美國(guó)如何保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施

美國(guó)作為網(wǎng)絡(luò)技術(shù)的發(fā)起國(guó)和強(qiáng)大網(wǎng)絡(luò)空間勢(shì)力的擁有國(guó)，也是關(guān)鍵基礎(chǔ)設(shè)施保護(hù)起步最早的國(guó)家。美國(guó)國(guó)土安全部作為關(guān)鍵基礎(chǔ)設(shè)施的主管部門(mén)，也肩負(fù)著保障國(guó)家安全的重要職責(zé)，基于此，美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全保障的戰(zhàn)略思路和法律政策，從一開(kāi)始就與國(guó)家安全掛鉤，相比其他國(guó)家，站得更高，布局更加寬廣。

美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的涵義范圍

迄今為止，美國(guó)的法律文件和行政令中還沒(méi)有“關(guān)鍵信息基礎(chǔ)設(shè)施”（CII，Critical Information Infrastructure）的定義。但從國(guó)土安全部對(duì)關(guān)鍵基礎(chǔ)設(shè)施（CI，Critical Infrastructure）所劃定的16個(gè)部門(mén)（Sector）來(lái)看，其中的通信部門(mén)和CI部門(mén)合在一起，基本相當(dāng)于國(guó)際上通稱的CII。

關(guān)鍵基礎(chǔ)設(shè)施通信部門(mén)（以下稱“通信CI”），主要包括有線基礎(chǔ)設(shè)施、無(wú)線基礎(chǔ)設(shè)施、衛(wèi)星基礎(chǔ)設(shè)施、電纜基礎(chǔ)設(shè)施和廣播基礎(chǔ)設(shè)施等共計(jì)五大類物理層面資產(chǎn)，以及為關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行提供各類服務(wù)的邏輯層面資產(chǎn)。

關(guān)鍵基礎(chǔ)設(shè)施IT部門(mén)（以下稱“IT CI”），主要是按照功能提供進(jìn)行劃定，具體包括六大類，分別是，提供IT產(chǎn)品和服務(wù)；提供事故管理能力；提供域名解決方案；提供身份驗(yàn)證管理和其他信用支持相關(guān)服務(wù)；提供基于互聯(lián)網(wǎng)的內(nèi)容、信息通信服務(wù)；提供互聯(lián)網(wǎng)路由、接入和連接服務(wù)。

等級(jí)劃定、清單確認(rèn)以及優(yōu)先保護(hù)

以通信CI為例。國(guó)土安全部將所有通信CI按照重要程度，分為三等級(jí)五大類。

第一等級(jí)為全國(guó)性通信CI，即，這類通信CI會(huì)對(duì)國(guó)土安全和國(guó)家經(jīng)濟(jì)安全產(chǎn)生至關(guān)重要的影響。第二等級(jí)為全國(guó)性或地區(qū)性的通信CI，即會(huì)對(duì)國(guó)土安全或者部分地區(qū)安全產(chǎn)生重要影響。第一等級(jí)和第二等級(jí)的具體認(rèn)定工作，都是由通信CI全國(guó)協(xié)調(diào)委員會(huì)來(lái)進(jìn)行的，名錄確定之后，上報(bào)至國(guó)土安全部。第三等級(jí)由三個(gè)組成部分構(gòu)成，分別是，通信CI內(nèi)部、州級(jí)（地區(qū)級(jí)）和國(guó)外通信CI。其中，前兩者都由各州政府自行確認(rèn)，國(guó)外CI清單則由美國(guó)情報(bào)部門(mén)聯(lián)合美國(guó)海外“合作伙伴”初步擬定，報(bào)國(guó)土安全部確認(rèn)。

在清單名錄制定出來(lái)后，即根據(jù)國(guó)土安全部《國(guó)家關(guān)鍵基礎(chǔ)設(shè)施優(yōu)先保護(hù)計(jì)劃》之規(guī)定，對(duì)于一部分CI實(shí)施特殊保護(hù)。以通信CI為例，范圍包括通信資產(chǎn)、通信系統(tǒng)和通信網(wǎng)絡(luò)三大類，具體的劃定有以下四種途徑。

其一，通過(guò)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施協(xié)調(diào)中心（NCC）或者國(guó)家通信系統(tǒng)保護(hù)中心（NCS）直接指定。其二，對(duì)跨部門(mén)通信功能的依賴程度進(jìn)行分析，挑選出依賴性最強(qiáng)的，國(guó)土安全部直接確定。其三，與應(yīng)急有關(guān)的通信系統(tǒng)由行業(yè)主管部門(mén)直接提名。比如，F(xiàn)CC每年提名的國(guó)家應(yīng)急警報(bào)系統(tǒng)，以及公共安全應(yīng)答點(diǎn)系統(tǒng)。其四，具有較高資產(chǎn)價(jià)值的通信設(shè)施和樓宇。如，全國(guó)范圍的通信交換中心、海底電纜陸地站點(diǎn)，以及承載了某一地區(qū)范圍或者國(guó)家范圍核心電信業(yè)務(wù)的電信大樓，由NCC確定。

部門(mén)安全評(píng)估和交叉評(píng)估

在CI各類保障制度中，安全評(píng)估具有特殊重要的作用，不僅是劃分關(guān)鍵信息基礎(chǔ)設(shè)施保障次序的客觀前提，也是采取下一步具體措施的重要參考依據(jù)。

國(guó)土安全部對(duì)通信CI和IT CI進(jìn)行安全評(píng)估的基本思路是全災(zāi)害因素評(píng)估（All-hazards Elements），也就是說(shuō)，將各方面的安全威脅因素統(tǒng)統(tǒng)考慮在內(nèi)，比如，主觀和客觀因素、人為和非人為因素、已有的和正在浮現(xiàn)的因素、可控和不可控因素、自然和非自然因素等。具體評(píng)估種類包括通信CI和IT CI的單獨(dú)評(píng)估，以及通信CI和IT CI之間跨部門(mén)的交叉評(píng)估。

第一，通信CI的評(píng)估范圍包括物理、網(wǎng)絡(luò)和人員三大類。一是物理威脅，主要包括自然災(zāi)害威脅和事件威脅兩大類。前者，如特大颶風(fēng)、大地震、超級(jí)太陽(yáng)風(fēng)暴等；后者，如恐怖襲擊、電磁干擾、損毀海底通信電纜等。二是網(wǎng)絡(luò)威脅，主要包括惡意行動(dòng)和非惡意的客觀情勢(shì)所帶來(lái)的安全威脅。前者，如對(duì)通信CI進(jìn)行非正常狀態(tài)下的惡意系統(tǒng)變更，或者對(duì)未使用頻段進(jìn)行占有和破壞；后者，如頻段資源枯竭等。三是人類活動(dòng)威脅，主要是指人類對(duì)于CI的機(jī)密性、完整性、可適用性所產(chǎn)生的影響，比如，供應(yīng)鏈采購(gòu)過(guò)程中的安全威脅等。

第二，IT CI的評(píng)估范圍包括人類惡意威脅、人類非惡意威脅，以及自然災(zāi)害威脅三大類。人類惡意威脅的評(píng)估著重于主觀動(dòng)向、攻擊能力、人員身份，以及既往攻擊行為的特征；人類非惡意威脅的評(píng)估要點(diǎn)在于偶發(fā)原因、工作環(huán)境，以及引發(fā)事故的人員的內(nèi)在特征，比如技術(shù)水平、情緒等方面；自然災(zāi)害威脅，評(píng)估要點(diǎn)和威脅等級(jí)由專門(mén)機(jī)構(gòu)來(lái)提供，比如國(guó)家海洋和氣象管理部門(mén)、應(yīng)急部門(mén)、災(zāi)害控制部門(mén)等。

第三，通信CI和IT CI跨部門(mén)安全評(píng)估。通信CI和IT CI作為16個(gè)CI部門(mén)中最核心的部門(mén)，雙雙帶有“生命線”性質(zhì)，國(guó)土安全部規(guī)定必須進(jìn)行跨部門(mén)風(fēng)險(xiǎn)評(píng)估。具體方式是建立全國(guó)性評(píng)估模型，以2014年美國(guó)通信CI和IT CI的模型為例，橫軸為“跨部門(mén)安全風(fēng)險(xiǎn)影響程度”，分為“低、低-中、中、中-高、高”五個(gè)等級(jí)，縱軸為多功能重疊的安全評(píng)估情景，比如產(chǎn)品和服務(wù)、網(wǎng)絡(luò)接入、DNS、身份管理、網(wǎng)絡(luò)內(nèi)容、事故管理等選項(xiàng)，針對(duì)每個(gè)選項(xiàng)的安全等級(jí)在細(xì)分的單元格中進(jìn)行勾選，得出每一細(xì)項(xiàng)的評(píng)估結(jié)論。

美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的未來(lái)走向

結(jié)合2015年年底美國(guó)《網(wǎng)絡(luò)安全法案》、2016年白宮《網(wǎng)絡(luò)安全國(guó)家行動(dòng)計(jì)劃》，以及國(guó)土安全部近幾年發(fā)布的政策，美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)主要有以下走向。

第一，關(guān)鍵基礎(chǔ)設(shè)施安全的戰(zhàn)略地位全面與國(guó)家安全掛鉤。近幾年，安全威脅呈現(xiàn)出線上線下聯(lián)動(dòng)的態(tài)勢(shì)，加之主管部門(mén)——國(guó)土安全部所肩負(fù)的保障國(guó)家安全的職責(zé)，CI的戰(zhàn)略地位不斷抬升之勢(shì)，甚至與戰(zhàn)爭(zhēng)、網(wǎng)絡(luò)軍控相聯(lián)系，美國(guó)學(xué)者甚至提出應(yīng)當(dāng)仿照《南極條約》所規(guī)定的“南極洲僅用于和平之目的，不應(yīng)該成為國(guó)際武力威脅和紛爭(zhēng)的場(chǎng)所和對(duì)象”，關(guān)鍵基礎(chǔ)設(shè)施也應(yīng)當(dāng)豁免于戰(zhàn)爭(zhēng)威脅和武力攻擊。

第二，將不斷完善通信CI和IT CI的“全災(zāi)害因素”評(píng)估制度。除了傳統(tǒng)意義上的網(wǎng)絡(luò)安全威脅因素之外，國(guó)土安全部提出下一步要將一些兼具長(zhǎng)期性和戰(zhàn)略性的威脅因素考慮在內(nèi)，比如，恐怖主義襲擊、氣候變化、自然災(zāi)害、大規(guī)模流行病等。此外，跨領(lǐng)域交叉評(píng)估的范圍將逐步擴(kuò)大，比如，通信CI和金融CI的交叉評(píng)估。

第三，對(duì)新興安全威脅與傳統(tǒng)安全威脅同時(shí)考慮。國(guó)土安全部提出，一方面，需要警惕新技術(shù)、新業(yè)務(wù)給CI帶來(lái)的新的安全威脅，比如物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能等。另一方面，不能忽視關(guān)鍵信息基礎(chǔ)設(shè)施自身的安全問(wèn)題，比如設(shè)施老化問(wèn)題所帶來(lái)的安全威脅，以及關(guān)鍵基礎(chǔ)設(shè)施之間相互依賴所帶來(lái)的安全威脅等。