文 | 中国电子科学研究院 陈炳昊 、 深信服科技股份有限公司 孔勇

美国网络安全和基础设施安全局（CISA）在2021年发布《基础设施韧性规划框架》（IRPF），并于2022年11月23日，美国发布了新版《基础设施韧性规划框架》（以下简称“IRPF框架”），旨在为各州和地区级基础设施保护者提供最新指导，将关键基础设施的韧性能力纳入其决策和规划活动，强化网络攻击应对能力，提升关键基础设施安全保护水平。

一、IRPF框架概述

IRPF框架作为灵活的指导文件，专门提供规划应用指南，用于启动基础设施安全韧性规划，并将其纳入现有的规划机制。

（一）基础设施对象范围

IRPF框架可应用于总统第21号总统令（PPD-21）《关键基础设施安全和韧性》中确定的全部16个关键基础设施行业。PPD-21确定的16个行业的资产、系统和网络，无论是物理的还是虚拟的，都被认为对美国至关重要，以至于其丧失能力或被破坏将对社会安全、经济安全、国家安全等产生重大影响。虽然PPD-21从国家角度看待关键基础设施系统和资产，但这些部门在地方、州和区域层面也具有相关性，了解这些系统的风险可以改善地区安全、健康以及经济增长。表1中列出了16个关键基础设施行业，并列举了各行业典型的基础设施。

表1 关键基础设施行业典型基础设施

?

关键基础设施行业在每个地区通过基础设施系统提供关键职能。这些系统由相互关联和依赖的资产组成，这些系统的持续运行不仅取决于其自身资产，也取决于其他部门的其他系统。例如，几乎所有行业都依赖能源、供水和废水、电信和交通系统发挥作用。IRPF框架帮助用户检查这些基础设施系统，确定它们内部和相互之间的关键依赖关系，并将这些知识纳入规划。

（二）重视关键功能和依赖关系

IRPF框架鼓励规划者在考虑关键基础设施时，采取以功能性为核心的体系化方法，强调单个基础设施的重要性取决于其所能提供的最终功能。另外，基础设施系统是高度相互关联的，其中一个系统的中断可能会产生连锁反应，影响到其他一系列基础设施系统。

鉴于以上两个方面因素，IRPF框架鼓励规划者考虑基础设施系统提供的关键功能，以及这些系统内部和相互之间的依赖关系。对这两个因素的深刻理解可以帮助规划者确定战略和项目，以降低风险，并在韧性能力提升方面做出更好投资。

（三）IRPF框架与联邦认可程序保持一致

IRPF框架的制定与其他联邦、州、地方和地区的规划工作保持一致，并为其提供信息。表2列出了一些现有的规划工作。这些步骤和相关资源可以很容易地整合到其他规划过程中，如综合、减灾、环境、资本改进计划和区域交通规划等。此外，IRPF框架可以为其他安全韧性规划指南和方法论提供补充和完善。

表2 IRPF框架可以提供的规划工作

二、基础设施韧性规划五大步骤

IRPF框架将基础设施保护规划工作分为五大步骤，包括奠定基础、关键基础设施识别、风险评估、制定行动计划，以及实施和评估。

（一）奠定基础

IRPF框架中规划工作的第一步为奠定基础，包括确定项目工作范围，组建合作规划小组，收集和审查现有的数据、计划、研究或其他可能与规划工作有关的技术资源，形成工作目标和愿景等。

1. 确定项目负责主体和工作范围

为了获得认可，支持韧性的个人实体能够为规划工作投入时间和资源上的支持是很重要的。项目负责主体可以来自州部门、部落委员会、地方管辖区、社区规划部门、区域规划组织、公共/私人非营利组织或其他领导计划制定的组织。重要的是，该项目负责主体能够积极支持规划过程和实施工作。

在将IRPF框架纳入规划过程之前，工作范围应重点考虑以下问题：推动基础设施韧性规划的愿望和需求；基础设施韧性的目标和目的；服务的基础设施中是否存在需要解决的具体问题。

有许多类型的评估和分析可以为规划提供信息，例如：威胁、脆弱性和关键性分析、系统映射和图表绘制、建模和仿真分析等。定义明确的目标和范围可以帮助规划人员确定哪种分析形式能更好支撑工作。《基础设施韧性评估方法》提供了更多关于分析方法的细节，规划者可以使用更多分析方法来提高对基础设施系统的理解。一旦确定了工作的总体方向，就可以更有效地分配时间、资金和人员，以配合工作。

2. 成立规划小组并启动初始工作

成立规划小组，开展基础设施规划。在IRPF框架中，明确规划小组需要强有力的领导作为项目经理。团队领导应向项目主体、地区官员和其他必要的人报告，提供与规划过程有关的各种活动的最新进展和成果。IRPF框架要求规划小组负责人应该具备以下四点能力：对本地和区域基础设施（如公共工程）较为熟悉；对威胁、危害、风险和后果有充分了解；能够让更多的利益相关者参与到规划过程中，并且在关键基础设施方面能够具有专业知识；具备执行管理、协调、活动策划以及推进规划会议议程等能力。

一旦确定了规划小组领导，应及时召开启动会，为规划工作奠定基础。这些活动包括：确定工作目的，并确定其与其他社区规划工作的关系；确定工作范围（包括规划区域）；阐明目标，并概述工作战略；确定负责人（主持人），以促进规划小组会议期间的讨论；确定对工作有兴趣或信息至关重要的利益相关者。

3. 收集和审查现有信息

为了给参与者打下坚实基础，确定以前的规划工作、研究、绘图等数据是否能为当下提供支撑尤为重要。数据资源可以来自州、地方、部落和领土（SLTT）、区域或联邦。在第一次规划会议前，规划团队的负责人应确定并审查与基础设施资产、系统和网络有关的数据和信息，以及区域内威胁、危害和灾害事件的数据和信息，还应审查其他现有计划和规划，以确定与当前规划工作是否一致。

4. 外部合作规划小组组成

将关键基础设施韧性纳入规划的一种方法是建立外部合作伙伴关系，成立外部合作规划小组，为更广泛的规划工作提供信息。IRPF框架建议邀请以下团体代表参与规划，他们可以提供重要的见解和观点。除了积极的规划团队参与者外，可能还有其他利益相关者应参与该过程。利益相关者是受区域基础设施影响、依赖基础设施并与基础设施互动的个人及团体。这些利益相关者参与进来，以获得对规划过程和最终结果的认可和支持。

5. 邀请参与者和利益相关者参与规划讨论

在确定潜在参与者并收集相关联系信息后，规划小组负责人应邀请其参与规划讨论。利益相关者，尤其是许多私营企业的利益相关者最初可能不愿意参加规划活动。主要原因包括：对潜在监管的担忧；商业敏感性和对分享专有信息的担忧；竞争对手或其他主要合作伙伴的竞争观点。

在与私营部门合作伙伴的沟通中，应重点强调改进规划对参与者的价值。主要包括：为企业和客户群提供更快、更有效的反应和恢复；减少与灾难恢复相关的保险等成本；改进的减灾活动可以提高上游和下游的依赖性；并有机会通过规划更好地了解地区的优先事项。

6. 建立初步目标和愿景

设定明确的目标和愿景是任何成功规划工作的重要基础，因为其定义了在关键基础设施安全韧性方面“想要去哪里”或“想要做什么”的愿景。目标和愿景的制定应包括涉及关键基础设施系统以及其他成果的全部规划因素，如宜居性、可持续性、经济、环境和公平。最初的目标和愿景可以是顶层的、宏观的。在执行步骤二（关键基础设施识别）后，可以对这些目标和愿景进行调整，使其更具体。

此外，这些目标和愿景也可以在IRPF规划过程的后期阶段进一步完善。随着规划的不断迭代，新的数据、事实和信息可能会出现，这时可以对目标和愿景进行相应调整。参与者/利益相关者可以根据IRPF框架的关键基础设施识别和风险评估这两个步骤，来验证和完善目标和愿景。

（二）关键基础设施识别

IRPF框架中的第二个步骤是关键基础设施识别，该部分内容主要包括识别关键基础设施、对基础设施进行优先排序，以及确定基础设施系统之间的相互依赖关系。

1. 识别基础设施

在规划过程中，关键是确定对地区的正常运作至关重要的基础设施系统和资产。这应包括基本系统，如能源、供水和污水处理、电信和交通系统等，以及对地区安全、健康发展和经济活力至关重要的基础设施。除了这些行业之外，NIST CRPG还确定了一些有助于繁荣的社会功能，包括：社区服务、经济、教育、家庭、政府、健康、媒体，以及宗教和文化信仰。规划小组应考虑创建一个关键基础设施的数据库/矩阵列表，以便对基础设施资产进行分类和分析。除了可以用来分析基础设施之间的依赖关系，基础设施的基线清单还可以用来描述现有基础设施的特点，为更全面的基础设施识别工作打下基础，开发地图产品和其他视觉效果。

特别地，应当重点识别网络基础设施。网络基础设施对于电厂、供水和废水设施、医院、电信系统、石油和天然气精炼厂以及交通网络等关键基础设施的运营和维护至关重要。由于物理基础设施和网络基础设施的互联性，参与规划过程的规划者和利益相关者应了解支持和确保基础设施系统持续运行的网络基础设施资产、系统和网络安全等。网络基础设施一般包括计算机系统、用于监测和控制工厂或设备的控制系统、网络（例如互联网）、网络服务（例如安全管理服务）、数据存储和处理系统（包括大型机、云供应商、服务器群、数据中心）、电子信息和通信系统内的数据和信息。在考虑网络基础设施时，规划人员必须考虑远程服务提供商的服务年限、技术来源、后期维护和位置等因素，以便确定其韧性面临的各种挑战。

2. 对基础设施进行优先排序

在编制了关键基础设施清单后，规划小组应对已确定的基础设施资产进行重要性和安全保护优先级的排序。规划小组将每个关键基础设施系统/资产的安全影响、背景影响、运营影响、经济影响和服务影响作为确定其重要性和优先级的依据。这些需要考虑的关键因素可作为确定关键基础设施优先级的标准。此外，项目规划小组也可以修改或添加自己的标准，以最好地满足自身需求。

表3 确定基础设施系统/资产优先次序的关键考虑因素

3. 确定基础设施系统之间的依赖性

依赖性是指基础设施系统内部和相互之间的依赖关系，必须维持这些系统的功能或提供服务。依赖性具有倍增效应，对一个节点或环节的影响可能会导致整个城市、区域和国家范围内的重大经济和物质损失。

为了确定基础设施系统相互之间的依赖性，参与者应该考虑：基础设施资产运行所需或使用的资源和服务的主要和次要来源/提供者；在发生破坏性事件时，维持基础设施资产运作的后备资源；中断或退化时对下游基础设施资产和基本服务的影响。典型的依赖关系的例子包括：供水系统需要电力来操作水泵；金融服务依赖通信来促进交易；通信系统需要电力来运行；维修配电系统的工作人员需要通过道路进入现场；应急服务的提供依赖电信和交通；网络和信息技术基础设施用于操作和监控电力系统、供水和废水系统、交通网络等。

（三）风险评估

IRPF框架中的第三个步骤是风险评估。关键基础设施风险评估通常使用假设的情况或情景，将确定的风险划分为不同组成部分，每一部分均可单独评估和分析。用于IRPF框架的风险评估方法包括：确定对基础设施的威胁和危害；评估优先考虑的基础设施的脆弱性；评估后果和基础设施系统之间的相互作用；对基础设施系统的风险进行优先排序。

1. 确定对基础设施的威胁和危害

基础设施系统/资产可能会面临无数的威胁和危害，主要来源于自然灾害、人为蓄意和意外事故等。对于某一类关键基础设施可以考虑哪些威胁和危害会对其造成影响。此外，基础设施容易受到来自物理和网络上的威胁和危害。物理基础设施系统因自动控制系统的广泛应用，也面临着网络威胁的风险。恶意行为试图利用漏洞来窃取信息或金钱，或扰乱、破坏基本服务的提供。

2. 脆弱性评估

脆弱性评估可以通过确定可能被对手利用的潜在故障点和薄弱点，为安全韧性解决方案提供信息。在评估过程中需要考虑的脆弱性的关键因素是：基于其对公众的一般可及性；基于该资产对公众的可识别性的程度；基础设施资产从破坏性事件中轻松恢复的能力，应当综合考虑到其对外部服务的依赖性、其运行的能力以及自身的稳健性，对资产恢复正常运行的能力进行定性评估；基于基础设施资产的安全措施和程序的整体脆弱性；基于资产与其他易受影响的资产的接近程度的脆弱性；基于资产是否在其整体系统中代表一个单点故障的脆弱性。

3. 后果评估

后果是一个事件、事故或发生的影响，通常以四种方式衡量：人（伤害、疾病或生命损失）；经济（与基础设施业务连续性损失相关的成本，以及替换成本）；任务（一个组织或团体实现战略目标或履行职能的能力）；心理（个人或团体的精神或情绪状态，导致认知和/或行为的改变）。

4. 基础设施系统风险

一旦确定了威胁因素，评估了脆弱性和后果，就可以把两者进行结合，以确定对优先基础设施的风险，完成风险评估。

（四）制定行动计划

IRPF框架的第四个步骤是制定行动计划，旨在指导其完成选择项目和解决方案的过程，从而增强关键基础设施的抗灾能力，并制定实施战略。

1. 完善目标和愿景

在确定和实施安全韧性解决方案之前，应根据关键基础设施识别和风险评估的结果，重新验证他们的愿景，并细化其初始目标和愿景。

2. 确定安全韧性解决方案以减轻风险

IRPF框架的核心成果是基础设施的风险缓解解决方案。解决方案可以是政策、战略、计划、法规和条例、提高韧性的计划以及实际的基础设施项目。IRPF框架提供的韧性增强的行动清单包括：利用土地使用规划工具、更新法规和标准、投资于坚固的基础设施、更新基础设施维护和资本改进计划、制定连续性和应急计划、纳入绿色基础设施、成立基础设施委员会等。

3. 强调网络安全贯穿始终

在制定解决方案时，IRPF框架重点强调了网络安全的重要性。由于现在的许多物理基础设施全部或部分由计算机控制，并通过互联网连接，因此规划应考虑健全的政策和程序，将网络安全的改进纳入基础设施发展的生命周期。

4. 确定现有资源和能力

行动计划可以包括：要求其他公共和私人实体支持实施，以解决有韧性的基础设施系统的共同利益。识别和评估关键基础设施所有者和经营者的资源和能力，将有助于对实施的韧性解决方案清单进行优先排序。最常见的资源和能力类型包括规划与监管、计划政策、财政经费等，在确定解决方案的优先次序时应予以考虑。

5. 选择实施的解决方案

在制定解决方案清单并确定能力后，应集中精力确定哪些公共和私人实体需要采取行动以实现目标。评估和优先排序的过程可以帮助权衡不同的解决方案的利弊。评价标准应考虑基础设施的关键性、脆弱性和威胁可能性，以及满足目标和愿景措施的能力。联邦紧急事务管理局《地方减灾规划手册》中也有相关评价标准的描述。无论使用何种评价标准，都应得到规划参与者/利益相关者的同意。

6. 制定实施策略

在对解决方案进行评估和优先排序后，则开始制定实施策略。实施策略描述了如何实施和管理每个优先考虑的解决方案。实施计划应包括以下要素：负责方、合作者/合作机构/私营部门合作伙伴、初步实施步骤、预估时间表、资源列表、实施的潜在障碍和潜在解决方案。

（五）实施和评估

IRPF框架的最后一个步骤是实施和评估，主要包括通过现有的规划机制实施优先解决方案、监测和评估其有效性，以及更新计划。

1. 通过现有规划机制实施

将优先考虑的解决方案纳入现有的规划、政策和方案中。规划参与者和其他利益相关者应审查整体的运作、优先事项和现有的规划机制，以了解如何在现有规划机制中整合安全韧性项目和战略。资金来源可以包括传统的基础设施机制，如税收、费用和债券，以及联邦和州政府机构和慈善组织的拨款。在各级政府资源有限的情况下，可通过公私合作来发展创新的融资机制。联邦政府各层次部门和机构，非盈利和专业组织可以提供技术援助。

2. 监测并评估有效性

所有计划都应该制定运营维护程序，以监测和评估解决方案的有效性。演习可能是评估运营计划和解决方案有效性的一种方式。CISA桌面演练包（CTEP）是一种资源，可供关键基础设施利益相关者用来制定计划并进行演练。

3. 更新计划

最后，规划小组应当制定一个更新计划的过程。当监测和评估其规划活动的有效性时，将成功经验、遇到的障碍和吸取的经验教训进行反馈，并将其纳入未来的工作中。更新计划过程应确定协调规划更新的领导机构、启动更新程序条件等。灾难事件发生后，在制定恢复和灾后重建计划时，可以加快计划更新进度。

三、总结

美国CISA发布的IRPF框架，重点阐述了基础设施保护规划工作的五个步骤。奠定基础：确定规划工作的范围，组建规划团队来执行这项工作，并审查现有的数据、计划、研究、地图和其他资源。关键基础设施识别：提供识别指导，说明如何识别和确定基础设施的重要性和安全保护优先级，并评估基础设施系统之间的依赖性。风险评估：指导完成对关键基础设施的风险评估，包括评估其对威胁和危害的脆弱性，以及可能导致的后果。制定行动计划：通过确定潜在解决方案并确定其优先级，为风险防控和提高基础设施抗灾能力的战略行动计划提供指导。实施和评估：重点是将基础设施韧性项目和战略纳入地区和区域计划，以及衡量其是否成功。

IRPF框架最大的特点就是应用指导的灵活性。无论是基础设施保护规划工作五大步骤，还是每一个步骤里的具体过程，都是可以有选择迭代进行。例如，用户可以选择其中任意步骤，应用在正在进行的规划过程中；当确定了负责人和规划团队时，用户也可以重新审视他们的范围，并重新评估过去的评估和规划活动；规划者可考虑IRPF框架哪些步骤如何最好地补充其当前的规划流程。对于规划小组的参与者和利益相关者可根据需要选择参加相关规划过程，并非所有参与者都将参与规划过程的所有阶段。用户应考虑何时参与最有价值，以避免给外部合作伙伴带来不必要的负担，并确保有效收集相关信息。同样，利益相关者也不需要参与规划过程的所有阶段，他们主要针对特定阶段特定主题提供宝贵意见。

综上所述，IRPF框架在关键基础设施识别、关键依赖关系、基础设施优先排序、风险评估、制定行动计划和实施解决方案等方面提供全方位可落地的指导，为各州及地区级基础设施保护者提供可操作的灵活的规划建议，能够将关键基础设施的韧性能力纳入其规划活动，从而有效提升关键基础设施安全保护整体水平。