重点国家工业信息安全经验借鉴.docxVIP

??

?

??

重点国家工业信息安全经验借鉴

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

一美国工业信息安全经验借鉴

美国政府早在20世纪90年代初便开始关注工业信息安全问题。尤其是1998年首次提出信息安全的概念以来，更是将工业信息安全视为一项重要的国家战略。经过多年的发展和实践，美国从组织架构、法律法规、技术、产业等要素入手，构建了一套完善的治理体系。这些要素相互配合、形成合力，共同推动美国工业信息安全工作的开展。

（一）权责明晰、公私合作的组织管理架构

美国拥有分工明确、职责清晰、相互协作的工业信息安全管理机构。国家安全委员会的高级网络政策主管负责协调包括工业信息安全在内的网络安全事务。国土安全部、商务部、国防部、司法部等行政部门按照职责分工协作，共同保障工业信息安全的落实推进。各部门下辖不同类型的工业信息安全保障机构，以实现对工业信息安全工作的良好支撑。另着力建设研究机构和行业联盟，推动“产学研用”的供需对接和共赢合作。

在管理机构方面，国土安全部（DHS）通过制定相关专项规划等措施，推动工业领域的信息安全工作。DHS下设联邦应急管理署（FEMA）、国家计算机安全局（NCSD）、工业控制系统联合工作组（ICS-JWG）、国家网络和通信集成中心（NCCIC）、工业控制系统网络应急响应小组（ICS-CERT）等部门和机构，专注于协调指挥关键基础设施安全、工业控制系统安全、应急管理等不同方面，拥有对工业信息安全事务的广泛职责。商务部下设国家标准技术研究院（NIST），负责发布《工业控制系统安全指南》等一系列规范文件，从事相关标准和技术的基础和应用研究。此外，相关工业信息安全管理机构还包括司法部联邦调查局下属的国家网络调查联合任务小组，以及国防部国家安全局下属的网络空间安全威胁行动中心等。

在研究机构方面，美国计算机紧急事件响应小组协调中心（CERT/CC）由联邦政府提供资金，由多元化的专业研究人员组成，在安全漏洞、态势感知、安全评估等方面开展工作，并通过挖掘尖端信息和开展培训来改进工业信息安全。此外，美国政府还成立爱达荷、太平洋西北、橡树岭、桑迪亚、洛斯阿拉莫、阿贡等多个国家级研究机构及实验室，开展对工业信息安全关键共性技术研究，主要包括工业领域信息安全标准/协议制度、工业系统威胁和脆弱性，以及工业控制系统安全技术等方面的研发。在行业联盟方面，由GE、IBM、英特尔等牵头于2014年4月在美国成立的工业互联网联盟（IIC），已经快速成长为全球最重要的工业互联网推广组织。

（二）覆盖全面、逐步细化的法律法规体系

1993年，老布什总统任职期间签署的12829号总统行政令首次提出建立美国国家工业信息安全制度（国家工业安全计划，NISP）。1998年，克林顿任职期间，美国政府颁发了保护美国关键基础设施的PDD-63号总统令，就信息安全战略等概念、内涵、长期与短期目标做出了明确说明。同年年底，美国国家安全局制定了《信息保障技术框架》，为信息与信息技术设施保护提供了系统的技术指南。2001年，第13231号总统行政令《信息时代的关键基础设施保护》提出将“总统关键基础设施保护委员会”改为“总统关键基础设施保护办公室”，作为联邦基础设施安全保护的最高管理协调机构。2003年2月，美国政府发布的《网络空间的国家战略》，进一步提出保护国家关键基础设施安全。

奥巴马上任后，其13691号总统行政令又进一步对美国国家工业信息安全制度进行了修订。特朗普上任后，2017年1月颁布的《国防部和国土安全部关于网络安全和网络空间行动的备忘录》对机构职责进行了调整。5月发布的《加强联邦网络和关键基础设施的网络安全》总统行政令被视为特朗普政府网络治理政策的标志。2018年5月发布的作为关键基础设施行业代表政策的《能源行业网络安全多年计划》，确定了能源部履行网络安全责任的举措，以应对能源所有者和运营商不断变化，网络威胁频率、规模和复杂程度不断上升等安全问题，降低美国能源行业网络安全风险。同月，国土安全部发布《网络安全战略》，作为指导未来五年履行网络安全职责的基本方略，旨在减少漏洞、增强弹性、打击恶意攻击者、响应网络事件，使网络生态系统更安全和更具弹性，从而跟上不断变化的网络风险形势。

（三）提前布局、领先全球的技术研发团队

美国在工业信息安全领域保持着技术领先，突出体现在安全领域6家重点实验室的建设方面。阿贡国家实验室（ANL）成立于1946年，是经特许成立的第一个国家实验室，是规模最大、历史最悠久的科研机构之一。它关于工业信息安全的研究主要集中在工业控制系统领域。爱达荷国家实验室（INL）成立于1949年，设有关键基础设施保护和控制系统网络安全等研究方向，在漏洞识别和消减等领域具备研究水准。桑迪亚国家实验室（SNL）成立于19