安全性和快速恢复性的目标,倡导政府与关基运营者信息共享、责任共担,明确加强立法设置、研发投入和宣传教育等一系列措施保护关键基础设施。

(二)划范围(2003年—2013年)

随着信息通信技术不断发展,美国在保护关键基础设施方面更加重视网络空间安全。在此期间,关键基础设施的范围不断变化,至2013年美国关键基础设施范围最终形成了相对稳定的16个关键基础设施行业。

(三)建体系(2013年—2018年)

美国第13636号行政令《增强关键基础设施网络安全》明确将网络安全作为关键基础设施保护的重点。通过发布《网络安全法》《网络安全国家行动计划》《国家基础设施保护计划》《关键基础设施网络安全改进框架》和《关键基础设施行业行动计划》等政策文件,构建了以国土安全部为主责地位、以风险评估管控为准则、以公私合作信息共享为基础的关键基础设施保护体系。

(四)强执行(2018年至今)

2018年国土安全部整合资源重组成立“网络安全和基础设施安全局(CISA)”,先后发布了《州和地方网络安全改善法案》《关键基础设施行业风险与漏洞评估报告》《保护5G云基础设施安全指南》等文件,在国家级防御协同、威胁情报共享、漏洞披露管理、联合安全演习等方面对关键基础设施保护提供建议指导和强制要求,强化政策落地执行。

0美国近期政策研究

美国近期关键基础设施保护研究的领域包括网络事件响应、联邦政府的网络安全、供应链安全和太空安全等方面。

(一)强制网络事件报告,及时掌握网络安全态势

2022年3月15日,美国发布《2022年关键基础设施网络事件报告法案》,要求关键基础设施实体在遇到重大网络事件72小时内、被勒索软件勒索付款的24小时内必须向国土安全部(DHS)上报。此举有助于联邦政府及时获取关键基础设施实体遭受网络事件和勒索软件攻击的情况,以便快速响应,确保美国政府对关键基础设施网络安全态势的及时感知。

(二)推动创新技术应用,增强联邦政府网络安全

2021年5月12日,美国总统拜登签署第14028号行政令《改善国家网络安全》,重点增强联邦政府网络安全现代化措施,提升漏洞检测和网络事件响应能力,以降低联邦政府遭受网络攻击的风险。2021年9月,CISA同时发布了《云计算安全技术参考架构》和《零信任成熟度模型》,随后相继发布多项云计算安全技术和零信任架构方面政策,推动云计算安全技术和零信任架构等创新技术应用的落地执行。

(三)重视供应链安全,确保基础设施安全运行

2021年2月24日,拜登签署第14017号行政令《确保美国供应链安全》,以加强美国供应链韧性。随后,商务部和国土安全部制定了《支持美国信息和通信技术行业的关键供应链评估》报告,提出了八项建议以降低风险并加强供应链韧性。

(四)抢占太空主导地位,强调太空系统网络安全

在特朗普政府“必须让美国在太空中占据主导地位”思想指导下,2020年9月太空网络安全指令SPD-5发布,明确太空基础设施属于美国关键基础设施。2022年7月11日,美国土安全部发布更新2022版《国土安全部太空政策》,强调了国土安全部在太空系统基础设施网络安全方面的作用。

0中美政策对比

我国对网络安全和关键信息基础设施安全保护十分重视。2016年出台《网络安全法》,2021年9月正式施行《关键信息基础设施安全保护条例》。通过条例的发布,国家明确了关键信息基础设施的范围对象,并要求相关单位组织开展认定工作;确定了关键信息基础设施保护工作的职能分工,重点强化落实运营者的主体责任;提出了多项举措,全面提升关键信息基础设施安全保护能力。

通过中美政策对比分析,可以得到以下结论。

一是中美对关键信息基础设施的重要性认识一致。无论是美国的关键基础设施保护还是我国的关键信息基础设施保护,都是瞄准了国家关键资源的信息系统和网络设施,对其重要性认识一致。

二是中美发布相关政策文件数量上存在差距。美国开展关键基础设施保护二十六年间,发布了100多个相关政策文件,覆盖面较宽,在细节管理上有法可依。我国仍处在关键信息基础设施保护的初期,相关政策文件相对较少。

三是中美网络事件报告国家体系完善程度不同。美国经过多年的发展,已经具备相对完善的威胁情报共享、网络事件报告国家体系,并细化了网络事件报告的方式、格式和时限要求。我国针对威胁情报、网络事件报告以及应急响应处理的整体国家体系仍需不断完善。

四是中美重要政策标准文件执行落地效果不同。美国已经出台了很多具有执行落地效果的标准和手册,我国关键信息基础设施保护执行仍缺少标准规范和手册文件的支撑。我国为了支撑关键信息基础设施保护法规政策的落地,已经开始组织制定关键信息基础设施保护通用性、基础性相关标准以及各行业可操作、可执行、可落地的相关保护标准,推动政策法规的落地。

五是中美政策文件落地执行监督管理工作不同。美国大部分政策文件都有明确的工作进度和时间节点要求。此外,美国政府问责局(GAO)作为独立机构专门负责相关政策落地工作的监督管理,定期发布审计报告督促进度。我国政策文件中明确了多项措施,但具体工作进度、预期效果和时间节点都没有明确要求,不便于政策落地执行的监督管理。

0启示与建议

通过与美国关键基础设施保护政策对比,主要有以下启示和建议。

一是关键信息基础设施识别认定是关键信息基础设施保护工作的开始,是一个长期动态的过程。建议:加快关键信息基础设施认定,明确完成关键信息基础设施认定第一次全国普查的时间节点,定期(如每年)进行认定结果评估工作,保证保护目标的动态调整。

二是威胁情报共享和网络事件报告是做好关键信息基础设施保护和强化整体态势感知的关键基础。建议:构建国家威胁情报共享体系和信息共享机制,强制网络事件报告,及时掌控关键信息基础设施保护整体安全态势。

三是标准规范、指南手册等技术文件是有效支撑关键信息基础设施保护工作落地的技术基础。建议:加快关键信息基础设施保护系列标准编制、宣贯,加大可操作、可执行的安全保护技术在行业、企业的指导培训。

四是云计算安全、零信任等创新技术在关键信息基础设施安全保护中发挥重要作用。建议:通过国家课题、重大项目等多种形式支持关键信息基础设施安全保护核心技术攻关,加强关键信息基础设施安全保护技术的自主可控和创新应用。

中国网络安全产业联盟(CCIA)主办,深信服科技股份有限公司供稿。

声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。