美國如何保護關(guān)鍵信息基礎(chǔ)設(shè)施

美國作為網(wǎng)絡(luò)技術(shù)的發(fā)起國和強大網(wǎng)絡(luò)空間勢力的擁有國，也是關(guān)鍵基礎(chǔ)設(shè)施保護起步最早的國家。美國國土安全部作為關(guān)鍵基礎(chǔ)設(shè)施的主管部門，也肩負(fù)著保障國家安全的重要職責(zé)，基于此，美國關(guān)鍵基礎(chǔ)設(shè)施安全保障的戰(zhàn)略思路和法律政策，從一開始就與國家安全掛鉤，相比其他國家，站得更高，布局更加寬廣。

美國關(guān)鍵信息基礎(chǔ)設(shè)施的涵義范圍

迄今為止，美國的法律文件和行政令中還沒有“關(guān)鍵信息基礎(chǔ)設(shè)施”（CII，Critical Information Infrastructure）的定義。但從國土安全部對關(guān)鍵基礎(chǔ)設(shè)施（CI，Critical Infrastructure）所劃定的16個部門（Sector）來看，其中的通信部門和CI部門合在一起，基本相當(dāng)于國際上通稱的CII。

關(guān)鍵基礎(chǔ)設(shè)施通信部門（以下稱“通信CI”），主要包括有線基礎(chǔ)設(shè)施、無線基礎(chǔ)設(shè)施、衛(wèi)星基礎(chǔ)設(shè)施、電纜基礎(chǔ)設(shè)施和廣播基礎(chǔ)設(shè)施等共計五大類物理層面資產(chǎn)，以及為關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運行提供各類服務(wù)的邏輯層面資產(chǎn)。

關(guān)鍵基礎(chǔ)設(shè)施IT部門（以下稱“IT CI”），主要是按照功能提供進行劃定，具體包括六大類，分別是，提供IT產(chǎn)品和服務(wù)；提供事故管理能力；提供域名解決方案；提供身份驗證管理和其他信用支持相關(guān)服務(wù)；提供基于互聯(lián)網(wǎng)的內(nèi)容、信息通信服務(wù)；提供互聯(lián)網(wǎng)路由、接入和連接服務(wù)。

等級劃定、清單確認(rèn)以及優(yōu)先保護

以通信CI為例。國土安全部將所有通信CI按照重要程度，分為三等級五大類。

第一等級為全國性通信CI，即，這類通信CI會對國土安全和國家經(jīng)濟安全產(chǎn)生至關(guān)重要的影響。第二等級為全國性或地區(qū)性的通信CI，即會對國土安全或者部分地區(qū)安全產(chǎn)生重要影響。第一等級和第二等級的具體認(rèn)定工作，都是由通信CI全國協(xié)調(diào)委員會來進行的，名錄確定之后，上報至國土安全部。第三等級由三個組成部分構(gòu)成，分別是，通信CI內(nèi)部、州級（地區(qū)級）和國外通信CI。其中，前兩者都由各州政府自行確認(rèn)，國外CI清單則由美國情報部門聯(lián)合美國海外“合作伙伴”初步擬定，報國土安全部確認(rèn)。

在清單名錄制定出來后，即根據(jù)國土安全部《國家關(guān)鍵基礎(chǔ)設(shè)施優(yōu)先保護計劃》之規(guī)定，對于一部分CI實施特殊保護。以通信CI為例，范圍包括通信資產(chǎn)、通信系統(tǒng)和通信網(wǎng)絡(luò)三大類，具體的劃定有以下四種途徑。

其一，通過國家關(guān)鍵基礎(chǔ)設(shè)施協(xié)調(diào)中心（NCC）或者國家通信系統(tǒng)保護中心（NCS）直接指定。其二，對跨部門通信功能的依賴程度進行分析，挑選出依賴性最強的，國土安全部直接確定。其三，與應(yīng)急有關(guān)的通信系統(tǒng)由行業(yè)主管部門直接提名。比如，F(xiàn)CC每年提名的國家應(yīng)急警報系統(tǒng)，以及公共安全應(yīng)答點系統(tǒng)。其四，具有較高資產(chǎn)價值的通信設(shè)施和樓宇。如，全國范圍的通信交換中心、海底電纜陸地站點，以及承載了某一地區(qū)范圍或者國家范圍核心電信業(yè)務(wù)的電信大樓，由NCC確定。

部門安全評估和交叉評估

在CI各類保障制度中，安全評估具有特殊重要的作用，不僅是劃分關(guān)鍵信息基礎(chǔ)設(shè)施保障次序的客觀前提，也是采取下一步具體措施的重要參考依據(jù)。

國土安全部對通信CI和IT CI進行安全評估的基本思路是全災(zāi)害因素評估（All-hazards Elements），也就是說，將各方面的安全威脅因素統(tǒng)統(tǒng)考慮在內(nèi)，比如，主觀和客觀因素、人為和非人為因素、已有的和正在浮現(xiàn)的因素、可控和不可控因素、自然和非自然因素等。具體評估種類包括通信CI和IT CI的單獨評估，以及通信CI和IT CI之間跨部門的交叉評估。

第一，通信CI的評估范圍包括物理、網(wǎng)絡(luò)和人員三大類。一是物理威脅，主要包括自然災(zāi)害威脅和事件威脅兩大類。前者，如特大颶風(fēng)、大地震、超級太陽風(fēng)暴等；后者，如恐怖襲擊、電磁干擾、損毀海底通信電纜等。二是網(wǎng)絡(luò)威脅，主要包括惡意行動和非惡意的客觀情勢所帶來的安全威脅。前者，如對通信CI進行非正常狀態(tài)下的惡意系統(tǒng)變更，或者對未使用頻段進行占有和破壞；后者，如頻段資源枯竭等。三是人類活動威脅，主要是指人類對于CI的機密性、完整性、可適用性所產(chǎn)生的影響，比如，供應(yīng)鏈采購過程中的安全威脅等。

第二，IT CI的評估范圍包括人類惡意威脅、人類非惡意威脅，以及自然災(zāi)害威脅三大類。人類惡意威脅的評估著重于主觀動向、攻擊能力、人員身份，以及既往攻擊行為的特征；人類非惡意威脅的評估要點在于偶發(fā)原因、工作環(huán)境，以及引發(fā)事故的人員的內(nèi)在特征，比如技術(shù)水平、情緒等方面；自然災(zāi)害威脅，評估要點和威脅等級由專門機構(gòu)來提供，比如國家海洋和氣象管理部門、應(yīng)急部門、災(zāi)害控制部門等。

第三，通信CI和IT CI跨部門安全評估。通信CI和IT CI作為16個CI部門中最核心的部門，雙雙帶有“生命線”性質(zhì)，國土安全部規(guī)定必須進行跨部門風(fēng)險評估。具體方式是建立全國性評估模型，以2014年美國通信CI和IT CI的模型為例，橫軸為“跨部門安全風(fēng)險影響程度”，分為“低、低-中、中、中-高、高”五個等級，縱軸為多功能重疊的安全評估情景，比如產(chǎn)品和服務(wù)、網(wǎng)絡(luò)接入、DNS、身份管理、網(wǎng)絡(luò)內(nèi)容、事故管理等選項，針對每個選項的安全等級在細(xì)分的單元格中進行勾選，得出每一細(xì)項的評估結(jié)論。

美國關(guān)鍵信息基礎(chǔ)設(shè)施保護的未來走向

結(jié)合2015年年底美國《網(wǎng)絡(luò)安全法案》、2016年白宮《網(wǎng)絡(luò)安全國家行動計劃》，以及國土安全部近幾年發(fā)布的政策，美國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護主要有以下走向。

第一，關(guān)鍵基礎(chǔ)設(shè)施安全的戰(zhàn)略地位全面與國家安全掛鉤。近幾年，安全威脅呈現(xiàn)出線上線下聯(lián)動的態(tài)勢，加之主管部門——國土安全部所肩負(fù)的保障國家安全的職責(zé)，CI的戰(zhàn)略地位不斷抬升之勢，甚至與戰(zhàn)爭、網(wǎng)絡(luò)軍控相聯(lián)系，美國學(xué)者甚至提出應(yīng)當(dāng)仿照《南極條約》所規(guī)定的“南極洲僅用于和平之目的，不應(yīng)該成為國際武力威脅和紛爭的場所和對象”，關(guān)鍵基礎(chǔ)設(shè)施也應(yīng)當(dāng)豁免于戰(zhàn)爭威脅和武力攻擊。

第二，將不斷完善通信CI和IT CI的“全災(zāi)害因素”評估制度。除了傳統(tǒng)意義上的網(wǎng)絡(luò)安全威脅因素之外，國土安全部提出下一步要將一些兼具長期性和戰(zhàn)略性的威脅因素考慮在內(nèi)，比如，恐怖主義襲擊、氣候變化、自然災(zāi)害、大規(guī)模流行病等。此外，跨領(lǐng)域交叉評估的范圍將逐步擴大，比如，通信CI和金融CI的交叉評估。

第三，對新興安全威脅與傳統(tǒng)安全威脅同時考慮。國土安全部提出，一方面，需要警惕新技術(shù)、新業(yè)務(wù)給CI帶來的新的安全威脅，比如物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能等。另一方面，不能忽視關(guān)鍵信息基礎(chǔ)設(shè)施自身的安全問題，比如設(shè)施老化問題所帶來的安全威脅，以及關(guān)鍵基礎(chǔ)設(shè)施之間相互依賴所帶來的安全威脅等。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。