自2月24日起，俄烏沖突持續(xù)焦灼，關(guān)鍵基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)攻擊重點(diǎn)。戰(zhàn)前烏克蘭政務(wù)、金融基礎(chǔ)設(shè)施多次受損，開戰(zhàn)后烏克蘭電信基礎(chǔ)設(shè)施經(jīng)常性中斷服務(wù)，俄羅斯政務(wù)等基礎(chǔ)設(shè)施也出現(xiàn)無法訪問情況。在俄烏沖突升級背景下，3月11日，美國眾議院通過《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告》法案，該法案要求關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商在遇到重大網(wǎng)絡(luò)攻擊72小時(shí)內(nèi)、被勒索軟件勒索付款的24小時(shí)內(nèi)向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）報(bào)告。這項(xiàng)法律將使聯(lián)邦機(jī)構(gòu)更深入地了解攻擊趨勢，并可能有助于在重大漏洞或攻擊蔓延之前提供早期預(yù)警。在俄烏混合戰(zhàn)爭引爆全球“關(guān)基”網(wǎng)絡(luò)安全危機(jī)的時(shí)刻，美國通過《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》不愧為未雨綢繆，為應(yīng)對網(wǎng)絡(luò)安全態(tài)勢現(xiàn)代化的需求提前做好準(zhǔn)備。

　　一

　　俄烏沖突間接推動(dòng)美國網(wǎng)絡(luò)安全立法變革

　　隨著科技不斷發(fā)展，現(xiàn)代戰(zhàn)爭的形式已經(jīng)不再局限于熱戰(zhàn)。作為第二種戰(zhàn)爭模式的“網(wǎng)絡(luò)戰(zhàn)爭”雖不見硝煙，但它讓現(xiàn)代戰(zhàn)爭變得更加快速且具有破壞力，可能不費(fèi)一兵一卒，但它所帶來的危害其實(shí)并不亞于現(xiàn)實(shí)戰(zhàn)爭，可對目標(biāo)國重要基礎(chǔ)設(shè)施實(shí)現(xiàn)精準(zhǔn)打擊。此次俄烏對戰(zhàn)，以國家為打擊目標(biāo)、摧毀國防、軍工、能源關(guān)鍵基礎(chǔ)設(shè)施，公共通信、金融、電子政務(wù)等各種關(guān)鍵信息基礎(chǔ)設(shè)施“斷網(wǎng)”的背后，無不透露出新型網(wǎng)絡(luò)戰(zhàn)已經(jīng)具備實(shí)體攻擊的能力。

　?。ㄒ唬┟绹鴩揖W(wǎng)絡(luò)安全立法發(fā)展進(jìn)程主要事件

　　俄烏沖突引發(fā)的一系列網(wǎng)絡(luò)安全問題，間接推動(dòng)了美國網(wǎng)絡(luò)安全立法的變革，有助于立法者克服時(shí)間和權(quán)限障礙通過立法，要求關(guān)鍵基礎(chǔ)設(shè)施的私營部門所有者向政府報(bào)告網(wǎng)絡(luò)安全事件，并推動(dòng)《網(wǎng)絡(luò)安全增強(qiáng)法》的更新。

　　（二）《網(wǎng)絡(luò)安全增強(qiáng)法（2022）》重點(diǎn)更新內(nèi)容

　　3月1日，美國參議院通過《美國網(wǎng)絡(luò)安全增強(qiáng)法（2022）》。該法由《網(wǎng)絡(luò)事件報(bào)告法案》、《聯(lián)邦信息安全現(xiàn)代化》和《 聯(lián)邦安全云改進(jìn)和就業(yè)法案》三項(xiàng)網(wǎng)絡(luò)安全法案措施組成。總體來看，該法包含旨在使美國聯(lián)邦政府的網(wǎng)絡(luò)安全態(tài)勢現(xiàn)代化的若干措施。試圖通過簡化之前的網(wǎng)絡(luò)安全法案來改善聯(lián)邦機(jī)構(gòu)之間的協(xié)調(diào)，并要求所有民事機(jī)構(gòu)向CISA報(bào)告網(wǎng)絡(luò)攻擊。法案的通過將有助于確保銀行、電網(wǎng)、供水網(wǎng)絡(luò)和交通系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施實(shí)體能夠在網(wǎng)絡(luò)遭到破壞時(shí)迅速恢復(fù)并向人們提供基本服務(wù)。

　　《網(wǎng)絡(luò)事件報(bào)告法案》更新了各機(jī)構(gòu)向國會報(bào)告網(wǎng)絡(luò)事件的規(guī)定，并賦予CISA更多權(quán)力，以確保其是民用網(wǎng)絡(luò)安全事件主要負(fù)責(zé)機(jī)構(gòu)。“最重要的”措施要求關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營商在攻擊發(fā)生后七十二小時(shí)內(nèi)通知CISA；在勒索軟件支付后二十四小時(shí)內(nèi)通知CISA?！堵?lián)邦信息安全現(xiàn)代化》重點(diǎn)集成了更有效的網(wǎng)絡(luò)安全實(shí)踐?！?聯(lián)邦安全云改進(jìn)和就業(yè)法案》加速部署云計(jì)算產(chǎn)品和服務(wù)，并大力推動(dòng)采用安全云能力、創(chuàng)建工作并減少對遺留信息技術(shù)依賴。

　　二

　　美國對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的布局

　　美國作為網(wǎng)絡(luò)技術(shù)的發(fā)起國和強(qiáng)大網(wǎng)絡(luò)空間勢力的擁有國，也是關(guān)鍵基礎(chǔ)設(shè)施保護(hù)起步最早的國家。美國國土安全部作為關(guān)鍵基礎(chǔ)設(shè)施的主管部門，也肩負(fù)著保障國家安全的重要職責(zé)，基于此，美國關(guān)鍵基礎(chǔ)設(shè)施安全保障的戰(zhàn)略思路和法律政策，從一開始就與國家安全掛鉤，相比其他國家，站得更高，布局更加寬廣。

　　（一）站位高瞻，戰(zhàn)略地位掛鉤國家安全

　　結(jié)合2015年美國政府《網(wǎng)絡(luò)安全法案》、 3月1日參議院通過《美國網(wǎng)絡(luò)安全增強(qiáng)法（2022）》，以及NIST根據(jù)法案提出針對關(guān)鍵基礎(chǔ)設(shè)施的具體框架指南，美國關(guān)鍵基礎(chǔ)設(shè)施安全的戰(zhàn)略地位全面與國家安全掛鉤。近幾年，安全威脅呈現(xiàn)出線上線下聯(lián)動(dòng)的態(tài)勢，加之此次俄烏沖突中暴露出來的關(guān)鍵基礎(chǔ)設(shè)施成為網(wǎng)攻重點(diǎn)對象，關(guān)鍵基礎(chǔ)設(shè)施戰(zhàn)略地位呈不斷抬升之勢。美國參議院國土安全和政府事務(wù)委員會主席加里·彼得斯認(rèn)為，《美國網(wǎng)絡(luò)安全增強(qiáng)法（2022）》的通過，是具有戰(zhàn)略里程碑意義的，是確保美國能夠反擊的重要一步，將確保 CISA 成為主要的政府機(jī)構(gòu)，負(fù)責(zé)幫助關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商和民用聯(lián)邦機(jī)構(gòu)應(yīng)對重大網(wǎng)絡(luò)漏洞并從中恢復(fù)，并減輕黑客對運(yùn)營的影響。

　?。ǘ┟鞔_范圍，重視物理與網(wǎng)絡(luò)空間安全保護(hù)

　　美國在保護(hù)關(guān)鍵基礎(chǔ)設(shè)施物理空間安全的同時(shí)更加重視網(wǎng)絡(luò)空間安全，并且不斷調(diào)整變化關(guān)鍵基礎(chǔ)設(shè)施的范圍以適應(yīng)新時(shí)期的需要，最終固化形成了16個(gè)美國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)范圍。

　　（三）自頂向下，行成網(wǎng)絡(luò)安全保護(hù)體系規(guī)范

　　1996年，第一個(gè)針對關(guān)鍵基礎(chǔ)設(shè)施的行政令，13010號行政令拉開了對關(guān)鍵基礎(chǔ)設(shè)備保護(hù)的序幕。2013年3636號行政令《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》提出網(wǎng)絡(luò)安全已成為關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的重點(diǎn)，應(yīng)當(dāng)長期鞏固關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性能力。2015年頒布《網(wǎng)絡(luò)安全法》，明確了國土安全部在網(wǎng)絡(luò)安全領(lǐng)域的主責(zé)地位。2016年《網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃》，要求加強(qiáng)公共和私營部門的網(wǎng)絡(luò)安全合作，制定網(wǎng)絡(luò)安全框架以提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。2018年NIST發(fā)布新的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》V1.1版本，提出了自我風(fēng)險(xiǎn)評估、供應(yīng)鏈安全、認(rèn)證授權(quán)、漏洞管理等方面框架要求，為關(guān)鍵基礎(chǔ)設(shè)施提供了更細(xì)粒度的指導(dǎo)。

　　通過發(fā)布《2015網(wǎng)絡(luò)安全法》、《2016網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃》《2018設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》《2022網(wǎng)絡(luò)安全增強(qiáng)法》等，美國構(gòu)建了一個(gè)自頂向下的以國土安全部為主責(zé)部門、以風(fēng)險(xiǎn)評估管控為準(zhǔn)則、以公私合作信息共享為基礎(chǔ)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)體系規(guī)范。

　　三

　　結(jié)　語

　　前事不忘，后事之師。這次俄烏之間的網(wǎng)絡(luò)戰(zhàn)爭給了我們很多啟發(fā)，美國此刻“加急”一致通過《網(wǎng)絡(luò)安全增強(qiáng)法》以推動(dòng)適應(yīng)網(wǎng)絡(luò)安全態(tài)勢現(xiàn)代化的需要。在國際糾紛日益激烈的今天，中國龐大的關(guān)鍵基礎(chǔ)設(shè)施也同樣面臨著各種各樣的網(wǎng)絡(luò)攻擊威脅，全力提升關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)能力，掌握更加先進(jìn)的技術(shù)，加強(qiáng)網(wǎng)絡(luò)安全人才教育與培訓(xùn)考核，提升關(guān)鍵信息基礎(chǔ)設(shè)施人才技術(shù)與管理能力勢在必行。

　　另方面近年來，我國也持續(xù)在重要行業(yè)和領(lǐng)域加大網(wǎng)絡(luò)安全保障建設(shè)的投入，發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》也于2021年9月1日起正式施行，但是關(guān)鍵信息基礎(chǔ)設(shè)施的具體保護(hù)范圍也有待進(jìn)一步明晰， 建議借鑒美國經(jīng)驗(yàn)對極其重要的關(guān)鍵基礎(chǔ)設(shè)施劃分保護(hù)范圍，明確對應(yīng)責(zé)任機(jī)構(gòu)，規(guī)定強(qiáng)制性的監(jiān)管義務(wù)和標(biāo)準(zhǔn)。從美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告》最重要的改革措施看出對關(guān)鍵基礎(chǔ)設(shè)施安全事件響應(yīng)精準(zhǔn)及時(shí)的重要性，而我國也可能存在政府職能部門、科研機(jī)構(gòu)、教育機(jī)構(gòu)、骨干企業(yè)、測評機(jī)構(gòu)之間在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)體系的協(xié)調(diào)配合不夠流暢的情況，建議通過網(wǎng)絡(luò)安全測評、動(dòng)態(tài)演練、逐步優(yōu)化，提升關(guān)鍵基礎(chǔ)設(shè)施動(dòng)態(tài)防護(hù)水平的同時(shí)，改善政府、企業(yè)、測評機(jī)構(gòu)之間的溝通協(xié)調(diào)，形成言簡意賅的“上傳下達(dá)”的機(jī)制，能及時(shí)發(fā)現(xiàn)、完整響應(yīng)、緩解并提醒關(guān)鍵基礎(chǔ)設(shè)施相關(guān)人員注意正在發(fā)生以及即將發(fā)生的攻擊。