（中國(guó)信息通信研究院，北京 100191）

1 美國(guó)IT部門關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃概述

為指導(dǎo)未來(lái)4年IT部門關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)實(shí)踐，美國(guó)國(guó)土安全部聯(lián)合IT部門協(xié)調(diào)委員會(huì)（IT SCC）和IT部門政府協(xié)調(diào)委員會(huì)（IT GCC）在2010年版本基礎(chǔ)上，根據(jù)《關(guān)鍵基礎(chǔ)設(shè)施安全性及恢復(fù)力》（2013年第21號(hào)總統(tǒng)令）、《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》（2013）、《加強(qiáng)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》（2013年第13636號(hào)行政令）以及2014國(guó)家聯(lián)合優(yōu)先事項(xiàng)等要求，以及當(dāng)前IT領(lǐng)域?qū)嶋H及風(fēng)險(xiǎn)特征，編制了《IT部門關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃（2016）》（以下簡(jiǎn)稱《IT保護(hù)計(jì)劃》）[1]?！禝T保護(hù)計(jì)劃》共分為四個(gè)部分，分別是IT部門概述、愿景及優(yōu)先事項(xiàng)、行動(dòng)措施、效果衡量。

1.1 IT部門概述

1.1.1 IT部門的組成

IT部門為全球信息社會(huì)高效運(yùn)作提供產(chǎn)品和服務(wù)支持，是其他關(guān)鍵基礎(chǔ)設(shè)施正常運(yùn)行和提供服務(wù)的組成部分。IT部門主要由中小企業(yè)以及大型跨國(guó)公司組成。其他行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施一般由有限和易于識(shí)別的物理資產(chǎn)構(gòu)成，但I(xiàn)T部門較為特殊，不僅包括實(shí)體資產(chǎn)，還包括其提供服務(wù)的虛擬系統(tǒng)和網(wǎng)絡(luò)。

1.1.2 IT部門的核心功能

IT部門的功能涵蓋IT產(chǎn)品和服務(wù)提供的全過(guò)程，包括研發(fā)、制造、分配、升級(jí)和維護(hù)，此外還包括提供安全威脅防御和恢復(fù)產(chǎn)品和服務(wù)。根據(jù)2009年IT部門基線風(fēng)險(xiǎn)評(píng)估(ITSRA)結(jié)果，IT部門協(xié)調(diào)委員會(huì)（IT SCC）和IT部門政府協(xié)調(diào)委員會(huì)（IT GCC）篩選了出IT部門六大核心功能，如表1所示。這些功能對(duì)于國(guó)家經(jīng)濟(jì)安全、公共衛(wèi)生、安全和信心至關(guān)重要，通常由實(shí)體所有者和運(yùn)營(yíng)商組合提供，包括IT硬件，軟件，系統(tǒng)和服務(wù)。其中，IT服務(wù)包括開(kāi)發(fā)，集成，運(yùn)營(yíng)，通信，測(cè)試和安全。

表1 IT部門核心功能及描述

表2 IT部門風(fēng)險(xiǎn)及應(yīng)對(duì)措施

1.1.3 IT部門的風(fēng)險(xiǎn)

根據(jù)2009年IT部門基線風(fēng)險(xiǎn)評(píng)估結(jié)果以及IT技術(shù)最新發(fā)展進(jìn)展情況，按照IT部門核心功能維度，《IT保護(hù)計(jì)劃》梳理了主要潛在風(fēng)險(xiǎn)和應(yīng)對(duì)措施，如表2所示。

1.1.4 關(guān)鍵基礎(chǔ)設(shè)施合作伙伴

IT部門關(guān)鍵基礎(chǔ)設(shè)施保護(hù)采取多層次、政企合作模式，核心成員包括： IT部門專門機(jī)構(gòu)（IT SSA）、IT部門政府協(xié)調(diào)委員會(huì)（IT GCC）以及IT部門協(xié)調(diào)委員會(huì)（IT SCC）。其中，IT SSA由國(guó)土安全部國(guó)家保護(hù)和計(jì)劃司（NPPD）網(wǎng)絡(luò)安全和通信辦公室（CS&C）擔(dān)任，是IT關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的領(lǐng)導(dǎo)部門；IT GCC由聯(lián)邦各級(jí)政府成員組成，包括商業(yè)部、國(guó)防部、能源部、國(guó)土安全部、聯(lián)邦調(diào)查局、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院等13個(gè)機(jī)構(gòu)組成；IT SCC主要由IT產(chǎn)品和服務(wù)提供商組成，2016年共有92家企業(yè)和機(jī)構(gòu)參與其中，包括AMD等芯片制造企業(yè)、Cisco等設(shè)備和服務(wù)提供商、NTT等網(wǎng)絡(luò)運(yùn)營(yíng)商Symantec等安全企業(yè)、IT行業(yè)信息共享和分析中心（ISAC）等機(jī)構(gòu)以及安全協(xié)會(huì)聯(lián)盟等。 此外，IT部門合作伙伴關(guān)系也包括與國(guó)際組織、國(guó)外機(jī)構(gòu)建立并保持可靠、互助關(guān)系。

1.2 愿景及優(yōu)先事項(xiàng)

IT部門的愿景是持續(xù)降低安全事件對(duì)于部門關(guān)鍵功能的影響。IT部門愿景的實(shí)現(xiàn)對(duì)于聯(lián)邦政府保障國(guó)家安全、公共健康和安全，地方政府維護(hù)社會(huì)秩序、提供基本公共服務(wù)以及經(jīng)濟(jì)有序運(yùn)行具有重要意義。IT SCC與IT GCC共同確定了未來(lái)4年IT部門的優(yōu)先事項(xiàng)，并明確了其與國(guó)家聯(lián)合優(yōu)先事項(xiàng)的對(duì)應(yīng)關(guān)系,如表3所示。

表3 國(guó)家聯(lián)合優(yōu)先事項(xiàng)及IT部門優(yōu)先事項(xiàng)

1.3 部門目標(biāo)的實(shí)現(xiàn)

為實(shí)現(xiàn)IT部門的愿景和優(yōu)先事項(xiàng)，IT部門建立了與部門業(yè)務(wù)領(lǐng)域廣、構(gòu)成形態(tài)復(fù)雜、業(yè)務(wù)高度依賴、關(guān)聯(lián)影響大等情況相適應(yīng)的風(fēng)險(xiǎn)管理體系，通過(guò)協(xié)作和迭代的方法滿足廣泛群體的定制化需求。

1.3.1 全風(fēng)險(xiǎn)評(píng)估方法（All-Hazards Approach）

全風(fēng)險(xiǎn)評(píng)估方法是IT部門在總結(jié)經(jīng)驗(yàn)基礎(chǔ)上提出的風(fēng)險(xiǎn)管理模型，如圖1所示。通過(guò)應(yīng)用該模型有效識(shí)別風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)級(jí)別制定針對(duì)性的應(yīng)對(duì)策略。全風(fēng)險(xiǎn)評(píng)估方案按照功能而非具體資產(chǎn)開(kāi)展，是以適應(yīng)IT部門虛擬化、分布式的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)需求。

1.3.2 風(fēng)險(xiǎn)應(yīng)對(duì)措施

IT部門通過(guò)參與網(wǎng)絡(luò)風(fēng)暴演習(xí)計(jì)劃、供應(yīng)鏈保證計(jì)劃（SSCA）、IT部門基線風(fēng)險(xiǎn)評(píng)估（ITSRA）、IT部門未來(lái)風(fēng)險(xiǎn)評(píng)估等活動(dòng)增強(qiáng)安全性和恢復(fù)能力。其中，網(wǎng)絡(luò)風(fēng)暴演習(xí)經(jīng)國(guó)會(huì)授權(quán)，每?jī)赡觊_(kāi)展一次，目的是增強(qiáng)IT部門的網(wǎng)絡(luò)防御能力。演習(xí)活動(dòng)主要包括檢驗(yàn)針對(duì)潛在網(wǎng)絡(luò)攻擊的防范能力，事件響應(yīng)及協(xié)調(diào)應(yīng)對(duì)能力，網(wǎng)絡(luò)威脅信息等的共享順暢性，敏感信息流動(dòng)安全性等。

圖1 全風(fēng)險(xiǎn)評(píng)估方法

在供應(yīng)鏈安全方面，國(guó)土安全部、國(guó)防部、NIST、總務(wù)局（GSA）制定了供應(yīng)鏈保證計(jì)劃（SSCA），并建立工作小組。工作小組匯集了供應(yīng)鏈安全利益攸關(guān)方，定期舉辦SSCA論壇及工作組會(huì)議，交流供應(yīng)鏈安全管理實(shí)踐。IT部門積極參與SSCA計(jì)劃，通過(guò)增強(qiáng)流程管理和診斷等措施提高供應(yīng)鏈安全性。

IT部門基線風(fēng)險(xiǎn)評(píng)估幫助IT部門成員發(fā)現(xiàn)安全薄弱環(huán)節(jié)，并合理分配研究、開(kāi)發(fā)以及其他增強(qiáng)網(wǎng)絡(luò)安全措施的資源?；€安全評(píng)估也是國(guó)家層面網(wǎng)絡(luò)安全協(xié)作的基礎(chǔ)。

IT部門未來(lái)風(fēng)險(xiǎn)評(píng)估重點(diǎn)評(píng)估當(dāng)前及未來(lái)技術(shù)業(yè)務(wù)發(fā)展可能對(duì)IT部門核心功能造成的影響，以及有關(guān)管理措施的有效性。

此外，為系統(tǒng)提升關(guān)鍵基礎(chǔ)設(shè)施安全能力，IT部門計(jì)劃全面推廣應(yīng)用NIST網(wǎng)絡(luò)安全框架。IT部門鼓勵(lì)成員參與關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)社區(qū)自愿計(jì)劃（C3VP），該計(jì)劃根據(jù)2013年第13636號(hào)行政令創(chuàng)立，以鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)者建立并改進(jìn)其網(wǎng)絡(luò)風(fēng)險(xiǎn)管理流程。IT SSA計(jì)劃與C3VP成員合作，共同制定IT部門NIST網(wǎng)絡(luò)安全框架使用指南，推動(dòng)政府、行業(yè)和企業(yè)了解并應(yīng)用該框架。

1.4 有效性測(cè)量

為跟蹤和掌握IT部門優(yōu)先事項(xiàng)落實(shí)情況，衡量保護(hù)工作實(shí)效，IT部門結(jié)合2013NIPP行動(dòng)計(jì)劃制定了一套指標(biāo)，并要求IT部門成員按照該指標(biāo)編制年度保護(hù)工作報(bào)告。指標(biāo)按照IT部門優(yōu)先事項(xiàng)，分為風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全彈性、態(tài)勢(shì)感知與信息共享、合作與支持四個(gè)維度，每個(gè)維度有具體的指標(biāo)要求。例如，在風(fēng)險(xiǎn)管理方面，主要指標(biāo)包括基線評(píng)估（ITSRA），域名及云安全，高風(fēng)險(xiǎn)關(guān)鍵基礎(chǔ)設(shè)施年度鑒定，供應(yīng)鏈安全等。IT SSA將根據(jù)衡量結(jié)果，改進(jìn)有關(guān)措施并更新《IT 保護(hù)計(jì)劃》。

2 計(jì)劃特點(diǎn)

《IT保護(hù)計(jì)劃》將風(fēng)險(xiǎn)管理作為保護(hù)工作的基礎(chǔ)和指針，將保護(hù)范疇、責(zé)任者與協(xié)作方、目標(biāo)與措施有機(jī)連接在一起，構(gòu)建了與行業(yè)實(shí)際相適應(yīng)的保護(hù)體系。

（一）根據(jù)行業(yè)發(fā)展和風(fēng)險(xiǎn)點(diǎn)確定保護(hù)重點(diǎn)?！禝T保護(hù)計(jì)劃》采取了按照核心功能實(shí)施保護(hù)的思路，而核心功能的確定源于對(duì)發(fā)展和安全的綜合考量。特別是，針對(duì)信息和通信技術(shù)發(fā)展變化可能對(duì)關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)策略影響，對(duì)于云計(jì)算的普遍應(yīng)用、移動(dòng)計(jì)算和移動(dòng)應(yīng)用程序的大幅增長(zhǎng)、物聯(lián)網(wǎng)設(shè)備以及智能傳感器/智能設(shè)備快速增長(zhǎng)、移動(dòng)辦公（BYOD）、對(duì)于高級(jí)分析/大數(shù)據(jù)的依賴、IT運(yùn)營(yíng)復(fù)雜性提升等予以重點(diǎn)關(guān)注和應(yīng)對(duì)。

（二）依據(jù)風(fēng)險(xiǎn)特性建立多層次的保護(hù)工作組織體系。IT部門在充分利用國(guó)家級(jí)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施協(xié)調(diào)中心（NCC）、信息共享和分析中心（ISAC）基礎(chǔ)上，結(jié)合行業(yè)保障需求分別設(shè)立了IT SCC、IT GCC等組織，促進(jìn)安全戰(zhàn)略、政策、活動(dòng)、情報(bào)等多維度交流；同時(shí)與通信部門的SCC、GCC建立跨部門協(xié)調(diào)機(jī)制，定期舉辦四方會(huì)議。又如，為應(yīng)對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)，通過(guò)SSCA工作小組將上下游廠家、采購(gòu)方、監(jiān)管者匯聚在一起，大幅度提升了信息共享效率，實(shí)現(xiàn)了供應(yīng)鏈安全風(fēng)險(xiǎn)的共知共治；為推廣NIST網(wǎng)絡(luò)安全框架應(yīng)用，鼓勵(lì)I(lǐng)T部門成員加入C3VP網(wǎng)絡(luò)社區(qū)自愿計(jì)劃，加強(qiáng)實(shí)踐層面的交流和探討。

（三）依托全風(fēng)險(xiǎn)評(píng)估方法，建立與IT部門虛擬化、分布式關(guān)鍵基礎(chǔ)設(shè)施結(jié)構(gòu)相適應(yīng)的評(píng)估體系。在風(fēng)險(xiǎn)管理的維度上，區(qū)分政府與企業(yè)不同層次，企業(yè)通?；跇I(yè)務(wù)目標(biāo)實(shí)施，如股東價(jià)值、客戶口碑等，政府則更關(guān)注保障業(yè)務(wù)的有效性。在風(fēng)險(xiǎn)管理的內(nèi)容上，既重視外部網(wǎng)絡(luò)攻擊，也重視內(nèi)部隱患防范，包括供應(yīng)鏈安全，操作安全等。在風(fēng)險(xiǎn)管理的次序上，根據(jù)不同風(fēng)險(xiǎn)的風(fēng)險(xiǎn)級(jí)別、發(fā)生概率及危害大小進(jìn)行綜合排序，確定優(yōu)先級(jí)。在風(fēng)險(xiǎn)管理的措施上，包括面向現(xiàn)存風(fēng)險(xiǎn)的隱患排查，針對(duì)安全事件的演習(xí)演練，也有面向未來(lái)的技術(shù)研發(fā)，IT部門與國(guó)土安全部科技局合作，制定IT部門研發(fā)重點(diǎn)和資源需求的路線圖，共同研提關(guān)鍵性技術(shù)研發(fā)建議和要求。

（四）注重有效性衡量，建立風(fēng)險(xiǎn)管理措施效果指標(biāo)體系。為有效衡量保護(hù)措施實(shí)施效果，IT SSA制定了統(tǒng)一的衡量方案，列舉出實(shí)現(xiàn)風(fēng)險(xiǎn)管理目標(biāo)的各項(xiàng)舉措及要求，要求各部門成員按照這一衡量方案，每季度報(bào)告保護(hù)工作進(jìn)展情況。同時(shí)，IT部門將根據(jù)保護(hù)工作情況、IT技術(shù)情況變化等，定期評(píng)估優(yōu)先事項(xiàng)、目標(biāo)和舉措，每四年更新一次《IT保護(hù)計(jì)劃》，并將風(fēng)險(xiǎn)管理措施效果好的實(shí)踐總結(jié)成為案例，在行業(yè)內(nèi)予以推廣。

3 對(duì)我國(guó)啟示

近年來(lái)，黨中央、國(guó)務(wù)院對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)高度重視。習(xí)總書記在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上強(qiáng)調(diào)，要樹(shù)立正確的網(wǎng)絡(luò)安全觀，加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，要落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任?！毒W(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（征求意見(jiàn)稿）已經(jīng)建立起保護(hù)框架，在保護(hù)工作的落實(shí)實(shí)踐中，可考慮借鑒美國(guó)模式，立足我國(guó)各行業(yè)的不同特點(diǎn)，制定實(shí)施與行業(yè)實(shí)際相適應(yīng)的細(xì)化措施。一是建立多層次的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作組織。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是一項(xiàng)復(fù)雜的社會(huì)治理工作，需要社會(huì)各界加入到保護(hù)體系中來(lái)，協(xié)同防護(hù)。根據(jù)不同的風(fēng)險(xiǎn)點(diǎn)或保護(hù)目標(biāo)，美國(guó)建立了供應(yīng)鏈風(fēng)險(xiǎn)工作組、威脅情報(bào)共享中心、緊密聯(lián)系領(lǐng)域多方會(huì)議、網(wǎng)絡(luò)安全自愿社區(qū)等豐富組織，有關(guān)方緊密聯(lián)系在一起。我國(guó)相關(guān)行業(yè)也可借鑒類似模式，組建行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)組織，通過(guò)定期會(huì)議、課題研究、政策研討等方式強(qiáng)化交流協(xié)作，助力保護(hù)工作實(shí)施。二是按照風(fēng)險(xiǎn)管理閉環(huán)開(kāi)展保護(hù)實(shí)踐。建立風(fēng)險(xiǎn)管理為核心的保護(hù)框架，明確識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)、檢驗(yàn)效果等關(guān)鍵流程及要求，提升風(fēng)險(xiǎn)發(fā)現(xiàn)能力、應(yīng)對(duì)能力。同時(shí)，針對(duì)信息技術(shù)和業(yè)態(tài)變革引發(fā)的新風(fēng)險(xiǎn)，及時(shí)開(kāi)展風(fēng)險(xiǎn)研判，評(píng)估危害后果，做好應(yīng)對(duì)方案。三是積極推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)技術(shù)手段研發(fā)建設(shè)。研究制定網(wǎng)絡(luò)安全防護(hù)技術(shù)手段建設(shè)指導(dǎo)性文件，指導(dǎo)規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者網(wǎng)絡(luò)安全技術(shù)手段建設(shè)。充分調(diào)動(dòng)產(chǎn)學(xué)研資源，共同建設(shè)測(cè)試平臺(tái)，開(kāi)展聯(lián)合研發(fā)合作，共享研發(fā)資源和成果，遴選并推廣網(wǎng)絡(luò)安全技術(shù)手段最佳實(shí)踐。

參考文獻(xiàn)：

[1]Information Technology Sector-Specific Plan An Annex to the NIPP 2013[R].Homeland Security,2016.