美國網路空間安全體系（3）：美國關鍵基礎設施定義與安全防護髮展

來自專欄 微言小偏見

美國網路空間安全體系（3）：美國關鍵基礎設施定義與安全防護髮展

踏實實驗室（微信號：TS-SecLab）

隨著網路和信息技術向關鍵基礎設施的滲透，交通、金融、能源等關鍵基礎設施高度信息化，一旦遭受攻擊，不僅將造成其自身癱瘓，還將擾亂國家秩序，影響國家經濟社會發展。

美國作為網路技術的發起國和強大網路空間勢力的擁有國，也是關鍵基礎設施保護起步最早的國家。美國國土安全部（DHS）作為關鍵基礎設施的主管部門，也肩負著保障國家安全的重要職責，基於此，美國關鍵基礎設施安全保障的戰略思路和法律政策，從一開始就與國家安全掛鉤，相比其他國家，站得更高，布局更加寬廣。

一、美國關鍵基礎設施的涵義與範圍

1.1 美國關鍵基礎設施（CI）定義與範圍

美國國土安全部（DHS）對關鍵基礎設施的定義是：關鍵基礎設施是指那些對社會至關重要的系統和資產（無論是物理的還是虛擬的），一旦其能力喪失或遭到破壞，就會影響國家安全、經濟安全、公共健康或安全、環境安全或者這些重要方面的任意組合。

在《總統政策指令-關鍵基礎設施的安全性和彈性》中，重新確定了16類關鍵基礎設施部門，關鍵信息基礎設施部門及其負責的聯邦政府機構信息如下（括弧中是負責機構）：

1、化學（國土安全部）

2、商業設施（國土安全部）

3、通訊（國土安全部）

4、關鍵製造部門（國土安全部）

5、水庫大壩（國土安全部）

6、國防工業基礎部門（國防部）

7、緊急救援部門（國土安全部）

8、能源部門（能源部）

9、金融部門（財政部）

10、食品和農業部門（農業部、衛生和公共服務部）

11、政府設施（國土安全部、總務管理局）

12、醫療保健和公共健康部門（衛生和公共服務部）

13、信息技術部門（國土安全部）

14、核反應裝置、材料和廢棄物（國土安全部）

15、交通運輸系統（國土安全部、交通運輸部）

16、水供應和污水處理系統（國家環境保護局）

1.2 美國關鍵基礎設施（CII）定義與範圍

關鍵信息基礎設施（CII）是一種計算機資源，一旦其能力喪失或遭到破壞，就會影響國家安全、經濟安全、公共健康和安全。結合國土安全部對關鍵基礎設施（CI）所劃定的16個部門來看，關鍵信息基礎設施（CII）可以分為關鍵基礎設施通信部門（通信CI）和關鍵基礎設施IT部門（IT CI），這兩類包含的範圍如下：

關鍵基礎設施通信部門（通信CI），主要包括有線基礎設施、無線基礎設施、衛星基礎設施、電纜基礎設施和廣播基礎設施等共計五大類物理層面資產，以及為關鍵基礎設施穩定運行提供各類服務的邏輯層面資產。

關鍵基礎設施IT部門（IT CI），主要是按照功能提供進行劃定，具體包括六大類，分別是提供IT產品和服務；提供事故管理能力；提供域名解決方案；提供身份驗證管理和其他信用支持相關服務；提供基於互聯網的內容、信息通信服務；提供互聯網路由、接入和連接服務。

二、美國關鍵基礎設施（CI）安全防護髮展階段

保護關鍵基礎設施安全對現代社會的正常運轉至關重要，早在柯林頓政府時期，美國即意識到關鍵基礎設施的重要性，圍繞關鍵基礎設施範圍界定、機構設置、職能授權、政府與私營企業的合作、信息共享機制方面，逐步形成了相對完善和成熟的關鍵基礎設施保護體系。

階段一（柯林頓政府時期）：確立了保護國家關鍵基礎設施安全的機構管理，以及人才培養等方面的行動措施

1996年柯林頓政府頒布了13010號總統令，初步規定了關鍵基礎設施的範圍，要求成立關鍵基礎設施保護機構，負責研究關鍵基礎設施安全的薄弱環節及威脅，為制定相關政策規劃提出建議。

1998年5月，美國政府發布PDD-63總統令，把保護國家關鍵基礎設施安全作為明確的國家目標，並確定了重要基礎設施保護相關部門。

2000年1月，柯林頓政府發布了美國首個關鍵基礎設施保護的國家級計劃-《保護信息系統國家計劃》，詳細規定了威脅評估、公私信息共享、應急響應、人才培養、隱私保護等方面的行動措施，強化了政府和私營部門共擔網路安全責任的意識。

階段二（小布希政府時期）：組件國土安全部（DHS），實施多項具體的技術研發計劃和項目，開發信息系統保護關鍵基礎設施

2001年10月小布希政府正式簽署生效的《愛國者法案》中，美國重新界定了關鍵基礎設施的範疇，並提出建設關鍵基礎設施建模、模擬和分析系統。同期，小布希總統簽發了13228號總統令和13231號總統令，就關鍵基礎設施保護設立了總統網路空間安全顧問，組建了總統關鍵基礎設施保護委員會。

2002年美國關鍵基礎設施保護委員會實施了一項名為項目矩陣的新計劃，旨在確定政府的關鍵性系統，並確定其面臨的威脅和抵抗這些威脅的能力。美國DISA開發了「本土防衛系統」，並推出應急通信計劃。

2002年9月，小布希政府公布了《保護網路安全國家戰略》草案，成為全面指導美國國家信息戰略規劃的綱領性文件。

2002年11月生效的《國土安全法案》中，美國新組建國土安全部（DHS），對關鍵基礎設施保護的組織機構、具體職能和目標任務等都做出了具體和詳細的規定。

2003年2月，小布希政府配套出台《保護網路安全國家戰略》和《關鍵基礎設施和重要資產物理保護的國家戰略》，前者確立了打擊恐怖分子、罪犯或敵對國家發起的網路攻擊的初步框架，後者提出了「重要資產」的概念，明確了政府和私營機構在關鍵基礎設施保護方面的職責。

2003年12月，美國政府又頒布國家安全第7號總統令《關鍵基礎設施標識、優先順序和保護》（HSPD-7），為政府部門和相關機構確定了保護關鍵基礎設施免受恐怖主義威脅的方向，明確了DHS及其他機構的任務和職責，修訂了各部門在關鍵基礎設施保護方面開展合作的內容。

2006年6月30日，DHS發布了《國家基礎設施保護計劃》，概述了國家基礎設施保護工作的任務和職責、風險評估策略、教育培訓等，為各級政府機構和私營部門如何管理國家重要基礎設施和關鍵資源提供了實施框架。

階段三（奧巴馬政府時期）：更加註重基礎設施的「網路安全」

2008年，國家網路安全綜合計劃（CNCI）提出未來十年「對網路基礎設施進行轉換，使得關鍵國家利益受到保護免受災難性損失，使得社會能夠放心地應用新的科技發展成果」。

2009年2月，奧巴馬政府啟動了為期60天的網路空間安全狀況評估，並於5月29日發布了《網路空間政策評估》報告，提出了關於信息和通信基礎設施保護的建議。

2011年美國政府發布的《網路空間國際戰略》和《網路空間行動戰略》，也提出了確保美國和美軍關鍵基礎設施網路空間安全的任務。

2013年年初，奧巴馬政府簽署了E.O.13636總統令，提出了政府與私營企業開展史無前例的信息共享嘗試，授權相關部門制定關鍵基礎設施網路空間安全框架，要求DHS採取措施推進網路空間安全信息共享；PPD-21總統令明確了關鍵基礎設施保護中政府的角色和職能，確立了政府部門之間及政府與關鍵基礎設施所有者和運營者之間的信息共享和責任分擔機制。

為滿足日益重要的網路空間安全需求，2011年國土安全高級研究開發計劃署HSARPA下成立了網路空間安全處（CSD），增強國家關鍵基礎設施和網路的安全性和彈性，只能包括：1）促進安全技術進步以應對關鍵基礎設施的漏洞；2）挖掘網路空間安全威脅的新的解決方案；3）實施可靠的技術以防禦網路空間威脅。

CSD支持五個主要研究領域：1）可信網路空間基礎設施（TCI），包括網路測度和攻擊建模、過程式控制制系統安全、安全協議、網路空間基礎設施與威脅（DECIDE）；2）網路空間系統的基礎要素（FECS），包括網路空間經濟激勵、企業級安全測度和可用性、國土開發安全技術、超越未來的技術、動態目標防禦、軟體質量保障、定製的可信空間；3）網路空間安全域用戶保護和教育，包括網路空間安全競賽、網路空間安全鑒證、身份管理和數據隱私技術、內部威脅；4）支持網路空間安全的研究基礎設施，包括實驗研究測試床、研究資料庫、軟體保障市場；5）網路空間技術評估和產業化，包含網路空間安全評估、網路空間安全實驗與試點、產業轉化。

依據13636號總統令的明確要求，2014年2月12日美國NIST發布了提升關鍵基礎設施網路空間安全技術框架（FICIC），FICIC文件包含三部分：框架介紹、框架架構和框架實施說明。其中，框架架構是文件的核心部分。FICIC的架構由三部分組成：框架核心、框架實施等級、框架輪廓。其中，框架核心依據保護關鍵基礎設施所涉及的確定、保護、檢測、響應與恢復等活動步驟，明確定義了各步驟所需技術的類別、子類別和參考資料。框架實施等級描述了機構實施網路空間安全風險管理的程度，並將實施的程度劃分為部分實施、風險告知、可重複、自適應四個等級。框架輪廓則是將框架核心與機構的業務需求、風險承受能力和資源狀況進行綜合，以進行自我評估，並方便機構內部和機構之間的交流溝通。

如果覺得內容不錯，歡迎關注公共號（微信號：TS-SecLab）獲得後續更新；如需閱讀以前文章，請在公共號後台查看歷史消息。