美歐關鍵信息基礎設施保護分析與借鑒

周亞超，劉金芳

（1.中國信息安全研究院，北京102209；2.賽迪智庫網絡空間研究所，北京100036）

1 引言

針對關鍵信息基礎設施的網絡攻擊是世界各國面臨的共同挑戰。金融、能源、通信、交通等重點行業和領域的關鍵信息基礎設施是經濟社會運行的神經中樞，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益。當前，我國關鍵信息基礎設施面臨的網絡安全形勢嚴峻復雜，網絡安全防控能力薄弱，難以有效應對網絡攻擊。

美歐各國均將其視為網絡安全和國家安全的一個重要部分，以及防范恐怖主義打擊的重點。美國早在克林頓政府時期就出臺了關鍵基礎設施保護政策，經過了20多年的探索，逐步形成了較為完善的關鍵基礎設施管理體系和方法。近年來，歐盟高度重視關鍵信息基礎設施安全，發布了近10項政策決議以加強其網絡安全防護。美歐關鍵信息基礎主要由私營部門運營，強調實施公私合作的自愿性保護框架，但實際上關鍵信息基礎設施保護工作仍是依靠政府部門來主導和實施。

2 美國關鍵信息基礎設施保護

美國關鍵信息基礎設施保護機構及其職能劃分比較明確，機構設置呈現體系化，逐步建立了以國土安全部為主導、基礎設施特定領域機構（SSA）具體負責和配合本領域關鍵信息基礎設施保護工作，形成了各部門之間職能分工明確、相互協調的關鍵信息基礎設施保護組織體系。同時，美國政府認識到關鍵信息基礎設施保護是政府部門與私營部門的共同責任，不僅強調政府相關部門在關鍵信息基礎設施保護方面的重要作用，還始終鼓勵和倡導私營部門與政府相關部門加強合作與交流，在關鍵信息基礎設施保護計劃、協調、實施和運行方面協同努力。

在管理體制方面，2002年美國依據《國土安全法》成立國土安全部，負責協調政府的關鍵基礎設施保護工作，同時在不同的關鍵基礎設施部門內還設置有對應的聯邦機構負責具體實施這一部門的關鍵基礎設施保護工作。2003年發布第7 號國土安全總統指令（HS PD-7）《關鍵基礎設施標識、優先級和保護》[1]，確定了美國關鍵信息基礎設施保護框架的基礎性政策，該法令認為各關鍵基礎設施部門都有其獨特的特征和運行模式，明確指定了基礎設施保護行業主管部門，包括農業部、健康和公共服務部、環境保護局、能源部、財政部、國防部，并關系到關鍵基礎設施和重要資源保護的各聯邦部局以及各個總統行政辦公室納入到保護框架之內，包括國務院、司法部、商務部、關鍵基礎設施保護政策協調委員、管理和預算辦公室、首席信息官委員會等。2013年，HSPD-7被撤銷并被第21號總統令取代，但延續了之前的保護框架。

在部門工作協調方面，最早的基礎設施保護政策《第63號總統決定令：克林頓政府對關鍵基礎設施保護的政策》[2]就明確了部門聯絡的領導機構、特殊職能的領導機構、跨機構協調機制。由領導機構、國家經濟委員會和國家協調員的推薦，總統指派一個由大型基礎設施提供商和州及地方官員組成的小組，組成國家基礎設施保障委員會，委員會主席由總統指定。國家協調員將擔任該委員會的執行主任。國家基礎設施保障委員會將定期集會，以加強關鍵基礎設施保護中公共和私營部門間的合作關系，并在必要的時候向總統提交報告。

在政策執行層面，美國國土安全部下設兩個辦公室，基礎設施保護辦公室、網絡安全和通信辦公室并分別設有中心，以加強部門間協調。2014年國土安全部在基礎設施保護辦公室原有職能的基礎上，單獨組建了網絡基礎設施分析辦公室（OCIA），具體負責落實綜合分析和標識關鍵基礎設施的要求。

在預警響應方面，2016年發布了第41號總統政策令《網絡事件協調》[3]和國土安全部《國家網絡事件響應計劃》[4]規定，由國土安全部負責運營國家基礎設施保護中心、信息共享與分析中心等，負責實現信息整合和分析功能，為其他關鍵基礎設施相關角色提供態勢感知，對關鍵基礎設施進行物理和網絡保護，以保障國家關鍵信息基礎設施安全事件監測通報與預警的有效實施。在能力建設方面，保持對網絡威脅的態勢感知，檢測網絡威脅，減輕事件影響，響應事件并從中恢復。

在技術標準層面，根據《改善關鍵基礎設施的網絡安全行政令》[5]制定了網絡安全框架。該框架通過基于風險的方法，使用現有的標準和最佳實踐，幫助關鍵基礎設施的運營使用單位應對網絡空間的風險，構建了包括識別、保護、監測、響應和恢復在內的CIIP 網絡安全框架，提出安全基線要求并借助NIST 80053、ISO/IEC 27001、COBIT、COSO、ISA等信息安全管理標準作為控制目標的實現。

此外，由于基礎設施主要由私營部門運營，基礎設施保護的一個重點工作是促進對信息安全事件預警信息的共享。鼓勵私營部門建立信息共享與分析中心，在法律允許的范圍內向特定部門機構或其他關鍵基礎設施部門的合作伙伴提供情報和信息，提供實時的威脅和事件報告、警報和預警，并對敏感信息進行保護。

3 歐盟關鍵基礎設施保護

歐盟在關鍵信息基礎設施保護方面的政策立法主要包括：2004年發布《打擊恐怖活動，加強關鍵基礎設施保護的通訊》，給出了關鍵基礎設施的定義；2005年發布《保護關鍵基礎設施的歐洲計劃（EPCIP）》，該計劃明確了關鍵信息基礎設施和關鍵信息基礎設施保護的定義，設立關鍵基礎設施預警信息網絡委員會（CIWIN），確定關鍵基礎設施認定標準和關鍵部門，強調公私合作；2006年發布《關于歐盟理事會制定識別、指定歐洲關鍵基礎設施并評估提高保護的必要性指令的建議》，該建議明確了關鍵基礎設施的定義，要求設立安全聯絡官，建立關鍵基礎設施風險和威脅評估報告；2009年發布《關鍵信息基礎設施保護戰略：保護歐洲免受大規模網絡攻擊和中斷》，該報告是歐盟關鍵信息基礎設施保護戰略，旨在使歐盟更好地應對任何網絡攻擊和入侵，主要包括就緒和預防、檢測和響應、緩解和恢復、國際和歐盟范圍內的合作、關鍵基礎設施標準幾個方面。

根據《 保護關鍵基礎設施的歐洲計劃（EPCIP）》[6]，歐盟關鍵信息基礎設施保護遵循幾項原則：協助原則，關鍵基礎設施預警信息網絡委員會根據成員國的請求，對成員國國家關鍵基礎設施保護提供協助；互補原則，避免在歐盟、國家或地區層面做出重復努力，補充并充分利用現有措施；保密原則，對關鍵基礎設施保護信息（CIPI）進行分級并設定訪問權限，在安全可信的環境下進行信息共享；利益相關者合作原則，確保所有關鍵基礎設施利益相關者盡可能參與到歐洲關鍵基礎設施保護計劃的制定和實施中；風險原則，根據風險和威脅類型選擇需要實施的安全措施。

在組織機構方面，劃分為國家之間、國家與企業、企業之間不同的層面。在歐盟層面設立關鍵基礎設施聯絡小組，以推動歐洲關鍵基礎設施保護計劃總體方面和各部門具體行動的開展。各成員國設立一個關鍵基礎設施聯絡點，負責與其他成員國、理事會以及委員會協調成員國內的關鍵基礎設施事項。關鍵基礎設施聯絡點的指定將不會排除其他成員國機構對于關鍵基礎設施事項的參與。在企業層面，建立關鍵信息基礎設施保護的組織協調機構，即安全聯絡官制度。關鍵基礎設施所有者或運營者指定一名安全聯絡官，作為與所在成員國關鍵基礎設施保護機關之間的聯絡點。

在預警響應方面，提出建立關鍵基礎設施預警信息網絡（CIWIN）、早期預警機制和歐洲信息共享和預警系統（EISAS）。促進信息共享，建立相互信任的關系，確保自愿共享的私有的、敏感的或個人信息將不會被公開披露并且這些敏感數據將得到充分的保護。

4 美歐關鍵基礎設施保護經驗借鑒和思考

4.1 加強組織機制保障

一是將關鍵信息基礎設施保護上升到立法的高度。美歐等國不僅通過制定和發布國家戰略、國家政策和命令，還通過出臺相關立法滿足關鍵信息基礎設施的保護需求，并在其中明確了關鍵信息基礎設施保護的具體措施，相應的組織管理機構體系及其職責等內容。

二是構建關鍵信息基礎設施保護的組織管理體系。多數國家建立了包括政府部門和私營機構共同參與的關鍵信息基礎設施保護的組織管理體系，關鍵信息基礎設施保護的責任都是由不同政府部門的多個機構和單位共同承擔，其職責和分工明確，并且相互之間形成了良好的協調機制。此外，還需要設立關鍵信息基礎設施保護的強力監管部門。例如，美國授權國土安全部對關鍵信息基礎設施保護工作實施監督管理。

4.2 加強技術平臺保障

一是建立關鍵信息基礎設施保護監測通報與預警平臺。各國已經紛紛通過建立相應的監測與預警發布中心，保障國家關鍵信息基礎設施監測通報與預警的有效實施，如美國的國家基礎設施保護中心，負責全天候監測和分析針對關鍵信息基礎設施的網絡威脅信息。

二是建立關鍵信息基礎設施保護的信息共享機制。各國在關鍵信息基礎設施保護的監測、預警、應急、響應等方面都建立了及時高效的、上通下達的網絡安全信息共享機制，其中涉及政府部門之間，私營部門之間以及政府與私營部門之間，國家之間的關鍵信息基礎設施保護的信息共享，如美國的信息共享與分析中心、歐洲的早期預警和信息系統、歐洲網絡和信息安全局等。

三是為關鍵信息基礎設施運營者提供技術支持。美歐等國將關鍵信息基礎設施保護上升到國家安全和社會穩定的高度，提出對關鍵信息基礎設施保護的實施給予充足的財政保障，并由政府機構為關鍵信息基礎設施運營者提供技術支持，強調政府鼓勵和支持相關技術和產品的研究與開發，保障對進行關鍵信息基礎設施保護的研究中心、大學和公司提供相應的政策和經費支持。

4.3 建立安全基線要求

關鍵信息基礎設施安全基線要求作為一種行之有效的網絡安全保護方法，其制定和實施將對關鍵信息基礎設施運營單位產生深遠的影響。圍繞安全風險，安全基線要求的制定不僅考慮通用的安全風險，也需要考慮不同部門或組織內不同業務職能特有的風險情景。例如，能源、金融和健康醫療企業也可能面臨不同的風險情景或后果；企業內部支付系統與人事管理系統的風險也會不同。

一般來說，安全基線的制定和選擇有兩種方法，以結果為導向的方法和基于控制措施的方法，兩種方法對于組織風險管理來說是互補的。以結果為導向的方法通過建立必要的流程和能力來應對不斷變化的威脅，確保基線能夠應對威脅環境的變化，在這個過程中不斷學習和改進。該方法有助于實現同一個組織內部不同部門角色之間的轉換，如業務部門、安全部門、信息技術部門等，其缺點是可實施性較差、難以把握，對組織的適應性要求較高并需要有一定的安全基礎。

基于控制措施的方法提供了應對常見網絡安全風險的基本要求，適合于網絡安全能力有限的組織來改善安全狀況。但基線要求不能脫離業務環境孤立存在，靜態的控制措施容易形成合規性的思維模式，人為限制了如何實現安全保障。例如，站在企業管理層的角度，滿足基線要求就不用支持必要的安全投入了，即使出現了更先進、更有效的技術方案也不必更新。而以結果為導向的方法更易于調整和改進組織管理，升級和開發新的安全技術方式，實現關鍵信息基礎設施的動態防護。

5 結束語

從美歐關鍵信息基礎設施保護的實踐可以發現，各國從政策立法、管理和技術層面進行綜合性的保障制度構建，注重對安全風險進行管理控制，強調預警和應急制度，加強信息共享，提供安全要求標準化參考，形成網絡安全基線要求。這些可以為我國關鍵信息基礎設施保護工作的開展提供參考，對我國關鍵信息基礎設施保護工作有重要的借鑒意義。