美国关键基础设施安全防护工作对我国的启示

文 | 中国信息通信研究院 王娟娟；北京邮电大学 高佳琪

近年来，美国关键基础设施遭受的网络威胁频繁发生且渐呈递增趋势。根据美国联邦调查局（FBI）《2022 年互联网犯罪报告》显示，2022 年，勒索软件团伙至少入侵了 860 个关键基础设施网络，与 2021 年（649 个）相比大幅增长。由于 FBI 的报告仅统计了向互联网犯罪投诉中心（IC3）报告的攻击，实际发生的攻击数量可能更高。该报告还显示，在美国 16 个关键基础设施行业中，至少有 14 个行业的实体在 2022 年遭受了勒索软件攻击。近期发生的网络安全事件反映了美国关键基础设施面临的重大网络威胁，以及这些威胁导致的破环性后果。例如，2022 年 3 月，美国卫星通信服务商 Viasat 遭受了一轮网络攻击，结果导致中东欧地区的服务出现了中断。5 月，美国知名农业机械生产商爱科（AGGO）宣布遭受勒索软件攻击，部分生产设施受到影响，导致拖拉机销售在美国最重要的种植季节陷入停滞。9 月，美国第二大非营利性医疗保健组织 CommonSpirit Health 正在遭遇安全“问题”，导致其被迫转移救护车路线，并关闭了全国医院的电子病例系统。10 月，黑客团伙 KillNet 声称对美国多个主要机场网站进行了大规模 DDoS 攻击，影响了机场的正常运行。

美国在关键基础设施安全防护的战略、法规和实践等方面进展居于世界前列，特别是拜登政府上台后采取的一系列举措，有效提升了关键基础设施的安全性和弹性。美国的多数政策文件强调保护“关键基础设施”，而我国则侧重于保护“关键信息基础设施”。然而，关键信息基础设施是关键基础设施的重要组成部分。随着国家关键基础设施普遍网络化和信息化，通过网络发起的攻击成为关键基础设施的最大威胁，各国对关键基础设施的保护逐渐聚焦于关键基础设施的网络安全上。尽管美国使用“关键基础设施”的概念，但其讨论均在网络安全的框架下进行，重点是保护关键基础设施免受网络威胁。因此，美国在关键基础设施保护方面的经验，对我国关键信息基础设施的保护提供了有益参考。

一、美国关键基础设施防护主要举措

当前，美国政府在关键基础设施安全防护方面进行了顶层统筹，并将其作为国家战略中的重要组成部分。在这一基础上，联邦政府部门制定了关键基础设施网络安全框架，并发布了实用的指南、手册等指导文件，旨在加强关键基础设施的安全性和弹性能力。

（一）高度重视并注重明确防护标准框架

一是从战略层面高度重视关键基础设施的安全防护。拜登政府上台后，连续发布了 14028 号行政令《改善国家网络安全》和国家安全备忘录《改善关键基础设施控制系统网络安全》，明确了在国家层面上关键基础设施安全防护的目标和重点方向。2022 年 9 月，美国国土安全部下辖的网络安全和基础设施安全局（CISA）发布了《2023 至 2025 年CISA 战略规划》，将保护关键基础设施保护作为其工作重点。2023 年 3 月，美国白宫发布新的《国家网络安全战略》，强调自愿方法虽然对关键基础设施网络安全产生了一定的改进，但缺乏强制性要求导致不一致和不充分的结果。该战略首次将关键基础设施防护定位为国家网络安全的第一大支柱，并要求制定支持国家安全和公共安全的网络安全要求、扩大社会合作、整合各种社会资源、更新安全事件响应计划和进程，以及发展现代化的安全防御能力。二是更新关键基础设施网络安全和弹性规划框架。2022 年 11 月，CISA 在 2021 年版的基础上发布了新版《基础设施弹性规划框架》（IRPF），为州、地区和企业提供指导，共同规划关键基础设施的安全性和弹性，以应对多种威胁和变化。2022 年 2 月，NIST 再次启动了《改善关键基础设施网络安全的框架》修订工作，并计划在 2024 年冬发布 2.0 版本。2023 年 1 月，NIST 发布了 2.0 版本的概念文件，详细阐述了即将升级的网络安全框架中的一些重要和潜在的调整，包括明确用途和适用性；为现有标准和资源提供关联与连接；更新和扩展的框架实施指南；强调网络安全治理的重要性；强调网络安全供应链风险管理的重要性；促进对网络安全度量和评估的理解。三是明确了关键基础设施的网络安全基线。2022 年 10 月，CISA 和 NIST 联合制定并发布了《跨部门网络安全绩效目标》，旨在为所有关键基础设施部门制定一致的、自愿的、最低基线的网络安全目标，帮助缺乏网络安全经验、资源或体系的组织快速确定和实施基本的网络安全实践。2023 年 3 月，CISA 根据多个部门的反馈，对跨部门网络安全绩效目标进行了更新。

（二）强化漏洞管理和事件响应能力水平

一是制定了关键基础设施网络安全漏洞和事件响应标准。2021 年 11 月，CISA 发布《联邦政府网络安全事件和漏洞响应手册》，为联邦民事行政部门提供了一套标准，用于识别、协调、补救、恢复和跟踪影响联邦文职行政部门（FCEB）系统、数据和网络的事件和漏洞。CISA 通过发布手册标准化了共享实践，整合人员和流程，从而推动联邦政府网络安全响应实践良性发展。2022 年 3 月，拜登签署通过了《2022 年关键基础设施网络事件报告法案》，进一步明确了网络安全事件报告和威胁信息共享的规则。同月，NSA 发布了《网络基础设施安全指南》，向信息系统运营者提供了网络基础设施保护、网络攻击应对的最新实践指南。二是改进网络安全漏洞和事件检测机制。2022 年 5 月，美国能源部、CISA、NSA 和 FBI 联合发布了针对工业控制系统（ICS）或者监控和数据采集（SCADA）高级持续性威胁（APT）的网络安全咨询（CSA），要求关键基础设施所属行业部门，尤其是能源部门，组织实施 CSA 提供的检测和缓解建议，以检测潜在的恶意 APT 活动。2022 年 10 月，CISA 发布了具有约束力的操作指令（BOD）23-01，以提高联邦网络上的资产的可见性和漏洞检测能力。三是通过勒索软件漏洞警告试点计划破解勒索风险难题。鉴于勒索软件攻击对各种规模的组织构成的持续威胁，2023年 3 月，CISA 宣布根据《2022 年关键基础设施网络事件报告法案》的授权，建立了勒索软件漏洞警告试点计划（RVWP），将就识别到的已知勒索软件攻击相关漏洞向关键基础设施实体发出警告。CISA 近期启动了 RVWP，并通知了 93 个运行 Microsoft Exchange Service 实例的组织关于勒索软件广泛利用的“ProxyNotShell”的漏洞。

（三）加快重点行业领域安全管理和指导

近年来，美国重点关注了 16 个关键基础设施行业领域，并陆续发布交通运输、化工、能源等行业的指导文件，以加强这些关键基础设施领域的网络安全防御能力。在交通运输领域，2022 年 7 月，美国运输安全管理局（TSA）修订并发布了关于石油和天然气输送管道的网络安全指令。2022 年 10 月，TSA 发布了《加强铁路网络安全》的指令，要求指定的客运和货运铁路运营商通过侧重于绩效的措施来增强网络安全弹性。2023 年 2 月，CISA 和美国陆军工程兵团、工程师研究与发展中心发布了共同开发的《海上运输系统弹性评估指南》（MTS 指南），供联邦机构、地方政府和行业决策者使用，通过进行弹性评估来管理风险并增强对关键基础设施系统和功能的弹性。在化工领域，2022 年 10 月，美国政府将 ICS 网络安全倡议扩展到化工行业，并启动了保护化工行业工控系统网络安全的《化学品行动计划》，要求化工行业在未来 100 天内评估其当前的网络安全实践。在医疗保健和公共卫生领域，2022 年 4 月，美国食品和药物管理局（FDA）发布了《医疗器械网络安全：质量体系考虑和上市前提交内容》的指南草案并公开征求意见。该指南草案旨在进一步强调确保医疗器械设备设计安全的重要性，并通过产品全生命周期的防护以更好地减轻新出现的网络安全风险。在能源和水坝领域，2022 年 3 月，CISA 和能源部发布了关于缓解针对不间断电源（UPS）设备的网络攻击的联合指南。2022 年 10 月，CISA 发布了水坝部门网络安全能力成熟度模型（C2M2）以及配套的实施指南，以帮助水坝部门组织进行自我评估，建立或改进网络安全计划。此外，美国审计署（GAO）在 2022 年发布了《关键基础设施保护：CISA 应评估通信部门支持行动的有效性》和《关键基础设施：更好地保护联网设备所需的行动》的报告，分别对通信部门、能源部门、医疗保健和公共卫生部门以及交通运输部门进行审查，分析相关文件，采访部门官员，并将对口机构的行动与联邦要求进行了比较。最后 GAO 向所审查部门的对口机构——CISA、能源部、卫生和公众服务部、国土安全部和交通部提出具体建议。

（四）持续深化公私协同联动和国际合作

一是加强同私营部门合作。私营部门拥有国家大部分的关键基础设施，因此，CISA 和部门风险管理机构（SRMA）必须与私营部门共同努力来保护这些资产和系统。2022 年 3 月，CISA 举办了第八次网络风暴演习（Cyber Storm VIII），其中包括来自 33 个联邦机构、9 个州、100 家私营公司和 16 个伙伴国家的 2000 余名参与者，这是目前最成功的网络风暴演习。活动结束后，CISA 与参与组织合作确定、分享和研究经验教训，以改进网络事件响应计划，信息共享和响应活动。2023 年 1 月，JCDC 宣布 2023 年规划议程，将政府和私营部门聚集在一起，制定和执行网络防御计划，以实现特定的风险降低目标并实现更有针对性的合作。二是强化国际同盟关系。美国政府还在寻求国际合作伙伴，并确保主要盟友的基础设施足够安全以应对任何潜在威胁，从而使美国在未来的网络空间格局中获得更大话语权。在印太地区，美国不断深化拓展合作伙伴关系。2022 年 9 月，美、日、印、澳四国外长在美国举行会晤，就加强印太地区国家网络能力达成一致，并发布了关于勒索软件的联合声明，以提高印太地区国家抵御勒索软件的能力。2023 年 2 月，美、日、印、澳四方高级网络小组在印度举行会议并发表联合声明，承诺为四国关键基础设施建立共同的网络安全要求。2023 年 2 月，美国 CISA、FBI、卫生与公众服务部（HHS）以及大韩民国国家情报局、国防安全局、国家安全局联合发布了一份关于朝鲜恶意勒索软件威胁的《联合网络安全公告》。在欧洲地区，美国持续加强与欧盟传统盟友的合作。2022 年 12 月，美国召集了捷克、德国、立陶宛、荷兰、斯洛伐克和波兰的政府和能源行业官员，在华沙会晤并参加培训，以协助各国加强网络防御。2023 年 1 月，美国国土安全部（DHS）公布的一份联合声明文件显示，美国与欧盟拟在欧美网络对话的框架下深化网络安全治理合作，由美国牵头组建专门工作机制，面向信息共享、态势感知与网络危机响应以及关键基础设施网络安全与事件报告要求等领域，并邀请美欧政府机构参与相关工作和项目。在东南亚地区，美国将其与东盟的关系升级为全面战略伙伴关系。2022 年 5 月，美国总统拜登在美国—东盟特别峰会上宣布将双方关系提升为“全面战略伙伴关系”，并在联合愿景声明中承诺支持发展东盟数字基础设施，促进开发和平、安全、开放、有互操作性、可靠、共融和有复原力的信息通讯技术生态系统和 5G 网络。

（五）加快推进联邦网络防御能力现代化

一是运用新技术。2021 年 10 月，CISA 和 NSA 共同发布了《5G 云基础设施安全指南》，旨在针对云基础设施的信息渗透或拒绝访问等攻击。2022 年 4 月，CISA 宣布扩大联合网络防御协作组织（JCDC），将 GE、霍尼韦尔等互联网服务提供商、网络安全供应商、云供应商、工业控制系统集成商等纳入该组织，联合设计安全原则和策略，共同应对新兴的网络威胁。2022 年 6 月，CISA 发布了《云安全技术参考架构》第二版，旨在通过定义和阐明共享服务、云迁移和云安全状况管理的注意事项来指导机构安全迁移到云。二是部署新架构。2021 年 9 月，CISA 同时发布了《云安全技术参考架构》和《零信任成熟度模型》，旨在推动云安全技术和零信任架构等创新技术应用的落地执行。2023年3月，NSA提出有关在零信任中成熟身份、凭据和访问管理的建议，并发布了“在整个用户支柱中推进零信任成熟度”网络安全信息表（CSI），以帮助系统运营商成熟的身份，凭证和访问管理（ICAM）功能，以有效缓解某些网络威胁技术。

二、启示与建议

关键信息基础设施是我国经济社会运行的神经中枢，做好关键信息基础设施防护工作是守卫国家网络安全的重中之重。我国关键信息基础设施的防护工作起步较晚，虽已形成较为完备的网络安全法律体系，但在关键信息基础设施安全防护的政策、标准、指导文件和相关机制方面还存在不足。相比之下，美国在关键基础设施安全防护上居于世界前列，特别是拜登政府上台后的一系列举措，从战略、法规、实践等层面有效提升了关键基础设施的安全性和弹性能力，对我国关键信息基础设施防护工作提供了有益参考。

（一）加强顶层设计，推进标准体系建设

一是在网络安全战略上聚焦技术创新，强调主动防御。中美都高度重视关键基础设施防护，在战略文件中作为重点任务予以明确规定，并加快推动社会合作、风险管理和评估、网络安全审查、供应链安全管理等。但美国更加强调发展现代化的联邦防御能力，包括加快推进基于零信任架构的云技术、实施多因素身份验证、加密数据等。相比之下，我国由于部分关键核心技术和设备受制于他国，在战略上应更加重视技术创新。特别是面对网络攻击日益专业化、多样化、复杂化等趋势，传统的安全防御手段难以应对快速变化的网络威胁，因此需要发展关键信息基础设施防御技术，从“被动防御”转向“主动防御”。二是应提升制定标准框架及配套文件的效率。美国早已出台了为数众多的关键信息基础设施防护标准框架、实践指南等文件，特别是拜登政府的网络安全政策和指导文件无论在出台速度，还是更新频率上都远超我国，有些指导文件在一年后就会进行更新。一方面源于美国关键基础设施面临日益严重的网络威胁，推动相关负责部门采取行动，另一方面源于美国行政令对提出的相关任务都规定了时间限制，有助于提高完成速度。我国关键信息基础设施也频繁受到网络攻击和网络勒索，但是我国的政策法规中虽然明确多项措施，但一般并不规定具体的工作进度以及时间限制，不利于提高政策落实的效率。因此，我国应提升制定标准框架的效率，并根据网络安全形势的变化及时更新已有标准。三是制定重要行业领域的关键信息基础设施安全规划。美国目前正在陆续制定 16 个关键基础设施行业的指令文件，其中在交通运输、医疗保健和公共卫生、能源、水坝等领域已经取得行之有效的进展。而我国虽然已出台一些区域性关键信息基础设施保护条例，如《新疆维吾尔自治区关键信息基础设施安全保护条例》《山东省通信基础设施建设与保护条例》等，是我国地方政府根据所在地区的实际情况所制定的。但是，多个重要行业领域的关键信息基础设施安全规划仍然未出台，导致各地区的相关文件缺少统一指导。因此，应根据行业领域的特点，由相关保护工作部门制定本行业、本领域的关键信息基础设施安全规划，以使行业更好地适应不断变化的环境，并有助于确定保护关键信息基础设施保护的最低基线。

（二）注重能力建设，持续完善制度机制

一是研究零信任等安全架构，在技术层面继续完善我国现有安全体系。在关键技术迭代发展的背景下，美国已发布了一系列参考架构和建议指南，要求迁移到云部署的机构应该采用零信任原则，并将其环境转换为零信任体系架构，同时，使机构了解实施零信任架构时采用云服务的优势和内在风险，并针对不同情形提出了详细的参考做法，以指导不同的机构具体实施。我国提出要积极探索零信任安全框架。2022 年 6 月，我国发布《零信任参考体系架构》征求意见稿，旨在为采用零信任体系架构的单位和部门提供参考和指导。目前，我国已经形成了较为完备的安全体系，并持续推进可信计算等安全技术在关键行业落地实施。近年来，美国持续更新其相关制度和技术架构。我国也需要参考、借鉴、消化、吸收和再创造，在已有的安全体系基础上与时俱进，对技术要求和相关架构进行调整，加强面向云环境的安全建设，通过“安全的云”提升对业务的赋能能力，通过“云的安全”推动安全产业的发展。二是完善重大网络事件报告制度。美国《2022年关键基础设施网络事件报告法》将重大网络事件的自愿报告转变为强制报告，并明确了报告的主体、标准时间线、内容形式以及未报告可采取的措施等事项，有助于及时获取关键基础设施实体遭受重大网络事件和安全威胁的情况。我国同样规定了重大网络安全事件报告的制度，如在《关键信息基础设施安全保护条例》的第十八条中主要规定了网络安全事件报告主体、对象，采用“列举+兜底”的方式对于特别重大的网络安全事件进行了定义，但是对于报告的时限、内容、方式、程序等并未予以规定。因此，需尽快制定重大网络事件报告制度的相关细则，统一事件报告的具体事项和流程。三是进一步完善监测和预警机制。在预警方面，美国的勒索软件漏洞警告试点计划在减少勒索软件入侵的危害方面已产生了实际的影响。目前，我国很多部门、地方、行业都在推进网络安全态势感知能力建设，包括开展网络安全试点示范、推动网络安全威胁处置、开展工业互联网安全监测等，取得了一定成效。但是，据国家标准文件的要求还存在一定的差距。因此，可以重点关注美国在联邦政府实施的预警监测计划及其实施效果并予以借鉴。

（三）鼓励多元治理，发挥各方防护合力

一是考虑组建促进政企网络安全合作的专门机构。美国联合网络防御协作组织（JCDC）作为公私参与的网络安全机构，在其建立后不断扩大规模，吸引重要网络安全企业参与，并将信息共享升级为操作协同，建立联合协作环境，完善应对计划与后果处置分析。美国的相关实践表明，组建公私参与的网络安全合作机构是可行性且有效的，我国目前还没有类似的机构，可以根据需要进行灵活组建。二是定期组织开展政企联合的网络安全演习。美国联邦政府定期开展公私部门联合的网络安全演习，提前制定应对网络安全威胁措施，并加强执法部门与私营部门的协同联动。近年来，我国网信办、公安部等政府部门基于网络靶场举办了国家级网络安全攻防比赛，还参加过中美俄网络安全演习。相较于美国的网络安全演习，我国在参与人员数量、演习规模、信息共享、协同联动等方面还存在一定差距。可借鉴美国网络安全联合演习的特点，定期开展高强度、大规模、跨地域的网络安全演习，通过演习查找薄弱环节，加强政企协作，积累关键信息基础设施安全保护经验。三是持续深化国际合作关系。与前任政府不同，拜登政府着力重新将盟友及伙伴国凝聚在一起，确保美国在网络空间的主导权。近年来，美国正在修复和加强与盟友及伙伴国的协同合作关系，利用四方对话机制、欧美网络对话框架，美国—东盟特别峰会等平台，为关键基础设施制定网络安全要求，以快速提高网络弹性，合作开展能力建设和培训活动，以应对网络攻击。中国一直以来都致力于加强双边、多边以及联合国框架下的国际对话和合作，推动构建网络空间命运共同体。在关键信息基础设施保护方面的国际合作是不可或缺的，也是中国“一带一路”倡议的重点之一。虽然中国已在全球范围内开展了广泛的关键信息基础设施保护交流合作，包括对话、协议、联合声明、研讨会等，但与美国相比，在实践层面具有操作性的合作还较少，如中国与东盟国家之间的网络事件响应机制仍处于协商阶段。因此，中国应提高与其他国家在关键信息基础设施保护上的合作层次和深度，在联合演习、技术互动、培训等具有实质操作性层面展开合作，以应对快速变化和日益严峻的网络安全威胁。同时，中国还应进一步深化在关键信息基础设施保护方面的国际合作，借助“一带一路”倡议，积极与其他国家开展关键信息基础设施保护的合作措施。推动加强各国在预警防范、应急响应、技术创新、标准规范、信息共享等方面合作，提高网络风险防范和网络威胁应对的协同能力和水平，共同确保关键信息基础设施的安全，增强我国在世界范围内网络空间的话语权与影响力。

（本文刊登于《中国信息安全》杂志2023年第9期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。