美國(guó)作為網(wǎng)絡(luò)技術(shù)的發(fā)起國(guó)和強(qiáng)大網(wǎng)絡(luò)空間勢(shì)力的擁有國(guó),也是關(guān)鍵基礎(chǔ)設(shè)施保護(hù)起步最早的國(guó)家。美國(guó)國(guó)土安全部作為關(guān)鍵基礎(chǔ)設(shè)施的主管部門(mén),也肩負(fù)著保障國(guó)家安全的重要職責(zé),基于此,美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全保障的戰(zhàn)略思路和法律政策,從一開(kāi)始就與國(guó)家安全掛鉤,相比其他國(guó)家,站得更高,布局更加寬廣。
美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的涵義范圍
迄今為止,美國(guó)的法律文件和行政令中還沒(méi)有“關(guān)鍵信息基礎(chǔ)設(shè)施”(CII,Critical Information Infrastructure)的定義。但從國(guó)土安全部對(duì)關(guān)鍵基礎(chǔ)設(shè)施(CI,Critical Infrastructure)所劃定的16個(gè)部門(mén)(Sector)來(lái)看,其中的通信部門(mén)和CI部門(mén)合在一起,基本相當(dāng)于國(guó)際上通稱(chēng)的CII。
關(guān)鍵基礎(chǔ)設(shè)施通信部門(mén)(以下稱(chēng)“通信CI”),主要包括有線(xiàn)基礎(chǔ)設(shè)施、無(wú)線(xiàn)基礎(chǔ)設(shè)施、衛(wèi)星基礎(chǔ)設(shè)施、電纜基礎(chǔ)設(shè)施和廣播基礎(chǔ)設(shè)施等共計(jì)五大類(lèi)物理層面資產(chǎn),以及為關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行提供各類(lèi)服務(wù)的邏輯層面資產(chǎn)。
關(guān)鍵基礎(chǔ)設(shè)施IT部門(mén)(以下稱(chēng)“IT CI”),主要是按照功能提供進(jìn)行劃定,具體包括六大類(lèi),分別是,提供IT產(chǎn)品和服務(wù);提供事故管理能力;提供域名解決方案;提供身份驗(yàn)證管理和其他信用支持相關(guān)服務(wù);提供基于互聯(lián)網(wǎng)的內(nèi)容、信息通信服務(wù);提供互聯(lián)網(wǎng)路由、接入和連接服務(wù)。
等級(jí)劃定、清單確認(rèn)以及優(yōu)先保護(hù)
以通信CI為例。國(guó)土安全部將所有通信CI按照重要程度,分為三等級(jí)五大類(lèi)。
第一等級(jí)為全國(guó)性通信CI,即,這類(lèi)通信CI會(huì)對(duì)國(guó)土安全和國(guó)家經(jīng)濟(jì)安全產(chǎn)生至關(guān)重要的影響。第二等級(jí)為全國(guó)性或地區(qū)性的通信CI,即會(huì)對(duì)國(guó)土安全或者部分地區(qū)安全產(chǎn)生重要影響。第一等級(jí)和第二等級(jí)的具體認(rèn)定工作,都是由通信CI全國(guó)協(xié)調(diào)委員會(huì)來(lái)進(jìn)行的,名錄確定之后,上報(bào)至國(guó)土安全部。第三等級(jí)由三個(gè)組成部分構(gòu)成,分別是,通信CI內(nèi)部、州級(jí)(地區(qū)級(jí))和國(guó)外通信CI。其中,前兩者都由各州政府自行確認(rèn),國(guó)外CI清單則由美國(guó)情報(bào)部門(mén)聯(lián)合美國(guó)海外“合作伙伴”初步擬定,報(bào)國(guó)土安全部確認(rèn)。
在清單名錄制定出來(lái)后,即根據(jù)國(guó)土安全部《國(guó)家關(guān)鍵基礎(chǔ)設(shè)施優(yōu)先保護(hù)計(jì)劃》之規(guī)定,對(duì)于一部分CI實(shí)施特殊保護(hù)。以通信CI為例,范圍包括通信資產(chǎn)、通信系統(tǒng)和通信網(wǎng)絡(luò)三大類(lèi),具體的劃定有以下四種途徑。
其一,通過(guò)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施協(xié)調(diào)中心(NCC)或者國(guó)家通信系統(tǒng)保護(hù)中心(NCS)直接指定。其二,對(duì)跨部門(mén)通信功能的依賴(lài)程度進(jìn)行分析,挑選出依賴(lài)性最強(qiáng)的,國(guó)土安全部直接確定。其三,與應(yīng)急有關(guān)的通信系統(tǒng)由行業(yè)主管部門(mén)直接提名。比如,F(xiàn)CC每年提名的國(guó)家應(yīng)急警報(bào)系統(tǒng),以及公共安全應(yīng)答點(diǎn)系統(tǒng)。其四,具有較高資產(chǎn)價(jià)值的通信設(shè)施和樓宇。如,全國(guó)范圍的通信交換中心、海底電纜陸地站點(diǎn),以及承載了某一地區(qū)范圍或者國(guó)家范圍核心電信業(yè)務(wù)的電信大樓,由NCC確定。
部門(mén)安全評(píng)估和交叉評(píng)估
在CI各類(lèi)保障制度中,安全評(píng)估具有特殊重要的作用,不僅是劃分關(guān)鍵信息基礎(chǔ)設(shè)施保障次序的客觀前提,也是采取下一步具體措施的重要參考依據(jù)。
國(guó)土安全部對(duì)通信CI和IT CI進(jìn)行安全評(píng)估的基本思路是全災(zāi)害因素評(píng)估(All-hazards Elements),也就是說(shuō),將各方面的安全威脅因素統(tǒng)統(tǒng)考慮在內(nèi),比如,主觀和客觀因素、人為和非人為因素、已有的和正在浮現(xiàn)的因素、可控和不可控因素、自然和非自然因素等。具體評(píng)估種類(lèi)包括通信CI和IT CI的單獨(dú)評(píng)估,以及通信CI和IT CI之間跨部門(mén)的交叉評(píng)估。
第一,通信CI的評(píng)估范圍包括物理、網(wǎng)絡(luò)和人員三大類(lèi)。一是物理威脅,主要包括自然災(zāi)害威脅和事件威脅兩大類(lèi)。前者,如特大颶風(fēng)、大地震、超級(jí)太陽(yáng)風(fēng)暴等;后者,如恐怖襲擊、電磁干擾、損毀海底通信電纜等。二是網(wǎng)絡(luò)威脅,主要包括惡意行動(dòng)和非惡意的客觀情勢(shì)所帶來(lái)的安全威脅。前者,如對(duì)通信CI進(jìn)行非正常狀態(tài)下的惡意系統(tǒng)變更,或者對(duì)未使用頻段進(jìn)行占有和破壞;后者,如頻段資源枯竭等。三是人類(lèi)活動(dòng)威脅,主要是指人類(lèi)對(duì)于CI的機(jī)密性、完整性、可適用性所產(chǎn)生的影響,比如,供應(yīng)鏈采購(gòu)過(guò)程中的安全威脅等。
第二,IT CI的評(píng)估范圍包括人類(lèi)惡意威脅、人類(lèi)非惡意威脅,以及自然災(zāi)害威脅三大類(lèi)。人類(lèi)惡意威脅的評(píng)估著重于主觀動(dòng)向、攻擊能力、人員身份,以及既往攻擊行為的特征;人類(lèi)非惡意威脅的評(píng)估要點(diǎn)在于偶發(fā)原因、工作環(huán)境,以及引發(fā)事故的人員的內(nèi)在特征,比如技術(shù)水平、情緒等方面;自然災(zāi)害威脅,評(píng)估要點(diǎn)和威脅等級(jí)由專(zhuān)門(mén)機(jī)構(gòu)來(lái)提供,比如國(guó)家海洋和氣象管理部門(mén)、應(yīng)急部門(mén)、災(zāi)害控制部門(mén)等。
第三,通信CI和IT CI跨部門(mén)安全評(píng)估。通信CI和IT CI作為16個(gè)CI部門(mén)中最核心的部門(mén),雙雙帶有“生命線(xiàn)”性質(zhì),國(guó)土安全部規(guī)定必須進(jìn)行跨部門(mén)風(fēng)險(xiǎn)評(píng)估。具體方式是建立全國(guó)性評(píng)估模型,以2014年美國(guó)通信CI和IT CI的模型為例,橫軸為“跨部門(mén)安全風(fēng)險(xiǎn)影響程度”,分為“低、低-中、中、中-高、高”五個(gè)等級(jí),縱軸為多功能重疊的安全評(píng)估情景,比如產(chǎn)品和服務(wù)、網(wǎng)絡(luò)接入、DNS、身份管理、網(wǎng)絡(luò)內(nèi)容、事故管理等選項(xiàng),針對(duì)每個(gè)選項(xiàng)的安全等級(jí)在細(xì)分的單元格中進(jìn)行勾選,得出每一細(xì)項(xiàng)的評(píng)估結(jié)論。
美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的未來(lái)走向
結(jié)合2015年年底美國(guó)《網(wǎng)絡(luò)安全法案》、2016年白宮《網(wǎng)絡(luò)安全國(guó)家行動(dòng)計(jì)劃》,以及國(guó)土安全部近幾年發(fā)布的政策,美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)主要有以下走向。
第一,關(guān)鍵基礎(chǔ)設(shè)施安全的戰(zhàn)略地位全面與國(guó)家安全掛鉤。近幾年,安全威脅呈現(xiàn)出線(xiàn)上線(xiàn)下聯(lián)動(dòng)的態(tài)勢(shì),加之主管部門(mén)——國(guó)土安全部所肩負(fù)的保障國(guó)家安全的職責(zé),CI的戰(zhàn)略地位不斷抬升之勢(shì),甚至與戰(zhàn)爭(zhēng)、網(wǎng)絡(luò)軍控相聯(lián)系,美國(guó)學(xué)者甚至提出應(yīng)當(dāng)仿照《南極條約》所規(guī)定的“南極洲僅用于和平之目的,不應(yīng)該成為國(guó)際武力威脅和紛爭(zhēng)的場(chǎng)所和對(duì)象”,關(guān)鍵基礎(chǔ)設(shè)施也應(yīng)當(dāng)豁免于戰(zhàn)爭(zhēng)威脅和武力攻擊。
第二,將不斷完善通信CI和IT CI的“全災(zāi)害因素”評(píng)估制度。除了傳統(tǒng)意義上的網(wǎng)絡(luò)安全威脅因素之外,國(guó)土安全部提出下一步要將一些兼具長(zhǎng)期性和戰(zhàn)略性的威脅因素考慮在內(nèi),比如,恐怖主義襲擊、氣候變化、自然災(zāi)害、大規(guī)模流行病等。此外,跨領(lǐng)域交叉評(píng)估的范圍將逐步擴(kuò)大,比如,通信CI和金融CI的交叉評(píng)估。
第三,對(duì)新興安全威脅與傳統(tǒng)安全威脅同時(shí)考慮。國(guó)土安全部提出,一方面,需要警惕新技術(shù)、新業(yè)務(wù)給CI帶來(lái)的新的安全威脅,比如物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能等。另一方面,不能忽視關(guān)鍵信息基礎(chǔ)設(shè)施自身的安全問(wèn)題,比如設(shè)施老化問(wèn)題所帶來(lái)的安全威脅,以及關(guān)鍵基礎(chǔ)設(shè)施之間相互依賴(lài)所帶來(lái)的安全威脅等。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 國(guó)家發(fā)改委成立低空經(jīng)濟(jì)發(fā)展司
- 什么是人工智能網(wǎng)絡(luò)? | 智能百科
- 工信部:2025年推進(jìn)工業(yè)5G獨(dú)立專(zhuān)網(wǎng)建設(shè)
- 人工智能如何改變?nèi)蛑悄苁謾C(jī)市場(chǎng)
- 企業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)頻出?Fortinet 給出破解之法
- 2025年生成式人工智能將如何影響眾行業(yè)
- 報(bào)告:人工智能推動(dòng)數(shù)據(jù)中心系統(tǒng)支出激增25%
- 千家早報(bào)|馬斯克預(yù)測(cè):人工智能或?qū)⒊絾蝹€(gè)人類(lèi);鴻蒙生態(tài)(武漢)創(chuàng)新中心啟用,推動(dòng)鴻蒙軟硬件在武漢首試首用——2024年12月27日
- 中移建設(shè)被拉入軍采“黑名單”
- 大理移動(dòng)因違規(guī)套現(xiàn)等問(wèn)題,擬被列入軍采失信名單
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。