近年來，世界各國紛紛出臺政策、法規(guī)，將關鍵基礎設施安全提升到國家安全的高度，并開始重視對其網(wǎng)絡安全的保護。目前，全球已經(jīng)有數(shù)十個國家正在制定或已經(jīng)實施關鍵信息基礎設施相關安全政策、法規(guī)和標準，深刻影響著國家安全、經(jīng)濟發(fā)展和社會機遇。

　　美國作為網(wǎng)絡技術的發(fā)起國和強大網(wǎng)絡空間勢力的擁有國，也是關鍵基礎設施保護起步最早的國家。美國國土安全部作為關鍵基礎設施的主管部門，也肩負著保障國家安全的重要職責，基于此，美國關鍵基礎設施安全保障的戰(zhàn)略思想和法律政策，從一開始就與國家安全掛鉤，相比其他國家，站得更高，布局更加廣泛。目前，美國已經(jīng)形成系統(tǒng)的保護體制和實施方案并不斷進行完善。

　　在習近平總書記“網(wǎng)絡強國”戰(zhàn)略思想指引下，我國的關鍵信息基礎設施安全保護工作也受到了高度重視。習總書記在2016年4月19日的網(wǎng)絡安全和信息化工作座談會上指出，網(wǎng)絡安全威脅和風險日益突出，并向政治、經(jīng)濟、文化、社會、生態(tài)、國防等領域傳導滲透，特別是國家關鍵信息基礎設施面臨較大風險隱患，網(wǎng)絡安全防控能力薄弱，難以有效應對國家級、有組織的高強度網(wǎng)絡攻擊。習總書記要求，要加快構建關鍵信息基礎設施安全保障體系。

　　一

　　關鍵基礎設施面臨的網(wǎng)絡安全風險日益加大

　　隨著網(wǎng)絡技術的飛速發(fā)展以及對提高效率的要求，人們發(fā)現(xiàn)關鍵基礎設施面臨的不再僅僅是物理風險，金融服務、交通運輸、基礎性資源（水、電力 、天然氣和石油等）供應、醫(yī)療服務、信息和通信服務、政府服務、國防等重要領域的關鍵基礎設施越來越多地依賴網(wǎng)絡和信息系統(tǒng)，并逐漸變得自動化和互聯(lián)，在此過程中，天生便不安全的信息系統(tǒng)給關鍵基礎設施帶來了巨大的網(wǎng)絡安全風險。

　　近年來針對關鍵基礎設施的網(wǎng)絡入侵事件頻頻發(fā)生，關鍵基礎設施受到的網(wǎng)絡威脅呈逐年上升之勢，對國家安全和經(jīng)濟社會穩(wěn)定運行造成了嚴重影響。

　　2010年7月，針對西門子工業(yè)控制系統(tǒng)的“震網(wǎng)”病毒感染了伊朗核設施，導致伊朗濃縮鈾工廠內五分之一的離心機報廢，大大延遲了伊朗核進程，隨后該病毒感染世界各地，我國也深受其害。

　　2013年6月，美國中央情報局前雇員斯諾登披露 , 美國國家安全局曾持續(xù)攻擊清華大學的教育網(wǎng)主干網(wǎng)，為獲取手機短信而廣泛入侵中國的主要電信運營商。

　　2015年6月，波蘭航空公司地面操作系統(tǒng)遭受黑客攻擊，致使系統(tǒng)癱瘓長達5小時，至少10個班次的航班被取消，1400多名乘客滯留，造成航空秩序嚴重混亂。

　　2016年1月，烏克蘭電網(wǎng)遭到黑客網(wǎng)絡攻擊，導致包括烏克蘭首府在內的多個地區(qū)停電數(shù)小時，引發(fā)公眾恐慌。

　　2018年11月，伊朗基礎設施和戰(zhàn)略網(wǎng)絡受到了網(wǎng)絡病毒的攻擊。伊朗軍方人士證實，這次攻擊相比2010年癱瘓其核設施1000多臺離心機的震網(wǎng)病毒，來得更加猛烈、更加先進、更加復雜。

　　二

　　美國已經(jīng)將關鍵基礎設施作為網(wǎng)絡攻防的重點

　　1998 年 10 月，美國參謀長聯(lián)席會議頒布《信息戰(zhàn)共同條令》，提出把基礎設施列入信息戰(zhàn)打擊的范圍；2002年7月，美國發(fā)布了第一份《國土安全戰(zhàn)略》，將關鍵基礎設施保護作為“六大關鍵業(yè)務領域”；2003年2月，發(fā)布的《保護網(wǎng)絡空間的國家戰(zhàn)略》提出了三大戰(zhàn)略目標，其中之一是“預防美國的關鍵基礎設施遭到信息網(wǎng)絡攻擊”；2012年12月，奧巴馬總統(tǒng)簽署第 20 號總統(tǒng)令，部署了兩項行動任務“進攻性網(wǎng)絡效應行動”（OCEO）和“防御性網(wǎng)絡效應行動”（DCEO），提出“必要時可以對他國網(wǎng)絡空間中的數(shù)據(jù)、信息以及關鍵基礎設施采取控制、運行中斷、拒絕執(zhí)行指令、性能降級，甚至完全破壞”。從網(wǎng)絡中心戰(zhàn)擴展到網(wǎng)絡空間作戰(zhàn)行動等；2018年3月，美國眾議院通過《2018國土安全部網(wǎng)絡事件響應小組法案》，提出授權由美國國土安全部國家網(wǎng)絡安全與通信整合中心下的網(wǎng)絡狩獵及事件響應小組幫助保護聯(lián)邦網(wǎng)絡和關鍵基礎設施免于遭受網(wǎng)絡攻擊。

　　通過對上述文件的分析發(fā)現(xiàn)，美國已經(jīng)清楚地認識到關鍵基礎設施已經(jīng)成為國家間對抗的重點，美國不僅將關鍵基礎設施作為網(wǎng)絡攻擊的重要目標，也將其作為網(wǎng)絡安全保護的重點。也可以說正是美國將關鍵基礎設施作為網(wǎng)絡戰(zhàn)攻擊的重點，才使得美國將關鍵基礎設施作為其網(wǎng)絡安全保護的重點。

　　三

　　美國關鍵基礎設施保護發(fā)展歷程及未來走向

　　關鍵基礎設施保護概念最早由克林頓總統(tǒng)執(zhí)政期間提出。1996 年 7 月，克林頓政府頒布第13010號行政令，初步劃定關鍵基礎設施的范圍，決定成立關鍵基礎設施保護機構，這成為美國建立關鍵基礎設施保護體系框架的開端。之后，美國先后頒布第 62 號總統(tǒng)令（簡稱PDD-62）、第 63 號總統(tǒng)令（簡稱 PDD-63）和《信息系統(tǒng)保護國家計劃》，逐步明確了關鍵基礎設施涉及的領域和范疇，如何識別關鍵基礎設施，明確關鍵基礎設施的重要性及其國家戰(zhàn)略地位。

　　2001 年，布什總統(tǒng)先后簽署《愛國者法案》、《國土安全法》和多部行政令，提出了關鍵基礎設施保護的基本政策，擴大了關鍵基礎設施的范疇，成立關鍵基礎設施保護領導機構，明確負有關鍵基礎設施信息共享和分析職責的機構和組織。

　　2002 年至 2009 年，布什政府發(fā)布了《網(wǎng)絡空間國家安全戰(zhàn)略》、《關鍵基礎設施和重要資產(chǎn)物理保護國家戰(zhàn)略》、《2003年國土安全第 7 號總統(tǒng)令》、《國家基礎設施保護計劃》等多項保護文件，不斷調整關鍵基礎設施保護的范圍，從克林頓政府的 8 類擴充到 17 類關鍵基礎設施和資源，明確關鍵基礎設施保護機構及職能。布什執(zhí)政期間出臺的關鍵基礎設施保護文件迄今為止在美國最多。

　　2013 年 2 月，奧巴馬政府發(fā)布《提高關鍵基礎設施的網(wǎng)絡安全的行政令》（第 13636號行政令），強調保護關鍵基礎設施的重要性，重申關鍵基礎設施保護范疇定義，提出要建立政府與私營機構的信息共享機制，授權政府相關部門制定關鍵基礎設施網(wǎng)絡安全框架。同期，頒布2013 年第21號總統(tǒng)令（簡稱 PDD-21），強調關鍵基礎設施的安全性和恢復力，闡明關鍵基礎設施中聯(lián)邦政府的角色和職能，確立信息共享和責任共擔機制。2013 年，更新發(fā)布了《國家基礎設施保護計劃》，在2009年版的基礎上，拓展了保護計劃的范圍，闡明關鍵設施面臨的風險和威脅。2014 年2 月，美國白宮發(fā)布了由國家標準技術研究所（NIST）起草的美國國家信息安全指導規(guī)范《提高美國關鍵基礎設施網(wǎng)絡安全的框架規(guī)范》。這是棱鏡門事件后，美國政府首次出臺的國家信息安全指導規(guī)范，也是奧巴馬總統(tǒng)2013年簽署第13636 號行政命令《提高關鍵基礎設施的網(wǎng)絡安全》以來，落實行政命令的第一個基礎性框架文件。美國關鍵基礎設施網(wǎng)絡安全保護體系框架基于全生命周期和流程化的框架方法，分為識別、保護、監(jiān)測、響應和恢復五個層面?？蚣馨ㄒ幌盗袘獙W(wǎng)絡風險的標準、方法和流程，提供在跨部門之間確立適用于關鍵基礎設施的安全標準和行為準則。

　　2014年12月，美國兩院通過了《2014國家網(wǎng)絡安全保護法案》，成立了國家網(wǎng)絡安全和通信集成中心，對該中心的主要功能、組成方式、重點工作、運行原則等做出詳細規(guī)定。

　　2015年2月發(fā)布的《2015年美國國家安全戰(zhàn)略報告》明確指出，美國政府要加強與關鍵基礎設施所有者和運行者的緊密合作，并要提高金融、交通等重要領域關鍵基礎設施的恢復能力。

　　2017年5月，美國總統(tǒng)特朗普發(fā)布了關于“加強聯(lián)邦網(wǎng)絡和關鍵基礎設施的網(wǎng)絡安全”的行政命令13800。該行政命令要求評估與重大網(wǎng)絡事件相關的長時間停電的潛在范圍和持續(xù)時間，評估美國在管理和緩解針對電子行業(yè)網(wǎng)絡事件后果的能力和差距。

　　2018年4月，美國國家標準與技術研究院發(fā)布《提升關鍵基礎設施網(wǎng)絡安全的框架》。4月18日，美國眾議院通過“管道與液化天然氣設施網(wǎng)絡安全準備法案”、“能源應急領導法案”、“2018網(wǎng)絡感知法案”以及“公私合作加強電網(wǎng)安全法案”等4項法案。5月9日，美國國會眾議院軍事委員會通過“關鍵基礎設施”法案，賦予網(wǎng)絡部隊保護關鍵基礎設施的任務。5月15日，美國國土安全部（DHS）發(fā)布新版《網(wǎng)絡安全戰(zhàn)略》，并正在著手將選舉系統(tǒng)定義為關鍵基礎設施，以施行高級別進行網(wǎng)絡安全防護。2018年6月，美眾議院國土安全委員會通過保護關鍵基礎設施第5733號法案，要求美國國土安全部下的國家網(wǎng)絡安全和通信整合中心識別并應對關鍵基礎設施自動化控制過程中作用產(chǎn)品和技術的漏洞和威脅。此外，還需提供其他保障措施，保護美國的關鍵行業(yè)，包括電力和供水系統(tǒng)、制造業(yè)、交通運輸、能源等。2018年7月，美國國土安全部部長克爾斯滕。尼爾森正式宣布成立新的機構中心—國家風險管理中心，旨在幫助關鍵基礎設施企業(yè)長期評估持續(xù)存在的網(wǎng)絡威脅以及由此引發(fā)的網(wǎng)絡風險，尼爾森表示將致力打擊入侵和破壞金融、能源以及醫(yī)療保健系統(tǒng)的黑客行為，化解科技公司遭受網(wǎng)絡攻擊的危機。

　　綜上，我們可以看出，美國關鍵基礎設施保護的未來走向將呈現(xiàn)出以下態(tài)勢：

　　*第一，關鍵基礎設施安全的戰(zhàn)略地位全面與國家安全掛鉤。近幾年，安全威脅呈現(xiàn)出線上線下聯(lián)動的態(tài)勢，加之主管部門—國土安全部所肩負的保障國家安全的職責，關鍵基礎設施的戰(zhàn)略地位不斷呈抬升之勢，甚至與戰(zhàn)爭、網(wǎng)絡軍控相聯(lián)系。

　　*第二、對新興安全威脅與傳統(tǒng)安全威脅同時考慮。國土安全部指出，一方面，需要警惕新技術、新業(yè)務給關鍵基礎設施帶來的新的安全威脅，比如物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能等。另一方面，不能忽視關鍵基礎設施自身的安全問題，比如設施老化問題帶來的安全威脅，以及關鍵基礎設施之間相互依賴所帶來的安全威脅等。

　　四

　　美國關鍵基礎設施保護體系的支撐機構

　　目前，美國國土安全部已建立了一套較為完善的關鍵基礎設施保護體系的機構支撐。承擔保護關鍵基礎設施職能的主要有國家保護和計劃司（NPPD）、國家基礎設施協(xié)調中心（NICC）、美國網(wǎng)絡應急響應中心（US-CERT）和信息分析與基礎設施保護部（ IAIP）。

　　NPPD負責保護美國國家物理和網(wǎng)絡基礎設施，下設關鍵基礎設施保護辦公室（IP）、網(wǎng)絡安全和通信辦公室（CS&C）、風險管理與分析辦公室（RMA）和生物特征身份管理辦公室（OBIM）。其中，IP負責協(xié)調各方力量來降低關鍵基礎設施的風險；CS&S負責確保國家網(wǎng)絡和通信基礎設施的安全；RMA 負責統(tǒng)領聯(lián)邦政府突發(fā)事件管理；OBIM 提供必要的生物識別技術支持。

　　NICC是美國關鍵基礎設施網(wǎng)絡保護和協(xié)調中心，實時監(jiān)控關鍵基礎設施的風險度，7×24 小時運轉。

　　US-CERT是關鍵基礎設施漏洞披露和信息共享的重要渠道，主要負責降低關鍵基礎設施行業(yè)的風險。

　　IAIP下設國家基礎設施保護中心（NIPC）負責收集關鍵基礎設施威脅情報，以保護關鍵基礎設施網(wǎng)絡和系統(tǒng)避免遭受攻擊。

　　五

　　美國關鍵基礎設施保護措施

　　美國關鍵信息集成設施保護機構及其職能劃分比較明確，機構設置呈現(xiàn)體系化，逐步建立了以國土安全部為主導、基礎設施特定領域機構（SSA）具體負責和配合本領域關鍵信息基礎設施保護工作，形成了各部門之間職能分工明確、相互協(xié)調的關鍵信息集成設施保護組織體系。同時，美國政府認識到關鍵信息集成設施保護是政府部門與私營部門的共同責任，不僅強調政府相關部門在關鍵信息基礎設施保護方面的重要作用，還始終鼓勵和倡導私營部門與政府相關部門加強合作與交流，在關鍵信息集成設施保護計劃、協(xié)調、實施和運行方面協(xié)同努力。

　　在管理體制方面，2002年美國依據(jù)《國土安全法》成立國土安全部，負責協(xié)調政府的關鍵基礎設施保護工作，同時在不同的關鍵基礎設施部門內設置有對應的聯(lián)邦機構負責具體實施這一部門的關鍵基礎設施保護工作。2003年發(fā)布第7號國土安全總統(tǒng)指令（HSPD-7），《關鍵基礎設施標識、優(yōu)先級和保護》，確定了美國關鍵信息技術設施保護框架的基礎性政策，該法令認為各關鍵基礎設施部門都有其獨特的特征和運行模式，明確指定了基礎設施保護行業(yè)主管部門，包括農業(yè)部、健康和公共服務部、環(huán)境保護局、能源部、財政部、國防部，并關系到關鍵基礎設施和重要資源保護的各聯(lián)邦部局以及各個總統(tǒng)行政辦公室納入到保護框架之內，包括國務院、司法部、商務部、關鍵基礎設施保護政策協(xié)調委員會、管理和預算辦公室、首席信息官委員會等。2013年，HSPD-7被撤銷并被第21號總統(tǒng)令取代，但延續(xù)了之間的保護框架。

　　在部門工作協(xié)調方面，最早的基礎設施保護政策《第63號總統(tǒng)決定令：克林頓政府對關鍵基礎設施保護的政策》就明確了部門聯(lián)絡的領導機構、特殊職能的領導機構、跨機構協(xié)調機制。由領導機構、國家經(jīng)濟委員會和國家協(xié)調員的推薦，總統(tǒng)指派一個由大型基礎設施提供商和州及地方官員組成的小組，組成國家基礎設施保障委員會，委員會主席由總統(tǒng)指定。國家協(xié)調員將擔任該委員會的執(zhí)行主任。國家基礎設施保障委員會將定期集會，以加強關鍵基礎設施保護中公共和私營部門間的合作關系，并在必要的時候向總統(tǒng)提交報告。

　　在力量建設方面，除了國防部的網(wǎng)絡司令部和其他聯(lián)邦機構的常備網(wǎng)絡力量擔負關鍵基礎設施保護外，近幾年，美國還大力加強新型網(wǎng)絡力量的建設，以確保關鍵基礎設施安全。一是組建護電特戰(zhàn)隊。2013年1月5日，多份解密的美國機密級文件顯示，國家安全部正在推行一項代號為“完美公民”的行動計劃，組建保護全國電網(wǎng)等關鍵基礎設施的護電特戰(zhàn)隊。28名從國家安全局、黑客聯(lián)盟、國防部情報局、陸?？贞憫?zhàn)隊網(wǎng)絡戰(zhàn)官兵中層層挑選出來的隊員已經(jīng)部署到位，具有美國中央情報局與美國國防情報局的雙重身份，享有國內外情報搜集、網(wǎng)絡攻與防的特別權力，除了美國的電網(wǎng)外，還擔負對他國的電力系統(tǒng)的攻擊任務。二是建立國家網(wǎng)絡任務部隊。2013年2月27日，美國國防部決定在現(xiàn)有人數(shù)的基礎上，把網(wǎng)絡安全部隊擴編5倍，從目前900人陸續(xù)擴編至4900人。擬建立“國家任務部隊”，負責保護電力網(wǎng)絡、電廠和其他關鍵基礎設施。三是雇傭非軍事人員，保護關鍵基礎設施。2013年12月19日，美國在2014年國防授權法案中提出招募“非雙重技術人員”或者國民警衛(wèi)隊人員的建議，以防范對關鍵基礎設施的網(wǎng)絡攻擊。雙重身份的人員必須是統(tǒng)一著裝的軍事人員，并且保留國防部的頭銜和任務。

　　在預警響應方面，2016年發(fā)布了第41號總統(tǒng)政策令《網(wǎng)絡事件協(xié)調》和國土安全部《國家網(wǎng)絡事件響應計劃》規(guī)定，由國土安全部負責營運國家基礎設施保護中心、信息共享與分析中心等，負責實現(xiàn)信息整合和分析功能，為其他管件基礎設施相關角色提供態(tài)勢感知，對關鍵基礎設施進行物理和網(wǎng)絡保護，以保障國家關鍵信息集成設施安全事件監(jiān)測通報與預警的有效實施。在能力建設方面，保持對網(wǎng)絡威脅的態(tài)勢感知，檢測網(wǎng)絡威脅，減輕事件響應，響應事件并從中恢復。

　　在技術標準層面，根據(jù)《改善關鍵基礎設施的網(wǎng)絡安全行政令》制定了網(wǎng)絡安全框架。該框架通過基于風險的方法，使用現(xiàn)有的標準和最近實踐，幫助關鍵機械化設施的營運使用單位應對網(wǎng)絡空間的風險，構建了包括識別、保護、監(jiān)測、響應和恢復在內的網(wǎng)絡安全框架，提出安全基線要求并借助NIST80053、ISO/IEC27001、COBIT、COSO、ISA等信息安全管理標準作為控制目標的實現(xiàn)。

　　六

　　結束語

　　美國已基本形成了一套自上而下、兼顧各級政府和私營部門的關鍵基礎設施管理體系，并將關鍵基礎設施的安全保護工作作為國家安全保護的重要領域之一，同國家戰(zhàn)備、應急響應等戰(zhàn)略高度結合。在關鍵基礎設施識別認定和風險管理、公私合作機制、信息的共享和分析處理、態(tài)勢感知等方面都積累了大量的經(jīng)驗，其中一些成功的做法可以為我國所借鑒。我國首部網(wǎng)絡安全方面綜合立法 《中華人民共和國網(wǎng)絡安全法》的施行和《關鍵信息基礎設施安全保護條例》的發(fā)布意義重大，展現(xiàn)了國家對該項工作的重視，也為進一步開展關鍵信息基礎設施保護工作指明了方向，我們建議加強對各網(wǎng)絡強國基礎設施保護工作的研究分析，建立并完善我國關鍵信息基礎設施識別認定標準和流程，分行業(yè)制定適用于該行業(yè)的標準規(guī)范，制定相關機制以增強跨行業(yè)、跨部門、跨地區(qū)的溝通協(xié)調，建立部門間、政企間網(wǎng)絡安全相關信息共享機制，構建全天候的態(tài)勢感知體系，完善關鍵信息基礎設施相關應急體系并加強網(wǎng)絡安全人才培養(yǎng)，提升我國關鍵信息基礎設施的安全防護水平，為網(wǎng)絡強國戰(zhàn)略保駕護航。