• 快捷搜索
  • 全站搜索

美国关键基础设施保护体系研究

2016-11-23 15:24:58作者:中国人民银行科技司 车珍编辑:金融咨询网
美国是最早意识到关键基础设施重要性的国家,拥有相对完整和体系化的关键基础设施保护策略,关键基础设施保护概念最早由克林顿总统执政期间提出。美国现已建立了相对完善的关键基础设施保护体系,集中力量对关键基础设施实施全方位保护。

随着网络技术的不断发展和应用普及,网络空间已成为传统的陆海空天领域之外的第五空间,是国家主权疆域的延伸,赛博空间(Cyberspace)的战略地位日趋重要。网络安全形势日益严峻,针对关键基础设施的网络攻击激增,金融、交通、能源等重点行业关键基础设施一旦被攻击,后果不堪设想。所以,各国政府日益重视“制网权”,努力增加对赛博空间的控制力和影响力,各主要国家纷纷成立了保护关键基础设施安全的相关机构。

  纵观全球,美国是最早意识到关键基础设施重要性的国家,拥有相对完整和体系化的关键基础设施保护策略。自克林顿政府至今,美国陆续出台了多部法律法规,界定关键基础设施,明确保护职责,强化相关措施和制度,不断完善关键基础设施保护体系框架。

美国关键基础设施保护体系的发展历程

  关键基础设施保护概念最早由克林顿总统执政期间提出。1996年7月,克林顿政府颁布第13010号行政令,初步划定关键基础设施的范围,决定成立关键基础设施保护机构,这成为美国建立关键基础设施保护体系框架的开端。之后,美国先后颁布第62号总统令(简称PDD一62)、第63号总统令(简称PDD一63)和《信息系统保护国家计划》,逐步明确了关键基础设施涉及的领域和范畴,如何识别关键基础设施,明确关键基础设施的重要性及其国家战略地位。

  2001年,布什总统先后签署《爱国者法案》《国土安全法》和多部行政令,提出了关键基础设施保护的基本政策,扩大了关键基础设施的范畴,成立关键基础设施保护领导机构,明确负有关键基础设施信息共享和分析职责的机构和组织。2002年至2009年,布什政府发布了《网络空间国家安全战略》、《关键基础设施和重要资产物理保护国家战略》、2003年国土安全第7号总统令、《国家基础设施保护计划》等多项保护文件,不断调整关键基础设施保护的范围,从克林顿政府的8类扩充到17类关键基础设施和资源,明确关键基础设施保护机构及职能。布什执政期间出台的关键基础设施保护文件迄今为止在美国最多。

  2013年2月,奥巴马政府发布《提高关键基础设施的网络安全的行政令》(第13636号行政令),强调保护关键基础设施的重要性,重申关键基础设施保护范畴定义,提出要建立政府与私营机构的信息共享机制,授权政府相关部门制定关键基础设施网络安全框架。同期,颁布2013年第21号总统令(简称PDD一21),强调关键基础设施的安全性和恢复力,阐明关键基础设施中联邦政府的角色和职能,确立信息共享和责任共担机制。2013年,更新发布了《国家基础设施保护计划》,在2009年版的基础上,拓展了保护计划的范围,阐明关键设施面临的风险和威胁。

  2014年2月,美国白宫发布了由国家标准技术研究所(NIST)起草的美国国家信息安全指导规范《提高美国关键基础设施网络安全的框架规范》。这是棱镜门事件后,美国政府首次出台的国家信息安全指导规范,也是奥巴马总统2013年签署第1 3636号行政命令《提高关键基础设施的网络安全》以来,落实行政命令的第一个基础性框架文件。美国关键基础设施网络安全保护体系框架基于全生命周期和流程化的框架方法,分为识别、保护、监测、响应和恢复五个层面。框架包括一系列应对网络风险的标准、方法和流程,提供在跨部门之间确立适用于关键基础设施的安全标准和行为准则。

  2014年12月,美国两院通过了《2014国家网络安全保护法案》,成立了国家网络安全和通信集成中心,对该中心的主要功能、组成方式、重点工作、运行原则等做出详细规定。

  2015年2月发布的《2015年美国国家安全战略报告》明确指出,美国政府要加强与关键基础设施所有者和运行者的紧密合作,并要提高金融、交通等重要领域关键基础设施的恢复能力。

美国关键基础设施保护体系的支撑机构

  早在2002年,布什政府设立了国土安全部(DHS),明确其承担保护国家关键基础设施安全职责。发展至今,美国国土安全部已建立了一套较为完善的关键基础设施保护体系的机构支撑。承担保护关键基础设施职能的主要有国家保护和计划司(National Protection And Programs Directorate,N PPD)、国家基础设施协调中心(National Infrastructure Coordinating Center,NICC)、美国网络应急响应中心(US—CERT)和信息分析与基础设施保护部(Information Analysis and Infrastructure Protection Directorate,IAIP)。

  NPPD负责保护美国国家物理和网络基础设施,下设关键基础设施保护办公室(Office of Infrastructure Protection,IP)、网络安全和通信办公室(Office of Cybersecurity and Communications,CS&C)、风险管理与分析办公室(Office of Risk Management and Analysis,RMA)和生物特征身份管理办公室(Office of Biometric identity Management,OBIM)。其中,IP负责协调各方力量来降低关键基础设施的风险;CS&S负责确保国家网络和通信基础设施的安全;RMA负责统领联邦政府突发事件管理;OBIM提供必要的生物识别技术支持。

  NICC是美国关键基础设施网络保护和协调中心,实时监控关键基础设施的风险度,7×24小时运转
  
  US—CERT是关键基础设施漏洞披露和信息共享的重要渠道,主要负责降低关键基础设施行业的风险。

  IAIP下设国家基础设施保护中心(National Infrastructure Protection Center,NIPC)负责收集关键基础设施威胁情报,以保护关键基础设施网络和系统避免遭受攻击。

  美国关键基础设施保护体系的支撑机构简化为下图所示。

图片2.jpg

美国关键基础设施保护体系对我国的启示

  综上,美国已建立了相对完善的关键基础设施保护体系,集中力量对关键基础设施实施全方位保护。虽然我国的关键基础设施保护相对起步较晚,但是随着我国网络安全和信息化建设进程的不断加快,尤其是中央网络安全和信息化领导小组成立后,国家关键基础设施保护体系领导和协调机制日益明晰。建议参考美国的关键基础设施保护体系,不断完善我国关键基础设施保护体系。

  第一,整合现有法律法规,研究制定关键基础设施保护的专门立法。立法要明确界定关键基础设施的保护范围,明确政府部门对国家关键基础设施的保护职责。在法律法规之下,结合我国国情,建立健全政策、规章、标准等制度保护体系,全方位、体系化地对关键基础设施保护体系做出指导并提出要求。

  第二,加强政府与企业的合作,建立有效的关键基础设施风险信息共享机制。参考美国的做法,不断强化政府、行业、机构、私营企业之间的合作和信息共享机制,整合多方资源,共同保护关键基础设施安全。

  第三,依托国家专业队伍力量,重点防范关键基础设施风险。国家专业队伍力量应具备对关键基础设施实时态势感知能力,提供关键基础设施状态并分析潜在的风险,在紧急情况下尽量减少受损的关键。

  第四,关键基础设施运行单位要提高自身防护水平,建立纵深防御体系,并重视关键基础设施的恢复能力。以优先恢复系统对外服务为宗旨,加强应急演练,不断更新应急预案,提高应急处置能力。这样,在关键基础设施受到威胁时,尽量将可能造成的不良影响降到最低。

(文章来源:《金融电子化》杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章