近年來,世界各國紛紛出臺政策、法規,將關鍵基礎設施安全提升到國家安全的高度,并開始重視對其網絡安全的保護。目前,全球已經有數十個國家正在制定或已經實施關鍵信息基礎設施相關安全政策、法規和標準,深刻影響著國家安全、經濟發展和社會機遇。
美國作為網絡技術的發起國和強大網絡空間勢力的擁有國,也是關鍵基礎設施保護起步最早的國家。美國國土安全部作為關鍵基礎設施的主管部門,也肩負著保障國家安全的重要職責,基于此,美國關鍵基礎設施安全保障的戰略思想和法律政策,從一開始就與國家安全掛鉤,相比其他國家,站得更高,布局更加廣泛。目前,美國已經形成系統的保護體制和實施方案并不斷進行完善。
在習近平總書記“網絡強國”戰略思想指引下,我國的關鍵信息基礎設施安全保護工作也受到了高度重視。習總書記在2016年4月19日的網絡安全和信息化工作座談會上指出,網絡安全威脅和風險日益突出,并向政治、經濟、文化、社會、生態、國防等領域傳導滲透,特別是國家關鍵信息基礎設施面臨較大風險隱患,網絡安全防控能力薄弱,難以有效應對國家級、有組織的高強度網絡攻擊。習總書記要求,要加快構建關鍵信息基礎設施安全保障體系。
一
關鍵基礎設施面臨的網絡安全風險日益加大
隨著網絡技術的飛速發展以及對提高效率的要求,人們發現關鍵基礎設施面臨的不再僅僅是物理風險,金融服務、交通運輸、基礎性資源(水、電力 、天然氣和石油等)供應、醫療服務、信息和通信服務、政府服務、國防等重要領域的關鍵基礎設施越來越多地依賴網絡和信息系統,并逐漸變得自動化和互聯,在此過程中,天生便不安全的信息系統給關鍵基礎設施帶來了巨大的網絡安全風險。
近年來針對關鍵基礎設施的網絡入侵事件頻頻發生,關鍵基礎設施受到的網絡威脅呈逐年上升之勢,對國家安全和經濟社會穩定運行造成了嚴重影響。
2010年7月,針對西門子工業控制系統的“震網”病毒感染了伊朗核設施,導致伊朗濃縮鈾工廠內五分之一的離心機報廢,大大延遲了伊朗核進程,隨后該病毒感染世界各地,我國也深受其害。
2013年6月,美國中央情報局前雇員斯諾登披露 , 美國國家安全局曾持續攻擊清華大學的教育網主干網,為獲取手機短信而廣泛入侵中國的主要電信運營商。
2015年6月,波蘭航空公司地面操作系統遭受黑客攻擊,致使系統癱瘓長達5小時,至少10個班次的航班被取消,1400多名乘客滯留,造成航空秩序嚴重混亂。
2016年1月,烏克蘭電網遭到黑客網絡攻擊,導致包括烏克蘭首府在內的多個地區停電數小時,引發公眾恐慌。
2018年11月,伊朗基礎設施和戰略網絡受到了網絡病毒的攻擊。伊朗軍方人士證實,這次攻擊相比2010年癱瘓其核設施1000多臺離心機的震網病毒,來得更加猛烈、更加先進、更加復雜。
二
美國已經將關鍵基礎設施作為網絡攻防的重點
1998 年 10 月,美國參謀長聯席會議頒布《信息戰共同條令》,提出把基礎設施列入信息戰打擊的范圍;2002年7月,美國發布了第一份《國土安全戰略》,將關鍵基礎設施保護作為“六大關鍵業務領域”;2003年2月,發布的《保護網絡空間的國家戰略》提出了三大戰略目標,其中之一是“預防美國的關鍵基礎設施遭到信息網絡攻擊”;2012年12月,奧巴馬總統簽署第 20 號總統令,部署了兩項行動任務“進攻性網絡效應行動”(OCEO)和“防御性網絡效應行動”(DCEO),提出“必要時可以對他國網絡空間中的數據、信息以及關鍵基礎設施采取控制、運行中斷、拒絕執行指令、性能降級,甚至完全破壞”。從網絡中心戰擴展到網絡空間作戰行動等;2018年3月,美國眾議院通過《2018國土安全部網絡事件響應小組法案》,提出授權由美國國土安全部國家網絡安全與通信整合中心下的網絡狩獵及事件響應小組幫助保護聯邦網絡和關鍵基礎設施免于遭受網絡攻擊。
通過對上述文件的分析發現,美國已經清楚地認識到關鍵基礎設施已經成為國家間對抗的重點,美國不僅將關鍵基礎設施作為網絡攻擊的重要目標,也將其作為網絡安全保護的重點。也可以說正是美國將關鍵基礎設施作為網絡戰攻擊的重點,才使得美國將關鍵基礎設施作為其網絡安全保護的重點。
三
美國關鍵基礎設施保護發展歷程及未來走向
關鍵基礎設施保護概念最早由克林頓總統執政期間提出。1996 年 7 月,克林頓政府頒布第13010號行政令,初步劃定關鍵基礎設施的范圍,決定成立關鍵基礎設施保護機構,這成為美國建立關鍵基礎設施保護體系框架的開端。之后,美國先后頒布第 62 號總統令(簡稱PDD-62)、第 63 號總統令(簡稱 PDD-63)和《信息系統保護國家計劃》,逐步明確了關鍵基礎設施涉及的領域和范疇,如何識別關鍵基礎設施,明確關鍵基礎設施的重要性及其國家戰略地位。
2001 年,布什總統先后簽署《愛國者法案》、《國土安全法》和多部行政令,提出了關鍵基礎設施保護的基本政策,擴大了關鍵基礎設施的范疇,成立關鍵基礎設施保護領導機構,明確負有關鍵基礎設施信息共享和分析職責的機構和組織。
2002 年至 2009 年,布什政府發布了《網絡空間國家安全戰略》、《關鍵基礎設施和重要資產物理保護國家戰略》、《2003年國土安全第 7 號總統令》、《國家基礎設施保護計劃》等多項保護文件,不斷調整關鍵基礎設施保護的范圍,從克林頓政府的 8 類擴充到 17 類關鍵基礎設施和資源,明確關鍵基礎設施保護機構及職能。布什執政期間出臺的關鍵基礎設施保護文件迄今為止在美國最多。
2013 年 2 月,奧巴馬政府發布《提高關鍵基礎設施的網絡安全的行政令》(第 13636號行政令),強調保護關鍵基礎設施的重要性,重申關鍵基礎設施保護范疇定義,提出要建立政府與私營機構的信息共享機制,授權政府相關部門制定關鍵基礎設施網絡安全框架。同期,頒布2013 年第21號總統令(簡稱 PDD-21),強調關鍵基礎設施的安全性和恢復力,闡明關鍵基礎設施中聯邦政府的角色和職能,確立信息共享和責任共擔機制。2013 年,更新發布了《國家基礎設施保護計劃》,在2009年版的基礎上,拓展了保護計劃的范圍,闡明關鍵設施面臨的風險和威脅。2014 年2 月,美國白宮發布了由國家標準技術研究所(NIST)起草的美國國家信息安全指導規范《提高美國關鍵基礎設施網絡安全的框架規范》。這是棱鏡門事件后,美國政府首次出臺的國家信息安全指導規范,也是奧巴馬總統2013年簽署第13636 號行政命令《提高關鍵基礎設施的網絡安全》以來,落實行政命令的第一個基礎性框架文件。美國關鍵基礎設施網絡安全保護體系框架基于全生命周期和流程化的框架方法,分為識別、保護、監測、響應和恢復五個層面。框架包括一系列應對網絡風險的標準、方法和流程,提供在跨部門之間確立適用于關鍵基礎設施的安全標準和行為準則。
2014年12月,美國兩院通過了《2014國家網絡安全保護法案》,成立了國家網絡安全和通信集成中心,對該中心的主要功能、組成方式、重點工作、運行原則等做出詳細規定。
2015年2月發布的《2015年美國國家安全戰略報告》明確指出,美國政府要加強與關鍵基礎設施所有者和運行者的緊密合作,并要提高金融、交通等重要領域關鍵基礎設施的恢復能力。
2017年5月,美國總統特朗普發布了關于“加強聯邦網絡和關鍵基礎設施的網絡安全”的行政命令13800。該行政命令要求評估與重大網絡事件相關的長時間停電的潛在范圍和持續時間,評估美國在管理和緩解針對電子行業網絡事件后果的能力和差距。
2018年4月,美國國家標準與技術研究院發布《提升關鍵基礎設施網絡安全的框架》。4月18日,美國眾議院通過“管道與液化天然氣設施網絡安全準備法案”、“能源應急領導法案”、“2018網絡感知法案”以及“公私合作加強電網安全法案”等4項法案。5月9日,美國國會眾議院軍事委員會通過“關鍵基礎設施”法案,賦予網絡部隊保護關鍵基礎設施的任務。5月15日,美國國土安全部(DHS)發布新版《網絡安全戰略》,并正在著手將選舉系統定義為關鍵基礎設施,以施行高級別進行網絡安全防護。2018年6月,美眾議院國土安全委員會通過保護關鍵基礎設施第5733號法案,要求美國國土安全部下的國家網絡安全和通信整合中心識別并應對關鍵基礎設施自動化控制過程中作用產品和技術的漏洞和威脅。此外,還需提供其他保障措施,保護美國的關鍵行業,包括電力和供水系統、制造業、交通運輸、能源等。2018年7月,美國國土安全部部長克爾斯滕。尼爾森正式宣布成立新的機構中心—國家風險管理中心,旨在幫助關鍵基礎設施企業長期評估持續存在的網絡威脅以及由此引發的網絡風險,尼爾森表示將致力打擊入侵和破壞金融、能源以及醫療保健系統的黑客行為,化解科技公司遭受網絡攻擊的危機。
綜上,我們可以看出,美國關鍵基礎設施保護的未來走向將呈現出以下態勢:
*第一,關鍵基礎設施安全的戰略地位全面與國家安全掛鉤。近幾年,安全威脅呈現出線上線下聯動的態勢,加之主管部門—國土安全部所肩負的保障國家安全的職責,關鍵基礎設施的戰略地位不斷呈抬升之勢,甚至與戰爭、網絡軍控相聯系。
*第二、對新興安全威脅與傳統安全威脅同時考慮。國土安全部指出,一方面,需要警惕新技術、新業務給關鍵基礎設施帶來的新的安全威脅,比如物聯網、工業互聯網、人工智能等。另一方面,不能忽視關鍵基礎設施自身的安全問題,比如設施老化問題帶來的安全威脅,以及關鍵基礎設施之間相互依賴所帶來的安全威脅等。
四
美國關鍵基礎設施保護體系的支撐機構
目前,美國國土安全部已建立了一套較為完善的關鍵基礎設施保護體系的機構支撐。承擔保護關鍵基礎設施職能的主要有國家保護和計劃司(NPPD)、國家基礎設施協調中心(NICC)、美國網絡應急響應中心(US-CERT)和信息分析與基礎設施保護部( IAIP)。
NPPD負責保護美國國家物理和網絡基礎設施,下設關鍵基礎設施保護辦公室(IP)、網絡安全和通信辦公室(CS&C)、風險管理與分析辦公室(RMA)和生物特征身份管理辦公室(OBIM)。其中,IP負責協調各方力量來降低關鍵基礎設施的風險;CS&S負責確保國家網絡和通信基礎設施的安全;RMA 負責統領聯邦政府突發事件管理;OBIM 提供必要的生物識別技術支持。
NICC是美國關鍵基礎設施網絡保護和協調中心,實時監控關鍵基礎設施的風險度,7×24 小時運轉。
US-CERT是關鍵基礎設施漏洞披露和信息共享的重要渠道,主要負責降低關鍵基礎設施行業的風險。
IAIP下設國家基礎設施保護中心(NIPC)負責收集關鍵基礎設施威脅情報,以保護關鍵基礎設施網絡和系統避免遭受攻擊。
五
美國關鍵基礎設施保護措施
美國關鍵信息集成設施保護機構及其職能劃分比較明確,機構設置呈現體系化,逐步建立了以國土安全部為主導、基礎設施特定領域機構(SSA)具體負責和配合本領域關鍵信息基礎設施保護工作,形成了各部門之間職能分工明確、相互協調的關鍵信息集成設施保護組織體系。同時,美國政府認識到關鍵信息集成設施保護是政府部門與私營部門的共同責任,不僅強調政府相關部門在關鍵信息基礎設施保護方面的重要作用,還始終鼓勵和倡導私營部門與政府相關部門加強合作與交流,在關鍵信息集成設施保護計劃、協調、實施和運行方面協同努力。
在管理體制方面,2002年美國依據《國土安全法》成立國土安全部,負責協調政府的關鍵基礎設施保護工作,同時在不同的關鍵基礎設施部門內設置有對應的聯邦機構負責具體實施這一部門的關鍵基礎設施保護工作。2003年發布第7號國土安全總統指令(HSPD-7),《關鍵基礎設施標識、優先級和保護》,確定了美國關鍵信息技術設施保護框架的基礎性政策,該法令認為各關鍵基礎設施部門都有其獨特的特征和運行模式,明確指定了基礎設施保護行業主管部門,包括農業部、健康和公共服務部、環境保護局、能源部、財政部、國防部,并關系到關鍵基礎設施和重要資源保護的各聯邦部局以及各個總統行政辦公室納入到保護框架之內,包括國務院、司法部、商務部、關鍵基礎設施保護政策協調委員會、管理和預算辦公室、首席信息官委員會等。2013年,HSPD-7被撤銷并被第21號總統令取代,但延續了之間的保護框架。
在部門工作協調方面,最早的基礎設施保護政策《第63號總統決定令:克林頓政府對關鍵基礎設施保護的政策》就明確了部門聯絡的領導機構、特殊職能的領導機構、跨機構協調機制。由領導機構、國家經濟委員會和國家協調員的推薦,總統指派一個由大型基礎設施提供商和州及地方官員組成的小組,組成國家基礎設施保障委員會,委員會主席由總統指定。國家協調員將擔任該委員會的執行主任。國家基礎設施保障委員會將定期集會,以加強關鍵基礎設施保護中公共和私營部門間的合作關系,并在必要的時候向總統提交報告。
在力量建設方面,除了國防部的網絡司令部和其他聯邦機構的常備網絡力量擔負關鍵基礎設施保護外,近幾年,美國還大力加強新型網絡力量的建設,以確保關鍵基礎設施安全。一是組建護電特戰隊。2013年1月5日,多份解密的美國機密級文件顯示,國家安全部正在推行一項代號為“完美公民”的行動計劃,組建保護全國電網等關鍵基礎設施的護電特戰隊。28名從國家安全局、黑客聯盟、國防部情報局、陸海空陸戰隊網絡戰官兵中層層挑選出來的隊員已經部署到位,具有美國中央情報局與美國國防情報局的雙重身份,享有國內外情報搜集、網絡攻與防的特別權力,除了美國的電網外,還擔負對他國的電力系統的攻擊任務。二是建立國家網絡任務部隊。2013年2月27日,美國國防部決定在現有人數的基礎上,把網絡安全部隊擴編5倍,從目前900人陸續擴編至4900人。擬建立“國家任務部隊”,負責保護電力網絡、電廠和其他關鍵基礎設施。三是雇傭非軍事人員,保護關鍵基礎設施。2013年12月19日,美國在2014年國防授權法案中提出招募“非雙重技術人員”或者國民警衛隊人員的建議,以防范對關鍵基礎設施的網絡攻擊。雙重身份的人員必須是統一著裝的軍事人員,并且保留國防部的頭銜和任務。
在預警響應方面,2016年發布了第41號總統政策令《網絡事件協調》和國土安全部《國家網絡事件響應計劃》規定,由國土安全部負責營運國家基礎設施保護中心、信息共享與分析中心等,負責實現信息整合和分析功能,為其他管件基礎設施相關角色提供態勢感知,對關鍵基礎設施進行物理和網絡保護,以保障國家關鍵信息集成設施安全事件監測通報與預警的有效實施。在能力建設方面,保持對網絡威脅的態勢感知,檢測網絡威脅,減輕事件響應,響應事件并從中恢復。
在技術標準層面,根據《改善關鍵基礎設施的網絡安全行政令》制定了網絡安全框架。該框架通過基于風險的方法,使用現有的標準和最近實踐,幫助關鍵機械化設施的營運使用單位應對網絡空間的風險,構建了包括識別、保護、監測、響應和恢復在內的網絡安全框架,提出安全基線要求并借助NIST80053、ISO/IEC27001、COBIT、COSO、ISA等信息安全管理標準作為控制目標的實現。
六
結束語
美國已基本形成了一套自上而下、兼顧各級政府和私營部門的關鍵基礎設施管理體系,并將關鍵基礎設施的安全保護工作作為國家安全保護的重要領域之一,同國家戰備、應急響應等戰略高度結合。在關鍵基礎設施識別認定和風險管理、公私合作機制、信息的共享和分析處理、態勢感知等方面都積累了大量的經驗,其中一些成功的做法可以為我國所借鑒。我國首部網絡安全方面綜合立法 《中華人民共和國網絡安全法》的施行和《關鍵信息基礎設施安全保護條例》的發布意義重大,展現了國家對該項工作的重視,也為進一步開展關鍵信息基礎設施保護工作指明了方向,我們建議加強對各網絡強國基礎設施保護工作的研究分析,建立并完善我國關鍵信息基礎設施識別認定標準和流程,分行業制定適用于該行業的標準規范,制定相關機制以增強跨行業、跨部門、跨地區的溝通協調,建立部門間、政企間網絡安全相關信息共享機制,構建全天候的態勢感知體系,完善關鍵信息基礎設施相關應急體系并加強網絡安全人才培養,提升我國關鍵信息基礎設施的安全防護水平,為網絡強國戰略保駕護航。
