（中國信息通信研究院，北京 100191）

1 美國IT部門關(guān)鍵信息基礎(chǔ)設(shè)施保護計劃概述

為指導(dǎo)未來4年IT部門關(guān)鍵信息基礎(chǔ)設(shè)施保護實踐，美國國土安全部聯(lián)合IT部門協(xié)調(diào)委員會（IT SCC）和IT部門政府協(xié)調(diào)委員會（IT GCC）在2010年版本基礎(chǔ)上，根據(jù)《關(guān)鍵基礎(chǔ)設(shè)施安全性及恢復(fù)力》（2013年第21號總統(tǒng)令）、《國家基礎(chǔ)設(shè)施保護計劃》（2013）、《加強基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》（2013年第13636號行政令）以及2014國家聯(lián)合優(yōu)先事項等要求，以及當前IT領(lǐng)域?qū)嶋H及風(fēng)險特征，編制了《IT部門關(guān)鍵信息基礎(chǔ)設(shè)施保護計劃（2016）》（以下簡稱《IT保護計劃》）[1]。《IT保護計劃》共分為四個部分，分別是IT部門概述、愿景及優(yōu)先事項、行動措施、效果衡量。

1.1 IT部門概述

1.1.1 IT部門的組成

IT部門為全球信息社會高效運作提供產(chǎn)品和服務(wù)支持，是其他關(guān)鍵基礎(chǔ)設(shè)施正常運行和提供服務(wù)的組成部分。IT部門主要由中小企業(yè)以及大型跨國公司組成。其他行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施一般由有限和易于識別的物理資產(chǎn)構(gòu)成，但IT部門較為特殊，不僅包括實體資產(chǎn)，還包括其提供服務(wù)的虛擬系統(tǒng)和網(wǎng)絡(luò)。

1.1.2 IT部門的核心功能

IT部門的功能涵蓋IT產(chǎn)品和服務(wù)提供的全過程，包括研發(fā)、制造、分配、升級和維護，此外還包括提供安全威脅防御和恢復(fù)產(chǎn)品和服務(wù)。根據(jù)2009年IT部門基線風(fēng)險評估(ITSRA)結(jié)果，IT部門協(xié)調(diào)委員會（IT SCC）和IT部門政府協(xié)調(diào)委員會（IT GCC）篩選了出IT部門六大核心功能，如表1所示。這些功能對于國家經(jīng)濟安全、公共衛(wèi)生、安全和信心至關(guān)重要，通常由實體所有者和運營商組合提供，包括IT硬件，軟件，系統(tǒng)和服務(wù)。其中，IT服務(wù)包括開發(fā)，集成，運營，通信，測試和安全。

表1 IT部門核心功能及描述

表2 IT部門風(fēng)險及應(yīng)對措施

1.1.3 IT部門的風(fēng)險

根據(jù)2009年IT部門基線風(fēng)險評估結(jié)果以及IT技術(shù)最新發(fā)展進展情況，按照IT部門核心功能維度，《IT保護計劃》梳理了主要潛在風(fēng)險和應(yīng)對措施，如表2所示。

1.1.4 關(guān)鍵基礎(chǔ)設(shè)施合作伙伴

IT部門關(guān)鍵基礎(chǔ)設(shè)施保護采取多層次、政企合作模式，核心成員包括： IT部門專門機構(gòu)（IT SSA）、IT部門政府協(xié)調(diào)委員會（IT GCC）以及IT部門協(xié)調(diào)委員會（IT SCC）。其中，IT SSA由國土安全部國家保護和計劃司（NPPD）網(wǎng)絡(luò)安全和通信辦公室（CS&C）擔任，是IT關(guān)鍵基礎(chǔ)設(shè)施保護的領(lǐng)導(dǎo)部門；IT GCC由聯(lián)邦各級政府成員組成，包括商業(yè)部、國防部、能源部、國土安全部、聯(lián)邦調(diào)查局、美國國家標準與技術(shù)研究院等13個機構(gòu)組成；IT SCC主要由IT產(chǎn)品和服務(wù)提供商組成，2016年共有92家企業(yè)和機構(gòu)參與其中，包括AMD等芯片制造企業(yè)、Cisco等設(shè)備和服務(wù)提供商、NTT等網(wǎng)絡(luò)運營商Symantec等安全企業(yè)、IT行業(yè)信息共享和分析中心（ISAC）等機構(gòu)以及安全協(xié)會聯(lián)盟等。 此外，IT部門合作伙伴關(guān)系也包括與國際組織、國外機構(gòu)建立并保持可靠、互助關(guān)系。

1.2 愿景及優(yōu)先事項

IT部門的愿景是持續(xù)降低安全事件對于部門關(guān)鍵功能的影響。IT部門愿景的實現(xiàn)對于聯(lián)邦政府保障國家安全、公共健康和安全，地方政府維護社會秩序、提供基本公共服務(wù)以及經(jīng)濟有序運行具有重要意義。IT SCC與IT GCC共同確定了未來4年IT部門的優(yōu)先事項，并明確了其與國家聯(lián)合優(yōu)先事項的對應(yīng)關(guān)系,如表3所示。

表3 國家聯(lián)合優(yōu)先事項及IT部門優(yōu)先事項

1.3 部門目標的實現(xiàn)

為實現(xiàn)IT部門的愿景和優(yōu)先事項，IT部門建立了與部門業(yè)務(wù)領(lǐng)域廣、構(gòu)成形態(tài)復(fù)雜、業(yè)務(wù)高度依賴、關(guān)聯(lián)影響大等情況相適應(yīng)的風(fēng)險管理體系，通過協(xié)作和迭代的方法滿足廣泛群體的定制化需求。

1.3.1 全風(fēng)險評估方法（All-Hazards Approach）

全風(fēng)險評估方法是IT部門在總結(jié)經(jīng)驗基礎(chǔ)上提出的風(fēng)險管理模型，如圖1所示。通過應(yīng)用該模型有效識別風(fēng)險，評估風(fēng)險，并根據(jù)風(fēng)險級別制定針對性的應(yīng)對策略。全風(fēng)險評估方案按照功能而非具體資產(chǎn)開展，是以適應(yīng)IT部門虛擬化、分布式的關(guān)鍵基礎(chǔ)設(shè)施保護需求。

1.3.2 風(fēng)險應(yīng)對措施

IT部門通過參與網(wǎng)絡(luò)風(fēng)暴演習(xí)計劃、供應(yīng)鏈保證計劃（SSCA）、IT部門基線風(fēng)險評估（ITSRA）、IT部門未來風(fēng)險評估等活動增強安全性和恢復(fù)能力。其中，網(wǎng)絡(luò)風(fēng)暴演習(xí)經(jīng)國會授權(quán)，每兩年開展一次，目的是增強IT部門的網(wǎng)絡(luò)防御能力。演習(xí)活動主要包括檢驗針對潛在網(wǎng)絡(luò)攻擊的防范能力，事件響應(yīng)及協(xié)調(diào)應(yīng)對能力，網(wǎng)絡(luò)威脅信息等的共享順暢性，敏感信息流動安全性等。

圖1 全風(fēng)險評估方法

在供應(yīng)鏈安全方面，國土安全部、國防部、NIST、總務(wù)局（GSA）制定了供應(yīng)鏈保證計劃（SSCA），并建立工作小組。工作小組匯集了供應(yīng)鏈安全利益攸關(guān)方，定期舉辦SSCA論壇及工作組會議，交流供應(yīng)鏈安全管理實踐。IT部門積極參與SSCA計劃，通過增強流程管理和診斷等措施提高供應(yīng)鏈安全性。

IT部門基線風(fēng)險評估幫助IT部門成員發(fā)現(xiàn)安全薄弱環(huán)節(jié)，并合理分配研究、開發(fā)以及其他增強網(wǎng)絡(luò)安全措施的資源?；€安全評估也是國家層面網(wǎng)絡(luò)安全協(xié)作的基礎(chǔ)。

IT部門未來風(fēng)險評估重點評估當前及未來技術(shù)業(yè)務(wù)發(fā)展可能對IT部門核心功能造成的影響，以及有關(guān)管理措施的有效性。

此外，為系統(tǒng)提升關(guān)鍵基礎(chǔ)設(shè)施安全能力，IT部門計劃全面推廣應(yīng)用NIST網(wǎng)絡(luò)安全框架。IT部門鼓勵成員參與關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)社區(qū)自愿計劃（C3VP），該計劃根據(jù)2013年第13636號行政令創(chuàng)立，以鼓勵關(guān)鍵基礎(chǔ)設(shè)施所有者和運營者建立并改進其網(wǎng)絡(luò)風(fēng)險管理流程。IT SSA計劃與C3VP成員合作，共同制定IT部門NIST網(wǎng)絡(luò)安全框架使用指南，推動政府、行業(yè)和企業(yè)了解并應(yīng)用該框架。

1.4 有效性測量

為跟蹤和掌握IT部門優(yōu)先事項落實情況，衡量保護工作實效，IT部門結(jié)合2013NIPP行動計劃制定了一套指標，并要求IT部門成員按照該指標編制年度保護工作報告。指標按照IT部門優(yōu)先事項，分為風(fēng)險管理、網(wǎng)絡(luò)安全彈性、態(tài)勢感知與信息共享、合作與支持四個維度，每個維度有具體的指標要求。例如，在風(fēng)險管理方面，主要指標包括基線評估（ITSRA），域名及云安全，高風(fēng)險關(guān)鍵基礎(chǔ)設(shè)施年度鑒定，供應(yīng)鏈安全等。IT SSA將根據(jù)衡量結(jié)果，改進有關(guān)措施并更新《IT 保護計劃》。

2 計劃特點

《IT保護計劃》將風(fēng)險管理作為保護工作的基礎(chǔ)和指針，將保護范疇、責任者與協(xié)作方、目標與措施有機連接在一起，構(gòu)建了與行業(yè)實際相適應(yīng)的保護體系。

（一）根據(jù)行業(yè)發(fā)展和風(fēng)險點確定保護重點。《IT保護計劃》采取了按照核心功能實施保護的思路，而核心功能的確定源于對發(fā)展和安全的綜合考量。特別是，針對信息和通信技術(shù)發(fā)展變化可能對關(guān)鍵基礎(chǔ)設(shè)施安全保護策略影響，對于云計算的普遍應(yīng)用、移動計算和移動應(yīng)用程序的大幅增長、物聯(lián)網(wǎng)設(shè)備以及智能傳感器/智能設(shè)備快速增長、移動辦公（BYOD）、對于高級分析/大數(shù)據(jù)的依賴、IT運營復(fù)雜性提升等予以重點關(guān)注和應(yīng)對。

（二）依據(jù)風(fēng)險特性建立多層次的保護工作組織體系。IT部門在充分利用國家級國家關(guān)鍵信息基礎(chǔ)設(shè)施協(xié)調(diào)中心（NCC）、信息共享和分析中心（ISAC）基礎(chǔ)上，結(jié)合行業(yè)保障需求分別設(shè)立了IT SCC、IT GCC等組織，促進安全戰(zhàn)略、政策、活動、情報等多維度交流；同時與通信部門的SCC、GCC建立跨部門協(xié)調(diào)機制，定期舉辦四方會議。又如，為應(yīng)對供應(yīng)鏈安全風(fēng)險，通過SSCA工作小組將上下游廠家、采購方、監(jiān)管者匯聚在一起，大幅度提升了信息共享效率，實現(xiàn)了供應(yīng)鏈安全風(fēng)險的共知共治；為推廣NIST網(wǎng)絡(luò)安全框架應(yīng)用，鼓勵I(lǐng)T部門成員加入C3VP網(wǎng)絡(luò)社區(qū)自愿計劃，加強實踐層面的交流和探討。

（三）依托全風(fēng)險評估方法，建立與IT部門虛擬化、分布式關(guān)鍵基礎(chǔ)設(shè)施結(jié)構(gòu)相適應(yīng)的評估體系。在風(fēng)險管理的維度上，區(qū)分政府與企業(yè)不同層次，企業(yè)通?；跇I(yè)務(wù)目標實施，如股東價值、客戶口碑等，政府則更關(guān)注保障業(yè)務(wù)的有效性。在風(fēng)險管理的內(nèi)容上，既重視外部網(wǎng)絡(luò)攻擊，也重視內(nèi)部隱患防范，包括供應(yīng)鏈安全，操作安全等。在風(fēng)險管理的次序上，根據(jù)不同風(fēng)險的風(fēng)險級別、發(fā)生概率及危害大小進行綜合排序，確定優(yōu)先級。在風(fēng)險管理的措施上，包括面向現(xiàn)存風(fēng)險的隱患排查，針對安全事件的演習(xí)演練，也有面向未來的技術(shù)研發(fā)，IT部門與國土安全部科技局合作，制定IT部門研發(fā)重點和資源需求的路線圖，共同研提關(guān)鍵性技術(shù)研發(fā)建議和要求。

（四）注重有效性衡量，建立風(fēng)險管理措施效果指標體系。為有效衡量保護措施實施效果，IT SSA制定了統(tǒng)一的衡量方案，列舉出實現(xiàn)風(fēng)險管理目標的各項舉措及要求，要求各部門成員按照這一衡量方案，每季度報告保護工作進展情況。同時，IT部門將根據(jù)保護工作情況、IT技術(shù)情況變化等，定期評估優(yōu)先事項、目標和舉措，每四年更新一次《IT保護計劃》，并將風(fēng)險管理措施效果好的實踐總結(jié)成為案例，在行業(yè)內(nèi)予以推廣。

3 對我國啟示

近年來，黨中央、國務(wù)院對關(guān)鍵信息基礎(chǔ)設(shè)施保護高度重視。習(xí)總書記在全國網(wǎng)絡(luò)安全和信息化工作會議上強調(diào)，要樹立正確的網(wǎng)絡(luò)安全觀，加強信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護，要落實關(guān)鍵信息基礎(chǔ)設(shè)施防護責任。《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（征求意見稿）已經(jīng)建立起保護框架，在保護工作的落實實踐中，可考慮借鑒美國模式，立足我國各行業(yè)的不同特點，制定實施與行業(yè)實際相適應(yīng)的細化措施。一是建立多層次的關(guān)鍵信息基礎(chǔ)設(shè)施保護工作組織。關(guān)鍵信息基礎(chǔ)設(shè)施保護是一項復(fù)雜的社會治理工作，需要社會各界加入到保護體系中來，協(xié)同防護。根據(jù)不同的風(fēng)險點或保護目標，美國建立了供應(yīng)鏈風(fēng)險工作組、威脅情報共享中心、緊密聯(lián)系領(lǐng)域多方會議、網(wǎng)絡(luò)安全自愿社區(qū)等豐富組織，有關(guān)方緊密聯(lián)系在一起。我國相關(guān)行業(yè)也可借鑒類似模式，組建行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)組織，通過定期會議、課題研究、政策研討等方式強化交流協(xié)作，助力保護工作實施。二是按照風(fēng)險管理閉環(huán)開展保護實踐。建立風(fēng)險管理為核心的保護框架，明確識別風(fēng)險、評估風(fēng)險、應(yīng)對風(fēng)險、檢驗效果等關(guān)鍵流程及要求，提升風(fēng)險發(fā)現(xiàn)能力、應(yīng)對能力。同時，針對信息技術(shù)和業(yè)態(tài)變革引發(fā)的新風(fēng)險，及時開展風(fēng)險研判，評估危害后果，做好應(yīng)對方案。三是積極推進關(guān)鍵信息基礎(chǔ)設(shè)施保護技術(shù)手段研發(fā)建設(shè)。研究制定網(wǎng)絡(luò)安全防護技術(shù)手段建設(shè)指導(dǎo)性文件，指導(dǎo)規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施運營者網(wǎng)絡(luò)安全技術(shù)手段建設(shè)。充分調(diào)動產(chǎn)學(xué)研資源，共同建設(shè)測試平臺，開展聯(lián)合研發(fā)合作，共享研發(fā)資源和成果，遴選并推廣網(wǎng)絡(luò)安全技術(shù)手段最佳實踐。

參考文獻：

[1]Information Technology Sector-Specific Plan An Annex to the NIPP 2013[R].Homeland Security,2016.