本叙述介绍了关键基础设施面临的不断演变的风险,并讨论了关键五国(澳大利亚、加拿大、新西兰、英国和美国)如何实现关键基础设施保护方法的现代化。它还确定了加强国内关键基础设施安全性和弹性的共同方法,同时认识到鉴于关键基础设施的相互关联性,国际社会需要采取合作和协调的方法。
2014 年,关键五国发表了题为《为关键基础设施达成共识》的共同叙述。该出版物确立了对关键基础设施概念和定义的集体解释,旨在促进关键基础设施保护方法的协调。在其发布后的十年中,地缘政治格局发生了变化,气候变化的影响越来越明显。作为回应,关键五国正在调整其应对新出现的危害和威胁的方法,这促使有必要审查和更新其共同叙述。
本叙述介绍了关键基础设施面临的不断演变的风险,并讨论了关键五国如何实现关键基础设施保护方法的现代化。它还确定了加强国内关键基础设施安全性和弹性的共同方法,同时认识到鉴于关键基础设施的相互关联性,国际社会需要采取合作和协调的方法。
对弹性关键基础设施的需求
现代社会依赖关键基础设施系统来提供支持生命和生计的基本服务。关键基础设施一旦发生故障,可能会造成灾难性的后果,关键基础设施受损和服务中断是灾难造成经济损失的最大因素之一,这一事实就是明证。认识到这一点,关键五国正在努力确保其关键基础设施资产和系统安全、受保护且具有弹性,以便在发生事故时最大程度地减少和防止中断。
采取此类干预措施的必要性比以往任何时候都更加迫切。关键基础设施系统的相互依赖性和互联性越来越强,单个故障有可能导致严重停电。与此同时,基础设施系统面临的危险和威胁也在不断增加。
我们还知道,许多关键基础设施尚未为这一新未来做好准备。例如,COVID-19 疫情暴露了关键基础设施业务连续性规划方面的差距,包括个人防护设备储备不足,以及难以确定关键资产的优先次序并保护它们。各国政府必须介入,确定关键活动的优先次序,以最大限度地减少经济中断,并确保关键服务的持续提供。
在此背景下,我们知道,如果未能对关键基础设施的恢复能力进行充分投资,将会导致:
🧿对受影响的个人、企业和社区的福祉产生负面影响,而在许多情况下,这些影响本来是可以避免的;并且给经济带来巨大的成本,恢复和服务的费用通常超过在事件发生前防止停电所需的费用。
🧿给经济带来巨大的成本,恢复和服务的费用通常超过在事件发生前防止停电所需的费用。
建设复原力是对当前和未来的积极投资,可带来诸多益处,包括:
🧿拯救生命和维持生计;
🧿维持社会凝聚力;
🧿减少对供应链的经济冲击;
🧿推广创新解决方案和技术,最大限度地减少对社区的损害。
不断演变的威胁和灾害形势
自 2014 年以来,地缘政治格局愈发复杂。关键基础设施现在面临着更广泛的威胁和危害,从自然事件到人为造成的意外和恶意破坏。此外,关键基础设施资产和系统的集成度比 2014 年更高,因为过去十年的技术进步促使关键基础设施所有者和运营商采用数字系统来简化服务交付。
因此,发生事件并引发多个相互依存部门的连锁故障,以及造成广泛的国内和国际影响的风险大大增加。
过去十年,地缘政治格局的变化加剧了国家安全担忧。最近的冲突表明,关键基础设施可以通过数字或物理手段成为攻击目标,从而削弱一个国家保护自身及其公民的能力。在武装冲突的门槛以下,敌对威胁行为者会采用外国干涉活动、知识产权盗窃和运营中断等方法来利用关键基础设施,造成重大财务损失,包括维护和维修费用、收入损失和安全成本增加。
关键基础设施系统采用数字化和远程操作技术也使它们越来越容易受到网络犯罪分子和国家支持的行为者的攻击。恶意网络活动可能造成停电、饮用水污染、交通网络中断和人员伤亡等后果。此类中断可能给组织造成重大财务和声誉损失,并降低人们对机构的信任度。
在灾害方面,气候变化使极端天气事件的频率、强度和不可预测性不断增加,对交通网络、电信系统和能源基础设施等物理关键基础设施资产造成巨大压力。如果没有采取适当措施减轻和适应气候变化的影响,这些资产将面临越来越频繁的中断和灾难性故障的风险。
适应不断变化的关键基础设施威胁形势
为了应对当前和未来的威胁挑战,关键五个国家必须调整其手段,通过以下方式确保关键基础设施的安全和弹性:
🧿现代化政策;
🧿审查关键基础设施的定义和行业组成;
🧿开发更强大的信息共享工具和合作机制。
政策现代化
自 2014 年以来,关键五个国家在保护和确保其关键基础设施安全方面取得了显著的政策和计划进步。
澳大利亚
2018 年,澳大利亚实施了其主要关键基础设施安全立法,即《2018 年关键基础设施安全法案》(SOCI 法案)。此后,该法案经过多次修订,以应对新出现的威胁。SOCI 法案旨在通过涵盖对澳大利亚至关重要的行业和资产类别来加强关键基础设施的安全性和弹性。它为 11 个关键基础设施行业提供了基本安全级别,并对负责关键基础设施资产的实体规定了多项义务,包括:
🧿有能力对澳大利亚最重要的关键基础设施资产(即具有国家意义的系统)施加加强的网络安全义务。这些资产一旦受到破坏,可能对澳大利亚社会和国家安全产生重大连锁影响;
🧿向内政部管理的关键基础设施资产登记处报告运营和所有权信息;
🧿建立关键基础设施风险管理计划,要求实体识别并减轻关键基础设施资产的人员、物理或自然、网络和供应链风险;
🧿要求向澳大利亚网络安全中心的 ReportCyber 门户网站报告网络安全事件;
🧿响应性政府援助措施,允许政府支持行业应对严重的网络事件。
可信信息共享网络 (TISN) 成立于 2003 年,是澳大利亚政府与行业就关键基础设施进行合作的主要机制。它汇集了关键基础设施社区的利益相关者,包括关键基础设施所有者和运营商、供应链实体、主题专家和各级政府。成员定期在行业团体内和跨行业团体举行会议,旨在提高关键基础设施的安全性和弹性。澳大利亚还开发了一个 TISN 参与平台,这是一个在线平台,可提供更灵活的环境来支持 TISN 参与活动。
2023 年关键基础设施恢复力战略(简称“战略”)提供了一个国家框架,指导澳大利亚加强关键基础设施的安全性和恢复力。该战略是在与关键基础设施社区协商后制定的,并得到 2023 年关键基础设施恢复力计划的支持,将指导澳大利亚 2023 年至 2028 年的关键基础设施利益。
2023 年 11 月,澳大利亚发布了《2023-2030 年澳大利亚网络安全战略》。根据该战略的“第四盾”,政府承诺通过以下方式保护澳大利亚的关键基础设施和重要政府系统,使其能够抵御网络攻击并从中恢复:
🧿明确《SOCI法案》的应用,确保关键基础设施实体保护其数据存储系统,托管服务提供商提升其安全设置;
🧿通过与业界合作设计电信提供商的安全义务并探索将网络安全监管作为航空和海事领域扩展要求的一部分的方案,提供最佳实践指导、演习和监管设置建议;
🧿通过探索指示实体采取具体行动来管理具有全国重大意义的事件后果的权力,建立一个框架来确保遵守安全义务并捕获网络事件的次生后果;
🧿加快实施澳大利亚最相互依存、最重要的关键基础设施,以支持政府与国家重要系统实体之间建立定制的、以成果为重点的伙伴关系;
🧿通过让国家网络安全协调员监督整个政府的网络安全实施和报告,并对政府机构的网络成熟度进行审查,提升政府网络安全,将澳大利亚政府定位为世界级的值得信赖的数字政府;
🧿通过扩大由国家网络安全协调员领导的国家网络安全演习计划,对国家防御进行压力测试,以确定网络防御中的漏洞并制定事件响应手册。
加拿大
加拿大正在对其关键基础设施的方法进行现代化改造。2022 年,加拿大就其 2009 年国家关键基础设施战略启动了公众咨询,为保护关键基础设施的决策提供参考。在继续制定关键基础设施保护的修订政策方法的同时,加拿大政府还提出了立法并实施了旨在应对关键基础设施威胁的政策。
加拿大已采取措施改善其网络安全,包括关键基础设施的网络安全。2018 年,加拿大推出了国家网络安全战略 (NCSS),旨在提高网络安全和弹性、支持网络创新并促进利益相关方之间的合作。NCSS 促使成立了加拿大网络安全中心,该中心与国内外合作伙伴密切合作,是网络安全方面的可靠资源。它还成立了加拿大皇家骑警 (RCMP) 的国家网络犯罪协调组,以扩大皇家骑警调查网络犯罪的能力。由于数字基础设施的快速发展,加拿大目前正在更新其 NCSS。
2022 年,加拿大提出了 C-26 法案,截至本文撰写时,该法案正在下议院委员会审议中。C-26 法案包括《关键网络系统保护法案》,该法案将指定四个优先领域(即能源、金融、电信和交通运输)的联邦监管实体保护其关键网络系统。如果颁布,该法案将创建一个指定关键基础设施实体的登记册,这些实体将受到网络安全义务的约束。
为了应对经济安全威胁,加拿大正在对《加拿大投资法》进行修订,这将提高加拿大在投资方面的知名度,提高透明度,支持投资者更大的确定性,并确保加拿大拥有强大的权力在必要时迅速采取行动。主要修订包括在规定商业领域实施投资之前的新申报要求,改善与国际同行的信息共享,扩大部长权力以延长对投资的国家安全审查,在国家安全审查期间施加条件,并接受承诺以减轻国家安全风险。
与此同时,随着威胁迅速演变,加拿大正在探索更新其应对外国干涉的工具的方案。作为 2023 年 11 月启动的公众咨询的一部分,就加拿大几项法律的潜在修订征求了意见,其中包括:
🧿《信息安全法》中新增外国干涉罪;
🧿更新《刑法》中的破坏罪行,以加强对故意破坏关键基础设施行为的威慑;
🧿在《加拿大证据法》中引入涉及敏感信息的案件审查机制;
🧿修改《加拿大安全情报局法》,赋予加拿大安全情报局向加拿大政府以外的人士披露敏感信息的权力。
2023 年,加拿大还发布了首份国家风险概况公开报告,这是加拿大第一份战略性国家级风险评估报告。该报告基于加拿大全社会利益相关者的意见和证据,为了解加拿大人面临的三大最昂贵灾害(地震、野火和洪水)的灾害风险奠定了基础。它旨在提高公众对灾害风险的认识,找出加拿大国家级应急管理系统的差距,并提供证据支持现有的联邦风险评估和气候变化适应工作。
加拿大还努力从战略上减少气候变化带来的风险。2022 年,加拿大推出了第一个国家适应战略。国家适应战略的一个主要目标是确保加拿大所有基础设施系统都具有气候适应能力,并不断适应未来的影响,为全社会提供可靠、公平和可持续的服务。国家适应战略旨在将气候变化适应能力纳入所有新的联邦基础设施资助计划,并确保提供强有力的指导、规范和标准,涵盖关键公共基础设施系统面临的最大气候变化风险。
新西兰
新西兰致力于提高关键基础设施的恢复力,这体现在一系列战略和政策中,其中包括:
🧿新西兰首个基础设施战略“Rautaki Hanganga o Aotearoa 2022”建议采取协调一致的方法来管理基础设施恢复力风险;
🧿新西兰首个《国家适应计划》(2022 年),其中列出了一系列行动,使关键基础设施资产所有者能够采取必要的行动,保持对气候变化影响的抵御能力,并适应不断变化的气候;
🧿2023 年国家安全战略将弹性关键基础设施列为关键经济安全目标;
🧿国家网络安全战略优先支持关键基础设施建设网络弹性并保护其系统的安全。
根据这些国家战略提供的方向,新西兰正在努力更新其设置,以提供更具弹性的关键基础设施系统,包括:
🧿改善基础设施投资的资金和融资渠道;
🧿提升基础设施部门的资产管理方法,以改善服务交付;
🧿制定气候适应框架,支持投资决策、成本分摊和气候风险管理;
🧿简化资源管理流程;
🧿建立标准化、健全的方法来考虑土地利用规划中的自然灾害风险。
新西兰还在考虑一种新的基于系统的监管方法,该方法将补充现有的行业监管,为所有关键基础设施提供一套全面的弹性要求。这项监管改革的目的是更好地定位关键基础设施系统,以管理所有危害和威胁(包括长期存在的自然灾害风险、气候变化的影响和日益严重的国家安全威胁)。2023 年征求意见的新监管方法的潜在特点包括:
🧿加强政府与关键基础设施之间关于危害、威胁和脆弱性的信息共享,使关键基础设施实体能够做出明智的投资决策;
🧿政府收集有关所有权和控制权以及网络事件等信息,以增强政府对关键基础设施实体所面临的脆弱性和威胁的认识;
🧿可执行的最低弹性标准,以减少可能扰乱关键基础设施系统基本服务交付的不利事件发生的可能性和影响;
🧿最后的手段是,政府介入权力,支持关键基础设施实体管理重大国家安全威胁(例如网络事件)。
更广泛地说,2021 年,《海外投资法》进行了修订,以增强新西兰政府管理海外投资关键基础设施所带来的国家安全和公共秩序风险的能力。这包括有能力审查对多个关键基础设施领域的投资,无论投资金额或获得的股权金额如何。
英国
自 2014 年以来,英国调整并发展了其关键国家基础设施方法,并于 2015 年增加了太空和国防两个新领域。
2018 年,英国制定了一套新的系统思维方法,即关键性流程,用于识别和分类关键基础设施资产及其支持系统。这种新的标准化方法使人们对英国最关键的基础设施有了一致且共同的理解。
英国在关键性流程的基础上创建了一个新的数字工具,即关键国家基础设施 (CNI) 知识库。知识库收集关键性信息,允许风险所有者在地图或网络图上查看关键国家基础设施,并可视化资产之间的相互依赖性和关系,以了解风险的潜在连锁影响。这两种工具对于支持英国政府提供有针对性和实用的指导以做出更明智的风险管理决策至关重要。
此外,为了将复原力纳入政策制定,英国政府于 2022 年 12 月发布了《复原力框架》,这是英国政府首次阐述其复原力战略方针。该框架侧重于复原力的基本构成要素,使英国政府能够更好地预防、减轻、应对和恢复国家面临的风险。在《复原力框架》中,英国政府承诺在 2030 年前引入 CNI 标准。2023 年《复原力框架更新》(于 2023 年 12 月 4 日发布)重点介绍了各项复原力承诺所取得的进展。
此外,英国通过了《2021年电信(安全)法案》,该法案对电信行业提出了更严格的安全相关责任和义务。该法案要求电信提供商采取措施识别和保护其网络免受网络威胁,并为未来的风险做好准备。同年,英国还推出了《国家安全和投资法案》,该法案使英国能够识别和管理对国家安全的投资风险,包括关键基础设施。
英国认识到网络发展对英国 CNI 的重要性,于 2022 年实施了《国家网络战略》。该战略加强了英国的网络安全,使英国能够满怀信心地追求和促进利益。特别是,《国家网络战略 2022》为 CNI(私营和公共部门)设定了成果,以更好地了解和管理网络风险,同时最大限度地减少网络事件发生时的影响。
英国还于2023年公布了新的“新定位、导航和授时”(PNT)框架,其中包括在现有PNT服务不可用时的危机计划,以及成立专门的政府部门,以确保关键服务能够不中断地运行。
此外,还成立了两个新的技术机构,以支持和提高关键国家基础设施的安全性和弹性。2016 年,英国成立了国家网络安全中心,以提供统一的国家网络威胁应对措施。2023 年,英国成立了国家保护安全局,为包括关键基础设施利益相关者在内的敏感部门提供专家级、情报主导的建议。
美国
自2014年以来,美国关键基础设施安全和恢复力原则已转向集中国土安全部和网络安全和基础设施安全局(DHS/CISA)来管理整个联邦政府的联合和跨部门协调,设立可衡量的风险降低目标,并应对紧急的战略威胁。
2015年,美国开始发布行业特定计划,为每个行业设定目标和优先事项,以应对其当前的风险环境,例如网络与物理安全之间的联系、各行业之间的相互依存关系、与气候变化相关的风险、老化和过时的基础设施,以及确保即将退休的劳动力连续性的必要性。
2018 年 11 月,美国通过了《网络安全和基础设施安全局法案》,认识到物理世界和网络世界的融合,将国土安全部的国家保护和计划局重新指定为 CISA。CISA 利用综合安全方法与各级企业、社区和政府合作,帮助美国的关键基础设施更能抵御网络和物理威胁。作为关键基础设施安全和弹性的国家协调员,CISA 协调国家努力管理关键基础设施的物理风险,并与拥有和运营该国大部分关键基础设施的政府和私营部门利益相关者合作。
《2021财年国防授权法案》将先前在总统政策指令21(PPD-21)中定义的行业特定机构编入行业风险管理机构(SRMA);并授权国土安全部和SRMA如何相互合作以保护关键基础设施。
2024 年 4 月 30 日,白宫发布了《关于关键基础设施安全和恢复力的国家安全备忘录》(NSM-22)。这份备忘录以国土安全部/CISA 和联邦政府各机构十多年来与美国关键基础设施社区合作开展的重要工作为基础。它还取代了十多年前发布的关于关键基础设施安全和恢复力的总统政策指令 21 (PPD-21),旨在制定关键基础设施安全和恢复力的国家政策。自 PPD-21 发布以来,威胁环境发生了重大变化,从反恐转向战略竞争、人工智能等技术的进步、民族国家行为者的恶意网络活动以及加强国际协调的需要。威胁形势的变化,加上联邦政府对美国关键基础设施的投资增加,促使有必要更新 PPD-21 并发布新的备忘录。
NSM-22 将帮助确保美国关键基础设施能够为国家提供强大而创新的经济,保护美国家庭,并在灾难发生前增强集体抵御能力,为子孙后代增强国家实力。本 NSM 具体包括:
🧿授权国土安全部协调全国努力,确保美国关键基础设施的安全,由 CISA 担任美国关键基础设施安全和弹性国家协调员。国土安全部长必须向总统提交一份两年一次的国家风险管理计划,总结美国政府为减轻国家关键基础设施风险所做的努力。
🧿重申指定 16 个关键基础设施部门,并设立负责管理每个部门风险的联邦部门或机构。
🧿提升关键基础设施部门内部及跨部门最低安全和弹性要求的重要性,这与国家网络战略相一致,该战略承认在当前威胁环境下自愿进行风险管理方法的局限性。
关键基础设施的定义和行业构成
虽然关键基础设施的定义在关键五国之间可能略有不同,但自 2014 年共同叙述发布以来,关键的基本共性并没有发生重大变化。
“关键基础设施,也称为关键国家基础设施,可以广泛定义为提供基本服务并对各自国家的国家安全、经济安全、繁荣和健康安全所必需的系统、资产、设施和网络。”
这一定义继续支持形成一个共同框架,以塑造关键基础设施方面的国际参与。
所有关键五国均继续采用基于部门的方法。这有利于利益相关方之间的部门和跨部门合作,并可用作高级分析框架,用于确定关键服务和功能以及支持这些服务和功能的资产和系统。一些国家还确定了关键基础设施的子部门,或优先考虑特定重要资产和系统,以提供更强有力的保护。
新兴的国家和经济安全威胁以及快速的技术进步促使关键五国扩大对关键基础设施的理解。一些关键五国的额外关注和努力领域包括:
🧿高等教育与研究:在培养熟练劳动力、技术创新和经济增长方面发挥着至关重要的作用。它还推动了对关键基础设施至关重要的新技术的发展,例如医疗保健和信息技术;
🧿数据存储:数据存储是个人、企业和政府的一项基本服务。当大量关键信息存储在云中时,关键基础设施利益相关者访问关键信息也至关重要;
🧿太空:对源自太空资产的数据和服务的依赖(例如全球导航卫星系统提供的定位、导航和授时服务)以及太空资产面临的独特威胁环境,促使一些关键五 个成员考虑将太空视为一个独立的领域。
随着技术和威胁形势的变化,行业构成也将继续演变,确保最基本的服务受到适当的监管要求和其他保护。
开发更强大的信息共享工具和合作机制
五国重视与关键基础设施所有者和运营商以及国家、地区和地方政府部门的合作和信息共享。通过多种形式(例如参与论坛和基于网络的信息共享平台),行业利益相关者和政府可以就评估和确定基础设施的关键性、确定跨部门依赖关系以及制定管理常见风险脆弱性的最佳实践等主题开展合作。
行业和政府参与论坛支持关键基础设施社区的伙伴关系建设和信息共享。例如,新西兰通过国家级生命线委员会和地区生命线小组以及国家网络安全中心促进的特定行业信息交流进行参与,而英国则举办由关键国家基础设施和系统领导政府部门和国家保护安全局领导的行业论坛。
提高认识和宣传活动,例如美国和澳大利亚每年举办的基础设施安全月、美国关键基础设施伙伴关系咨询委员会、网络安全咨询委员会和国家基础设施咨询委员会,都被用来推广可帮助关键基础设施所有者和运营商建立安全性和弹性的资源和工具。在未来几年,关键五国打算共同举办一个官方品牌的关键基础设施安全关注和行动月。
最后,一些关键五国使用基于网络的信息共享平台,让行业和政府在安全的环境中及时共享信息,例如澳大利亚的可信信息共享网络参与平台和加拿大的关键基础设施信息网关。
过去十年,随着危险和威胁环境的快速发展,关键五国一直在调整其政策方针。气候变化、网络威胁和日益严重的国家安全风险促使所有关键五国引入或考虑改变关键基础设施的构成,以及关键基础设施提供商可用的监管和非监管工具,以增强其弹性。这表明,集体投资于关键基础设施的弹性至关重要,因为如果未能做到这一点,一旦发生中断或服务中断,可能会付出不必要的代价。
关键五国继续就共同关心的问题分享知识、经验和专长,这将使这个共同体更好地应对日益增长和演变的风险。随着我们在共同关心的关键问题上继续相互学习,关键五国论坛之间的紧密关系已被证明是宝贵的。
关键五国关键基础设施信息表
澳大利亚关键基础设施的定义:
关键基础设施是指物理设施、系统、资产、供应链、信息技术和通信网络,这些设施、系统、资产、供应链、信息技术和通信网络一旦遭到破坏、性能下降、受损或长期无法使用,将对澳大利亚作为一个国家、其各州或领地的社会或经济福祉产生重大影响,或影响澳大利亚进行国防和确保国家安全的能力。
行业列表:
🧿活力
🧿通讯
🧿数据存储或处理
🧿国防工业
🧿金融服务和市场
🧿食品和杂货
🧿医疗保健
🧿高等教育和研究
🧿太空技术
🧿水和污水处理
🧿运输
管理关键基础设施安全和弹性的政策方法:
澳大利亚的关键基础设施安全已立法。澳大利亚的关键基础设施政策和框架由内政部管理,部分监管内容由其他澳大利亚政府机构负责。
内政部负责《2018 年关键基础设施安全法案》,这是与关键基础设施安全相关的主要立法。其他关键基础设施安全框架包括:
🧿2004 年《航空运输安全法》,保护澳大利亚民航基础设施免受非法干扰行为(主要是恐怖主义)的侵害;
🧿2003年《海上运输和海上设施安全法》保护澳大利亚民用海上运输和海上设施免受非法干扰行为(主要是恐怖主义)的侵害;
🧿1997 年《电信法》第 14 部分正式规定了政府和工业界之间的信息共享安排,以更好地保护澳大利亚网络免受破坏、间谍活动和外国干涉行为。
利益相关方参与计划和支持:
与行业合作是澳大利亚关键基础设施安全和弹性模型的核心。自 2022 年底以来,澳大利亚一直在大力扩展与业主和运营商合作的方式,以帮助他们管理风险并提高合规性。这包括主办澳大利亚首届网络和基础设施安全会议和关键基础设施安全月;尝试新的媒介和形式——例如:网络研讨会、市政厅和播客;为业主和运营商推出专门的社交媒体形象;举办面对面的“最佳实践社区”活动;并规划与企业领导人、公司董事和董事会成员的互动计划。
可信信息共享网络 (TISN) 是澳大利亚各级行业和政府参与和加强关键基础设施安全性和弹性的平台。除了安全的在线平台外,TISN 还由行业小组组成,使关键基础设施所有者和运营商能够共享有关威胁和漏洞的信息,并就减轻风险和提高弹性的适当措施进行合作。2023 年,TISN 的成员数量翻了一番。
澳大利亚定期发布一系列风险评估材料,帮助业主和经营者了解威胁环境,并鼓励业主和经营者批判性地思考他们的风险敞口。
澳大利亚国家网络安全演习计划办公室优先与关键行业开展演习。这些演习旨在测试在发生影响行业并需要与政府互动以管理连带后果的网络安全事件时已建立的流程。这些演习是协作式、基于讨论的演习,旨在展示在发生事件时改进和进一步协调的机会。
加拿大关键基础设施的定义:
《国家关键基础设施战略》将关键基础设施定义为对加拿大人的健康、安全、保障或经济福祉以及政府有效运作至关重要的流程、系统、设施、技术、网络、资产和服务。关键基础设施可以是独立的,也可以是各省、地区和国家边界内和跨省、地区和国家边界相互关联和相互依存的。
行业列表:
🧿能源和公用事业
🧿金融
🧿食物
🧿政府
🧿健康
🧿信息和通信技术
🧿制造业
🧿安全
🧿运输
🧿水
管理关键基础设施安全和弹性的政策方法:
加拿大目前的做法是遵循《国家关键基础设施战略》及其附带的三年行动计划。《国家战略》于 2009 年发布,对关键基础设施进行了定义并创建了 10 个部门。加拿大公共安全部提供中央治理和政策协调功能,而各个部门网络(特定部门内的一组公私利益相关者)则由负责的联邦领导部门和机构组织。加拿大对关键基础设施安全和弹性的做法是基于协作、自愿的行动和参与,从信息共享到工具和计划。
利益相关方参与计划和支持:
加拿大为其关键基础设施利益相关方提供各种参与计划和支持。例如,加拿大与内部和外部合作伙伴密切合作,通过以下方式增强关键基础设施的弹性:
🧿通过各种参与机制开展公私部门合作,例如促进跨部门网络信息共享的国家跨部门论坛;
🧿领导联邦部门和联邦-省-地区工作组召集代表,就全灾害和跨部门问题进行合作;
🧿与利益相关者共享信息以支持风险管理行动,包括通过加拿大关键基础设施信息网关(一个安全的信息共享平台),与内部和外部合作伙伴合作加强关键基础设施网络安全,包括通过培训和威胁简报;
🧿为支持关键基础设施规划和响应工作而进行的演习;
🧿通过在线和现场评估来识别/解决漏洞,并帮助所有者和运营商从全灾害角度增强其组织的安全性和弹性。
新西兰关键基础设施的定义:
截至 2024 年 1 月,新西兰尚无关键基础设施的立法定义——最接近的是 2002 年《民防应急管理法》附表 1 中目前被列为“生命线公用设施”的实体。
为反映不断变化的技术和风险形势,新西兰政府正在考虑采用基于新原则的关键基础设施定义,作为增强新西兰关键基础设施系统弹性的更广泛工作的一部分。
行业列表:
🧿广播
🧿活力
🧿电信
🧿运输
🧿水(淡水、废水和雨水)
管理关键基础设施安全和弹性的政策方法:
新西兰主要根据行业对关键基础设施实体进行监管。这些行业监管制度往往侧重于安全性、保障性和可负担性,而这些方面往往与弹性重叠。
这种分行业的做法有有限的例外,最明显的是与应急准备和响应有关。《2002 年民防应急管理法》要求生命线公用事业“确保在紧急情况期间和之后能够最大限度地发挥作用,即使可能处于低水平”,但这不是一项可强制执行的要求。
利益相关方参与计划和支持:
新西兰政府机构支持关键基础设施所有者和运营商通过提高认识和能力建设,为潜在危险和威胁做好准备,并减轻其后果。例如:
🧿国家紧急事务管理局在降低风险方面发挥领导作用,其中一部分工作是与生命线公用事业部门合作管理部门的准备、响应和紧急情况的恢复;
🧿美国国家水与大气研究所和地震委员会 Toka Tū Ake EQ 提供有关自然灾害暴露的信息,包括岩土和实时自然灾害数据;
🧿国家网络安全中心隶属于政府通信安全局,直接与关键基础设施所有者和运营商合作,提供指导、威胁警报和专业技术能力,以提高他们的网络弹性。国家网络安全中心还帮助关键基础设施应对重大网络安全事件并从中恢复。
除了政府机构提供的支持外,新西兰生命线委员会(由政府和私营部门的代表组成)还致力于连接各个部门的关键基础设施所有者和运营商,并促进与一系列利益相关者的合作,致力于提高新西兰基础设施的弹性。
英国关键基础设施的定义:
关键国家基础设施(CNI):英国政府的官方定义是:“基础设施的关键要素(即资产、设施、系统、网络或流程,以及操作和促进它们的重要工作人员),其损失或受损可能导致:
对基本服务的可用性、完整性或交付造成重大不利影响 - 包括那些其完整性一旦受到损害可能导致重大生命损失或伤亡的服务 - 考虑到重大的经济或社会影响;和/或对国家安全、国防或国家运转产生重大影响。”
行业列表:
🧿化学品
🧿民用核能
🧿通讯
🧿防御
🧿紧急服务
🧿活力
🧿金融
🧿食物
🧿政府
🧿健康
🧿空间
🧿运输
🧿水
管理关键基础设施安全和弹性的政策方法:
英国内阁办公室和各权力下放的政府负责为本国提供总体治理和跨部门政策指导。就英国关键国家基础设施监管而言,英国政府监管的是分散的、由各部门主导的 CNI 模式。每个部门都由相关的牵头政府部门监管,而内阁办公室、国家技术当局、监管机构、所有者和运营商以及权力下放的政府等不同利益相关方都在英国 CNI 格局的运作中发挥着特定的作用。
由于牵头政府部门负责各自的部门,因此它们制定自己的指导方针、法规和立法,以支持保护和加强 CNI 的安全性和弹性。内阁办公室还负责实施总体法案、立法、战略和框架,以支持各部门,并在 CNI 各部门之间实现连贯性和一致性。
由于英国由四个不同的立法机构和行政机构组成,每个机构拥有不同的权力范围,因此 CNI 方法在权力下放政府和英国之间可能有所不同。但是,苏格兰、威尔士、北爱尔兰和英国四个政府合作,以确保政策方法和立法互补。关键国家基础设施的政策方法有所不同,因为有些领域部分保留(英国政府),而有些方面和部门则下放(苏格兰、威尔士和北爱尔兰政府)。
利益相关方参与计划和支持:
CNI 部门参与由牵头政府部门和权力下放的行政部门牵头。牵头政府部门在各个部门的做法可能有所不同,但包括行业论坛、一对一参与或一对多指导。技术机构(如国家网络安全中心和国家保护安全局)向关键国家基础设施系统所有者和运营商提供最佳实践安全指导和建议,包括与行业举办信息交流论坛。
2023 年 6 月,英国政府公布了有史以来最透明的国家风险登记册,其中包括机密国家安全风险评估中的所有信息,除非出于国家安全或商业原因无法发布。该文件旨在为国家和地方层面的正式应急计划责任人提供详细信息。风险透明化方法意味着,从风险从业者到学者,每个人现在都可以直接看到英国政府如何识别和评估风险。
在 2023 年年度声明中,我们还宣布成立新的英国复原力学院 (UKRA)。UKRA 将提供培训,并在制定复原力学习标准方面发挥主导作用;创建和推广良好实践指导文件,并定期召集复原力从业者以鼓励合作。
美国关键基础设施的定义:
根据 2001 年《爱国者法案》,美国将关键基础设施定义为对美国至关重要的系统和资产,无论是实体的还是虚拟的,以至于此类系统和资产的丧失功能或遭到破坏将对国家安全、国家经济安全、国家公共卫生或安全,或上述事项的任何组合造成严重影响。
行业列表:
🧿化学
🧿商业设施
🧿通讯
🧿凯睿德制造
🧿水坝
🧿国防工业基地
🧿紧急服务
🧿活力
🧿金融服务
🧿食品和农业
🧿政府设施和服务
🧿卫生与公共卫生
🧿信息和技术
🧿核反应堆、材料和废料
🧿运输
🧿水和废水
管理关键基础设施安全和弹性的政策方法:
在美国,关键基础设施安全建立在政府和私营企业之间的合作伙伴关系之上,这种合作伙伴关系结合了政策实施、监管和自愿行动来管理风险。公共和私营实体都拥有并运营国家的关键基础设施。保护国家关键基础设施的努力需要全政府的方法以及多个政府间和行业利益相关者之间的协调与合作。2018 年《网络安全和基础设施安全局法案》(CISA)要求 CISA 局长“协调全国努力,以确保和防范关键基础设施风险”,并符合全面的国家计划(目前为《国家基础设施保护计划 2013》)。
实现政策目标的责任分散在多个联邦机构,这些机构的法定职责是“行业风险管理机构”。16 个关键基础设施行业均设有指定的行业风险管理机构,其权限、专业知识和能力与该行业相符。
现有的国家基础设施安全框架为整合政府和行业的信息和专业知识提供了一种合作伙伴关系模式。联邦政府与关键基础设施部门合作,通过使用双向威胁信息共享、真实演习、事件响应培训和指导、联邦主导的风险评估和分析以及主题专业知识等工具和资源,确保国家基础设施的安全性和弹性。积极与公共和私营部门合作伙伴合作,为这一国家框架及其相关工具和资源提供信息,这些合作伙伴依靠这些工具和资源来确保其系统和资产的安全。
利益相关方参与计划和支持:
美国已经制定并实施了众多信息共享计划,以推广有助于我们的合作伙伴建立安全和弹性的资源和工具。这些计划包括宣传和推广活动,例如每年的网络安全宣传月、每年的关键基础设施安全和弹性月,以及提供合作伙伴工具包的更广泛的国家宣传计划。这些计划允许与私营部门以及州、地方、部落和领土政府共享实质性信息。
美国通过 CISA 与国际合作伙伴建立关系,以促进全球范围内的协作信息共享、网络安全最佳实践和伙伴关系模式,因为人们认识到网络安全威胁行为者不受地理边界的限制。此外,网络创新研究员计划为来自私营部门的高级技术专家提供了一个机会,他们可以申请加入 CISA 的网络安全团队,以促进他们的专业发展,并受益于 CISA 不断扩大的任务空间。美国还设有各种公私伙伴关系理事会和委员会,致力于提高国家关键基础设施的安全性和弹性。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...