2019年8月，美國(guó)政府問(wèn)責(zé)署（GAO: Government Accountability Office）發(fā)布《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)：采取措施應(yīng)對(duì)電網(wǎng)面臨的重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)》（《CRITICAL INFRASTRUCTURE PROTECTION：Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid》）報(bào)告。

該報(bào)告對(duì)美國(guó)電網(wǎng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)進(jìn)行了分析，描述了聯(lián)邦機(jī)構(gòu)應(yīng)對(duì)電網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所采取的措施，同時(shí)指出，能源部應(yīng)對(duì)電網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)的戰(zhàn)略并不充分，能源監(jiān)管委員會(huì)批準(zhǔn)的標(biāo)準(zhǔn)也并未能完全解決電網(wǎng)面臨的網(wǎng)絡(luò)安全威脅，最后對(duì)政府相關(guān)部門提出了建議。

電網(wǎng)的主要功能包括電能的生產(chǎn)與存儲(chǔ)、傳輸及配送。美國(guó)大多數(shù)電網(wǎng)是由私營(yíng)企業(yè)擁用和運(yùn)營(yíng)的，東部電網(wǎng)、西部電網(wǎng)和德克薩斯電力可靠性委員會(huì)所運(yùn)營(yíng)的三個(gè)大型電網(wǎng)共同構(gòu)成了美國(guó)電網(wǎng)，它們彼此獨(dú)立運(yùn)行，相互之間的電力互動(dòng)能力有限。

電網(wǎng)通常被認(rèn)為具有彈性，能快速應(yīng)對(duì)各類電網(wǎng)故障。面對(duì)颶風(fēng)等大規(guī)模災(zāi)害，電網(wǎng)運(yùn)維人員可通過(guò)事先采取措施，對(duì)關(guān)鍵設(shè)備設(shè)施進(jìn)行保護(hù)，制定恢復(fù)計(jì)劃并部署人員，實(shí)現(xiàn)災(zāi)后快速恢復(fù)電力供應(yīng)。

但網(wǎng)絡(luò)攻擊往往具有突發(fā)性，電網(wǎng)運(yùn)維人員無(wú)法事先準(zhǔn)備預(yù)案，應(yīng)對(duì)這類攻擊比應(yīng)對(duì)特定區(qū)域的災(zāi)難事故難度更大。

為加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施（包括電網(wǎng)）安全防護(hù)，美國(guó)制定了系列重要的基礎(chǔ)設(shè)施保護(hù)原則和關(guān)鍵計(jì)劃，包括《總統(tǒng)21號(hào)政策指令》《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》《13636號(hào)行政命令》《13800號(hào)行政命令》《網(wǎng)絡(luò)安全戰(zhàn)略》等。

同時(shí)通過(guò)頒布電網(wǎng)網(wǎng)絡(luò)安全法規(guī)，明確了FERC（聯(lián)邦能源監(jiān)管委員會(huì)）是州際電力傳輸?shù)穆?lián)邦監(jiān)管機(jī)構(gòu)，負(fù)責(zé)審查和批準(zhǔn)標(biāo)準(zhǔn)以確保大功率電力系統(tǒng)的可靠運(yùn)行。

NERC（北美電力可靠性公司）是美國(guó)政府指定的電力可靠性組織，負(fù)責(zé)進(jìn)行可靠性評(píng)估并執(zhí)行強(qiáng)制性標(biāo)準(zhǔn)，以確保大功率電力系統(tǒng)的可靠性。FERC監(jiān)督NERC，批準(zhǔn)了11項(xiàng)電力關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，目前已強(qiáng)制執(zhí)行其中10項(xiàng)。

同時(shí)明確網(wǎng)絡(luò)事件報(bào)告也是美國(guó)聯(lián)邦和非聯(lián)邦監(jiān)管工作的重要組成部分，法律要求電網(wǎng)所有者和運(yùn)營(yíng)商在滿足某些標(biāo)準(zhǔn)時(shí)向能源部報(bào)告大型電力系統(tǒng)事件。

除闡述上述電網(wǎng)基礎(chǔ)設(shè)施保護(hù)的背景、舉措外，該報(bào)告重點(diǎn)論述四個(gè)方面內(nèi)容（觀點(diǎn)）：

（一） 美國(guó)電網(wǎng)面臨巨大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)

一是國(guó)家、犯罪集團(tuán)、恐怖分子等網(wǎng)絡(luò)威脅參與者越來(lái)越有能力攻擊電網(wǎng)。

《2019年美國(guó)情報(bào)界全球威脅評(píng)估報(bào)告》指出，國(guó)家、犯罪集團(tuán)、恐怖分子是發(fā)動(dòng)針對(duì)美國(guó)電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊的最大威脅來(lái)源。此外，黑客以及內(nèi)部人員等也對(duì)電網(wǎng)網(wǎng)絡(luò)安全構(gòu)成顯著威脅。這些行為體越來(lái)越善于針對(duì)電網(wǎng)工業(yè)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊，與此同時(shí)，利用電網(wǎng)工業(yè)控制系統(tǒng)漏洞的工具越來(lái)越容易獲取，對(duì)電網(wǎng)發(fā)起網(wǎng)絡(luò)攻擊的門檻正逐步降低。

二是隨著工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)設(shè)備連接邊界的擴(kuò)張，美國(guó)電網(wǎng)變得更容易受到網(wǎng)絡(luò)攻擊。對(duì)電網(wǎng)網(wǎng)絡(luò)攻擊主要有以下三個(gè)途徑，

首先是通過(guò)工業(yè)控制系統(tǒng)。

電網(wǎng)工業(yè)控制系統(tǒng)中集成了大量使用傳統(tǒng)IT網(wǎng)絡(luò)協(xié)議的廉價(jià)且通用的設(shè)備，為網(wǎng)絡(luò)攻擊提供大量侵入點(diǎn)，尤其是很多工業(yè)控制系統(tǒng)設(shè)備具備遠(yuǎn)程接入能力，且越來(lái)越多的工業(yè)控制系統(tǒng)被接入到公司商業(yè)網(wǎng)絡(luò)中。

其次是通過(guò)連入電網(wǎng)的消費(fèi)類物聯(lián)網(wǎng)設(shè)備。

2018年大學(xué)研究人員模擬了操縱智能家用設(shè)備對(duì)電網(wǎng)進(jìn)行攻擊的可行性及影響，其發(fā)現(xiàn)攻擊者可以利用物聯(lián)網(wǎng)設(shè)備組成僵尸網(wǎng)絡(luò)，并操縱電網(wǎng)用電需求，最終可達(dá)到使電網(wǎng)癱瘓的目的。

最后是通過(guò)全球定位系統(tǒng)。

電網(wǎng)依賴于全球定位系統(tǒng)授時(shí)，以監(jiān)測(cè)和控制發(fā)電、輸電和配電。根據(jù)美國(guó)能源部的信息，全球定位系統(tǒng)信號(hào)容易被惡意攻擊者利用。

三是美國(guó)還未發(fā)生因網(wǎng)絡(luò)攻擊造成電網(wǎng)停電的案例，但對(duì)工業(yè)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊導(dǎo)致停電、甚至物理?yè)p壞的可能性是真實(shí)存在。

美國(guó)暫未發(fā)生網(wǎng)絡(luò)安全事故影響到電網(wǎng)可靠性的案例，但在其他國(guó)家已有發(fā)生。例如，2015年12月，惡意行為者對(duì)烏克蘭三家配電商進(jìn)行了網(wǎng)絡(luò)攻擊，造成約225,000名用戶斷電。雖然GAO沒(méi)有找到證據(jù)表明網(wǎng)絡(luò)攻擊對(duì)電網(wǎng)造成了物理?yè)p壞，但是針對(duì)其他行業(yè)的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊是有可能造成損壞的。

此外，聯(lián)邦機(jī)構(gòu)針對(duì)電網(wǎng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊的潛在影響進(jìn)行了三項(xiàng)評(píng)估，盡管相關(guān)評(píng)估具有一定的局限性，無(wú)法確定網(wǎng)絡(luò)攻擊可能導(dǎo)致的停電規(guī)模，但都一致認(rèn)可網(wǎng)絡(luò)攻擊是會(huì)對(duì)電網(wǎng)造成破壞。

四是美國(guó)在應(yīng)對(duì)電網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面面臨嚴(yán)峻挑戰(zhàn)。

主要體現(xiàn)在網(wǎng)絡(luò)安全人才不足、缺乏信息共享機(jī)制、防護(hù)資源投入不足、依賴其它易受網(wǎng)絡(luò)攻擊的關(guān)鍵基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和指南實(shí)施不確定性等重大挑戰(zhàn)。

（二）美國(guó)采取多項(xiàng)措施應(yīng)對(duì)電網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

一是能源部、國(guó)土安全局及其它聯(lián)邦機(jī)構(gòu)采取措施應(yīng)對(duì)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，旨在應(yīng)對(duì)電網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

這些措施與美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所的網(wǎng)絡(luò)安全框架相一致，主要包括以下三個(gè)方面：

1）保護(hù)系統(tǒng)以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和漏洞威脅。美國(guó)通過(guò)提供旨在防止網(wǎng)絡(luò)安全入侵的功能和網(wǎng)絡(luò)安全實(shí)踐的培訓(xùn)與指導(dǎo)等保護(hù)措施，協(xié)助電網(wǎng)公司及運(yùn)營(yíng)商實(shí)施減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2）識(shí)別網(wǎng)絡(luò)安全威脅和漏洞并檢測(cè)潛在的網(wǎng)絡(luò)安全事件。美國(guó)通過(guò)提供威脅和漏洞信息，執(zhí)行風(fēng)險(xiǎn)評(píng)估，進(jìn)行取證分析以及幫助電力公司識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并檢測(cè)事件。

3）對(duì)網(wǎng)絡(luò)安全事件進(jìn)行應(yīng)急響應(yīng)與恢復(fù)。美國(guó)已經(jīng)制定了政策和計(jì)劃來(lái)確定聯(lián)邦機(jī)構(gòu)各自的職責(zé)，以響應(yīng)電網(wǎng)網(wǎng)絡(luò)安全事件并恢復(fù)正常運(yùn)行。

二是聯(lián)邦能源監(jiān)管委員會(huì)出臺(tái)監(jiān)管措施來(lái)解決網(wǎng)絡(luò)安全問(wèn)題。

聯(lián)邦能源監(jiān)管委員會(huì)主要監(jiān)管舉措涵蓋以下四個(gè)方面：

批準(zhǔn)適用于大規(guī)模電力系統(tǒng)的強(qiáng)制性網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

以民事處罰手段來(lái)強(qiáng)化監(jiān)管。

對(duì)電力可靠性委員會(huì)的運(yùn)作情況進(jìn)行稽查。

對(duì)電網(wǎng)機(jī)構(gòu)遵守強(qiáng)制性網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的情況進(jìn)行稽查。

（三）政府相關(guān)部門現(xiàn)有應(yīng)對(duì)措施的不足

盡管美國(guó)采取了多項(xiàng)措施應(yīng)對(duì)電網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但仍然存在諸多不足，美國(guó)政府問(wèn)責(zé)署通過(guò)調(diào)查，主要提出了2個(gè)方面的不足。

一是能源部還未制定解決電網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與挑戰(zhàn)的戰(zhàn)略。

國(guó)家網(wǎng)絡(luò)戰(zhàn)略和國(guó)土安全部網(wǎng)絡(luò)安全戰(zhàn)略等文檔中已經(jīng)列出了應(yīng)對(duì)網(wǎng)絡(luò)威脅的更廣義的聯(lián)邦戰(zhàn)略，這些戰(zhàn)略已經(jīng)詳細(xì)刻畫了國(guó)家戰(zhàn)略應(yīng)該具備的關(guān)鍵特征。

能源部聲稱其用于解決電網(wǎng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與挑戰(zhàn)的計(jì)劃與評(píng)估文件與更廣義的網(wǎng)絡(luò)安全框架符合，并且允許能源部在達(dá)成其目標(biāo)時(shí)具備靈活性。

但其并未針對(duì)電網(wǎng)所面臨的特有的安全威脅與挑戰(zhàn)，也并未包括所有國(guó)家戰(zhàn)略的關(guān)鍵特征。

因此，能源部應(yīng)當(dāng)提供一份旨在解決電網(wǎng)面臨的特定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與挑戰(zhàn)的戰(zhàn)略，其指導(dǎo)性才能夠滿足決策者為解決風(fēng)險(xiǎn)與挑戰(zhàn)配置資源的需求。

二是聯(lián)邦能源監(jiān)管委員會(huì)批準(zhǔn)的標(biāo)準(zhǔn)也并未能完全解決電網(wǎng)網(wǎng)絡(luò)安全問(wèn)題。

聯(lián)邦能源管理委員會(huì)批準(zhǔn)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)并未完全涵蓋美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所網(wǎng)絡(luò)安全框架中的五個(gè)功能及其對(duì)應(yīng)的分類。

準(zhǔn)確說(shuō)來(lái)，標(biāo)準(zhǔn)只涵蓋其中兩項(xiàng)功能的大部分分類，另外三項(xiàng)功能的分類只涉及一部分。

此外，聯(lián)邦能源管理委員會(huì)并未評(píng)估針對(duì)地理上分散的多個(gè)目標(biāo)進(jìn)行的協(xié)同網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)應(yīng)對(duì)標(biāo)準(zhǔn)與所有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的符合度。

（四）對(duì)政府部門的建議

圍繞上述分析，美國(guó)政府問(wèn)責(zé)署提出了三項(xiàng)建議：一項(xiàng)針對(duì)能源部，兩項(xiàng)針對(duì)聯(lián)邦能源監(jiān)管委員會(huì)。

美國(guó)政府問(wèn)責(zé)署向能源部提出建議：制定旨在實(shí)施聯(lián)邦電網(wǎng)網(wǎng)絡(luò)安全戰(zhàn)略的計(jì)劃，并確保該計(jì)劃解決國(guó)家戰(zhàn)略的關(guān)鍵問(wèn)題，包括全面評(píng)估電網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等。

美國(guó)政府問(wèn)責(zé)署向聯(lián)邦能源監(jiān)管委員會(huì)提出了以下兩項(xiàng)建議：

一是考慮對(duì)其已批準(zhǔn)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)行更改，以更全面地補(bǔ)充美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所網(wǎng)絡(luò)安全框架。

二是評(píng)估針對(duì)地理分布目標(biāo)進(jìn)行協(xié)同網(wǎng)絡(luò)攻擊的潛在風(fēng)險(xiǎn)，并根據(jù)評(píng)估結(jié)果確定是否需要更改閾值，以強(qiáng)制遵守全部網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的要求。

關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行直接關(guān)系國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公眾健康和安全。

今年3月，委內(nèi)瑞拉發(fā)生大規(guī)模停電事件，初步分析很可能由于網(wǎng)絡(luò)攻擊導(dǎo)致，這是繼“伊朗核設(shè)施震網(wǎng)病毒攻擊”、“烏克蘭電網(wǎng)攻擊”后，主權(quán)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施遭受嚴(yán)重破壞的又一標(biāo)志性事件，引起國(guó)際各方關(guān)注。

從此次及過(guò)往類似事件我們可以看到，通過(guò)網(wǎng)絡(luò)攻擊敵對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施已經(jīng)成為國(guó)家間對(duì)抗的優(yōu)先選擇，也是網(wǎng)絡(luò)空間攻擊破壞的重要途徑。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作成為世界各國(guó)網(wǎng)絡(luò)安全防御關(guān)注的重點(diǎn)。

根據(jù)對(duì)美國(guó)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施情況的跟蹤研究發(fā)現(xiàn)，其在政策支持、標(biāo)準(zhǔn)制定、技術(shù)研究等方面均對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全發(fā)展有著日益顯著的支持。

《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)：采取措施應(yīng)對(duì)電網(wǎng)面臨的巨大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)》報(bào)告對(duì)電網(wǎng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施進(jìn)行了分析，該報(bào)告的觀點(diǎn)說(shuō)明了即使是在美國(guó)已經(jīng)高度重視關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的情況下，現(xiàn)有防護(hù)成效還遠(yuǎn)遠(yuǎn)不如預(yù)期。

在我國(guó)，2016年11月頒布的《網(wǎng)絡(luò)安全法》第一次正式明確了關(guān)鍵信息基礎(chǔ)設(shè)施的概念?！秶?guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)提升到國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略高度。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》進(jìn)一步提出了更細(xì)致、全面的要求，確立了我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的具體保護(hù)框架，加速推進(jìn)了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)化工作。

中央網(wǎng)信辦組織開(kāi)展全國(guó)范圍關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全調(diào)查檢查工作，公安部在每年的網(wǎng)絡(luò)安全執(zhí)法行動(dòng)檢查中，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作也開(kāi)展了相關(guān)調(diào)查和檢查。

《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)：采取措施應(yīng)對(duì)電網(wǎng)面臨的巨大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)》報(bào)告對(duì)推進(jìn)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作有借鑒意義，主要可以總結(jié)歸納為以下四個(gè)方面。

（一）政府需從政策規(guī)劃、法律法規(guī)等方面提供切實(shí)保障，強(qiáng)化頂層戰(zhàn)略謀劃。

美國(guó)高度重視關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)問(wèn)題，通過(guò)國(guó)家頂層法規(guī)政策，從宏觀層面強(qiáng)調(diào)關(guān)鍵基礎(chǔ)設(shè)施信息安全的重要性，在第7號(hào)國(guó)土安全總統(tǒng)令、第21號(hào)總統(tǒng)令、國(guó)土安全國(guó)家戰(zhàn)略等多項(xiàng)總統(tǒng)令與國(guó)家戰(zhàn)略中提及關(guān)鍵基礎(chǔ)設(shè)施，并強(qiáng)調(diào)其信息安全的重要性。

此外，相繼出臺(tái)《關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)法》《國(guó)家基礎(chǔ)設(shè)施保護(hù)預(yù)案》《國(guó)家網(wǎng)絡(luò)安全和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法案》《國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全框架規(guī)范》《關(guān)鍵基礎(chǔ)設(shè)施威脅信息共享規(guī)范》等法規(guī)文件，以加大對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)力度。關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)的戰(zhàn)略思路和法律政策，從一開(kāi)始就與國(guó)家安全相銜接。

隨著我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的深化和實(shí)施，關(guān)鍵信息基礎(chǔ)設(shè)施在國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的基礎(chǔ)性、重要性、保障性、戰(zhàn)略性地位也日益突出，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全，我國(guó)急需加快出臺(tái)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)法規(guī)文件，用于指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的開(kāi)展實(shí)施。

目前，國(guó)家《網(wǎng)絡(luò)安全法》首次以立法形式明確提出要保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的平穩(wěn)運(yùn)行，并對(duì)其認(rèn)定、管理、建設(shè)做了全面要求?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》尚處于征求意見(jiàn)階段。

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門針對(duì)本領(lǐng)域本行業(yè)的相關(guān)戰(zhàn)略規(guī)劃以及具體舉措還需加快制定。

（二）制定完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)規(guī)范，強(qiáng)化標(biāo)準(zhǔn)引領(lǐng)作用。

標(biāo)準(zhǔn)規(guī)范是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的一項(xiàng)重要舉措。美國(guó)2013年發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，從識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)五個(gè)維度以及資產(chǎn)管理、人員評(píng)估、安全意識(shí)培訓(xùn)、連續(xù)監(jiān)測(cè)、響應(yīng)恢復(fù)等方面加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。

2017年5月又發(fā)布了《聯(lián)邦機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)安全框架指南》，從整合安全風(fēng)險(xiǎn)、管理安全需求、調(diào)整采購(gòu)流程、評(píng)估網(wǎng)絡(luò)安全、管理安全計(jì)劃、了解安全風(fēng)險(xiǎn)、報(bào)告安全風(fēng)險(xiǎn)以及通知剪裁流程等八個(gè)方面指導(dǎo)聯(lián)邦政府機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)安全框架。

盡管美國(guó)在標(biāo)準(zhǔn)規(guī)范方面已經(jīng)開(kāi)展了大量工作，但GAO發(fā)布的報(bào)告中仍強(qiáng)調(diào)了現(xiàn)有標(biāo)準(zhǔn)尚不能滿足行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的需要。

我國(guó)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》都明確規(guī)定要求運(yùn)營(yíng)者按照國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求履行響應(yīng)安全保護(hù)義務(wù)，但目前我國(guó)尚未建立關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)規(guī)范體系。

應(yīng)當(dāng)結(jié)合國(guó)際國(guó)內(nèi)現(xiàn)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，制定和完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)規(guī)范，進(jìn)一步明確和細(xì)化關(guān)鍵信息基礎(chǔ)設(shè)施范疇以及運(yùn)營(yíng)者的職責(zé)義務(wù)，指導(dǎo)運(yùn)營(yíng)者強(qiáng)化防護(hù)能力建設(shè)，促進(jìn)運(yùn)營(yíng)者加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。

（三）構(gòu)建全面的關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，筑牢網(wǎng)絡(luò)安全防線。

關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家網(wǎng)絡(luò)防御的核心，建立有韌性的網(wǎng)絡(luò)防御體系是世界各國(guó)的戰(zhàn)略目標(biāo)。針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，美國(guó)主要在以下四個(gè)方面實(shí)施了具體舉措。

一是開(kāi)發(fā)和部署先進(jìn)性的技術(shù)。2011年美國(guó)《聯(lián)邦網(wǎng)絡(luò)空間安全研發(fā)戰(zhàn)略規(guī)劃》，提出重點(diǎn)發(fā)展具有“改變游戲規(guī)則”潛力的革命性技術(shù)，并確定了四個(gè)研發(fā)主題。

二是部署動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估系統(tǒng)。美國(guó)在聯(lián)邦機(jī)構(gòu)部署“愛(ài)因斯坦2”和“愛(ài)因斯坦3”，并在各網(wǎng)絡(luò)運(yùn)行中心啟用并支持共享的風(fēng)險(xiǎn)感知和協(xié)作。

三是加強(qiáng)公私合作和安全威脅信息共享。美國(guó)將共享網(wǎng)絡(luò)安全威脅信息和共同處理危機(jī)事件作為關(guān)鍵信息基礎(chǔ)設(shè)施合作的主要內(nèi)容。

四是規(guī)劃和執(zhí)行對(duì)網(wǎng)絡(luò)安全事件的協(xié)調(diào)反應(yīng)。通過(guò)定期的實(shí)戰(zhàn)演練，增強(qiáng)安全事件發(fā)生后的響應(yīng)和恢復(fù)能力。

由于網(wǎng)絡(luò)空間瞬息萬(wàn)變、攻防技術(shù)不斷升級(jí)等多種主客觀原因，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施尚未形成具有整體協(xié)同能力的防御體系。

“對(duì)手是否來(lái)過(guò)不清楚”、“威脅在哪不知道”的情況在關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)中普遍存在，對(duì)新型威脅不敏感甚至難以有效及時(shí)發(fā)現(xiàn)，對(duì)網(wǎng)絡(luò)安全的整體性、動(dòng)態(tài)性、開(kāi)放性、相對(duì)性和共同性認(rèn)識(shí)嚴(yán)重不足，傳統(tǒng)防御體系“感而不知、掩耳盜鈴”的現(xiàn)實(shí)狀況，已經(jīng)成為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的重大瓶頸。

因此，我國(guó)急需建立全面的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)體系。

一是加強(qiáng)網(wǎng)絡(luò)安全技術(shù)自主創(chuàng)新。

強(qiáng)化漏洞挖掘、風(fēng)險(xiǎn)研判、威脅分析等技術(shù)手段建設(shè)，加強(qiáng)新技術(shù)應(yīng)用網(wǎng)絡(luò)安全防護(hù)相關(guān)技術(shù)研究，著力提升網(wǎng)絡(luò)安全技術(shù)保障能力。

二是建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知與監(jiān)測(cè)預(yù)警體系。

大力推進(jìn)軍民融合，協(xié)同攻關(guān)，突破核心關(guān)鍵技術(shù)，推動(dòng)相關(guān)平臺(tái)建設(shè)，全面提高網(wǎng)絡(luò)安全防御的主動(dòng)性。

三是構(gòu)建網(wǎng)絡(luò)安全威脅情報(bào)知識(shí)共享體系。

構(gòu)建網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息共享機(jī)制，建設(shè)中立、共享、信任的威脅情報(bào)交換平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息、消減方案、安全態(tài)勢(shì)的及時(shí)共享與通報(bào)。

四是建立應(yīng)急響應(yīng)協(xié)同機(jī)制。

組織開(kāi)展跨區(qū)域、跨行業(yè)的攻防演練、應(yīng)急演練、資源協(xié)同、指揮聯(lián)動(dòng)，提升關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)抗國(guó)家級(jí)網(wǎng)絡(luò)攻擊的應(yīng)急響應(yīng)處置能力。

（四）加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)與人才培養(yǎng)，提升網(wǎng)絡(luò)安全意識(shí)和防護(hù)技能。

美國(guó)歷年主要的網(wǎng)絡(luò)安全戰(zhàn)略文件，無(wú)一例外均囊括“提升網(wǎng)絡(luò)安全意識(shí)、加強(qiáng)網(wǎng)絡(luò)安全教育”的內(nèi)容。

美國(guó)2010年4月啟動(dòng)“國(guó)家網(wǎng)絡(luò)安全教育計(jì)劃”（NICE），其初衷是統(tǒng)籌協(xié)調(diào)政、產(chǎn)、學(xué)、研各利益相關(guān)方，全盤布局、加強(qiáng)協(xié)調(diào)，實(shí)現(xiàn)網(wǎng)絡(luò)安全人才工作的有序推進(jìn)。

該計(jì)劃由美國(guó)商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）牽頭，國(guó)土安全部（DHS）、國(guó)防部（DOD）、教育部（DoED）等十余個(gè)部委共同參與、各司其職，其中，DHS和DOD主責(zé)的職業(yè)發(fā)展工作推出了《網(wǎng)絡(luò)安全職業(yè)和研究國(guó)家倡議》（NICCS），匯聚大量職業(yè)培訓(xùn)資源為美國(guó)聯(lián)邦政府及關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全人才能力提升提供支持。

盡管美國(guó)已高度重視人才培養(yǎng)，但GAO報(bào)告中仍強(qiáng)調(diào)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)領(lǐng)域仍存在網(wǎng)絡(luò)安全人才不足的情況。

我國(guó)急需加強(qiáng)人才發(fā)展統(tǒng)籌規(guī)劃和分類指導(dǎo)，組織實(shí)施人才培養(yǎng)計(jì)劃，加大專業(yè)技術(shù)人才和管理人才的培養(yǎng)力度，完善從專家團(tuán)隊(duì)、骨干核心團(tuán)隊(duì)到專業(yè)技術(shù)人才等各層次的人才培養(yǎng)體系。

一是要進(jìn)一步提升國(guó)家對(duì)網(wǎng)絡(luò)安全人才及人才工作的戰(zhàn)略重視程度，通過(guò)各類行政和立法手段為網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)提供實(shí)施保障，各級(jí)政府、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，應(yīng)加快推進(jìn)網(wǎng)絡(luò)安全崗位人員規(guī)模和能力的測(cè)評(píng)工作，制定并落實(shí)專門的網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)方案。

二是要充分認(rèn)識(shí)網(wǎng)絡(luò)安全崗位分類規(guī)范及能力標(biāo)準(zhǔn)的基礎(chǔ)性作用，加快推進(jìn)網(wǎng)絡(luò)安全人才評(píng)價(jià)指標(biāo)體系的研究和編制工作，積極實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全人才的分類施策，并將其作為教育、培訓(xùn)、評(píng)價(jià)和管理的重要依據(jù)。

三是要重點(diǎn)關(guān)注網(wǎng)絡(luò)安全從業(yè)人員群體，完善職業(yè)培訓(xùn)體系，持續(xù)提升網(wǎng)絡(luò)安全從業(yè)人員隊(duì)伍整體能力。

四是加大關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)宣傳力度，開(kāi)展網(wǎng)絡(luò)安全宣傳周活動(dòng)，普及網(wǎng)絡(luò)安全基本知識(shí)和技能。

報(bào)告解讀作者簡(jiǎn)介：

1.馬曉旭，中電科網(wǎng)絡(luò)空間安全研究院戰(zhàn)略與總體所，國(guó)防科技工業(yè)網(wǎng)絡(luò)安全創(chuàng)新中心，博士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

2.張玲，中電科網(wǎng)絡(luò)空間安全研究院戰(zhàn)略與總體所副所長(zhǎng)，國(guó)防科技工業(yè)網(wǎng)絡(luò)安全創(chuàng)新中心，碩士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全戰(zhàn)略研究。

報(bào)告譯者：中電科網(wǎng)絡(luò)空間安全研究院牛長(zhǎng)喜，朱治丞，羅仙

來(lái)源： 信息安全與通信保密雜志社