美国关键基础设施风险管理新方法：国家关键功能集探究

文│中国网络安全审查技术与认证中心 王凤娇 魏军

2019年4月30日，美国国土安全部下属的国家网络安全和基础设施安全局（CISA）国家风险管理中心发布了《国家关键功能集》。国家关键功能的提出为关键信息基础设施安全提供了一种新的风险管理方法，其重点是了解影响国家安全、公共卫生安全和经济安全的关键基础设施之间的相互依赖关系和系统性风险，识别并优先考虑当前国家风险管理工作中的差距，而不再侧重于从静态的、特定行业或资产的角度管理风险。

本文在对2019年美国CISA发布的《国家关键功能集》的提出背景、定义和构成、效用及后续应用梳理分析的基础上，结合当前我国关键信息基础设施保护工作现状，探讨“国家关键功能集”对我国关键信息基础设施安全和恢复能力建设的启示和借鉴意义。

一、国家关键功能集的提出背景

在不断发展演变的网络安全挑战之下，美国对关键信息基础设施安全保障的重视程度不断提高，通过战略、立法等形式强化关键基础设施保护在国家网络安全保障中的核心地位，并制定实施了一系列的计划、标准等措施手段予以落实，形成了较为完善的保护体系。然而，近年来全球网络空间安全形势愈加严峻，网络安全问题越来越复杂，针对关键信息基础设施的恶意网络攻击频发，对关键信息基础设施进行大规模的网络袭击和网络犯罪已成为一种新的常态。在这样的形势下，美国愈发重视、不断推进关键基础设施网络安全风险管理和恢复能力工作。

2018年5月，美国国土安全部发布的《网络安全战略》将“通过加强政府网络和关键基础设施的安全性和韧度，提高国家网络安全风险管理水平”作为核心目标，提出要“了解影响国家安全、公共卫生安全和经济安全的关键基础设施之间的相互依赖关系和系统性风险，识别并优先考虑当前国家网络安全风险管理工作中的差距。”，提出了问题、明确了采用国家关键功能风险管理方法的研究方向。2018年7月，美国国土安全部在其主办的国家网络安全峰会上首次提出，“应将网络安全风险视为系统性安全风险，单靠一个行业、一个部门的力量无法应对当今的网络安全攻击”，呼吁加强公私合作、加强信息和威胁情报的共享，形成集体防御力量。2018年9月，白宫发布了新版《国家网络战略》明确采用国家关键功能风险管理方法，提出“政府将通过识别国家关键功能，全面了解国家风险，并将进一步完善网络安全产品、服务、支持等方面的供应，与私营部门合作以更好地管理这些国家级的风险。”

作为落实该战略的行动，2018年11月，美国国会签署了《网络安全和基础设施安全局法案》，将国土安全部属下的国家保护与计划局重组为网络安全与基础设施安全局（简称CISA），在美国政府内部承担着独特而关键的使命，即保护国家的关键基础设施免受物理和网络威胁。CISA下设两个主要中心，其中国家风险管理中心是一个规划、分析和协作中心，主要职责是识别和解决国家关键基础设施面临的最重大安全风险。

因此，作为这个酝酿过程（见图1）的一个重要成果，CISA牵头，历经6个多月，通过与各行业的协调委员会、SLTT（州、地方、部落和地区）政府协调委员会、各相关部门特定机构以及其他合作伙伴的密切合作，识别和验证了一套国家关键功能。这个识别和验证过程充分利用了各行业提供的专业知识来加深对如何管理国家关键功能风险的理解，是一项意义深远的工作。

二、国家关键功能集

1.国家关键功能的定义

国家关键功能是指对美国至关重要的政府和私营部门的功能，其中断、破坏或功能丧失将对安全、国家经济安全、国家公共卫生或安全或其任何组合产生毁灭性影响。

国家关键功能的提出提供了一种新的风险管理方法，标志着从保护特定关键基础设施部门/行业，向保护对国家至关重要的特定功能和活动的转变。其重点是便于更好地理解一个实体能够做出贡献或为之做出贡献的功能，而不是侧重于静态的、特定行业或资产的角度。这种综合、全面的方法更善于捕捉到跨部门的风险和相关的依赖性，这些风险和依赖性可能在部门内部和部门之间产生连锁影响。它还允许以一种新的方式来审视与实体中对关键功能有贡献的特定部分的关键性。通过从功能角度审视风险，最终可以以更具针对性、优先性和战略性的方式，在关键基础设施生态系统中增加韧度和更强化的系统。需要说明的是，国家关键功能并不直接确定国家优先事项，它们以一种更具战略性的方式支持国家优先事项的确定。

2.国家关键功能集

国家关键功能能够通过跨部门/行业的方式组织类似的关键基础设施的运营，为了便于沟通，这些国家关键功能被划分为供应、分配、管理和连接四个领域：

1) 供应，重点是向公众提供资源。材料、商品和服务的供应；

2) 分配，主要关注货物和人员的流动。货物、人员和公用事业通过分配功能进出并在全国范围内流动；

3) 管理，这是国家关键功能集中具有多种功能的最大子集。有效、安全、高效、合法和快速响应的管理推动着生活方式、经济和社会凝聚力的改变和提高；

4) 连接，专注于电信和互联网服务。在日常和面对危机时，技术平台和它们确保的相互连接。

按此分类方式，美国识别了55个对整个国家来说至关重要的功能，见表1：

以联邦政府IT保障为例，其特别感兴趣的功能包括：

·提供信息技术产品和服务；

·举行选举；

·执行网络事件管理能力；

·保护敏感信息；

·提供身份管理和相关的信任支持服务；

·运营核心网络；

·提供定位、导航和定时服务；以及

·提供基于互联网的内容、信息和通信服务。

3.国家关键功能的作用和后续应用

CISA的战略风险管理过程包括识别、分析、确定优先级和管理四个过程，如图2。

可以看到，国家关键功能是CISA一系列风险管理活动的起点，包括：

1) 支持确定基础设施和计划的优先级；

2) 进行详细的操作和风险分析；

3) 通知情报收集要求；

4) 支持确定事件管理优先级；

5) 确定基础设施安全和恢复力投资的优先事项；

6) 支持国家安全决策；

7) 提高连续性工作的效率。

CISA战略的一个关键组成部分就是利用国家关键功能开展上述所列活动，并将通过持续的理论和政策演进，以及跨机构和关键基础设施社区的密切协调支持不断对其进行优化。这套国家关键功能被CISA誉为 “是执行更先进的网络安全和关键基础设施安全和恢复方法的发射台”，为不同部门/行业提供一种新的、统一的“语言”，用国家关键功能方法来讨论关键基础设施风险管理。通过执行风险和依赖性分析并对结果建模，CISA识别确定可能导致国家级关键功能丧失的场景，并进一步形成一个分级的风险登记表——将国家风险领域优先安排到需要缓解和集体行动的关键基础设施。

因此，以国家关键功能集为基础，CISA正在牵头制定国家风险登记表。风险登记表的编制过程将包括来自政府和行业的代表，将分析、政策判断和运营洞察力结合起来。在整个开发过程中，CISA将努力寻找信息来解决那些棘手的风险管理问题，包括：

1) 场景：识别可能导致国家级国家关键功能丧失的场景。

2) 风险属性：在可能的情况下，利用现有资源识别与每个场景相关的可能性以及造成后果的相关信息，如部门风险评估。

3) 依赖关系：找出一个国家关键功能的中断可能级联和影响的其它国家关键功能。

4) 准备程度：衡量现有的风险管理工作以及利益相关者愿意进一步参与全社区减轻风险相关工作的程度。

在形成风险登记表后，CISA将会在关键基础设施社区（包括政府和部门协调委员会）内酌情共享，部分风险登记表可能具有更高的分类级别。CISA的目的是确保关键基础设施社区中的适当人员获得可操作的信息，以便进行明智的风险管理决定。

国家关键功能集和正在开发的风险登记表都将实施动态管理，CISA将与关键基础设施社区的领导者合作以最大化利用国家关键功能在风险管理中的作用，对国家关键功能的政策、理论和流程进行持续完善更新。同时，进一步的分析将有助于确定优先事项和启动结构化的风险管理举措，如CISA正在进行的选举安全举措。

2019年6月，美国国土安全部（DHS）公布了《2020至2024财年战略计划》，这项战略计划与DHS目前的主要努力没有太大的偏离，仍将保卫联邦网络、支持关键基础设施的网络防御以及打击网络犯罪作为核心目标。但该战略计划指出，在关键基础设施保护方面将采用新的国家关键功能风险管理方法。国土安全部将与机构间合作伙伴合作，建立对战略性网络威胁的共识，使私营部门网络捍卫者、关键基础设施所有者和运营者以及政府合作伙伴能够增强国家关键功能的恢复力和完整性。

三、对我国关键信息基础设施安全风险管理的启示

随着全球网络空间安全形势的日益严峻和风险的持续走高，关键信息基础设施已经成为网络攻击的首要目标，且“牵一发而动全身”之势越发突显，传统的以行业/部门和资产为主的安全防护思路已经不能有效地应对当下的挑战，需要不断提高对风险的认识和应对能力。“我们不可能阻挡所有的攻击，更多的是要做好风险控制，把损失降到最小”成为安全防护重点最朴实的表达。因此，风险管理作为贯穿关键信息基础设施安全保护的主线，其理论、政策、方法的与时俱进、演进更新对完善关键信息基础设施安全保护体系、增强恢复能力具有重要而深远的意义。

美国以国家关键功能为基础的风险管理方法为新形势下各国关键信息基础设施安全风险管理乃至国家风险管理提供了重要的参考，几个方面值得我们思考借鉴：

一是要始终站在总体国家安全观的高度认识和管理网络安全风险，重视跨部门、跨行业的依赖关系和风险级联影响。习近平总书记在十九大报告中强调总体国家安全观是统筹的，是在“网络空间是第五疆域”的理论上的更高站位。网络安全牵一发而动全身，单一领域的安全不能保障整体安全，需要统筹设计，确保总体安全。因此，借鉴美国的经验和做法，我国需要提高对网络安全风险系统性本质的认识，在以行业/领域保护为主的基础上，重点了解影响国家安全、公共卫生安全和经济安全的关键基础设施之间的相互依赖关系和系统性风险，识别并优先考虑当前国家网络安全风险管理工作中的差距。

二是持续优化更新关键信息基础设施安全风险管理方法，以更具针对性、优先性、战略性的方式识别对国家整体安全来说真正重要的功能。2019年1月21日，习近平总书记在省部级主要领导干部坚持底线思维着力防范化解重大风险专题研讨班开班式上发表重要讲话强调，“要强化风险意识，常观大势、常思大局，科学预见形势发展走势和隐藏其中的风险挑战，做到未雨绸缪。要提高风险化解能力，透过复杂现象把握本质，抓住要害、找准原因、果断决策，善于引导群众、组织群众，善于整合各方力量、科学排兵布阵，有效予以处理。”，这既是对国家风险管理工作思路的顶层、科学、系统的论述，也是应对新形势下风险挑战的新要求。在关键信息基础设施安全风险管理中如何更好地落实这一要求，风险管理方法是基础。美国以国家关键功能集为基础的风险管理方法值得我们学习借鉴。通过国家关键功能的识别，为不同部门/行业、实体提供统一的讨论关键信息基础设施风险管理的“语言”，识别分析可能导致这些国家关键功能丧失的场景、风险属性、依赖关系及相应的应对准备程度，将国家保障力量优先安排到需要缓解和集体行动的关键功能上，将分析转化为具体的行动。

三是以“统一战线”方式保障关键信息基础设施安全。在应对新形势下关键信息基础设施安全风险、提高恢复能力的道路上，风险管理方法是基础和出发点，加强统筹规划、统一指导和支持，通过制定有效的机制和措施，促进各行业各领域和社会力量的协作、信息共享是必经之路，最终目的是推动达成保障关键基础设施安全的共同愿望和行动计划，确保政策要求得到有效的落实，促进各行业关键基础设施网络安全韧度的提高，形成监测、应对网络安全风险的“统一战线”。

（本文刊登于《中国信息安全》杂志2020年第4期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。