（中国信息通信研究院，北京 100191）

1 美国IT部门关键信息基础设施保护计划概述

为指导未来4年IT部门关键信息基础设施保护实践，美国国土安全部联合IT部门协调委员会（IT SCC）和IT部门政府协调委员会（IT GCC）在2010年版本基础上，根据《关键基础设施安全性及恢复力》（2013年第21号总统令）、《国家基础设施保护计划》（2013）、《加强基础设施网络安全》（2013年第13636号行政令）以及2014国家联合优先事项等要求，以及当前IT领域实际及风险特征，编制了《IT部门关键信息基础设施保护计划（2016）》（以下简称《IT保护计划》）[1]。《IT保护计划》共分为四个部分，分别是IT部门概述、愿景及优先事项、行动措施、效果衡量。

1.1 IT部门概述

1.1.1 IT部门的组成

IT部门为全球信息社会高效运作提供产品和服务支持，是其他关键基础设施正常运行和提供服务的组成部分。IT部门主要由中小企业以及大型跨国公司组成。其他行业的关键基础设施一般由有限和易于识别的物理资产构成，但IT部门较为特殊，不仅包括实体资产，还包括其提供服务的虚拟系统和网络。

1.1.2 IT部门的核心功能

IT部门的功能涵盖IT产品和服务提供的全过程，包括研发、制造、分配、升级和维护，此外还包括提供安全威胁防御和恢复产品和服务。根据2009年IT部门基线风险评估(ITSRA)结果，IT部门协调委员会（IT SCC）和IT部门政府协调委员会（IT GCC）筛选了出IT部门六大核心功能，如表1所示。这些功能对于国家经济安全、公共卫生、安全和信心至关重要，通常由实体所有者和运营商组合提供，包括IT硬件，软件，系统和服务。其中，IT服务包括开发，集成，运营，通信，测试和安全。

表1 IT部门核心功能及描述

表2 IT部门风险及应对措施

1.1.3 IT部门的风险

根据2009年IT部门基线风险评估结果以及IT技术最新发展进展情况，按照IT部门核心功能维度，《IT保护计划》梳理了主要潜在风险和应对措施，如表2所示。

1.1.4 关键基础设施合作伙伴

IT部门关键基础设施保护采取多层次、政企合作模式，核心成员包括： IT部门专门机构（IT SSA）、IT部门政府协调委员会（IT GCC）以及IT部门协调委员会（IT SCC）。其中，IT SSA由国土安全部国家保护和计划司（NPPD）网络安全和通信办公室（CS&C）担任，是IT关键基础设施保护的领导部门；IT GCC由联邦各级政府成员组成，包括商业部、国防部、能源部、国土安全部、联邦调查局、美国国家标准与技术研究院等13个机构组成；IT SCC主要由IT产品和服务提供商组成，2016年共有92家企业和机构参与其中，包括AMD等芯片制造企业、Cisco等设备和服务提供商、NTT等网络运营商Symantec等安全企业、IT行业信息共享和分析中心（ISAC）等机构以及安全协会联盟等。 此外，IT部门合作伙伴关系也包括与国际组织、国外机构建立并保持可靠、互助关系。

1.2 愿景及优先事项

IT部门的愿景是持续降低安全事件对于部门关键功能的影响。IT部门愿景的实现对于联邦政府保障国家安全、公共健康和安全，地方政府维护社会秩序、提供基本公共服务以及经济有序运行具有重要意义。IT SCC与IT GCC共同确定了未来4年IT部门的优先事项，并明确了其与国家联合优先事项的对应关系,如表3所示。

表3 国家联合优先事项及IT部门优先事项

1.3 部门目标的实现

为实现IT部门的愿景和优先事项，IT部门建立了与部门业务领域广、构成形态复杂、业务高度依赖、关联影响大等情况相适应的风险管理体系，通过协作和迭代的方法满足广泛群体的定制化需求。

1.3.1 全风险评估方法（All-Hazards Approach）

全风险评估方法是IT部门在总结经验基础上提出的风险管理模型，如图1所示。通过应用该模型有效识别风险，评估风险，并根据风险级别制定针对性的应对策略。全风险评估方案按照功能而非具体资产开展，是以适应IT部门虚拟化、分布式的关键基础设施保护需求。

1.3.2 风险应对措施

IT部门通过参与网络风暴演习计划、供应链保证计划（SSCA）、IT部门基线风险评估（ITSRA）、IT部门未来风险评估等活动增强安全性和恢复能力。其中，网络风暴演习经国会授权，每两年开展一次，目的是增强IT部门的网络防御能力。演习活动主要包括检验针对潜在网络攻击的防范能力，事件响应及协调应对能力，网络威胁信息等的共享顺畅性，敏感信息流动安全性等。

图1 全风险评估方法

在供应链安全方面，国土安全部、国防部、NIST、总务局（GSA）制定了供应链保证计划（SSCA），并建立工作小组。工作小组汇集了供应链安全利益攸关方，定期举办SSCA论坛及工作组会议，交流供应链安全管理实践。IT部门积极参与SSCA计划，通过增强流程管理和诊断等措施提高供应链安全性。

IT部门基线风险评估帮助IT部门成员发现安全薄弱环节，并合理分配研究、开发以及其他增强网络安全措施的资源。基线安全评估也是国家层面网络安全协作的基础。

IT部门未来风险评估重点评估当前及未来技术业务发展可能对IT部门核心功能造成的影响，以及有关管理措施的有效性。

此外，为系统提升关键基础设施安全能力，IT部门计划全面推广应用NIST网络安全框架。IT部门鼓励成员参与关键基础设施网络社区自愿计划（C3VP），该计划根据2013年第13636号行政令创立，以鼓励关键基础设施所有者和运营者建立并改进其网络风险管理流程。IT SSA计划与C3VP成员合作，共同制定IT部门NIST网络安全框架使用指南，推动政府、行业和企业了解并应用该框架。

1.4 有效性测量

为跟踪和掌握IT部门优先事项落实情况，衡量保护工作实效，IT部门结合2013NIPP行动计划制定了一套指标，并要求IT部门成员按照该指标编制年度保护工作报告。指标按照IT部门优先事项，分为风险管理、网络安全弹性、态势感知与信息共享、合作与支持四个维度，每个维度有具体的指标要求。例如，在风险管理方面，主要指标包括基线评估（ITSRA），域名及云安全，高风险关键基础设施年度鉴定，供应链安全等。IT SSA将根据衡量结果，改进有关措施并更新《IT 保护计划》。

2 计划特点

《IT保护计划》将风险管理作为保护工作的基础和指针，将保护范畴、责任者与协作方、目标与措施有机连接在一起，构建了与行业实际相适应的保护体系。

（一）根据行业发展和风险点确定保护重点。《IT保护计划》采取了按照核心功能实施保护的思路，而核心功能的确定源于对发展和安全的综合考量。特别是，针对信息和通信技术发展变化可能对关键基础设施安全保护策略影响，对于云计算的普遍应用、移动计算和移动应用程序的大幅增长、物联网设备以及智能传感器/智能设备快速增长、移动办公（BYOD）、对于高级分析/大数据的依赖、IT运营复杂性提升等予以重点关注和应对。

（二）依据风险特性建立多层次的保护工作组织体系。IT部门在充分利用国家级国家关键信息基础设施协调中心（NCC）、信息共享和分析中心（ISAC）基础上，结合行业保障需求分别设立了IT SCC、IT GCC等组织，促进安全战略、政策、活动、情报等多维度交流；同时与通信部门的SCC、GCC建立跨部门协调机制，定期举办四方会议。又如，为应对供应链安全风险，通过SSCA工作小组将上下游厂家、采购方、监管者汇聚在一起，大幅度提升了信息共享效率，实现了供应链安全风险的共知共治；为推广NIST网络安全框架应用，鼓励IT部门成员加入C3VP网络社区自愿计划，加强实践层面的交流和探讨。

（三）依托全风险评估方法，建立与IT部门虚拟化、分布式关键基础设施结构相适应的评估体系。在风险管理的维度上，区分政府与企业不同层次，企业通常基于业务目标实施，如股东价值、客户口碑等，政府则更关注保障业务的有效性。在风险管理的内容上，既重视外部网络攻击，也重视内部隐患防范，包括供应链安全，操作安全等。在风险管理的次序上，根据不同风险的风险级别、发生概率及危害大小进行综合排序，确定优先级。在风险管理的措施上，包括面向现存风险的隐患排查，针对安全事件的演习演练，也有面向未来的技术研发，IT部门与国土安全部科技局合作，制定IT部门研发重点和资源需求的路线图，共同研提关键性技术研发建议和要求。

（四）注重有效性衡量，建立风险管理措施效果指标体系。为有效衡量保护措施实施效果，IT SSA制定了统一的衡量方案，列举出实现风险管理目标的各项举措及要求，要求各部门成员按照这一衡量方案，每季度报告保护工作进展情况。同时，IT部门将根据保护工作情况、IT技术情况变化等，定期评估优先事项、目标和举措，每四年更新一次《IT保护计划》，并将风险管理措施效果好的实践总结成为案例，在行业内予以推广。

3 对我国启示

近年来，党中央、国务院对关键信息基础设施保护高度重视。习总书记在全国网络安全和信息化工作会议上强调，要树立正确的网络安全观，加强信息基础设施网络安全防护，要落实关键信息基础设施防护责任。《网络安全法》《关键信息基础设施安全保护条例》（征求意见稿）已经建立起保护框架，在保护工作的落实实践中，可考虑借鉴美国模式，立足我国各行业的不同特点，制定实施与行业实际相适应的细化措施。一是建立多层次的关键信息基础设施保护工作组织。关键信息基础设施保护是一项复杂的社会治理工作，需要社会各界加入到保护体系中来，协同防护。根据不同的风险点或保护目标，美国建立了供应链风险工作组、威胁情报共享中心、紧密联系领域多方会议、网络安全自愿社区等丰富组织，有关方紧密联系在一起。我国相关行业也可借鉴类似模式，组建行业关键信息基础设施保护相关组织，通过定期会议、课题研究、政策研讨等方式强化交流协作，助力保护工作实施。二是按照风险管理闭环开展保护实践。建立风险管理为核心的保护框架，明确识别风险、评估风险、应对风险、检验效果等关键流程及要求，提升风险发现能力、应对能力。同时，针对信息技术和业态变革引发的新风险，及时开展风险研判，评估危害后果，做好应对方案。三是积极推进关键信息基础设施保护技术手段研发建设。研究制定网络安全防护技术手段建设指导性文件，指导规范关键信息基础设施运营者网络安全技术手段建设。充分调动产学研资源，共同建设测试平台，开展联合研发合作，共享研发资源和成果，遴选并推广网络安全技术手段最佳实践。

参考文献：

[1]Information Technology Sector-Specific Plan An Annex to the NIPP 2013[R].Homeland Security,2016.