第三节 关键信息基础设施保护日益加强

关键信息基础设施的系统数据资产价值较高，遭受网络攻击的影响范围较广、后果较重，因此近些年，关键基础设施将成为网络攻击的首选“阵地”。全球范围内针对关键信息基础设施的网络攻击事件层出不穷，通信、能源、医疗、制造、交通、金融、教育等行业无一幸免，给多国带来机密数据泄露、社会系统瘫痪等重大危害，严重威胁了国家安全。世界各国通过加速完善关键信息基础设施保护制度、进一步强化供应链网络安全管理保障、积极开展关键信息基础设施防护的网络演习行动等举措，进一步加大关键信息基础设施安全保护力度。

一、加速完善关键信息基础设施保护制度

2021年2月，美国网络安全与基础设施安全局（CISA）发布了《CISA全球参与》文件，通过加强国际合作以增强全球关键信息基础设施的安全性和韧性。

2021年5月，美国发布《CISA网络演习法案》，旨在令网络安全与基础设施安全局（CISA）协助建立国家网络演习计划，以测试美国网络安全是否准备就绪。该法案将测试美国针对重大网络事件的应对计划，旨在帮助州和地方政府以及私营部门企业通过这些网络安全演习来测试网络和关键基础设施的安全性能、响应能力和恢复能力。

2021年7月，美国总统拜登签署《关于改善关键基础设施控制系统网络安全的国家安全备忘录》，旨在要求网络安全和基础设施安全局（CISA）与美国国家标准与技术研究院等机构合作，为关键基础设施领域制定网络安全性能目标，以进一步就关键基础设施所有者和运营商应遵循的基本安全实践达成共识。该备忘录正式提出建立工业控制系统（ICS）网络安全倡议，促进政府和私营部门之间的自愿合作，以保护网络免受威胁，并提供攻击警告和指标。

2021年7月，欧盟发布《欧盟安全联盟战略（2020—2025）》。该战略提出，将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重。

2021年8月，美国参议院通过《基础设施投资和就业法案》。该法案提供近20亿美元的网络安全拨款。其中，约10亿美元用于州和地方政府的网络安全，旨在激励州、地方、领地和部落（SLTT）政府提高其网络安全能力；1亿美元用于网络响应和恢复基金，自2022财年到2026财年每年投入2000万美元，以供网络安全与基础设施安全局（CISA）对重大网络事件进行响应；3500万美元用于CISA对行业风险管理的投资；2100万美元用于向国家网络总监办公室提供工资和开支；1.57亿美元用于国土安全部科技署开展网络安全研究，包括开展针对关键基础设施安全、弹性的非网络及网络相关研发，以及电信设备、工业控制系统、开源软件的安全测试；2.5 亿美元用于加强能源网络安全；3.5亿美元用于加强电网安全。

2021年9月，美国发布《网络安全漏洞修复法案》，旨在重点关注关键信息基础设施安全保护。该法案授权美国国土安全部（DHS）的网络安全和基础设施安全局协助关键基础设施的所有者和运营商，针对关键信息基础设施IT和OT系统中的严重安全漏洞，以及不再被支持的硬件或软件中的严重安全漏洞，制定缓解策略。该法案还授权国土安全部为 IT 和 ICS 产品安全漏洞的补救方案引入竞争机制。

2021年12月，澳大利亚发布《2021年安全立法修正案（关键基础设施）》，旨在修订《2018年关键基础设施安全法》（简称SOCI法），引入了强制性的网络事件报告义务、应对严重的网络安全事件时的政府援助机制以及关键信息基础设施运营者的日常安全保护义务。此外，与SOCI法相比，该修正案扩大了关键信息基础设施安全保护义务领域，从原有的电力、天然气、水和海港领域扩展至通信、金融服务和市场、数据存储和处理、国防工业、高等教育与研究、能源、食品杂货、保健医疗、太空技术、交通、水和排水系统领域。

二、进一步强化供应链网络安全管理保障

2021年1月，美国商务部发布《确保信息通信技术及服务供应链安全》文件，旨在防止美国因购买和使用国外对手设计、开发、制造或提供的信息通信技术及服务，对自身国家安全和经济发展构成严重威胁的隐患，例如，利用漏洞破坏关键信息基础设施网络、窃取其敏感数据等。

2021年1月，澳大利亚网络安全中心发布《识别和管理网络供应链风险指南》，旨在帮助各关键信息基础设施机构识别网络供应链的相关风险，同时提出管理网络供应链风险最佳实践，从而最大程度确保生命周期内产品和服务的安全供应，为相关机构的网络供应链风险管理提供指导和借鉴。

2021年5月，美国总统拜登签署了《改善国家网络安全行政令》，旨在提高联邦政府的网络安全能力。该行政令特别提出，将为出售给政府的软件开发建立基线安全标准，提高软件供应链安全性。该行政令内容包括：要求开发人员保持对其软件的更大可见性，并公开安全数据；建立一个并行的公私合作过程，开发新的和创新的方法来保护软件开发；利用联邦政府的购买力推动市场将安全性构建到所有软件中。

2021年5月，立陶宛议会通过了《电信法》和《重要物体安全法》的修正案，明确立陶宛电信市场禁止不可靠的供应商和生产商进入。

2021年8月，美国联邦采购安全委员会发布《联邦采购安全委员会规则》，旨在评估联邦政府供应链风险信息，删除和排除构成国家安全风险的IT产品、系统或服务。

三、积极开展关键信息基础设施防护的网络演习行动

2021年4月，北约举行2021年度“锁定盾牌”演习，此次演习号称全球规模最大的网络防御实战演习，涉及30个国家、2000多名网络安全专家和决策者。该演习旨在检验相关国家保护重要服务和关键基础设施的能力，并强调网络防御者和战略决策者必须了解各国IT系统之间的相互依赖关系。该演习以虚构岛国“贝里里亚”的主要军事和民用 IT 系统遭受了协调性网络攻击，该国军事防空、卫星任务控制、水净化、电网以及金融体系的运行遭受重大破坏为背景。该演习涉及约5000 个虚拟系统，且这些系统遭受了4000 多次攻击。参与团队要实时适应并应对多种复杂的网络攻击，从而为各国提供了在安全环境中实际测试其指挥链的机会。

2021年6月，美国国民警卫队完成为期两周的“网络洋基”网络攻防演练，模拟美国各地关键公用事业网络遭到攻击、破坏的情形以及所做出的响应。该演练测试美国国民警卫队对模拟网络攻击的响应能力。

2021年10月，欧盟网络与信息安全局与罗马尼亚国家网络安全理事会共同组织了第三次 Blue OLEx演习，旨在检验欧盟网络危机联络组织的网络运营程序是否可应对大规模跨境网络危机，或影响欧盟关键信息基础设施正常运转，导致欧盟公民正常生活和企业正常运营受到干扰的网络事件。

2021年11月，美国网络司令部举行“网络旗帜21-1”演习，以网络空间集体防御为重点对美国及其盟友、合作伙伴的参演人员进行了检验和培训。该演习是美国网络司令部迄今为止规模最大的跨国网络演习，是美国对SolarWinds渗透攻击的回应举措之一，旨在加强在面临重大网络攻击时美国及其盟友的关键信息基础设施防护水平。