周亞超，劉金芳

（1.中國(guó)信息安全研究院，北京102209；2.賽迪智庫(kù)網(wǎng)絡(luò)空間研究所，北京100036）

1 引言

針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊是世界各國(guó)面臨的共同挑戰(zhàn)。金融、能源、通信、交通等重點(diǎn)行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生和公共利益。當(dāng)前，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻復(fù)雜，網(wǎng)絡(luò)安全防控能力薄弱，難以有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

美歐各國(guó)均將其視為網(wǎng)絡(luò)安全和國(guó)家安全的一個(gè)重要部分，以及防范恐怖主義打擊的重點(diǎn)。美國(guó)早在克林頓政府時(shí)期就出臺(tái)了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政策，經(jīng)過(guò)了20多年的探索，逐步形成了較為完善的關(guān)鍵基礎(chǔ)設(shè)施管理體系和方法。近年來(lái)，歐盟高度重視關(guān)鍵信息基礎(chǔ)設(shè)施安全，發(fā)布了近10項(xiàng)政策決議以加強(qiáng)其網(wǎng)絡(luò)安全防護(hù)。美歐關(guān)鍵信息基礎(chǔ)主要由私營(yíng)部門運(yùn)營(yíng)，強(qiáng)調(diào)實(shí)施公私合作的自愿性保護(hù)框架，但實(shí)際上關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作仍是依靠政府部門來(lái)主導(dǎo)和實(shí)施。

2 美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)機(jī)構(gòu)及其職能劃分比較明確，機(jī)構(gòu)設(shè)置呈現(xiàn)體系化，逐步建立了以國(guó)土安全部為主導(dǎo)、基礎(chǔ)設(shè)施特定領(lǐng)域機(jī)構(gòu)（SSA）具體負(fù)責(zé)和配合本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作，形成了各部門之間職能分工明確、相互協(xié)調(diào)的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)組織體系。同時(shí)，美國(guó)政府認(rèn)識(shí)到關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是政府部門與私營(yíng)部門的共同責(zé)任，不僅強(qiáng)調(diào)政府相關(guān)部門在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面的重要作用，還始終鼓勵(lì)和倡導(dǎo)私營(yíng)部門與政府相關(guān)部門加強(qiáng)合作與交流，在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃、協(xié)調(diào)、實(shí)施和運(yùn)行方面協(xié)同努力。

在管理體制方面，2002年美國(guó)依據(jù)《國(guó)土安全法》成立國(guó)土安全部，負(fù)責(zé)協(xié)調(diào)政府的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作，同時(shí)在不同的關(guān)鍵基礎(chǔ)設(shè)施部門內(nèi)還設(shè)置有對(duì)應(yīng)的聯(lián)邦機(jī)構(gòu)負(fù)責(zé)具體實(shí)施這一部門的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作。2003年發(fā)布第7 號(hào)國(guó)土安全總統(tǒng)指令（HS PD-7）《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》[1]，確定了美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)框架的基礎(chǔ)性政策，該法令認(rèn)為各關(guān)鍵基礎(chǔ)設(shè)施部門都有其獨(dú)特的特征和運(yùn)行模式，明確指定了基礎(chǔ)設(shè)施保護(hù)行業(yè)主管部門，包括農(nóng)業(yè)部、健康和公共服務(wù)部、環(huán)境保護(hù)局、能源部、財(cái)政部、國(guó)防部，并關(guān)系到關(guān)鍵基礎(chǔ)設(shè)施和重要資源保護(hù)的各聯(lián)邦部局以及各個(gè)總統(tǒng)行政辦公室納入到保護(hù)框架之內(nèi)，包括國(guó)務(wù)院、司法部、商務(wù)部、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政策協(xié)調(diào)委員、管理和預(yù)算辦公室、首席信息官委員會(huì)等。2013年，HSPD-7被撤銷并被第21號(hào)總統(tǒng)令取代，但延續(xù)了之前的保護(hù)框架。

在部門工作協(xié)調(diào)方面，最早的基礎(chǔ)設(shè)施保護(hù)政策《第63號(hào)總統(tǒng)決定令：克林頓政府對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》[2]就明確了部門聯(lián)絡(luò)的領(lǐng)導(dǎo)機(jī)構(gòu)、特殊職能的領(lǐng)導(dǎo)機(jī)構(gòu)、跨機(jī)構(gòu)協(xié)調(diào)機(jī)制。由領(lǐng)導(dǎo)機(jī)構(gòu)、國(guó)家經(jīng)濟(jì)委員會(huì)和國(guó)家協(xié)調(diào)員的推薦，總統(tǒng)指派一個(gè)由大型基礎(chǔ)設(shè)施提供商和州及地方官員組成的小組，組成國(guó)家基礎(chǔ)設(shè)施保障委員會(huì)，委員會(huì)主席由總統(tǒng)指定。國(guó)家協(xié)調(diào)員將擔(dān)任該委員會(huì)的執(zhí)行主任。國(guó)家基礎(chǔ)設(shè)施保障委員會(huì)將定期集會(huì)，以加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中公共和私營(yíng)部門間的合作關(guān)系，并在必要的時(shí)候向總統(tǒng)提交報(bào)告。

在政策執(zhí)行層面，美國(guó)國(guó)土安全部下設(shè)兩個(gè)辦公室，基礎(chǔ)設(shè)施保護(hù)辦公室、網(wǎng)絡(luò)安全和通信辦公室并分別設(shè)有中心，以加強(qiáng)部門間協(xié)調(diào)。2014年國(guó)土安全部在基礎(chǔ)設(shè)施保護(hù)辦公室原有職能的基礎(chǔ)上，單獨(dú)組建了網(wǎng)絡(luò)基礎(chǔ)設(shè)施分析辦公室（OCIA），具體負(fù)責(zé)落實(shí)綜合分析和標(biāo)識(shí)關(guān)鍵基礎(chǔ)設(shè)施的要求。

在預(yù)警響應(yīng)方面，2016年發(fā)布了第41號(hào)總統(tǒng)政策令《網(wǎng)絡(luò)事件協(xié)調(diào)》[3]和國(guó)土安全部《國(guó)家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃》[4]規(guī)定，由國(guó)土安全部負(fù)責(zé)運(yùn)營(yíng)國(guó)家基礎(chǔ)設(shè)施保護(hù)中心、信息共享與分析中心等，負(fù)責(zé)實(shí)現(xiàn)信息整合和分析功能，為其他關(guān)鍵基礎(chǔ)設(shè)施相關(guān)角色提供態(tài)勢(shì)感知，對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行物理和網(wǎng)絡(luò)保護(hù)，以保障國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件監(jiān)測(cè)通報(bào)與預(yù)警的有效實(shí)施。在能力建設(shè)方面，保持對(duì)網(wǎng)絡(luò)威脅的態(tài)勢(shì)感知，檢測(cè)網(wǎng)絡(luò)威脅，減輕事件影響，響應(yīng)事件并從中恢復(fù)。

在技術(shù)標(biāo)準(zhǔn)層面，根據(jù)《改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全行政令》[5]制定了網(wǎng)絡(luò)安全框架。該框架通過(guò)基于風(fēng)險(xiǎn)的方法，使用現(xiàn)有的標(biāo)準(zhǔn)和最佳實(shí)踐，幫助關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)使用單位應(yīng)對(duì)網(wǎng)絡(luò)空間的風(fēng)險(xiǎn)，構(gòu)建了包括識(shí)別、保護(hù)、監(jiān)測(cè)、響應(yīng)和恢復(fù)在內(nèi)的CIIP 網(wǎng)絡(luò)安全框架，提出安全基線要求并借助NIST 80053、ISO/IEC 27001、COBIT、COSO、ISA等信息安全管理標(biāo)準(zhǔn)作為控制目標(biāo)的實(shí)現(xiàn)。

此外，由于基礎(chǔ)設(shè)施主要由私營(yíng)部門運(yùn)營(yíng)，基礎(chǔ)設(shè)施保護(hù)的一個(gè)重點(diǎn)工作是促進(jìn)對(duì)信息安全事件預(yù)警信息的共享。鼓勵(lì)私營(yíng)部門建立信息共享與分析中心，在法律允許的范圍內(nèi)向特定部門機(jī)構(gòu)或其他關(guān)鍵基礎(chǔ)設(shè)施部門的合作伙伴提供情報(bào)和信息，提供實(shí)時(shí)的威脅和事件報(bào)告、警報(bào)和預(yù)警，并對(duì)敏感信息進(jìn)行保護(hù)。

3 歐盟關(guān)鍵基礎(chǔ)設(shè)施保護(hù)

歐盟在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面的政策立法主要包括：2004年發(fā)布《打擊恐怖活動(dòng)，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的通訊》，給出了關(guān)鍵基礎(chǔ)設(shè)施的定義；2005年發(fā)布《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃（EPCIP）》，該計(jì)劃明確了關(guān)鍵信息基礎(chǔ)設(shè)施和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的定義，設(shè)立關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)委員會(huì)（CIWIN），確定關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定標(biāo)準(zhǔn)和關(guān)鍵部門，強(qiáng)調(diào)公私合作；2006年發(fā)布《關(guān)于歐盟理事會(huì)制定識(shí)別、指定歐洲關(guān)鍵基礎(chǔ)設(shè)施并評(píng)估提高保護(hù)的必要性指令的建議》，該建議明確了關(guān)鍵基礎(chǔ)設(shè)施的定義，要求設(shè)立安全聯(lián)絡(luò)官，建立關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)和威脅評(píng)估報(bào)告；2009年發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略：保護(hù)歐洲免受大規(guī)模網(wǎng)絡(luò)攻擊和中斷》，該報(bào)告是歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略，旨在使歐盟更好地應(yīng)對(duì)任何網(wǎng)絡(luò)攻擊和入侵，主要包括就緒和預(yù)防、檢測(cè)和響應(yīng)、緩解和恢復(fù)、國(guó)際和歐盟范圍內(nèi)的合作、關(guān)鍵基礎(chǔ)設(shè)施標(biāo)準(zhǔn)幾個(gè)方面。

根據(jù)《 保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃（EPCIP）》[6]，歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)遵循幾項(xiàng)原則：協(xié)助原則，關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)委員會(huì)根據(jù)成員國(guó)的請(qǐng)求，對(duì)成員國(guó)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)提供協(xié)助；互補(bǔ)原則，避免在歐盟、國(guó)家或地區(qū)層面做出重復(fù)努力，補(bǔ)充并充分利用現(xiàn)有措施；保密原則，對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)信息（CIPI）進(jìn)行分級(jí)并設(shè)定訪問(wèn)權(quán)限，在安全可信的環(huán)境下進(jìn)行信息共享；利益相關(guān)者合作原則，確保所有關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)者盡可能參與到歐洲關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃的制定和實(shí)施中；風(fēng)險(xiǎn)原則，根據(jù)風(fēng)險(xiǎn)和威脅類型選擇需要實(shí)施的安全措施。

在組織機(jī)構(gòu)方面，劃分為國(guó)家之間、國(guó)家與企業(yè)、企業(yè)之間不同的層面。在歐盟層面設(shè)立關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)小組，以推動(dòng)歐洲關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃總體方面和各部門具體行動(dòng)的開(kāi)展。各成員國(guó)設(shè)立一個(gè)關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)點(diǎn)，負(fù)責(zé)與其他成員國(guó)、理事會(huì)以及委員會(huì)協(xié)調(diào)成員國(guó)內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施事項(xiàng)。關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)點(diǎn)的指定將不會(huì)排除其他成員國(guó)機(jī)構(gòu)對(duì)于關(guān)鍵基礎(chǔ)設(shè)施事項(xiàng)的參與。在企業(yè)層面，建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織協(xié)調(diào)機(jī)構(gòu)，即安全聯(lián)絡(luò)官制度。關(guān)鍵基礎(chǔ)設(shè)施所有者或運(yùn)營(yíng)者指定一名安全聯(lián)絡(luò)官，作為與所在成員國(guó)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)機(jī)關(guān)之間的聯(lián)絡(luò)點(diǎn)。

在預(yù)警響應(yīng)方面，提出建立關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)（CIWIN）、早期預(yù)警機(jī)制和歐洲信息共享和預(yù)警系統(tǒng)（EISAS）。促進(jìn)信息共享，建立相互信任的關(guān)系，確保自愿共享的私有的、敏感的或個(gè)人信息將不會(huì)被公開(kāi)披露并且這些敏感數(shù)據(jù)將得到充分的保護(hù)。

4 美歐關(guān)鍵基礎(chǔ)設(shè)施保護(hù)經(jīng)驗(yàn)借鑒和思考

4.1 加強(qiáng)組織機(jī)制保障

一是將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)上升到立法的高度。美歐等國(guó)不僅通過(guò)制定和發(fā)布國(guó)家戰(zhàn)略、國(guó)家政策和命令，還通過(guò)出臺(tái)相關(guān)立法滿足關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)需求，并在其中明確了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的具體措施，相應(yīng)的組織管理機(jī)構(gòu)體系及其職責(zé)等內(nèi)容。

二是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織管理體系。多數(shù)國(guó)家建立了包括政府部門和私營(yíng)機(jī)構(gòu)共同參與的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織管理體系，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的責(zé)任都是由不同政府部門的多個(gè)機(jī)構(gòu)和單位共同承擔(dān)，其職責(zé)和分工明確，并且相互之間形成了良好的協(xié)調(diào)機(jī)制。此外，還需要設(shè)立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的強(qiáng)力監(jiān)管部門。例如，美國(guó)授權(quán)國(guó)土安全部對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作實(shí)施監(jiān)督管理。

4.2 加強(qiáng)技術(shù)平臺(tái)保障

一是建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)監(jiān)測(cè)通報(bào)與預(yù)警平臺(tái)。各國(guó)已經(jīng)紛紛通過(guò)建立相應(yīng)的監(jiān)測(cè)與預(yù)警發(fā)布中心，保障國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)測(cè)通報(bào)與預(yù)警的有效實(shí)施，如美國(guó)的國(guó)家基礎(chǔ)設(shè)施保護(hù)中心，負(fù)責(zé)全天候監(jiān)測(cè)和分析針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅信息。

二是建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的信息共享機(jī)制。各國(guó)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的監(jiān)測(cè)、預(yù)警、應(yīng)急、響應(yīng)等方面都建立了及時(shí)高效的、上通下達(dá)的網(wǎng)絡(luò)安全信息共享機(jī)制，其中涉及政府部門之間，私營(yíng)部門之間以及政府與私營(yíng)部門之間，國(guó)家之間的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的信息共享，如美國(guó)的信息共享與分析中心、歐洲的早期預(yù)警和信息系統(tǒng)、歐洲網(wǎng)絡(luò)和信息安全局等。

三是為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供技術(shù)支持。美歐等國(guó)將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)上升到國(guó)家安全和社會(huì)穩(wěn)定的高度，提出對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)施給予充足的財(cái)政保障，并由政府機(jī)構(gòu)為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供技術(shù)支持，強(qiáng)調(diào)政府鼓勵(lì)和支持相關(guān)技術(shù)和產(chǎn)品的研究與開(kāi)發(fā)，保障對(duì)進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的研究中心、大學(xué)和公司提供相應(yīng)的政策和經(jīng)費(fèi)支持。

4.3 建立安全基線要求

關(guān)鍵信息基礎(chǔ)設(shè)施安全基線要求作為一種行之有效的網(wǎng)絡(luò)安全保護(hù)方法，其制定和實(shí)施將對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位產(chǎn)生深遠(yuǎn)的影響。圍繞安全風(fēng)險(xiǎn)，安全基線要求的制定不僅考慮通用的安全風(fēng)險(xiǎn)，也需要考慮不同部門或組織內(nèi)不同業(yè)務(wù)職能特有的風(fēng)險(xiǎn)情景。例如，能源、金融和健康醫(yī)療企業(yè)也可能面臨不同的風(fēng)險(xiǎn)情景或后果；企業(yè)內(nèi)部支付系統(tǒng)與人事管理系統(tǒng)的風(fēng)險(xiǎn)也會(huì)不同。

一般來(lái)說(shuō)，安全基線的制定和選擇有兩種方法，以結(jié)果為導(dǎo)向的方法和基于控制措施的方法，兩種方法對(duì)于組織風(fēng)險(xiǎn)管理來(lái)說(shuō)是互補(bǔ)的。以結(jié)果為導(dǎo)向的方法通過(guò)建立必要的流程和能力來(lái)應(yīng)對(duì)不斷變化的威脅，確保基線能夠應(yīng)對(duì)威脅環(huán)境的變化，在這個(gè)過(guò)程中不斷學(xué)習(xí)和改進(jìn)。該方法有助于實(shí)現(xiàn)同一個(gè)組織內(nèi)部不同部門角色之間的轉(zhuǎn)換，如業(yè)務(wù)部門、安全部門、信息技術(shù)部門等，其缺點(diǎn)是可實(shí)施性較差、難以把握，對(duì)組織的適應(yīng)性要求較高并需要有一定的安全基礎(chǔ)。

基于控制措施的方法提供了應(yīng)對(duì)常見(jiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的基本要求，適合于網(wǎng)絡(luò)安全能力有限的組織來(lái)改善安全狀況。但基線要求不能脫離業(yè)務(wù)環(huán)境孤立存在，靜態(tài)的控制措施容易形成合規(guī)性的思維模式，人為限制了如何實(shí)現(xiàn)安全保障。例如，站在企業(yè)管理層的角度，滿足基線要求就不用支持必要的安全投入了，即使出現(xiàn)了更先進(jìn)、更有效的技術(shù)方案也不必更新。而以結(jié)果為導(dǎo)向的方法更易于調(diào)整和改進(jìn)組織管理，升級(jí)和開(kāi)發(fā)新的安全技術(shù)方式，實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的動(dòng)態(tài)防護(hù)。

5 結(jié)束語(yǔ)

從美歐關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐可以發(fā)現(xiàn)，各國(guó)從政策立法、管理和技術(shù)層面進(jìn)行綜合性的保障制度構(gòu)建，注重對(duì)安全風(fēng)險(xiǎn)進(jìn)行管理控制，強(qiáng)調(diào)預(yù)警和應(yīng)急制度，加強(qiáng)信息共享，提供安全要求標(biāo)準(zhǔn)化參考，形成網(wǎng)絡(luò)安全基線要求。這些可以為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的開(kāi)展提供參考，對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作有重要的借鑒意義。