美国关键基础设施政策 研究专报 系列合集 路云天网络安全研究院第1—12期更新于2022年10月8日 序言 环顾全球，网络安全形势仍十分严峻，各国在网络空 间展开激烈博弈。关键信息基础设施是我国经济社会运行 的神经中枢，发挥着基础性、全局性、支撑性作用，因此 保护好关键信息基础设施是网络安全的重中之重。网络安 全是开放的而不是封闭的，维护关键信息基础设施网络安 全要有全球视野和开放心态，因此有必要关注其他国家的 做法。美国从1996年颁布第13010号行政令《关键基础设 施保护》政策开始，全面加强关键基础设施保护安全工作 已有二十六年的历史，是值得我们关注的重点对象。通过 开展美国关键基础设施保护政策的研究，旨在进一步更好 的学习美国关键基础设施保护的理念与经验，思考关键基 础设施保护工作路径，少走弯路。美国关键基础设施政策研究专报第1期： 美国二十五年来关键基础设施保护政策演进 发布日期：2021年12月10日 通过对二十五年来发布的相关政策文件的研究，我们 将美国关键基础设施保护分为四个阶段，即“定目标、划 范围、建体系、强执行”。1996年到2003年，探索关键基 础设施保护，提出可用性、安全性和快速恢复性目标； 2003年到2013年，重视物理与网络空间安全保护，确定关 键基础设施范围；2013年到2018年，明确进入网络安全时 代，构建关键基础设施保护体系；2018年至今，加强法规 政策和建议指导的发布,强化关键基础设施保护落地执行。 纵观美国关键基础设施保护政策发展，可以得到以下 重要启示。一是关键基础设施识别认定是一个长期动态的 过程。二是关键基础设施保护应加强关键基础设施保护的 安全信息共享和统筹协调工作。三是关键基础设施保护应 加强对关键基础设施运营者的指导和监督工作。 美国关键基础设施政策研究专报第2期： 美国关键基础设施保护时代开启——第13010号行政 令《关键基础设施保护》解读 发布日期：2022年12月29日 1996年7月15日，美国克林顿政府颁布第13010号行 政令《关键基础设施保护》，首次提出关键基础设施的概念及重要作用，初步划定关键基础设施范围，决定成立关键 基础设施保护机构，美国关键基础设施保护时代正式开启。 研究专报分别从历史背景、主要内容和重要意义三个方面 对美国克林顿第13010号行政令《关键基础设施保护》进行 了解读，该行政令正式将关键基础设施重要性提升到国家 安全高度，要求成立调研咨询组织向总统汇报关键基础设 施脆弱性和保护方面的咨询意见。 回顾美国关键基础设施保护的发展历程，美国克林顿 政府第13010号行政令《关键基础设施保护》的发布具有重 大历史意义。一是首次提出关键基础设施的概念及重要作 用。二是提出关键基础设施保护的安全信息共享和统筹协 调机制。三是迅速成立专门机构对关键基础设施保护进行 研究。 美国关键基础设施政策研究专报第3期： 美国关键基础设施保护方向指引——1997年《保护 美国基础设施》报告解读 发布日期：2022年2月17日 基于1996年美国13010号行政令《关键基础设施保护》 成立的“总统关键基础设施保护委员会”，经过近15个月 的调研、分析和评估，于1997年10月向克林顿总统提交 了一份长达200页的研究报告——《保护美国基础设施》。 这份报告详细阐述了美国关键基础设施的重要性及面临的脆弱性威胁，并以不同方式思考了美国关键基础设施保护 的未来。报告提出了美国关键基础设施保护的三大“行动 的理由”和八大“行动的策略”，具有前瞻性的方向指引， 为美国日后的关键基础保护工作发挥了重要的灯塔作用。 1997年《保护美国基础设施》报告强调关键基础设施 保护重要性，将网络攻防对抗提升到战争层面；提出公私 合作伙伴关系必要性，将信息共享作为合作的重要基础； 指明了关键基础设施保护方向，为美国政府下一步决策提 供依据。报告中提出的关键基础设施保障的政府组织架构 建议，直接推动了美国第63号总统令的发布，为美国日后 的关键基础设施保护奠定了良好基础。 美国关键基础设施政策研究专报第4期： 美国关键基础设施保护工作组织架构——1998年第 63号总统令《关键基础设施保护》解读 发布日期：2022年3月16日 1998年5月22日，美国克林顿总统基于1997年《保 护美国基础设施》报告建议，颁布第63号总统令《关键基 础设施保护》。该总统令提出了关键基础设施保护工作的组 织架构，成立国家基础设施保护委员会、关键基础设施协 调组、国家基础设施保护中心、信息共享和分析中心等机 构，明确了财政部、司法部、国防部、商业部、交通部、 能源部、中央情报局、联邦应急管理局、联邦调查局、国家安全局等相关部门的责任与义务。此外，该指令还制定 了一个国家目标，即美国联邦政府及相关责任部门、州和 地方政府、私营部门应该各司其职，在2003年之前拥有保 护国家基础设施的能力。 1998年63号总统令第一次确定了美国关键基础设施保 护工作的组织架构，形成了整套的管理体系，正式系统化 开启关键基础设施保护工作。通过分析可得主要要点如下： 一是重视私营部门的合作，要求保障私营部门利益；二是 制定行业“国家基础设施保护计划”，强调行业全面协调； 三是构建国家预警和信息中心，加强安全信息共享。 美国关键基础设施政策研究专报第5期： 强制关键基础设施网络事件报告，加强勒索软件攻 击应对措施——美国《2022年关键基础设施网络事 件报告法案》解读 发布日期：2022年4月2日 2022年3月15，美国总统拜登签署通过了《2022年综 合拨款法案》，这是美国第177届国会第二次年度会议上通 过的系列法案，总共斥资136亿美元用于应对俄乌冲突对国 家的影响，主要由34个独立法案组成。其中的《2022年关 键基础设施网络事件报告法案》(CyberIncidentReporting ForCriticalInfrastructureACTOf2022)作为美国关键基础设 施保护的重要法案，旨在加强联邦政府与关键基础设施实体以及联邦政府机构之间的网络事件信息共享。该法案的 通过将有助于联邦政府及时获取关键基础设施实体遭受网 络事件和勒索软件攻击的情况，以便及时给予响应，确保 美国政府对关键基础设施网络安全态势的即时感知。 通过分析《2022年关键基础设施网络事件报告法案》， 思考我国关键信息基础设施安全保护工作，建议如下：一 是强化信息共享机制，通过出台相关落地执行的制度政策， 加强政府和关键信息基础设施运营者之间，以及政府各部 门之间有关网络事件的态势信息交流和协调响应；二是重 视勒索软件攻击，通过开展专项研究，提升对勒索软件漏 洞与攻击事件的及时识别和预警，减轻关键信息基础设施 所面临的威胁；三是加强政策法规执行的监督检查，通过 明确时间节点的监督检查机制，确保关键信息基础设施监 督管理部门、安全保护部门和运营者对相关政策法规的落 地执行，真正做实关键信息基础设施安全保护、保障和保 卫工作，维护国家网络空间安全。 美国关键基础设施政策研究专报第6期： 信息时代下美国关键基础设施加强信息系统保护— —2001年第13231号行政令《信息时代的关键基础 设施保护》解读 发布日期：2022年4月21日 2001年10月16日，即9·11事件之后不久，美国布什政府发布13231号行政令《信息时代的关键基础设施保 护》，成立总统关键基础设施保护委员会（PCIPB），全面负 责美国关键基础设施信息系统安全的管理协调工作。针对 信息系统保护的不同职能，PCIPB下设10个常设委员会分 别与私营部门、各州和地方政府以及学术界开展合作，涉 及领域包括信息安全保护协调、事故协调与危机响应、基 础设施相互依存、信息共享、行政部门信息系统安全、研 究与开发、国际信息基础设施保护、执法协调、国家安全 和金融信息系统基础设施安全等。另外，13231号行政令还 建立了国家基础设施咨询委员会（NIAC），与之前成立的总 统国家安全通讯咨询委员会一并组成总统咨询小组，代表 私营产业界向总统提供建议。 二十一世纪初的互联网技术飞速发展，美国关键基础 设施的控制和运行越发依赖信息技术，关键基础设施的信 息系统建设也日益庞大和复杂。9·11事件给美国敲响了警 钟，包括应急通信在内的关键基础设施信息系统在恐怖袭 击中出现了重大的保障协调问题。美国意识到之前充分的 物理防御已经无法完全适应信息时代的关键基础设施保护， 13231号行政令的发布进一步加强了美国关键基础设施信息 系统的安全保护，通过持续强化公私营部门的合作机制， 提供更加广泛和实用的政策建议，使关键基础设施信息系 统安全成为保护重点。美国关键基础设施政策研究专报第7期： 美国新组织架构下的关键基础设施识别、优先排序 和保护——2003年美国第7号国土安全总统令《关 键基础设施识别、优先排序和保护》解读 发布日期：2022年5月12日 2003年12月17日，美国布什政府发布第7号国土安 全总统令《关键基础设施识别、优先排序和保护》，宣布取 代1998年5月22日发布的第63号总统令《关键基础设施 保护》。国土安全总统令重新确定了美国关键基础设施保护 的整体框架，在关键基础设施基础上提出了“重要资源” 的概念，明确了包括国土安全部在内的各联邦机构关于关 键基础设施保护的责任，并重新划分了不同关键基础设施 行业的主管部门。该法令还要求国土安全部与其他联邦机 构协商制定后续的关键基础设施保护国家计划，极大地推 动了美国关键基础设保护体系的建设。 美国第7号国土安全总统令在第63号总统令的基础上 第一次确定了美国关键基础