第三節(jié) 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)日益加強(qiáng)

關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)數(shù)據(jù)資產(chǎn)價值較高，遭受網(wǎng)絡(luò)攻擊的影響范圍較廣、后果較重，因此近些年，關(guān)鍵基礎(chǔ)設(shè)施將成為網(wǎng)絡(luò)攻擊的首選“陣地”。全球范圍內(nèi)針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件層出不窮，通信、能源、醫(yī)療、制造、交通、金融、教育等行業(yè)無一幸免，給多國帶來機(jī)密數(shù)據(jù)泄露、社會系統(tǒng)癱瘓等重大危害，嚴(yán)重威脅了國家安全。世界各國通過加速完善關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度、進(jìn)一步強(qiáng)化供應(yīng)鏈網(wǎng)絡(luò)安全管理保障、積極開展關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的網(wǎng)絡(luò)演習(xí)行動等舉措，進(jìn)一步加大關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)力度。

一、加速完善關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度

2021年2月，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了《CISA全球參與》文件，通過加強(qiáng)國際合作以增強(qiáng)全球關(guān)鍵信息基礎(chǔ)設(shè)施的安全性和韌性。

2021年5月，美國發(fā)布《CISA網(wǎng)絡(luò)演習(xí)法案》，旨在令網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）協(xié)助建立國家網(wǎng)絡(luò)演習(xí)計劃，以測試美國網(wǎng)絡(luò)安全是否準(zhǔn)備就緒。該法案將測試美國針對重大網(wǎng)絡(luò)事件的應(yīng)對計劃，旨在幫助州和地方政府以及私營部門企業(yè)通過這些網(wǎng)絡(luò)安全演習(xí)來測試網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的安全性能、響應(yīng)能力和恢復(fù)能力。

2021年7月，美國總統(tǒng)拜登簽署《關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)安全的國家安全備忘錄》，旨在要求網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）與美國國家標(biāo)準(zhǔn)與技術(shù)研究院等機(jī)構(gòu)合作，為關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域制定網(wǎng)絡(luò)安全性能目標(biāo)，以進(jìn)一步就關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商應(yīng)遵循的基本安全實踐達(dá)成共識。該備忘錄正式提出建立工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡(luò)安全倡議，促進(jìn)政府和私營部門之間的自愿合作，以保護(hù)網(wǎng)絡(luò)免受威脅，并提供攻擊警告和指標(biāo)。

2021年7月，歐盟發(fā)布《歐盟安全聯(lián)盟戰(zhàn)略（2020—2025）》。該戰(zhàn)略提出，將提升關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)和恢復(fù)能力作為未來五年網(wǎng)絡(luò)安全工作的重中之重。

2021年8月，美國參議院通過《基礎(chǔ)設(shè)施投資和就業(yè)法案》。該法案提供近20億美元的網(wǎng)絡(luò)安全撥款。其中，約10億美元用于州和地方政府的網(wǎng)絡(luò)安全，旨在激勵州、地方、領(lǐng)地和部落（SLTT）政府提高其網(wǎng)絡(luò)安全能力；1億美元用于網(wǎng)絡(luò)響應(yīng)和恢復(fù)基金，自2022財年到2026財年每年投入2000萬美元，以供網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）對重大網(wǎng)絡(luò)事件進(jìn)行響應(yīng)；3500萬美元用于CISA對行業(yè)風(fēng)險管理的投資；2100萬美元用于向國家網(wǎng)絡(luò)總監(jiān)辦公室提供工資和開支；1.57億美元用于國土安全部科技署開展網(wǎng)絡(luò)安全研究，包括開展針對關(guān)鍵基礎(chǔ)設(shè)施安全、彈性的非網(wǎng)絡(luò)及網(wǎng)絡(luò)相關(guān)研發(fā)，以及電信設(shè)備、工業(yè)控制系統(tǒng)、開源軟件的安全測試；2.5 億美元用于加強(qiáng)能源網(wǎng)絡(luò)安全；3.5億美元用于加強(qiáng)電網(wǎng)安全。

2021年9月，美國發(fā)布《網(wǎng)絡(luò)安全漏洞修復(fù)法案》，旨在重點關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)。該法案授權(quán)美國國土安全部（DHS）的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局協(xié)助關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營商，針對關(guān)鍵信息基礎(chǔ)設(shè)施IT和OT系統(tǒng)中的嚴(yán)重安全漏洞，以及不再被支持的硬件或軟件中的嚴(yán)重安全漏洞，制定緩解策略。該法案還授權(quán)國土安全部為 IT 和 ICS 產(chǎn)品安全漏洞的補(bǔ)救方案引入競爭機(jī)制。

2021年12月，澳大利亞發(fā)布《2021年安全立法修正案（關(guān)鍵基礎(chǔ)設(shè)施）》，旨在修訂《2018年關(guān)鍵基礎(chǔ)設(shè)施安全法》（簡稱SOCI法），引入了強(qiáng)制性的網(wǎng)絡(luò)事件報告義務(wù)、應(yīng)對嚴(yán)重的網(wǎng)絡(luò)安全事件時的政府援助機(jī)制以及關(guān)鍵信息基礎(chǔ)設(shè)施運營者的日常安全保護(hù)義務(wù)。此外，與SOCI法相比，該修正案擴(kuò)大了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)義務(wù)領(lǐng)域，從原有的電力、天然氣、水和海港領(lǐng)域擴(kuò)展至通信、金融服務(wù)和市場、數(shù)據(jù)存儲和處理、國防工業(yè)、高等教育與研究、能源、食品雜貨、保健醫(yī)療、太空技術(shù)、交通、水和排水系統(tǒng)領(lǐng)域。

二、進(jìn)一步強(qiáng)化供應(yīng)鏈網(wǎng)絡(luò)安全管理保障

2021年1月，美國商務(wù)部發(fā)布《確保信息通信技術(shù)及服務(wù)供應(yīng)鏈安全》文件，旨在防止美國因購買和使用國外對手設(shè)計、開發(fā)、制造或提供的信息通信技術(shù)及服務(wù)，對自身國家安全和經(jīng)濟(jì)發(fā)展構(gòu)成嚴(yán)重威脅的隱患，例如，利用漏洞破壞關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)、竊取其敏感數(shù)據(jù)等。

2021年1月，澳大利亞網(wǎng)絡(luò)安全中心發(fā)布《識別和管理網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險指南》，旨在幫助各關(guān)鍵信息基礎(chǔ)設(shè)施機(jī)構(gòu)識別網(wǎng)絡(luò)供應(yīng)鏈的相關(guān)風(fēng)險，同時提出管理網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險最佳實踐，從而最大程度確保生命周期內(nèi)產(chǎn)品和服務(wù)的安全供應(yīng)，為相關(guān)機(jī)構(gòu)的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理提供指導(dǎo)和借鑒。

2021年5月，美國總統(tǒng)拜登簽署了《改善國家網(wǎng)絡(luò)安全行政令》，旨在提高聯(lián)邦政府的網(wǎng)絡(luò)安全能力。該行政令特別提出，將為出售給政府的軟件開發(fā)建立基線安全標(biāo)準(zhǔn)，提高軟件供應(yīng)鏈安全性。該行政令內(nèi)容包括：要求開發(fā)人員保持對其軟件的更大可見性，并公開安全數(shù)據(jù)；建立一個并行的公私合作過程，開發(fā)新的和創(chuàng)新的方法來保護(hù)軟件開發(fā)；利用聯(lián)邦政府的購買力推動市場將安全性構(gòu)建到所有軟件中。

2021年5月，立陶宛議會通過了《電信法》和《重要物體安全法》的修正案，明確立陶宛電信市場禁止不可靠的供應(yīng)商和生產(chǎn)商進(jìn)入。

2021年8月，美國聯(lián)邦采購安全委員會發(fā)布《聯(lián)邦采購安全委員會規(guī)則》，旨在評估聯(lián)邦政府供應(yīng)鏈風(fēng)險信息，刪除和排除構(gòu)成國家安全風(fēng)險的IT產(chǎn)品、系統(tǒng)或服務(wù)。

三、積極開展關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的網(wǎng)絡(luò)演習(xí)行動

2021年4月，北約舉行2021年度“鎖定盾牌”演習(xí)，此次演習(xí)號稱全球規(guī)模最大的網(wǎng)絡(luò)防御實戰(zhàn)演習(xí)，涉及30個國家、2000多名網(wǎng)絡(luò)安全專家和決策者。該演習(xí)旨在檢驗相關(guān)國家保護(hù)重要服務(wù)和關(guān)鍵基礎(chǔ)設(shè)施的能力，并強(qiáng)調(diào)網(wǎng)絡(luò)防御者和戰(zhàn)略決策者必須了解各國IT系統(tǒng)之間的相互依賴關(guān)系。該演習(xí)以虛構(gòu)島國“貝里里亞”的主要軍事和民用 IT 系統(tǒng)遭受了協(xié)調(diào)性網(wǎng)絡(luò)攻擊，該國軍事防空、衛(wèi)星任務(wù)控制、水凈化、電網(wǎng)以及金融體系的運行遭受重大破壞為背景。該演習(xí)涉及約5000 個虛擬系統(tǒng)，且這些系統(tǒng)遭受了4000 多次攻擊。參與團(tuán)隊要實時適應(yīng)并應(yīng)對多種復(fù)雜的網(wǎng)絡(luò)攻擊，從而為各國提供了在安全環(huán)境中實際測試其指揮鏈的機(jī)會。

2021年6月，美國國民警衛(wèi)隊完成為期兩周的“網(wǎng)絡(luò)洋基”網(wǎng)絡(luò)攻防演練，模擬美國各地關(guān)鍵公用事業(yè)網(wǎng)絡(luò)遭到攻擊、破壞的情形以及所做出的響應(yīng)。該演練測試美國國民警衛(wèi)隊對模擬網(wǎng)絡(luò)攻擊的響應(yīng)能力。

2021年10月，歐盟網(wǎng)絡(luò)與信息安全局與羅馬尼亞國家網(wǎng)絡(luò)安全理事會共同組織了第三次 Blue OLEx演習(xí)，旨在檢驗歐盟網(wǎng)絡(luò)危機(jī)聯(lián)絡(luò)組織的網(wǎng)絡(luò)運營程序是否可應(yīng)對大規(guī)模跨境網(wǎng)絡(luò)危機(jī)，或影響歐盟關(guān)鍵信息基礎(chǔ)設(shè)施正常運轉(zhuǎn)，導(dǎo)致歐盟公民正常生活和企業(yè)正常運營受到干擾的網(wǎng)絡(luò)事件。

2021年11月，美國網(wǎng)絡(luò)司令部舉行“網(wǎng)絡(luò)旗幟21-1”演習(xí)，以網(wǎng)絡(luò)空間集體防御為重點對美國及其盟友、合作伙伴的參演人員進(jìn)行了檢驗和培訓(xùn)。該演習(xí)是美國網(wǎng)絡(luò)司令部迄今為止規(guī)模最大的跨國網(wǎng)絡(luò)演習(xí)，是美國對SolarWinds滲透攻擊的回應(yīng)舉措之一，旨在加強(qiáng)在面臨重大網(wǎng)絡(luò)攻擊時美國及其盟友的關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)水平。