美國二十五年來關鍵基礎設施保護政策演進研究

孔勇 范佳雪

沒有網絡安全，就沒有國家安全。環顧全球，網絡安全形勢仍十分嚴峻，各國在網絡空間展開激烈博弈。關鍵信息基礎設施是我國經濟社會運行的神經中樞，發揮著基礎性、全局性、支撐性作用，因此保護好關鍵信息基礎設施是網絡安全的重中之重。網絡安全是開放的而不是封閉的，維護關鍵基礎設施網絡安全要有全球視野和開放心態，因此有必要關注其他國家的做法。美國全面加強關鍵基礎設施保護安全工作已有二十五年的歷史，是值得我們關注的重點對象。開展美國關鍵基礎設施保護政策的研究，旨在進一步更好地學習美國關鍵基礎設施保護的理念與經驗，思考關鍵基礎設施保護工作路徑，少走彎路。

1996年時任美國總統克林頓簽署第13010號行政令《關鍵基礎設施保護》，拉開了美國關鍵基礎設施保護的歷史大幕。在這二十五年間，美國歷經5任總統，圍繞關鍵基礎設施保護先后發布一系列戰略、法律、規劃、行政令、總統令。通過對二十五年來發布的相關政策文件的研究，可以將美國關鍵基礎設施保護分為四個階段，即定目標、劃范圍、建體系、強執行。

（一）定目標（1996年到2003年）：探索關鍵基礎設施保護，提出可用性、安全性和快速恢復性目標

美國早在克林頓政府時期就意識到關鍵基礎設施保護的必要性。該階段通過探索研究提出了確保關鍵基礎設施可用性、安全性和快速恢復性的目標，確立了政府與關基運營者信息共享、責任共擔的合作模式，倡導加強立法設置、研發投入和宣傳教育等一系列措施強化關鍵基礎設施保護。

● 1996年克林頓簽署13010號行政令《關鍵基礎設施保護》，組建了“關鍵基礎設施保護委員會”，專門對關鍵基礎設施安全的薄弱環節及威脅進行探索研究。

● 1997年美國“關鍵基礎設施保護委員會”發布了《美國基礎設施保護》報告，提出了適合美國國情的關鍵基礎設施保護建議。該報告明確了聯邦政府的關鍵基礎設施領導地位，規劃了專門負責關鍵基礎設施保護的組織架構，提出了公私合作和宣傳教育等建議。

● 1998年克林頓簽署63號總統令《關鍵基礎設施保護》，成立“國家關鍵基礎設施保護中心”和“信息共享和分析中心”，組建“關鍵基礎設施協調小組”，開啟了關鍵基礎設施保護組織架構的建設。

● 2001年小布什簽署了13231號行政令《信息時代的關鍵基礎設施保護》，強調信息時代關鍵基礎設施的信息系統安全保護，進一步確定關鍵基礎設施保護目標。

（二）劃范圍（2003年到2013年）：重視物理與網絡空間安全保護，確定關鍵基礎設施范圍

隨著信息化和互聯網技術的不斷發展，美國在保護關鍵基礎設施物理空間安全的同時更加重視網絡空間安全。在此期間，關鍵基礎設施的范圍在不斷調整變化。911恐怖襲擊后美國將國防工業設施、農業食品和國家紀念物等列入關鍵基礎設施保護范圍。十年后，美國將國家紀念物去掉并增加了關鍵制造、核設施等行業，最終固化形成了16個美國關鍵基礎設施行業范圍。

● 2003年美國發布國土安全第7號總統令《關鍵基礎設施識別、優先排序和保護》，將國防工業設施、農業食品、國家紀念物等列入到關鍵基礎設施保護范圍。

● 2006年發布《國家基礎設施保護計劃》報告，隨后持續發布《國家基礎設施保護計劃》（2007/2008）、《國家基礎設施保護計劃》（2009）、《國家基礎設施保護計劃》（2013）等報告，為各級政府機構和私營部門如何管理國家關鍵基礎設施提供實施框架。

● 2013年美國發布第21號總統令《關鍵基礎設施安全和彈性》，取代2003年發布的7號總統令。經過近10年的探索和調整，美國關鍵基礎設施保護范圍最終確定16個行業并固化。

（三）建體系（2013年到2018年）：明確進入網絡安全時代，構建關鍵基礎設施保護體系

美國第13636號行政令《增強關鍵基礎設施網絡安全》提出網絡安全已成為關鍵基礎設施保護的重點，應當長期鞏固關鍵基礎設施的安全性和彈性能力。通過發布《網絡安全法》《網絡安全國家行動計劃》《國家基礎設施保護計劃》《關鍵基礎設施網絡安全改進框架》《關鍵基礎設施行業行動計劃》等，構建了以國土安全部為主責部門、以風險評估管控為準則、以公私合作信息共享為基礎的關鍵基礎設施保護體系。

● 2013年，美國發布第13636號行政令《增強關鍵基礎設施網絡安全》，要求國土安全部采取措施推進網絡安全信息共享，制定網絡安全框架以降低關鍵基礎設施網絡安全風險，關鍵基礎設施保護的網絡安全時代到來。

● 2015年美國發布《網絡安全法》，從立法層面加強了網絡安全保護，明確了國土安全部在網絡安全領域的主責地位，確立了政府和私營企業信息共享、應急響應、風險評估、人才培養等工作的法律責任與義務。

● 2016年奧巴馬政府發布《網絡安全國家行動計劃》，明確指出要增強關鍵基礎設施的安全性和抗打擊能力。計劃建立“國家網絡安全促進委員會”，加強公共和私營部門的網絡安全合作，制定網絡安全框架以提高關鍵基礎設施網絡安全。

● 2016-2019年每年舉辦一次國家基礎設施保護計劃“網絡安全與彈性”挑戰賽，篩選關鍵基礎設施保護的優秀創新項目案例，從而為長期鞏固關鍵基礎設施的安全性和彈性提供實踐。

● 2017年特朗普簽署行政令《增強聯邦政府與關鍵基礎設施網絡安全》，加強關鍵基礎設施網絡安全保護。該行政令明確了風險評估報告的基本要求，重點關注信息通信系統、電力系統網絡安全能力的評估。

● 2018年美國國家標準技術研究院（NIST）發布新的《關鍵基礎設施網絡安全改進框架》V1.1版本，提出了自我風險評估、供應鏈安全、認證授權、漏洞管理等方面框架要求，為關鍵基礎設施提供了更細粒度的指導。

（四）強執行（2018年至今）：加強法規政策和建議指導的發布，強化關鍵基礎設施保護落地執行

2018年國土安全部整合資源重組成立“網絡安全和基礎設施安全局”，先后發布了《州和地方網絡安全改善法案》《美國網絡安全和基礎設施安全局網絡演習法案》《關鍵基礎設施行業風險與漏洞評估（RVA）報告》《保護5G云基礎設施安全指南》，成立“聯合網絡防御協作中心”，在國家級網絡安全防御協同、威脅情報共享、漏洞披露管理、聯合安全演習等方面對關鍵基礎設施提供建議指導和強制要求，更加強化落地執行。

● 2018年美國發布《網絡安全和基礎設施安全局法案》，成立“網絡安全和基礎設施安全局”機構，將“國家保護與計劃局”設立的技術中心等組織架構并入網絡安全和基礎設施安全局管理。

● 2019年美國發布《改善州、地方網絡安全法案》，該法案在《國土安全法》的基礎上增加了三項舉措，有助于州和地方政府獲得更充分的網絡安全資源，包括制定網絡安全資源指南、識別高價值資產和提供網絡安全建設資金。

● 2020年網絡安全和基礎設施安全局頒布了強制命令《實施漏洞披露政策》，要求所有的聯邦機構必須在180天內完成安全聯系接口對接、漏洞提交、漏洞披露等工作。

● 2021年美國發布《美國網絡安全和基礎設施安全局網絡演習法案》，該法案提出了對關鍵基礎設施開展網絡安全應急響應、攻防演習、定期測試和評估的工作要求。

● 2021年美國發布《國家安全備忘錄：改進關鍵基礎設施控制系統網絡安全》，要求國土安全部制定跨部門關鍵基礎設施控制系統網絡安全基準，推動聯邦政府和關鍵基礎設施之間的跨部門合作，以改善關鍵基礎設施網絡安全。

● 2021年網絡安全和基礎設施安全局陸續發布《保護5G云基礎設施安全指南》，提出5G云基礎設施的“防止和檢測橫向移動”“安全隔離網絡資源”“數據保護”以及“基礎設施的完整性保護”安全要求。

縱觀美國關鍵基礎設施保護政策發展的二十五年，可以得到以下重要啟示。

（一）關鍵基礎設施識別認定是一個長期動態的過程

美國從1996年提出關鍵基礎設施保護的目標后，關鍵基礎設施保護范圍始終在不斷變化，花了10多年時間基本確定16個行業范圍。2021年11月24日，美國眾議院國土安全委員會依然提出立法，要求明確流程來識別關鍵基礎設施行業中真正必不可少的系統服務，將其指定為國家“具有系統重要性的關鍵基礎設施”（SICI）。由此可見，關鍵基礎設施識別認定是一個長期動態的過程。

（二）關鍵基礎設施保護的安全信息共享和統籌協調是核心工作

從1997年“關鍵基礎設施保護委員會”提出建立公私合營的合作伙伴關系、1998年63號總統令成立“信息共享和分析中心”和“關鍵基礎設施協調小組”，到2018年美國“網絡安全和基礎設施安全局”成立，安全信息共享和統籌協調工作至始至終都是關鍵基礎設施保護的核心工作。

（三）對關鍵基礎設施運營者的指導和監督工作是落地執行的關鍵

2018年美國“網絡安全和基礎設施安全局”成立以來，不斷加強關鍵基礎設施安全風險評估與管控，對關鍵基礎設施運營者的安全保護指導和監督工作發揮了重要作用。通過法案立法保障網絡安全經費投入，構建關鍵基礎設施行業網絡安全框架，開展網絡安全風險評估、應對與持續監控服務，發布關鍵基礎設施保護安全實施指南等，有效促進關鍵基礎設施安全保護的落地執行。

本文通過研究二十五年來美國關鍵基礎設施保護的政策，將政策演進總結為四個階段，即定目標、劃范圍、建體系、強執行。定目標階段是探索關鍵基礎設施保護，提出可用性、安全性、快速恢復性等關鍵基礎設施保護目標；劃范圍階段是重視物理與網絡空間安全保護，確定16個行業的關鍵基礎設施范圍；建體系階段是明確進入網絡安全時代，構建以國土安全部為主責部門、以風險評估管控為準則、以公私合作信息共享為基礎的關鍵基礎設施保護體系；強執行階段是加強法規政策和建議指導的發布，強化關鍵基礎設施保護落地執行。通過分析研究發現關鍵基礎設施識別認定是一個長期動態的過程；關鍵基礎設施保護的安全信息共享和統籌協調是核心工作；對關鍵基礎設施運營者的指導和監督工作是落地執行的關鍵。