【精彩连载！】关键信息基础设施安全保护支撑能力白皮书（三）

安小圈

第535期

编者按：

为坚决贯彻落实总体国家安全观，促进关键信息基础设施安全保护（关基保护）领域政产学研用协同创新，服务关基运营者，支撑有关工作部门与运营机构的工作，关保联盟2023年底组织专家特撰写《关键信息基础设施安全保护支撑能力白皮书》。

本白皮书是关于关基保护支撑能力的综合性研究报告。根据关基保护八大能力并结合五大业务场景，基于数据调研分析，对产业侧网络安全产品、技术、服务等在关基保护支撑能力方面进行相关呈现和建议。旨在帮助关基运营者全面了解国内关基保护支撑能力现状，选择最适合的支撑伙伴，加强技术协作，实现联防联控。白皮书还探讨了数字化生态安全构建、风险治理与安全运营策略以及关基保护实战化人才培养等议题，为关基保护工作部门和运营者等相关从业者提供参考。

《关键信息基础设施安全保护支撑能力白皮书》系列文章现已推出，我们将探讨关键信息基础设施的安全挑战和支撑能力解决方案，帮助您更好地了解如何保护信息基础设施的安全性。快来跟随我们一起深入探讨，共同建设安全可靠的数字化世界！敬请期待每周更新的精彩内容！

国外关键信息基础设施安全保护政策与战略

近年来，随着网络技术的飞速发展和普及，关键信息基础设施所面临的网络安全风险愈发显著，特别是在能源、交通、金融以及医疗卫生等重要行业尤为突出。为有效应对不断升级的网络安全挑战，国际社会中的一些主要国家，如美国、德国、英国和俄罗斯等，已经从多个维度出发，包括法律法规的完善、战略政策的制定、技术标准的设定以及管理体系的建立等，采取了一系列全面而系统的措施来强化其国家关键信息基础设施的安全防护。这些不仅显著提升了其信息化产品和服务的安全性能，同时也为全球范围内的关键信息基础设施安全保护积累了丰富的经验和实践案例。

从这些国家的实践中，我们可以汲取宝贵的启示。首先，对关键信息基础设施进行准确认定和分类管理是基础且至关重要的一步；其次，构建一个健全的法律法规体系，明确各相关方的责任和义务，以及确立有效的检测评估、定级等标准规范，是确保网络安全的有力保障；最后，提升对关键信息基础设施网络安全事件的快速响应和高效处理能力，也是维护网络安全不可或缺的重要环节。

（一）美国

关键信息基础设施是国家安全、经济繁荣和社会稳定的基石。自 20 世纪末以来，随着信息技术的飞速发展，关键基础设施面临的网络威胁日益严峻。为此，美国政府制定了一系列关键信息基础设施安全保护政策与战略，旨在确保国家安全和公共利益。以下对美国在该领域的主要政策与战略做一下梳理和分析。

1、克林顿政府时期：关键基础设施保护概念的提出

1996 年，克林顿政府颁布了第 13010 号行政令《关键基础设施保护》，首次提出了关键基础设施的概念及其重要作用，划定了八大关键基础设施领域。该行政令明确指出，针对关键基础设施的威胁分为物理威胁和网络威胁两类，要求所有行政部门和机构与总统关键基础设施保护委员会合作，共享信息、提供协助。此外，行政令还设立了专门工作组，负责关键基础设施保护的协调和执行工作。这一行政令标志着美国关键基础设施保护时代的正式开启。

1998 年，克林顿政府进一步将关键基础设施保护提升到国家安全高度，并颁布了第63 号总统令。该法令明确了相关部门在保护关键基础设施方面的责任与义务，并要求加强公私部门合作，提高保护能力。此举反映了美国政府对于关键基础设施保护的决心和重视。

2、布什政府时期：加强信息系统安全和风险管理

2001 年，布什政府发布了《信息时代的关键基础设施保护》行政令，旨在加强关键基础设施信息系统安全的保护。该行政令要求成立总统关键基础设施保护委员会和国家基础设施咨询委员会等机构，负责协调与信息安全相关的工作。此外，行政令还提出了风险管理战略，鼓励实施风险评估和风险管理措施来保护关键基础设施。

2003 年，布什政府发布了 HSPD-7 总统令《关键基础设施识别、优先排序和保护》，要求各行业主管机构评估基础设施脆弱性并实施风险管理战略。该总统令推动了美国关键基础设保护体系的建设，并明确了政府部门在保护关键基础设施中的职责和作用。

3、奥巴马政府时期：确立信息共享和责任分担机制

2013 年，奥巴马政府发布了第 21 号总统令《关键基础设施安全和弹性》，确立了政府部门之间及政府与关键基础设施所有者和运营者之间的信息共享和责任分担机制。该总统令要求国土安全部负责协调其他联邦部门，确定保护优先级并提供技术支持。同时，各行业特定机构也被赋予了相应的职责和权力。

此外，奥巴马政府还发布了《改善关键基础设施网络安全》行政令等多项政策文件，旨在提高网络安全水平并加强公私合作。这些政策文件要求政府增加与私营部门共享网络威胁信息、开发网络安全框架以降低网络风险等措施来保护关键基础设施网络安全。

4、特朗普政府时期：强调风险管理和市场透明度

2017 年，特朗普签署的第 13800 号总统令《增强联邦政府网络和关键基础设施的网络安全》，美国决定在整个政府机构范围内管理网络风险，并让联邦机构各自负责保护自身网络的安全。该行政令强调了风险管理的重要性，并要求各联邦政府机构采取相应措施来防范IT 和数据被非授权访问、使用或破坏等风险。同时，要求国土安全部和商务部等部门提供更好的市场透明度，以促进网络风险管理实践的发展。还要求相关部门就如何提升国家核心通信基础设施的弹性等问题向总统提供建议报告，并采取具体措施来减少分布式拒绝服务攻击等网络威胁事件的影响。

2018 年，特朗普正式签署了《2018 年网络安全和基础设施安全局法案》。该法案规定了将国土安全部原有的“国家保护与计划局（NPPD）”进行重新组建，成立为新的网络安全和基础设施安全局（CISA），并将 NPPD 的所有资源和职责顺利过渡到这个新机构中。

重大举措标志着美国网络安全管理事务被提升至联邦层面，充分显示了美国政府对网络安全议题的深刻关注。该法案的核心目标是构建一个强大的机构，专门负责捍卫国家的基础设施网络安全，从而进一步加强国土安全部在网络安全领域的职能，为联邦网络和关键基础设施提供更为有效的保护，以抵御各种网络威胁。

5、拜登政府时期：注重网络攻击准备和恢复能力

2021 年，拜登政府发布的《网络安全和基础设施安全局网络演习法案》中要求在网络安全和基础设施安全局内建立国家网络演习计划，以促进对关键基础设施的网络攻击准备和恢复能力；该法案提出了基于风险评估制定演习计划、模拟网络事件以评估应对能力、提供系统的网络准备情况评估以及制定未来行动计划等具体要求。同时，还强调了与行业风险管理机构等相关方进行协商合作的重要性，以及确保演习计划符合实际需求的有效性等方面的考虑因素。这些举措将有助于提升组织对网络事件的准备和响应能力，并确保国家网络安全和稳定发展态势的形成与保持。

总之，美国政府对关键信息基础设施安全保护政策与战略的制定和实施始终保持着高度重视和持续关注的态度，并不断根据时代发展和技术变革进行相应的调整和完善，以适应新的安全挑战和需求变化。这些政策与战略的实施不仅有助于提升组织对网络事件的准备和响应能力，还确保了国家网络安全和稳定发展的态势，为经济繁荣和社会稳定提供了有力保障和支持作用。

（二）欧洲

随着信息技术的迅猛发展和网络空间的不断拓展，关键信息基础设施的安全问题日益凸显。欧洲作为全球经济、政治的重要一极，其关键信息基础设施的安全保护尤为重要。以下将从政策与战略的角度，梳理欧洲在关键信息基础设施安全保护方面的发展与实践。

1、欧洲关键基础设施保护计划的提出与实施

早在 2005 年，欧洲司法和内政委员会就敏锐地意识到了关键基础设施保护的重要性，提出了欧洲关键基础设施保护计划（EPCIP）。该计划于 2007 年获得欧盟委员会的通过，旨在提升欧盟关键基础设施的保护能力。EPCIP 遵循了协助、互补、保密、合作等原则，构建了一个包括识别与认定、促进实施、国家支持、应急响应、外部合作和财政支持在内的全方位保护框架。

2、关键基础设施的识别与评估

为了更有效地保护关键基础设施，欧盟于 2008 年发布了相关指令，明确了关键基础设施的定义，并要求各成员国设立安全联络官，建立风险评估报告制度。该指令推动了各成员国对境内关键基础设施的识别工作，涉及能源、交通、通信、金融等多个领域。同时，各成员国还需就认定的关键基础设施进行讨论，确保信息的准确性。

3、关键信息基础设施服务与资产的识别方法

随着网络安全形势的日益严峻，欧洲网络与信息安全局（ENISA）于 2014 年发布了识别关键信息基础设施服务和资产的方法。此方法提出了基于非关键服务依赖法和关键服务依赖法的识别步骤，为国家驱动和运营者驱动两种识别模式提供了指导。此外，该方法还强调了公共部门与私营部门之间的有效合作，以更全面地识别关键信息基础设施服务和资产。

4、网络安全国家战略与 NIS 指令的实施

为了进一步提升国家层面的网络安全能力，欧盟通过了《网络与信息系统安全指令》（NIS）。该指令要求各成员国制定网络安全国家战略，并加强基础服务运营者和数字服务提供者的网络与信息系统安全。这一指令不仅确立了多层次的合作框架，还规定了各成员国在应对网络安全事件时的通知和响应义务。

5、NIS2 指令的提出与意义

随着网络安全威胁的不断升级，欧盟于 2022 年提出了《关于在欧盟范围内实施高水平网络安全措施的指令》（NIS2 指令）。该指令取代了 2016 年制定的网络安全立法，扩大了适用范围、强化了网络安全要求及供应链安全、强调了监管权及相应法律责任，并改善了成员国之间的合作。NIS2 指令的提出标志着欧洲在关键信息基础设施安全保护方面迈出了新的一步。

综上所述，欧洲在关键信息基础设施安全保护方面的发展与实践表明，政策与战略的引导是推动网络安全工作的重要动力。从 EPCIP 的提出到 NIS2 指令的实施，欧洲不断完善其关键信息基础设施安全保护体系，为全球其他地区提供了宝贵的经验。展望未来，随着技术的不断发展和网络威胁的不断变化，欧洲将继续加强政策与战略的制定与实施，以应对日益严峻的网络安全挑战。

（三）俄罗斯

随着信息技术的迅猛发展，关键信息基础设施的安全问题已成为全球各国共同关注的焦点。俄罗斯作为世界大国之一，在关键信息基础设施安全保护方面采取了一系列重要的政策和战略措施。本文将对这些措施进行详细介绍和分析。

1、国家信息安全学说的提出与演进

早在 2000 年，俄罗斯就通过了《国家信息安全学说》，明确了信息安全的基本内涵、保障国家信息安全的基本思路以及信息安全的威胁种类和主要任务。这一学说为俄罗斯后续的信息安全政策制定提供了重要的理论基础。随着信息安全形势的不断变化，俄罗斯在2016 年颁布了新版的《信息安全学说》，进一步强调了保护公民获取和使用信息的权利与自由，以及使用信息技术保护国家利益的重要性。同时，新版学说还针对信息安全的新威胁提出了相应的战略目标和行动方向。

2、信息社会国家规划的制定与实施

为了推动信息社会的发展，俄罗斯在2010年制定了《信息社会（2011-2020）》国家规划。该规划旨在提高国民生活水平、竞争力以及经济、政治和文化的发展水平，并通过信息和通讯技术完善国家管理体系。规划的实施涉及居民生活质量和商业发展、电子政务和国家管理效力、信息和通讯技术市场、信息社会基础设施等多个领域。通过规划与实施，俄罗斯在信息技术应用、政府管理效率提升以及经济发展等方面取得了显著成果。

3、关键信息基础设施安全法的颁布与执行

为了保障关键信息基础设施在遭受网络攻击时的稳定运行，俄罗斯在2017年颁布了《俄罗斯联邦关键信息基础设施安全法》。该法案明确了关键设施安全保障的原则、国家机关的权利职责以及关键基础设施的分级和安全保障要求。根据法案规定，关键信息基础设施主体需要根据重要性标准进行定级，并报送结果；行政机关则负责检查定级的正确性并制定有差别的安全保障要求。此外，法案还要求联邦行政机关根据关键信息基础设施的重要性等级采取相应的技术措施确保安全。

4、确保技术独立性和安全性的总统令签署与实施

为了进一步保障关键信息基础设施的信息安全，俄罗斯总统普京在 2022 年签署了《关于确保俄罗斯联邦关键信息基础设施的技术独立性和安全性的措施》的总统令。该总统令规定了在关键信息基础设施采购外国软件和服务方面的限制措施，并要求监管机构在未来公布对用于关键基础设施软件的要求以及购买相关服务的规定。同时，总统令还规定了确保优先使用国内无线电、电子和电信设备的具体措施和时间表。这些措施的实施将有助于提升俄罗斯在关键信息基础设施领域的自主可控能力和信息安全水平。

综上所述，俄罗斯在关键信息基础设施安全保护方面已经形成了较为完善的政策与战略体系。从国家信息安全学说的提出到信息社会国家规划的制定与实施，再到关键信息基础设施安全法的颁布与执行，以及确保技术独立性和安全性的总统令签署与实施等一系列举措都表明了俄罗斯对信息安全问题的高度重视和积极应对态度。展望未来，随着技术的不断发展和网络威胁的不断变化，俄罗斯将继续加强政策与战略的制定与实施，以应对日益严峻的信息安全挑战，并努力提升其在全球信息安全领域的地位和影响力。

连载回顾：👇

【原文来源：关键信息基础设施安全保护联盟 】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。