美国网络空间安全体系（3）：美国关键基础设施定义与安全防护发展

时间：2022-08-13 06:48:01 | 来源：网站运营

时间：2022-08-13 06:48:01 来源：网站运营

美国网络空间安全体系（3）：美国关键基础设施定义与安全防护发展

■ 踏实实验室（微信号：TS-SecLab）

随着网络和信息技术向关键基础设施的渗透，交通、金融、能源等关键基础设施高度信息化，一旦遭受攻击，不仅将造成其自身瘫痪，还将扰乱国家秩序，影响国家经济社会发展。

美国作为网络技术的发起国和强大网络空间势力的拥有国，也是关键基础设施保护起步最早的国家。美国国土安全部（DHS）作为关键基础设施的主管部门，也肩负着保障国家安全的重要职责，基于此，美国关键基础设施安全保障的战略思路和法律政策，从一开始就与国家安全挂钩，相比其他国家，站得更高，布局更加宽广。

一、美国关键基础设施的涵义与范围

1.1 美国关键基础设施（CI）定义与范围

美国国土安全部（DHS）对关键基础设施的定义是：关键基础设施是指那些对社会至关重要的系统和资产（无论是物理的还是虚拟的），一旦其能力丧失或遭到破坏，就会影响国家安全、经济安全、公共健康或安全、环境安全或者这些重要方面的任意组合。

在《总统政策指令-关键基础设施的安全性和弹性》中，重新确定了16类关键基础设施部门，关键信息基础设施部门及其负责的联邦政府机构信息如下（括号中是负责机构）：

1、化学（国土安全部）
2、商业设施（国土安全部）
3、通讯（国土安全部）
4、关键制造部门（国土安全部）
5、水库大坝（国土安全部）
6、国防工业基础部门（国防部）
7、紧急救援部门（国土安全部）
8、能源部门（能源部）
9、金融部门（财政部）
10、食品和农业部门（农业部、卫生和公共服务部）
11、政府设施（国土安全部、总务管理局）
12、医疗保健和公共健康部门（卫生和公共服务部）
13、信息技术部门（国土安全部）
14、核反应装置、材料和废弃物（国土安全部）
15、交通运输系统（国土安全部、交通运输部）
16、水供应和污水处理系统（国家环境保护局）

1.2 美国关键基础设施（CII）定义与范围

关键信息基础设施（CII）是一种计算机资源，一旦其能力丧失或遭到破坏，就会影响国家安全、经济安全、公共健康和安全。结合国土安全部对关键基础设施（CI）所划定的16个部门来看，关键信息基础设施（CII）可以分为关键基础设施通信部门（通信CI）和关键基础设施IT部门（IT CI），这两类包含的范围如下：

关键基础设施通信部门（通信CI），主要包括有线基础设施、无线基础设施、卫星基础设施、电缆基础设施和广播基础设施等共计五大类物理层面资产，以及为关键基础设施稳定运行提供各类服务的逻辑层面资产。
关键基础设施IT部门（IT CI），主要是按照功能提供进行划定，具体包括六大类，分别是提供IT产品和服务；提供事故管理能力；提供域名解决方案；提供身份验证管理和其他信用支持相关服务；提供基于互联网的内容、信息通信服务；提供互联网路由、接入和连接服务。

二、美国关键基础设施（CI）安全防护发展阶段

保护关键基础设施安全对现代社会的正常运转至关重要，早在克林顿政府时期，美国即意识到关键基础设施的重要性，围绕关键基础设施范围界定、机构设置、职能授权、政府与私营企业的合作、信息共享机制方面，逐步形成了相对完善和成熟的关键基础设施保护体系。

阶段一（克林顿政府时期）：确立了保护国家关键基础设施安全的机构管理，以及人才培养等方面的行动措施

1996年克林顿政府颁布了13010号总统令，初步规定了关键基础设施的范围，要求成立关键基础设施保护机构，负责研究关键基础设施安全的薄弱环节及威胁，为制定相关政策规划提出建议。

1998年5月，美国政府发布PDD-63总统令，把保护国家关键基础设施安全作为明确的国家目标，并确定了重要基础设施保护相关部门。

2000年1月，克林顿政府发布了美国首个关键基础设施保护的国家级计划-《保护信息系统国家计划》，详细规定了威胁评估、公私信息共享、应急响应、人才培养、隐私保护等方面的行动措施，强化了政府和私营部门共担网络安全责任的意识。

阶段二（小布什政府时期）：组件国土安全部（DHS），实施多项具体的技术研发计划和项目，开发信息系统保护关键基础设施

2001年10月小布什政府正式签署生效的《爱国者法案》中，美国重新界定了关键基础设施的范畴，并提出建设关键基础设施建模、仿真和分析系统。同期，小布什总统签发了13228号总统令和13231号总统令，就关键基础设施保护设立了总统网络空间安全顾问，组建了总统关键基础设施保护委员会。

2002年美国关键基础设施保护委员会实施了一项名为项目矩阵的新计划，旨在确定政府的关键性系统，并确定其面临的威胁和抵抗这些威胁的能力。美国DISA开发了“本土防卫系统”，并推出应急通信计划。

2002年9月，小布什政府公布了《保护网络安全国家战略》草案，成为全面指导美国国家信息战略规划的纲领性文件。

2002年11月生效的《国土安全法案》中，美国新组建国土安全部（DHS），对关键基础设施保护的组织机构、具体职能和目标任务等都做出了具体和详细的规定。

2003年2月，小布什政府配套出台《保护网络安全国家战略》和《关键基础设施和重要资产物理保护的国家战略》，前者确立了打击恐怖分子、罪犯或敌对国家发起的网络攻击的初步框架，后者提出了“重要资产”的概念，明确了政府和私营机构在关键基础设施保护方面的职责。

2003年12月，美国政府又颁布国家安全第7号总统令《关键基础设施标识、优先级和保护》（HSPD-7），为政府部门和相关机构确定了保护关键基础设施免受恐怖主义威胁的方向，明确了DHS及其他机构的任务和职责，修订了各部门在关键基础设施保护方面开展合作的内容。

2006年6月30日，DHS发布了《国家基础设施保护计划》，概述了国家基础设施保护工作的任务和职责、风险评估策略、教育培训等，为各级政府机构和私营部门如何管理国家重要基础设施和关键资源提供了实施框架。

阶段三（奥巴马政府时期）：更加注重基础设施的“网络安全”

2008年，国家网络安全综合计划（CNCI）提出未来十年“对网络基础设施进行转换，使得关键国家利益受到保护免受灾难性损失，使得社会能够放心地应用新的科技发展成果”。

2009年2月，奥巴马政府启动了为期60天的网络空间安全状况评估，并于5月29日发布了《网络空间政策评估》报告，提出了关于信息和通信基础设施保护的建议。

2011年美国政府发布的《网络空间国际战略》和《网络空间行动战略》，也提出了确保美国和美军关键基础设施网络空间安全的任务。

2013年年初，奥巴马政府签署了E.O.13636总统令，提出了政府与私营企业开展史无前例的信息共享尝试，授权相关部门制定关键基础设施网络空间安全框架，要求DHS采取措施推进网络空间安全信息共享；PPD-21总统令明确了关键基础设施保护中政府的角色和职能，确立了政府部门之间及政府与关键基础设施所有者和运营者之间的信息共享和责任分担机制。

为满足日益重要的网络空间安全需求，2011年国土安全高级研究开发计划署HSARPA下成立了网络空间安全处（CSD），增强国家关键基础设施和网络的安全性和弹性，只能包括：1）促进安全技术进步以应对关键基础设施的漏洞；2）挖掘网络空间安全威胁的新的解决方案；3）实施可靠的技术以防御网络空间威胁。

CSD支持五个主要研究领域：1）可信网络空间基础设施（TCI），包括网络测度和攻击建模、过程控制系统安全、安全协议、网络空间基础设施与威胁（DECIDE）；2）网络空间系统的基础要素（FECS），包括网络空间经济激励、企业级安全测度和可用性、国土开发安全技术、超越未来的技术、动态目标防御、软件质量保障、定制的可信空间；3）网络空间安全域用户保护和教育，包括网络空间安全竞赛、网络空间安全鉴证、身份管理和数据隐私技术、内部威胁；4）支持网络空间安全的研究基础设施，包括实验研究测试床、研究数据库、软件保障市场；5）网络空间技术评估和产业化，包含网络空间安全评估、网络空间安全实验与试点、产业转化。

依据13636号总统令的明确要求，2014年2月12日美国NIST发布了提升关键基础设施网络空间安全技术框架（FICIC），FICIC文件包含三部分：框架介绍、框架架构和框架实施说明。其中，框架架构是文件的核心部分。FICIC的架构由三部分组成：框架核心、框架实施等级、框架轮廓。其中，框架核心依据保护关键基础设施所涉及的确定、保护、检测、响应与恢复等活动步骤，明确定义了各步骤所需技术的类别、子类别和参考资料。框架实施等级描述了机构实施网络空间安全风险管理的程度，并将实施的程度划分为部分实施、风险告知、可重复、自适应四个等级。框架轮廓则是将框架核心与机构的业务需求、风险承受能力和资源状况进行综合，以进行自我评估，并方便机构内部和机构之间的交流沟通。

如果觉得内容不错，欢迎关注公共号（微信号：WeYanXY）获得后续更新；如需阅读以前文章，请在公共号后台查看历史消息。