美歐關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)分析與借鑒

周亞超，劉金芳

（1.中國信息安全研究院，北京102209；2.賽迪智庫網(wǎng)絡(luò)空間研究所，北京100036）

1 引言

針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊是世界各國面臨的共同挑戰(zhàn)。金融、能源、通信、交通等重點(diǎn)行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生和公共利益。當(dāng)前，我國關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢嚴(yán)峻復(fù)雜，網(wǎng)絡(luò)安全防控能力薄弱，難以有效應(yīng)對網(wǎng)絡(luò)攻擊。

美歐各國均將其視為網(wǎng)絡(luò)安全和國家安全的一個(gè)重要部分，以及防范恐怖主義打擊的重點(diǎn)。美國早在克林頓政府時(shí)期就出臺(tái)了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政策，經(jīng)過了20多年的探索，逐步形成了較為完善的關(guān)鍵基礎(chǔ)設(shè)施管理體系和方法。近年來，歐盟高度重視關(guān)鍵信息基礎(chǔ)設(shè)施安全，發(fā)布了近10項(xiàng)政策決議以加強(qiáng)其網(wǎng)絡(luò)安全防護(hù)。美歐關(guān)鍵信息基礎(chǔ)主要由私營部門運(yùn)營，強(qiáng)調(diào)實(shí)施公私合作的自愿性保護(hù)框架，但實(shí)際上關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作仍是依靠政府部門來主導(dǎo)和實(shí)施。

2 美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)機(jī)構(gòu)及其職能劃分比較明確，機(jī)構(gòu)設(shè)置呈現(xiàn)體系化，逐步建立了以國土安全部為主導(dǎo)、基礎(chǔ)設(shè)施特定領(lǐng)域機(jī)構(gòu)（SSA）具體負(fù)責(zé)和配合本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作，形成了各部門之間職能分工明確、相互協(xié)調(diào)的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)組織體系。同時(shí)，美國政府認(rèn)識(shí)到關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是政府部門與私營部門的共同責(zé)任，不僅強(qiáng)調(diào)政府相關(guān)部門在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面的重要作用，還始終鼓勵(lì)和倡導(dǎo)私營部門與政府相關(guān)部門加強(qiáng)合作與交流，在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃、協(xié)調(diào)、實(shí)施和運(yùn)行方面協(xié)同努力。

在管理體制方面，2002年美國依據(jù)《國土安全法》成立國土安全部，負(fù)責(zé)協(xié)調(diào)政府的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作，同時(shí)在不同的關(guān)鍵基礎(chǔ)設(shè)施部門內(nèi)還設(shè)置有對應(yīng)的聯(lián)邦機(jī)構(gòu)負(fù)責(zé)具體實(shí)施這一部門的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作。2003年發(fā)布第7 號(hào)國土安全總統(tǒng)指令（HS PD-7）《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》[1]，確定了美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)框架的基礎(chǔ)性政策，該法令認(rèn)為各關(guān)鍵基礎(chǔ)設(shè)施部門都有其獨(dú)特的特征和運(yùn)行模式，明確指定了基礎(chǔ)設(shè)施保護(hù)行業(yè)主管部門，包括農(nóng)業(yè)部、健康和公共服務(wù)部、環(huán)境保護(hù)局、能源部、財(cái)政部、國防部，并關(guān)系到關(guān)鍵基礎(chǔ)設(shè)施和重要資源保護(hù)的各聯(lián)邦部局以及各個(gè)總統(tǒng)行政辦公室納入到保護(hù)框架之內(nèi)，包括國務(wù)院、司法部、商務(wù)部、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政策協(xié)調(diào)委員、管理和預(yù)算辦公室、首席信息官委員會(huì)等。2013年，HSPD-7被撤銷并被第21號(hào)總統(tǒng)令取代，但延續(xù)了之前的保護(hù)框架。

在部門工作協(xié)調(diào)方面，最早的基礎(chǔ)設(shè)施保護(hù)政策《第63號(hào)總統(tǒng)決定令：克林頓政府對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》[2]就明確了部門聯(lián)絡(luò)的領(lǐng)導(dǎo)機(jī)構(gòu)、特殊職能的領(lǐng)導(dǎo)機(jī)構(gòu)、跨機(jī)構(gòu)協(xié)調(diào)機(jī)制。由領(lǐng)導(dǎo)機(jī)構(gòu)、國家經(jīng)濟(jì)委員會(huì)和國家協(xié)調(diào)員的推薦，總統(tǒng)指派一個(gè)由大型基礎(chǔ)設(shè)施提供商和州及地方官員組成的小組，組成國家基礎(chǔ)設(shè)施保障委員會(huì)，委員會(huì)主席由總統(tǒng)指定。國家協(xié)調(diào)員將擔(dān)任該委員會(huì)的執(zhí)行主任。國家基礎(chǔ)設(shè)施保障委員會(huì)將定期集會(huì)，以加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中公共和私營部門間的合作關(guān)系，并在必要的時(shí)候向總統(tǒng)提交報(bào)告。

在政策執(zhí)行層面，美國國土安全部下設(shè)兩個(gè)辦公室，基礎(chǔ)設(shè)施保護(hù)辦公室、網(wǎng)絡(luò)安全和通信辦公室并分別設(shè)有中心，以加強(qiáng)部門間協(xié)調(diào)。2014年國土安全部在基礎(chǔ)設(shè)施保護(hù)辦公室原有職能的基礎(chǔ)上，單獨(dú)組建了網(wǎng)絡(luò)基礎(chǔ)設(shè)施分析辦公室（OCIA），具體負(fù)責(zé)落實(shí)綜合分析和標(biāo)識(shí)關(guān)鍵基礎(chǔ)設(shè)施的要求。

在預(yù)警響應(yīng)方面，2016年發(fā)布了第41號(hào)總統(tǒng)政策令《網(wǎng)絡(luò)事件協(xié)調(diào)》[3]和國土安全部《國家網(wǎng)絡(luò)事件響應(yīng)計(jì)劃》[4]規(guī)定，由國土安全部負(fù)責(zé)運(yùn)營國家基礎(chǔ)設(shè)施保護(hù)中心、信息共享與分析中心等，負(fù)責(zé)實(shí)現(xiàn)信息整合和分析功能，為其他關(guān)鍵基礎(chǔ)設(shè)施相關(guān)角色提供態(tài)勢感知，對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行物理和網(wǎng)絡(luò)保護(hù)，以保障國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件監(jiān)測通報(bào)與預(yù)警的有效實(shí)施。在能力建設(shè)方面，保持對網(wǎng)絡(luò)威脅的態(tài)勢感知，檢測網(wǎng)絡(luò)威脅，減輕事件影響，響應(yīng)事件并從中恢復(fù)。

在技術(shù)標(biāo)準(zhǔn)層面，根據(jù)《改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全行政令》[5]制定了網(wǎng)絡(luò)安全框架。該框架通過基于風(fēng)險(xiǎn)的方法，使用現(xiàn)有的標(biāo)準(zhǔn)和最佳實(shí)踐，幫助關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營使用單位應(yīng)對網(wǎng)絡(luò)空間的風(fēng)險(xiǎn)，構(gòu)建了包括識(shí)別、保護(hù)、監(jiān)測、響應(yīng)和恢復(fù)在內(nèi)的CIIP 網(wǎng)絡(luò)安全框架，提出安全基線要求并借助NIST 80053、ISO/IEC 27001、COBIT、COSO、ISA等信息安全管理標(biāo)準(zhǔn)作為控制目標(biāo)的實(shí)現(xiàn)。

此外，由于基礎(chǔ)設(shè)施主要由私營部門運(yùn)營，基礎(chǔ)設(shè)施保護(hù)的一個(gè)重點(diǎn)工作是促進(jìn)對信息安全事件預(yù)警信息的共享。鼓勵(lì)私營部門建立信息共享與分析中心，在法律允許的范圍內(nèi)向特定部門機(jī)構(gòu)或其他關(guān)鍵基礎(chǔ)設(shè)施部門的合作伙伴提供情報(bào)和信息，提供實(shí)時(shí)的威脅和事件報(bào)告、警報(bào)和預(yù)警，并對敏感信息進(jìn)行保護(hù)。

3 歐盟關(guān)鍵基礎(chǔ)設(shè)施保護(hù)

歐盟在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面的政策立法主要包括：2004年發(fā)布《打擊恐怖活動(dòng)，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的通訊》，給出了關(guān)鍵基礎(chǔ)設(shè)施的定義；2005年發(fā)布《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃（EPCIP）》，該計(jì)劃明確了關(guān)鍵信息基礎(chǔ)設(shè)施和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的定義，設(shè)立關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)委員會(huì)（CIWIN），確定關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定標(biāo)準(zhǔn)和關(guān)鍵部門，強(qiáng)調(diào)公私合作；2006年發(fā)布《關(guān)于歐盟理事會(huì)制定識(shí)別、指定歐洲關(guān)鍵基礎(chǔ)設(shè)施并評(píng)估提高保護(hù)的必要性指令的建議》，該建議明確了關(guān)鍵基礎(chǔ)設(shè)施的定義，要求設(shè)立安全聯(lián)絡(luò)官，建立關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)和威脅評(píng)估報(bào)告；2009年發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略：保護(hù)歐洲免受大規(guī)模網(wǎng)絡(luò)攻擊和中斷》，該報(bào)告是歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略，旨在使歐盟更好地應(yīng)對任何網(wǎng)絡(luò)攻擊和入侵，主要包括就緒和預(yù)防、檢測和響應(yīng)、緩解和恢復(fù)、國際和歐盟范圍內(nèi)的合作、關(guān)鍵基礎(chǔ)設(shè)施標(biāo)準(zhǔn)幾個(gè)方面。

根據(jù)《 保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃（EPCIP）》[6]，歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)遵循幾項(xiàng)原則：協(xié)助原則，關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)委員會(huì)根據(jù)成員國的請求，對成員國國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)提供協(xié)助；互補(bǔ)原則，避免在歐盟、國家或地區(qū)層面做出重復(fù)努力，補(bǔ)充并充分利用現(xiàn)有措施；保密原則，對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)信息（CIPI）進(jìn)行分級(jí)并設(shè)定訪問權(quán)限，在安全可信的環(huán)境下進(jìn)行信息共享；利益相關(guān)者合作原則，確保所有關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)者盡可能參與到歐洲關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃的制定和實(shí)施中；風(fēng)險(xiǎn)原則，根據(jù)風(fēng)險(xiǎn)和威脅類型選擇需要實(shí)施的安全措施。

在組織機(jī)構(gòu)方面，劃分為國家之間、國家與企業(yè)、企業(yè)之間不同的層面。在歐盟層面設(shè)立關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)小組，以推動(dòng)歐洲關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃總體方面和各部門具體行動(dòng)的開展。各成員國設(shè)立一個(gè)關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)點(diǎn)，負(fù)責(zé)與其他成員國、理事會(huì)以及委員會(huì)協(xié)調(diào)成員國內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施事項(xiàng)。關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)點(diǎn)的指定將不會(huì)排除其他成員國機(jī)構(gòu)對于關(guān)鍵基礎(chǔ)設(shè)施事項(xiàng)的參與。在企業(yè)層面，建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織協(xié)調(diào)機(jī)構(gòu)，即安全聯(lián)絡(luò)官制度。關(guān)鍵基礎(chǔ)設(shè)施所有者或運(yùn)營者指定一名安全聯(lián)絡(luò)官，作為與所在成員國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)機(jī)關(guān)之間的聯(lián)絡(luò)點(diǎn)。

在預(yù)警響應(yīng)方面，提出建立關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)（CIWIN）、早期預(yù)警機(jī)制和歐洲信息共享和預(yù)警系統(tǒng)（EISAS）。促進(jìn)信息共享，建立相互信任的關(guān)系，確保自愿共享的私有的、敏感的或個(gè)人信息將不會(huì)被公開披露并且這些敏感數(shù)據(jù)將得到充分的保護(hù)。

4 美歐關(guān)鍵基礎(chǔ)設(shè)施保護(hù)經(jīng)驗(yàn)借鑒和思考

4.1 加強(qiáng)組織機(jī)制保障

一是將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)上升到立法的高度。美歐等國不僅通過制定和發(fā)布國家戰(zhàn)略、國家政策和命令，還通過出臺(tái)相關(guān)立法滿足關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)需求，并在其中明確了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的具體措施，相應(yīng)的組織管理機(jī)構(gòu)體系及其職責(zé)等內(nèi)容。

二是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織管理體系。多數(shù)國家建立了包括政府部門和私營機(jī)構(gòu)共同參與的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織管理體系，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的責(zé)任都是由不同政府部門的多個(gè)機(jī)構(gòu)和單位共同承擔(dān)，其職責(zé)和分工明確，并且相互之間形成了良好的協(xié)調(diào)機(jī)制。此外，還需要設(shè)立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的強(qiáng)力監(jiān)管部門。例如，美國授權(quán)國土安全部對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作實(shí)施監(jiān)督管理。

4.2 加強(qiáng)技術(shù)平臺(tái)保障

一是建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)監(jiān)測通報(bào)與預(yù)警平臺(tái)。各國已經(jīng)紛紛通過建立相應(yīng)的監(jiān)測與預(yù)警發(fā)布中心，保障國家關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)測通報(bào)與預(yù)警的有效實(shí)施，如美國的國家基礎(chǔ)設(shè)施保護(hù)中心，負(fù)責(zé)全天候監(jiān)測和分析針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅信息。

二是建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的信息共享機(jī)制。各國在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的監(jiān)測、預(yù)警、應(yīng)急、響應(yīng)等方面都建立了及時(shí)高效的、上通下達(dá)的網(wǎng)絡(luò)安全信息共享機(jī)制，其中涉及政府部門之間，私營部門之間以及政府與私營部門之間，國家之間的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的信息共享，如美國的信息共享與分析中心、歐洲的早期預(yù)警和信息系統(tǒng)、歐洲網(wǎng)絡(luò)和信息安全局等。

三是為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提供技術(shù)支持。美歐等國將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)上升到國家安全和社會(huì)穩(wěn)定的高度，提出對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)施給予充足的財(cái)政保障，并由政府機(jī)構(gòu)為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提供技術(shù)支持，強(qiáng)調(diào)政府鼓勵(lì)和支持相關(guān)技術(shù)和產(chǎn)品的研究與開發(fā)，保障對進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的研究中心、大學(xué)和公司提供相應(yīng)的政策和經(jīng)費(fèi)支持。

4.3 建立安全基線要求

關(guān)鍵信息基礎(chǔ)設(shè)施安全基線要求作為一種行之有效的網(wǎng)絡(luò)安全保護(hù)方法，其制定和實(shí)施將對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位產(chǎn)生深遠(yuǎn)的影響。圍繞安全風(fēng)險(xiǎn)，安全基線要求的制定不僅考慮通用的安全風(fēng)險(xiǎn)，也需要考慮不同部門或組織內(nèi)不同業(yè)務(wù)職能特有的風(fēng)險(xiǎn)情景。例如，能源、金融和健康醫(yī)療企業(yè)也可能面臨不同的風(fēng)險(xiǎn)情景或后果；企業(yè)內(nèi)部支付系統(tǒng)與人事管理系統(tǒng)的風(fēng)險(xiǎn)也會(huì)不同。

一般來說，安全基線的制定和選擇有兩種方法，以結(jié)果為導(dǎo)向的方法和基于控制措施的方法，兩種方法對于組織風(fēng)險(xiǎn)管理來說是互補(bǔ)的。以結(jié)果為導(dǎo)向的方法通過建立必要的流程和能力來應(yīng)對不斷變化的威脅，確?；€能夠應(yīng)對威脅環(huán)境的變化，在這個(gè)過程中不斷學(xué)習(xí)和改進(jìn)。該方法有助于實(shí)現(xiàn)同一個(gè)組織內(nèi)部不同部門角色之間的轉(zhuǎn)換，如業(yè)務(wù)部門、安全部門、信息技術(shù)部門等，其缺點(diǎn)是可實(shí)施性較差、難以把握，對組織的適應(yīng)性要求較高并需要有一定的安全基礎(chǔ)。

基于控制措施的方法提供了應(yīng)對常見網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的基本要求，適合于網(wǎng)絡(luò)安全能力有限的組織來改善安全狀況。但基線要求不能脫離業(yè)務(wù)環(huán)境孤立存在，靜態(tài)的控制措施容易形成合規(guī)性的思維模式，人為限制了如何實(shí)現(xiàn)安全保障。例如，站在企業(yè)管理層的角度，滿足基線要求就不用支持必要的安全投入了，即使出現(xiàn)了更先進(jìn)、更有效的技術(shù)方案也不必更新。而以結(jié)果為導(dǎo)向的方法更易于調(diào)整和改進(jìn)組織管理，升級(jí)和開發(fā)新的安全技術(shù)方式，實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的動(dòng)態(tài)防護(hù)。

5 結(jié)束語

從美歐關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐可以發(fā)現(xiàn)，各國從政策立法、管理和技術(shù)層面進(jìn)行綜合性的保障制度構(gòu)建，注重對安全風(fēng)險(xiǎn)進(jìn)行管理控制，強(qiáng)調(diào)預(yù)警和應(yīng)急制度，加強(qiáng)信息共享，提供安全要求標(biāo)準(zhǔn)化參考，形成網(wǎng)絡(luò)安全基線要求。這些可以為我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的開展提供參考，對我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作有重要的借鑒意義。